- ข้อความ
- ประวัติศาสตร์
Rule Set 5: All Internet Control Me
Rule Set 5: All Internet Control Message Protocol (ICMP) data should be denied. Pings, formally
known as ICMP Echo requests, are used by internal systems administrators to ensure
that clients and servers can communicate. There is virtually no legitimate use for ICMP outside
the network, except to test the perimeter routers. ICMP uses port 7 to request a
response to a query (e.g., “Are you there?”) and can be the first indicator of a malicious
attack. It’s best to make all directly connected networking devices “black holes” to external
probes. Traceroute uses a variation on the ICMP Echo requests, so restricting this one port
provides protection against two types of probes. Allowing internal users to use ICMP
requires configuring two rules, as shown in Table 6-10.
The first of these two rules allows internal administrators (and users) to use ping. Note that
this rule is unnecessary if internal permissions rules like those in rule set 2 is used. The second
rule in Table 6-10 does not allow anyone else to use ping. Remember that rules are processed
in order. If an internal user needs to ping an internal or external address, the firewall
allows the packet and stops processing the rules. If the request does not come from an internal
source, then it bypasses the first rule and moves to the second.
Rule Set 6: Telnet (terminal emulation) access to all internal servers from the public networks
should be blocked. Though not used much in Windows environments, Telnet is still
useful to systems administrators on Unix/Linux systems. But the presence of external
requests for Telnet services can indicate an attack. Allowing internal use of Telnet requires
the same type of initial permission rule you use with ping. See Table 6-11. Note that this
rule is unnecessary if internal permissions rules like those in rule set 2 is used.
Rule Set 7: When Web services are offered outside the firewall, HTTP traffic (and HTTPS
traffic) should be blocked from the internal networks via the use of some form of proxy
access or DMZ architecture. With a Web server in the DMZ you simply allow HTTP to
access the Web server, and use rule set 8, the cleanup rule (which will be described shortly),
to prevent any other access. In order to keep the Web server inside the internal network,
direct all HTTP requests to the proxy server and configure the internal filtering router/firewall
only to allow the proxy server to access the internal Web server. The rule shown in
Table 6-12 illustrates the first example.
This rule accomplishes two things: it allows HTTP traffic to reach the Web server, and it
prevents non-HTTP traffic from reaching the Web server. It does the latter via the cleanup
rule (Rule 8). If someone tries to access the Web server with non-HTTP traffic (other than
port 80), then the firewall skips this rule and goes to the next.
Proxy server rules allow an organization to restrict all access to a device. The external firewall
would be configured as shown in Table 6-13.
The effective use of a proxy server of course requires that the DNS entries be configured as
if the proxy server were the Web server. The proxy server is then configured to repackage
any HTTP request packets into a new packet and retransmit to the Web server inside
the firewall. The retransmission of the repackaged request requires that the rule shown in
Table 6-14 enables the proxy server at 10.10.10.5 to send to the internal router, assuming
the IP address for the internal Web server is 10.10.10.10. Note that in situations where an
internal NAT server is used, the rule for the inbound interface uses the externally routable
address, because the device performs rule filtering before it performs address translation.
For the outbound interface, however, the address is in the native 192.168.x.x format.
The restriction on the source address then prevents anyone else from accessing the Web
server from outside the internal filtering router/firewall.
known as ICMP Echo requests, are used by internal systems administrators to ensure
that clients and servers can communicate. There is virtually no legitimate use for ICMP outside
the network, except to test the perimeter routers. ICMP uses port 7 to request a
response to a query (e.g., “Are you there?”) and can be the first indicator of a malicious
attack. It’s best to make all directly connected networking devices “black holes” to external
probes. Traceroute uses a variation on the ICMP Echo requests, so restricting this one port
provides protection against two types of probes. Allowing internal users to use ICMP
requires configuring two rules, as shown in Table 6-10.
The first of these two rules allows internal administrators (and users) to use ping. Note that
this rule is unnecessary if internal permissions rules like those in rule set 2 is used. The second
rule in Table 6-10 does not allow anyone else to use ping. Remember that rules are processed
in order. If an internal user needs to ping an internal or external address, the firewall
allows the packet and stops processing the rules. If the request does not come from an internal
source, then it bypasses the first rule and moves to the second.
Rule Set 6: Telnet (terminal emulation) access to all internal servers from the public networks
should be blocked. Though not used much in Windows environments, Telnet is still
useful to systems administrators on Unix/Linux systems. But the presence of external
requests for Telnet services can indicate an attack. Allowing internal use of Telnet requires
the same type of initial permission rule you use with ping. See Table 6-11. Note that this
rule is unnecessary if internal permissions rules like those in rule set 2 is used.
Rule Set 7: When Web services are offered outside the firewall, HTTP traffic (and HTTPS
traffic) should be blocked from the internal networks via the use of some form of proxy
access or DMZ architecture. With a Web server in the DMZ you simply allow HTTP to
access the Web server, and use rule set 8, the cleanup rule (which will be described shortly),
to prevent any other access. In order to keep the Web server inside the internal network,
direct all HTTP requests to the proxy server and configure the internal filtering router/firewall
only to allow the proxy server to access the internal Web server. The rule shown in
Table 6-12 illustrates the first example.
This rule accomplishes two things: it allows HTTP traffic to reach the Web server, and it
prevents non-HTTP traffic from reaching the Web server. It does the latter via the cleanup
rule (Rule 8). If someone tries to access the Web server with non-HTTP traffic (other than
port 80), then the firewall skips this rule and goes to the next.
Proxy server rules allow an organization to restrict all access to a device. The external firewall
would be configured as shown in Table 6-13.
The effective use of a proxy server of course requires that the DNS entries be configured as
if the proxy server were the Web server. The proxy server is then configured to repackage
any HTTP request packets into a new packet and retransmit to the Web server inside
the firewall. The retransmission of the repackaged request requires that the rule shown in
Table 6-14 enables the proxy server at 10.10.10.5 to send to the internal router, assuming
the IP address for the internal Web server is 10.10.10.10. Note that in situations where an
internal NAT server is used, the rule for the inbound interface uses the externally routable
address, because the device performs rule filtering before it performs address translation.
For the outbound interface, however, the address is in the native 192.168.x.x format.
The restriction on the source address then prevents anyone else from accessing the Web
server from outside the internal filtering router/firewall.
0/5000
กฎชุด 5: ข้อมูลทั้งหมดในอินเทอร์เน็ตควบคุมข้อความโพรโทคอล (ICMP) ควรถูกปฏิเสธ Pings อย่างเป็นทางการเรียกว่าร้องขอ ICMP Echo ใช้ โดยผู้ดูแลระบบภายในเพื่อให้แน่ใจว่า ไคลเอนต์และเซิร์ฟเวอร์สามารถสื่อสาร มีใช้ ICMP ภายนอกแทบไม่ถูกต้องตามกฎหมายเครือข่าย ยกเว้นการทดสอบขอบเขตเราเตอร์ ICMP ใช้พอร์ต 7 เพื่อขอความตอบแบบสอบถาม (เช่น, "มีคุณ") และสามารถเป็นตัวบ่งชี้แรกของการที่เป็นอันตรายโจมตี ที่ดีสุดเพื่อให้ "หลุมดำ" อุปกรณ์เครือข่ายทั้งหมดเชื่อมต่อโดยตรงสู่ภายนอกรบ Traceroute ใช้รูปแบบในการร้องขอเอคโค ICMP ดังนั้น การจำกัดนี้หนึ่งพอร์ตช่วยป้องกันชนิดสองหัว ช่วยให้ผู้ใช้ภายในจะใช้ ICMPต้องมีการกำหนดค่ากฎสอง ดังที่แสดงในตาราง 6-10ครั้งแรกของสองกฎเหล่านี้ช่วยให้ผู้ดูแลระบบภายใน (และผู้ใช้) การใช้ ping หมายเหตุว่ากฎนี้ไม่จำเป็นถ้ามีใช้สิทธิ์ภายในกฎอย่างเช่นในกฎชุด 2 ครั้งที่สองกฎในตาราง 6-10 ไม่อนุญาตให้ผู้อื่นใช้ ping อย่าลืมว่า กฎการประมวลผลในใบสั่ง ถ้าผู้ใช้ภายในที่ต้องการการ ping ภายใน หรือภายนอกอยู่ ไฟร์วอลล์ช่วยให้แพคเก็ต และหยุดการประมวลผลกฎ ถ้าการร้องขอไม่ได้มาจากภายในแหล่งที่มา แล้วมันทะลุกฎข้อแรก และย้ายไปที่สองชุดกฎ 6: Telnet (การจำลอง terminal) การเข้าถึงเซิร์ฟเวอร์ภายในทั้งหมดจากเครือข่ายสาธารณะควรจะถูกบล็อก ว่าไม่ได้ใช้มากในสภาพแวดล้อม Windows, Telnet ยังคงเป็นประโยชน์ในการดูแลระบบบนระบบ Unix/Linux แต่การปรากฏตัวของภายนอกร้องขอสำหรับบริการ Telnet สามารถระบุการโจมตี ต้องการให้ใช้งานภายในของ Telnetเริ่มต้นสิทธิ์กฎชนิดเดียวกันที่คุณใช้กับปิง ดูตารางที่ 6-11 หมายเหตุว่านี้กฎไม่จำเป็นถ้ามีใช้สิทธิ์ภายในกฎอย่างเช่นในกฎชุด 2ชุดกฎ 7: เมื่อเว็บมีบริการภายนอกไฟร์วอลล์ รับส่งข้อมูล HTTP (และ HTTPSจราจร) ควรถูกบล็อกจากเครือข่ายภายในผ่านการใช้รูปแบบของพร็อกซีเข้าถึงหรือสถาปัตยกรรม DMZ กับเว็บเซิร์ฟเวอร์ใน DMZ คุณเพียงแค่อนุญาต HTTP เพื่อเข้าถึงเว็บเซิร์ฟเวอร์ และใช้ชุดกฎ 8 ล้างกฎ (ซึ่งจะอธิบายในไม่ช้า),เพื่อป้องกันการเข้าถึงอื่น ๆ เพื่อให้เว็บเซิร์ฟเวอร์ภายในเครือข่ายภายในโดยตรงการร้องขอ HTTP ทั้งหมดไปยังพร็อกซีเซิร์ฟเวอร์ และตั้งค่าคอนฟิกการกรองเราเตอร์/ไฟร์วอลล์ภายในเพียงเพื่อให้พร็อกซีเซิร์ฟเวอร์การเข้าถึงเว็บเซิร์ฟเวอร์ภายใน กฎที่แสดงในตารางที่ 6-12 แสดงตัวอย่างแรกกฎนี้สำเร็จสองสิ่ง: จะช่วยให้รับส่งข้อมูล HTTP ในการเข้าถึงเว็บเซิร์ฟเวอร์ และป้องกันไม่ให้การจราจรไม่ใช่ HTTP เข้าถึงเว็บเซิร์ฟเวอร์ ไม่ผ่านการล้างหลังกฎ (กฎ 8) ถ้ามีคนพยายามเข้าถึงเว็บเซิร์ฟเวอร์ มีการจราจรไม่ใช่ HTTP (อื่น ๆ กว่าพอร์ต 80), แล้วข้ามกฎนี้ไฟร์วอลล์ และไปถัดไปพร็อกซีเซิร์ฟเวอร์กฎอนุญาตให้องค์กรที่จะจำกัดการเข้าถึงทั้งหมดไปยังอุปกรณ์ ไฟร์วอลล์ภายนอกจะกำหนดค่าดังแสดงในตาราง 6-13ใช้พร็อกซีเซิร์ฟเวอร์ต้องแน่นอนว่า รายการ DNS ถูกกำหนดให้เป็นถ้าเว็บเซิร์ฟเวอร์พร็อกซีเซิร์ฟเวอร์ได้ พร็อกซีเซิร์ฟเวอร์ถูกกำหนดค่าแล้วให้บรรจุใด ๆ HTTP การร้องขอแพคเก็ตเป็นแพคเก็ตใหม่ และสอื่นกับเว็บเซิร์ฟเวอร์ภายในไฟร์วอลล์ Retransmission repackaged ร้องขอจำเป็นต้องแสดงในกฎตารางที่ 6-14 ช่วยให้เซิร์ฟเวอร์พร็อกซีที่ 10.10.10.5 เพื่อส่งไปยังเราเตอร์ภายใน สมมติอยู่ IP สำหรับเว็บเซิร์ฟเวอร์ภายในคือ 10.10.10.10 ทราบว่า ในสถานการณ์ที่มีใช้ภายในเซิร์ฟเวอร์ NAT กฎสำหรับอินเทอร์เฟซขาใช้ routable ภายนอกที่อยู่ เนื่องจากอุปกรณ์ทำกฎการกรองก่อนจะทำการแปลที่อยู่สำหรับอินเทอร์เฟซขาออก อย่างไรก็ตาม อยู่ในรูปแบบดั้งเดิม 192.168.x.xข้อจำกัดที่อยู่ต้นทางแล้วป้องกันให้คนอื่นเข้าถึงเว็บเซิร์ฟเวอร์จากภายนอกภายในกรองเราเตอร์/ไฟร์วอลล์
การแปล กรุณารอสักครู่..
กฎข้อที่ 5 ชุด: ทั้งหมดการควบคุมอินเทอร์เน็ต Message Protocol (ICMP) ข้อมูลที่ควรได้รับการปฏิเสธ ปิงอย่างเป็นทางการ
เป็นที่รู้จักกันตามคำขอของ ICMP Echo จะถูกใช้โดยผู้ดูแลระบบภายในเพื่อให้มั่นใจ
ว่าลูกค้าและเซิร์ฟเวอร์สามารถสื่อสาร นอกจากนี้แทบไม่มีการใช้งานที่ถูกต้องสำหรับ ICMP นอก
เครือข่ายยกเว้นในการทดสอบเราเตอร์ปริมณฑล ICMP ใช้พอร์ต 7 เพื่อขอ
การตอบแบบสอบถาม (เช่น "คุณมี?") และสามารถเป็นตัวบ่งชี้แรกของการที่เป็นอันตราย
โจมตี มันเป็นเรื่องที่ดีที่สุดที่จะทำให้ทุกอุปกรณ์เครือข่ายที่เชื่อมต่อโดยตรง "หลุมดำ" เพื่อภายนอก
ฟิวส์ traceroute ใช้รูปแบบในการร้องขอ ICMP Echo ดังนั้นการ จำกัด นี้พอร์ต
ให้การป้องกันทั้งสองประเภทของยานสำรวจ ช่วยให้ผู้ใช้ภายในเพื่อใช้ ICMP
ต้องกำหนดค่าสองกฎดังแสดงในตารางที่ 6-10.
ครั้งแรกของทั้งสองช่วยให้ผู้ดูแลกฎระเบียบภายใน (และผู้ใช้) เพื่อใช้ปิง โปรดทราบว่า
กฎนี้ไม่จำเป็นถ้ากฎสิทธิ์ภายในเช่นผู้ที่อยู่ในการปกครองของชุดที่ 2 ถูกนำมาใช้ ประการที่สอง
กฎในตารางที่ 6-10 ไม่อนุญาตให้คนอื่นที่จะใช้ปิง โปรดจำไว้ว่ากฎมีการประมวลผล
ในการสั่งซื้อ หากผู้ใช้ภายในจำเป็นต้อง ping ที่อยู่ภายในหรือภายนอกไฟร์วอลล์
ช่วยให้แพ็คเก็ตและหยุดการประมวลผลกฎ ถ้าขอไม่ได้มาจากภายใน
มาแล้วมันทะลุกฎข้อแรกและย้ายไปที่สอง.
กฎชุดที่ 6: Telnet (จำลอง terminal) การเข้าถึงเซิร์ฟเวอร์ภายในทั้งหมดจากเครือข่ายประชาชน
ควรถูกบล็อก แม้ว่าจะไม่ได้ใช้มากในสภาพแวดล้อมของ Windows Telnet ยังคง
มีประโยชน์เพื่อผู้บริหารระบบในระบบ Unix / Linux แต่การปรากฏตัวของภายนอก
ร้องขอสำหรับการให้บริการ Telnet สามารถบ่งบอกถึงการโจมตี ช่วยให้การใช้งานภายในของ Telnet ต้องใช้
ชนิดเดียวกันของการปกครองได้รับอนุญาตครั้งแรกที่คุณใช้กับปิง ดูตารางที่ 6-11 โปรดทราบว่านี้
กฎไม่จำเป็นถ้ากฎสิทธิ์ภายในเช่นผู้ที่อยู่ในการปกครองของชุดที่ 2 จะใช้.
ข้อบังคับตลาดหลักทรัพย์ 7: เมื่อบริการเว็บมีให้บริการภายนอกไฟร์วอลล์การจราจร HTTP (และ HTTPS
จราจร) ควรถูกบล็อกจากเครือข่ายภายในผ่านการใช้งานของ รูปแบบของพร็อกซีบาง
การเข้าถึงหรือ DMZ สถาปัตยกรรม กับเว็บเซิร์ฟเวอร์ใน DMZ คุณก็ช่วยให้ HTTP เพื่อ
เข้าถึงเว็บเซิร์ฟเวอร์และใช้กฎตั้ง 8 กฎการทำความสะอาด (ซึ่งจะอธิบายในไม่ช้า)
เพื่อป้องกันการเข้าถึงอื่น ๆ เพื่อที่จะให้เว็บเซิร์ฟเวอร์ที่อยู่ภายในเครือข่ายภายใน
โดยตรงร้องขอ HTTP ทั้งหมดไปยังพร็อกซีเซิร์ฟเวอร์และกำหนดค่าภายในกรองเราเตอร์ / ไฟร์วอลล์
เท่านั้นที่จะช่วยให้ร็อกซี่เซิร์ฟเวอร์ในการเข้าถึงเว็บเซิร์ฟเวอร์ภายใน กฎที่แสดงใน
. ตารางที่ 6-12 แสดงให้เห็นถึงตัวอย่างแรก
กฎนี้สำเร็จสองสิ่ง: มันจะช่วยให้การจราจร HTTP ในการเข้าถึงเว็บเซิร์ฟเวอร์และจะ
ป้องกันไม่ให้การจราจรไม่ใช่ HTTP จากการเข้าถึงเว็บเซิร์ฟเวอร์ มันไม่หลังผ่านการทำความสะอาดที่
กฎ (กฎข้อ 8) ถ้ามีคนพยายามที่จะเข้าถึงเซิร์ฟเวอร์เว็บด้วยไม่ใช่ HTTP จราจร (นอกเหนือจาก
พอร์ต 80) แล้วไฟร์วอลล์ข้ามกฎนี้และไปถัดไป.
กฎเซิร์ฟเวอร์พร็อกซี่ช่วยให้องค์กรเพื่อ จำกัด การเข้าถึงทั้งหมดไปยังอุปกรณ์ ไฟร์วอลล์ภายนอก
จะได้รับการกำหนดค่าดังแสดงในตารางที่ 6-13.
การใช้งานที่มีประสิทธิภาพของพร็อกซีเซิร์ฟเวอร์ของหลักสูตรกำหนดว่ารายการ DNS ถูกกำหนดค่าให้เป็น
ถ้าพร็อกซีเซิร์ฟเวอร์เป็นเว็บเซิร์ฟเวอร์ พร็อกซีเซิร์ฟเวอร์มีการกำหนดค่าแล้ว repackage
ใด ๆ แพ็คเก็ตร้องขอ HTTP เป็นแพ็คเก็ตใหม่และส่งอีกครั้งไปยังเว็บเซิร์ฟเวอร์ภายใน
ไฟร์วอลล์ retransmission ของการร้องขอโฉมหน้ากำหนดว่ากฎที่แสดงใน
ตารางที่ 6-14 ช่วยให้ร็อกซี่เซิร์ฟเวอร์ที่ 10.10.10.5 ที่จะส่งให้เราเตอร์ภายในสมมติว่า
อยู่ IP สำหรับเว็บเซิร์ฟเวอร์ภายในเป็น 10.10.10.10 ทราบว่าในกรณีที่
เซิร์ฟเวอร์ NAT ภายในจะใช้กฎสำหรับอินเตอร์เฟซขาเข้าใช้ routable ภายนอก
อยู่เพราะอุปกรณ์ที่มีประสิทธิภาพการกรองกฎก่อนที่จะดำเนินการแปลที่อยู่.
สำหรับอินเตอร์เฟซขาออก แต่ที่อยู่ในพื้นเมือง 192.168 รูปแบบ .xx.
ข้อ จำกัด เกี่ยวกับแหล่งที่อยู่แล้วป้องกันไม่ให้ผู้อื่นเข้าถึงเว็บ
เซิร์ฟเวอร์จากภายนอกภายในกรองเราเตอร์ / ไฟร์วอลล์
เป็นที่รู้จักกันตามคำขอของ ICMP Echo จะถูกใช้โดยผู้ดูแลระบบภายในเพื่อให้มั่นใจ
ว่าลูกค้าและเซิร์ฟเวอร์สามารถสื่อสาร นอกจากนี้แทบไม่มีการใช้งานที่ถูกต้องสำหรับ ICMP นอก
เครือข่ายยกเว้นในการทดสอบเราเตอร์ปริมณฑล ICMP ใช้พอร์ต 7 เพื่อขอ
การตอบแบบสอบถาม (เช่น "คุณมี?") และสามารถเป็นตัวบ่งชี้แรกของการที่เป็นอันตราย
โจมตี มันเป็นเรื่องที่ดีที่สุดที่จะทำให้ทุกอุปกรณ์เครือข่ายที่เชื่อมต่อโดยตรง "หลุมดำ" เพื่อภายนอก
ฟิวส์ traceroute ใช้รูปแบบในการร้องขอ ICMP Echo ดังนั้นการ จำกัด นี้พอร์ต
ให้การป้องกันทั้งสองประเภทของยานสำรวจ ช่วยให้ผู้ใช้ภายในเพื่อใช้ ICMP
ต้องกำหนดค่าสองกฎดังแสดงในตารางที่ 6-10.
ครั้งแรกของทั้งสองช่วยให้ผู้ดูแลกฎระเบียบภายใน (และผู้ใช้) เพื่อใช้ปิง โปรดทราบว่า
กฎนี้ไม่จำเป็นถ้ากฎสิทธิ์ภายในเช่นผู้ที่อยู่ในการปกครองของชุดที่ 2 ถูกนำมาใช้ ประการที่สอง
กฎในตารางที่ 6-10 ไม่อนุญาตให้คนอื่นที่จะใช้ปิง โปรดจำไว้ว่ากฎมีการประมวลผล
ในการสั่งซื้อ หากผู้ใช้ภายในจำเป็นต้อง ping ที่อยู่ภายในหรือภายนอกไฟร์วอลล์
ช่วยให้แพ็คเก็ตและหยุดการประมวลผลกฎ ถ้าขอไม่ได้มาจากภายใน
มาแล้วมันทะลุกฎข้อแรกและย้ายไปที่สอง.
กฎชุดที่ 6: Telnet (จำลอง terminal) การเข้าถึงเซิร์ฟเวอร์ภายในทั้งหมดจากเครือข่ายประชาชน
ควรถูกบล็อก แม้ว่าจะไม่ได้ใช้มากในสภาพแวดล้อมของ Windows Telnet ยังคง
มีประโยชน์เพื่อผู้บริหารระบบในระบบ Unix / Linux แต่การปรากฏตัวของภายนอก
ร้องขอสำหรับการให้บริการ Telnet สามารถบ่งบอกถึงการโจมตี ช่วยให้การใช้งานภายในของ Telnet ต้องใช้
ชนิดเดียวกันของการปกครองได้รับอนุญาตครั้งแรกที่คุณใช้กับปิง ดูตารางที่ 6-11 โปรดทราบว่านี้
กฎไม่จำเป็นถ้ากฎสิทธิ์ภายในเช่นผู้ที่อยู่ในการปกครองของชุดที่ 2 จะใช้.
ข้อบังคับตลาดหลักทรัพย์ 7: เมื่อบริการเว็บมีให้บริการภายนอกไฟร์วอลล์การจราจร HTTP (และ HTTPS
จราจร) ควรถูกบล็อกจากเครือข่ายภายในผ่านการใช้งานของ รูปแบบของพร็อกซีบาง
การเข้าถึงหรือ DMZ สถาปัตยกรรม กับเว็บเซิร์ฟเวอร์ใน DMZ คุณก็ช่วยให้ HTTP เพื่อ
เข้าถึงเว็บเซิร์ฟเวอร์และใช้กฎตั้ง 8 กฎการทำความสะอาด (ซึ่งจะอธิบายในไม่ช้า)
เพื่อป้องกันการเข้าถึงอื่น ๆ เพื่อที่จะให้เว็บเซิร์ฟเวอร์ที่อยู่ภายในเครือข่ายภายใน
โดยตรงร้องขอ HTTP ทั้งหมดไปยังพร็อกซีเซิร์ฟเวอร์และกำหนดค่าภายในกรองเราเตอร์ / ไฟร์วอลล์
เท่านั้นที่จะช่วยให้ร็อกซี่เซิร์ฟเวอร์ในการเข้าถึงเว็บเซิร์ฟเวอร์ภายใน กฎที่แสดงใน
. ตารางที่ 6-12 แสดงให้เห็นถึงตัวอย่างแรก
กฎนี้สำเร็จสองสิ่ง: มันจะช่วยให้การจราจร HTTP ในการเข้าถึงเว็บเซิร์ฟเวอร์และจะ
ป้องกันไม่ให้การจราจรไม่ใช่ HTTP จากการเข้าถึงเว็บเซิร์ฟเวอร์ มันไม่หลังผ่านการทำความสะอาดที่
กฎ (กฎข้อ 8) ถ้ามีคนพยายามที่จะเข้าถึงเซิร์ฟเวอร์เว็บด้วยไม่ใช่ HTTP จราจร (นอกเหนือจาก
พอร์ต 80) แล้วไฟร์วอลล์ข้ามกฎนี้และไปถัดไป.
กฎเซิร์ฟเวอร์พร็อกซี่ช่วยให้องค์กรเพื่อ จำกัด การเข้าถึงทั้งหมดไปยังอุปกรณ์ ไฟร์วอลล์ภายนอก
จะได้รับการกำหนดค่าดังแสดงในตารางที่ 6-13.
การใช้งานที่มีประสิทธิภาพของพร็อกซีเซิร์ฟเวอร์ของหลักสูตรกำหนดว่ารายการ DNS ถูกกำหนดค่าให้เป็น
ถ้าพร็อกซีเซิร์ฟเวอร์เป็นเว็บเซิร์ฟเวอร์ พร็อกซีเซิร์ฟเวอร์มีการกำหนดค่าแล้ว repackage
ใด ๆ แพ็คเก็ตร้องขอ HTTP เป็นแพ็คเก็ตใหม่และส่งอีกครั้งไปยังเว็บเซิร์ฟเวอร์ภายใน
ไฟร์วอลล์ retransmission ของการร้องขอโฉมหน้ากำหนดว่ากฎที่แสดงใน
ตารางที่ 6-14 ช่วยให้ร็อกซี่เซิร์ฟเวอร์ที่ 10.10.10.5 ที่จะส่งให้เราเตอร์ภายในสมมติว่า
อยู่ IP สำหรับเว็บเซิร์ฟเวอร์ภายในเป็น 10.10.10.10 ทราบว่าในกรณีที่
เซิร์ฟเวอร์ NAT ภายในจะใช้กฎสำหรับอินเตอร์เฟซขาเข้าใช้ routable ภายนอก
อยู่เพราะอุปกรณ์ที่มีประสิทธิภาพการกรองกฎก่อนที่จะดำเนินการแปลที่อยู่.
สำหรับอินเตอร์เฟซขาออก แต่ที่อยู่ในพื้นเมือง 192.168 รูปแบบ .xx.
ข้อ จำกัด เกี่ยวกับแหล่งที่อยู่แล้วป้องกันไม่ให้ผู้อื่นเข้าถึงเว็บ
เซิร์ฟเวอร์จากภายนอกภายในกรองเราเตอร์ / ไฟร์วอลล์
การแปล กรุณารอสักครู่..
ชุดกฎที่ 5 : การควบคุมอินเทอร์เน็ตข้อความโปรโตคอล ( ICMP ) ข้อมูลจะถูกปฏิเสธ ส่ง Ping อย่างเป็นทางการที่เรียกว่า ICMP echo ขอ จะถูกใช้โดยผู้บริหารระบบภายในเพื่อให้แน่ใจว่าที่ลูกค้าและเซิร์ฟเวอร์สามารถสื่อสาร มีจวนไม่มีถูกต้องตามกฎหมายใช้ ICMP ภายนอกเครือข่าย ยกเว้นการทดสอบปริมณฑลและอื่นๆ ICMP ใช้พอร์ต 7 เพื่อขอการตอบสนองต่อการค้นหา ( เช่น " คุณมี ? " ) และสามารถบ่งชี้แรกของที่เป็นอันตรายโจมตี มันเป็นดีที่สุดเพื่อให้ทุกอุปกรณ์เครือข่ายที่เชื่อมต่อโดยตรง " หลุมดำ " ภายนอกเครื่องมือตรวจสอบ เทรซเร้าว์ใช้รูปแบบใน ICMP echo ขอ ดังนั้นหนึ่งนี้พอร์ตจำกัดให้การป้องกันสองชนิดของเครื่องมือตรวจสอบ อนุญาตให้ผู้ใช้ภายในใช้ ICMPต้องมีการกำหนดค่ากฎสอง ดังแสดงในตารางที่ 6-10 .ครั้งแรกของกฎเหล่านี้สองช่วยให้ผู้บริหารภายใน ( และผู้ใช้ ) เพื่อใช้ผิง หมายเหตุกฎนี้ไม่จำเป็นถ้าภายในกฎสิทธิ์เช่นเดียวกับในชุดกฎที่ 2 คือใช้ สองตารางสรุปกฎไม่อนุญาตให้ใครใช้ปิง จำได้ว่า กฎจะถูกประมวลผลในการสั่งซื้อ ถ้าผู้ใช้ภายในต้อง ping ที่อยู่ภายในหรือภายนอกไฟร์วอลล์อนุญาตให้แพ็คเก็ตและหยุดการประมวลผลกฎ ถ้าขอไม่ได้มาจากภายในแหล่งที่มา แล้วมันข้ามกฎแรกและย้ายไปยังขั้นที่สองชุดกฎ 6 : Telnet ( ตัวจำลองเทอร์มินัล ) การเข้าถึงเซิร์ฟเวอร์ภายในทั้งหมดจากเครือข่ายสาธารณะจะถูกปิดกั้น แม้ว่าจะไม่ได้ใช้มากในสภาพแวดล้อม Windows Telnet เป็นยังประโยชน์กับผู้ดูแลระบบบนระบบยูนิกซ์ / ลินุกซ์ แต่การปรากฏตัวของภายนอกการร้องขอบริการ Telnet สามารถแสดงการโจมตี อนุญาตให้ใช้ telnet ต้องภายในประเภทเดียวกันของกฎการอนุญาตเริ่มต้นที่คุณใช้กับปิง เห็นตาราง 6-11 . หมายเหตุว่ากฎที่ไม่จำเป็น ถ้าภายในกฎสิทธิ์เช่นเดียวกับในชุดกฎที่ 2 คือใช้ชุดกฎที่ 7 : เมื่อบริการเว็บเสนอนอกไฟร์วอลล์การจราจร HTTP และ HTTPS (การจราจร ) ควรถูกบล็อกจากเครือข่ายภายในผ่านการใช้งานของบางรูปแบบของพร็อกซีการเข้าถึงหรือสถาปัตยกรรม DMZ . กับเว็บเซิร์ฟเวอร์ใน DMZ คุณเพียงแค่ให้ HTTP เพื่อการเข้าถึงเว็บเซิร์ฟเวอร์และใช้กฎตั้ง 8 , ล้างกฎ ( ซึ่งจะอธิบายในไม่ช้า )ใด ๆอื่น ๆเพื่อป้องกันการเข้าถึง เพื่อให้เว็บเซิร์ฟเวอร์ในเครือข่ายภายในโดยการร้องขอ HTTP ทั้งหมดที่พร็อกซีเซิร์ฟเวอร์และกำหนดค่าเราเตอร์ไฟร์วอลล์ / ภายในกรองเท่านั้นที่จะช่วยให้เซิร์ฟเวอร์พร็อกซี่เพื่อเข้าถึงเว็บเซิร์ฟเวอร์ภายใน กฎที่แสดงในตารางที่ 6 แสดงให้เห็นถึงตัวอย่างแรกกฎนี้สำเร็จสองสิ่ง : มันช่วยให้การจราจร HTTP เข้าถึงเว็บเซิร์ฟเวอร์ และป้องกันการเข้าถึงเว็บที่ไม่ใช่การจราจร HTTP เซิร์ฟเวอร์ มันหลังผ่านการล้างกฎ ( กฎข้อ 8 ) ถ้าใครพยายามที่จะเข้าถึงเว็บเซิร์ฟเวอร์ปลอดการจราจร HTTP ( นอกจากพอร์ต 80 ) แล้วไฟร์วอลล์ข้ามกฎนี้ และไปที่หน้ากฎเซิร์ฟเวอร์พร็อกซี่ให้องค์กรเพื่อ จำกัด การเข้าถึงอุปกรณ์ทั้งหมด . ไฟร์วอลล์ภายนอกจะสามารถกําหนด ดังแสดงในตารางที่ 6-13 .การใช้ประสิทธิภาพของเซิร์ฟเวอร์พร็อกซี่แน่นอนต้องที่ DNS รายการถูกกำหนดค่าเป็นถ้าพร็อกซีเซิร์ฟเวอร์เป็นเว็บเซิร์ฟเวอร์ พร็อกซี่เซิร์ฟเวอร์ถูกกำหนดค่าให้รู้สึกดีใด ๆการร้องขอ HTTP เป็นแพ็คเก็ตแพ็คเก็ตใหม่ และ retransmit ไปยังเว็บเซิร์ฟเวอร์ภายในไฟร์วอลล์ การ retransmission ของเชนขอใช้กฎที่แสดงในผู้เขียน หัวข้อ : โต๊ะช่วยให้ร็อกซี่เซิร์ฟเวอร์ที่ 10.10.10.5 ส่งเราเตอร์ภายใน สันนิษฐานว่าที่อยู่ IP สำหรับเซิร์ฟเวอร์เว็บภายใน 10.10.10.10 . ทราบว่าในสถานการณ์ที่เป็นภายในเซิร์ฟเวอร์ที่ใช้กฎสำหรับอินเตอร์เฟซที่ใช้ภายนอก routable ขาเข้าที่อยู่ เพราะอุปกรณ์แสดงกฎกรองก่อนที่จะแสดงที่อยู่แปลสำหรับ interface ขาออกแต่ที่อยู่ในพื้นเมือง 192.168 . - รูปแบบจำกัดแหล่งที่อยู่แล้วป้องกันคนอื่นจากการเข้าถึงเว็บServer จากภายนอกภายในตัว Router / Firewall
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- visible waste such as rubbish easy to ma
- I don't know what classes to do this sem
- ปิดไฟเลยไหม
- ผู้ชายคนหนึ่ง
- non-Distinguishing intrinsic attributes
- waiting you
- จะพยายาม
- 3.3. Composition gradients induced by a
- However, the same dog also does me a fav
- Utilize boosting for improving general p
- ผู้ชายคนหนึ่ง
- الطائرات الروسية تدمرا مسجداً في مدينة
- เรียงความเรื่อง วันหยุดปีใหม่ของฉัน ในช่
- 3.3. Composition gradients induced by a
- What's the matter
- Factors associated with male involvement
- เรียงความเรื่อง วันหยุดปีใหม่ของฉัน ในช่
- m a cleaner my life
- Since I graduated from school, I still f
- 3051หมู่1
- Conventional photovoltaic generation sys
- My home is in panare,pattani province.My
- visible waste such as rubbish easy to ma
- The ballpoint pen is the universal instr
