- ข้อความ
- ประวัติศาสตร์
particular rule can result in unfor
particular rule can result in unforeseen results. One organization installed a new $50,000
firewall, only to discover that the security the firewall provided was too perfect—that is,
nothing was allowed in, and nothing was allowed out! It wasn’t until the firewall administrators
realized that the rule base was out of sequence that the problem was resolved.
Tables 6-16 through 6-19 show the rule sets, in their proper sequences, for both the external
and internal firewalls.
Note that the first rule prevents spoofing of internal IP addresses. The rule allowing responses
to internal communications (appearing in Table 6-16 as rule 6), comes after the four rules
prohibiting direct communications to or from the firewall (rules 2–5 in Table 6-16). In reality
rules 4 and 5 are redundant—rule 1 covers their actions. They are listed here for illustrative
purposes. Next comes the rules governing access to the SMTP server, denial of ping and
Telnet access, and access to the HTTP server. If heavy traffic to the HTTP server is
expected, move the HTTP server rule closer to the top (for example, into the position of
rule 2), which would expedite rule processing for external communications. Rules 8 and 9
are actually unnecessary as the cleanup rule would take care of their tasks. The final rule in
Table 6-16 denies any other types of communications. In the outbound rule set (Table 6-17)
the first rule allows the firewall, system, or network administrator to access any device,
including the firewall. Since this rule is on the outbound side, you do not need to worry
about external attackers or spoofers. The next four rules prohibit access to and by the
firewall itself, with the remaining rules allowing outbound communications and denying
all else.
Note the similarities and differences in the two firewalls’ rule sets. The internal filtering router/
firewall rule sets, shown in Tables 6-18 and 6-19, have to both protect against traffic to and
allow traffic from the internal network (192.168.2.0). Most of the rules in Tables 6-18
and 6-19 are similar to those in Tables 6-16 and 6-17: allowing responses to internal
communications; denying communications to and from the firewall itself; and allowing all
outbound internal traffic.
Because the 192.168.2.x network is an unrouteable network, external communications are
handled by the NAT server, which maps internal (192.168.2.0) addresses to external
(10.10.10.0) addresses. This prevents an attacker from compromising one of the internal
boxes and accessing the internal network with it. The exception is the proxy server (rule 7 in
Table 6-19 on the internal router’s inbound interface), which should be very carefully
configured. If the organization does not need the proxy server, as in cases where all externally
accessible services are provided from machines in the DMZ, then rule 7 is not needed. Note that
there are no ping and Telnet rules in Tables 6-18 or 6-19. This is because the external firewall
filters these external requests out. The last rule, rule 8, provides cleanup and may not be needed,
depending on the firewall.
firewall, only to discover that the security the firewall provided was too perfect—that is,
nothing was allowed in, and nothing was allowed out! It wasn’t until the firewall administrators
realized that the rule base was out of sequence that the problem was resolved.
Tables 6-16 through 6-19 show the rule sets, in their proper sequences, for both the external
and internal firewalls.
Note that the first rule prevents spoofing of internal IP addresses. The rule allowing responses
to internal communications (appearing in Table 6-16 as rule 6), comes after the four rules
prohibiting direct communications to or from the firewall (rules 2–5 in Table 6-16). In reality
rules 4 and 5 are redundant—rule 1 covers their actions. They are listed here for illustrative
purposes. Next comes the rules governing access to the SMTP server, denial of ping and
Telnet access, and access to the HTTP server. If heavy traffic to the HTTP server is
expected, move the HTTP server rule closer to the top (for example, into the position of
rule 2), which would expedite rule processing for external communications. Rules 8 and 9
are actually unnecessary as the cleanup rule would take care of their tasks. The final rule in
Table 6-16 denies any other types of communications. In the outbound rule set (Table 6-17)
the first rule allows the firewall, system, or network administrator to access any device,
including the firewall. Since this rule is on the outbound side, you do not need to worry
about external attackers or spoofers. The next four rules prohibit access to and by the
firewall itself, with the remaining rules allowing outbound communications and denying
all else.
Note the similarities and differences in the two firewalls’ rule sets. The internal filtering router/
firewall rule sets, shown in Tables 6-18 and 6-19, have to both protect against traffic to and
allow traffic from the internal network (192.168.2.0). Most of the rules in Tables 6-18
and 6-19 are similar to those in Tables 6-16 and 6-17: allowing responses to internal
communications; denying communications to and from the firewall itself; and allowing all
outbound internal traffic.
Because the 192.168.2.x network is an unrouteable network, external communications are
handled by the NAT server, which maps internal (192.168.2.0) addresses to external
(10.10.10.0) addresses. This prevents an attacker from compromising one of the internal
boxes and accessing the internal network with it. The exception is the proxy server (rule 7 in
Table 6-19 on the internal router’s inbound interface), which should be very carefully
configured. If the organization does not need the proxy server, as in cases where all externally
accessible services are provided from machines in the DMZ, then rule 7 is not needed. Note that
there are no ping and Telnet rules in Tables 6-18 or 6-19. This is because the external firewall
filters these external requests out. The last rule, rule 8, provides cleanup and may not be needed,
depending on the firewall.
0/5000
กฎเฉพาะอาจทำให้ผลลัพธ์ที่ไม่คาดฝัน หนึ่งองค์กรติดตั้งใหม่ $50,000ไฟร์วอลล์ เพียงเพื่อจะพบว่า การรักษาความปลอดภัยไฟร์วอลล์ให้เป็นสมบูรณ์แบบเกินไป — นั่นคือไม่ได้รับอนุญาตใน และไม่ได้รับอนุญาตให้ออก มันไม่ได้จนกว่าผู้ดูแลระบบไฟร์วอลล์ตระหนักว่า กฎพื้นฐานจากลำดับ ปัญหาแก้ไขตารางที่ 6-16 ผ่าน 6-19 แสดงกฎการตั้งค่า ในลำดับที่เหมาะสม สำหรับทั้งภายนอกและภายในไฟร์วอลล์หมายเหตุกฎแรกป้องกันการ spoofing ของที่อยู่ IP ภายใน กฎที่ให้การตอบสนองการสื่อสารภายใน (ปรากฏในตาราง 6-16 เป็นกฎ 6), มาที่หลังจากกฎสี่ห้ามสื่อสารโดยตรงไปยัง หรือ จากไฟร์วอลล์ (กฎ 2 – 5 ในตาราง 6-16) ในความเป็นจริงกฎที่ 4 และ 5 มีความซ้ำซ้อน — กฎที่ 1 ครอบคลุมถึงการกระทำของพวกเขา ระบุไว้ที่นี่สำหรับเป็นตัวอย่างวัตถุประสงค์ ต่อ มากฎที่ใช้ควบคุมการเข้าถึงเซิร์ฟเวอร์ SMTP การปฏิเสธของปิง และเข้าถึง Telnet และการเข้าถึงไปยังเซิร์ฟเวอร์ HTTP ถ้าเป็นจราจรไปยังเซิร์ฟเวอร์ HTTPคาดว่า ย้ายกฎเซิร์ฟเวอร์ HTTP ใกล้ชิดไปด้านบน (เช่น เป็นตำแหน่งของกฎ 2), ซึ่งจะเร่งการประมวลผลกฎสำหรับการสื่อสารภายนอก กฎที่ 8 และ 9ไม่จำเป็นจริงเป็นกฎล้างจะดูแลงานของพวกเขา กฎขั้นสุดท้ายในตารางที่ 6-16 ปฏิเสธการสื่อสารประเภทอื่น ๆ ในการตั้งค่ากฎขาออก (ตาราง 6-17)กฎข้อแรกช่วยให้ไฟร์วอลล์ ระบบ หรือผู้ดูแลระบบเครือข่ายสามารถเข้าถึงอุปกรณ์รวมถึงไฟร์วอลล์ เนื่องจากกฎนี้อยู่ทางด้านขาออก คุณไม่ต้องกังวลเกี่ยวกับการโจมตีภายนอกหรือ spoofers ไปสี่กฎห้ามไม่ให้เข้าถึง และโดยการไฟร์วอลล์ตัวเอง มีกฎเหลือให้สื่อสารขาออก และปฏิเสธสิ่งอื่นใดหมายเหตุ:ความเหมือนและความแตกต่างในการตั้งค่ากฎของไฟร์วอลล์สอง ภายในเราเตอร์กรอง /ตั้งค่ากฎไฟร์วอลล์ แสดงในตารางที่ 6-18 และ 6-19 มีทั้งป้องกันการรับส่งข้อมูล และอนุญาตการรับส่งข้อมูลจากเครือข่ายภายใน (192.168.2.0) ส่วนใหญ่ของกฎในตาราง 6-18และ 6-19 จะคล้ายกับที่ในตารางที่ 6-16 และ 6 17: ช่วยให้คำตอบภายในสื่อสาร การปฏิเสธการสื่อสาร และ จากไฟร์วอลล์ตัวเอง และอนุญาตให้ทั้งหมดการเข้าชมภายในขาออกเนื่องจากการ 192.168.2.x เป็นเครือข่ายของ unrouteable การสื่อสารภายนอกมีจัดการ โดยเซิร์ฟเวอร์ NAT แผนที่ภายใน (192.168.2.0) อยู่กับภายนอก(10.10.10.0) ที่อยู่ ป้องกันการโจมตีจากห้องหนึ่งภายในกล่องและการเข้าถึงเครือข่ายภายในกับมัน ข้อยกเว้นเป็นพร็อกซีเซิร์ฟเวอร์ (กฎ 7 นิ้วตาราง 6-19 บนอินเทอร์เฟซของเราเตอร์ภายในขาเข้า), ซึ่งควรจะระมัดระวังการกำหนดค่า ถ้าองค์กรต้องการพร็อกซีเซิร์ฟเวอร์ เช่นในกรณีภายนอกทั้งหมดบริการจากเครื่องใน DMZ จาก นั้นกฎ 7 ไม่จำเป็นต้อง หมายเหตุว่ามีปิงและ Telnet กฎในตาราง 6-18 หรือ 6-19 ทั้งนี้เนื่องจากไฟร์วอลล์ภายนอกกรองคำขอเหล่านี้ภายนอก สุดท้ายกฎ กฎ 8 ให้ล้าง และอาจไม่ถูก ต้องขึ้นกับไฟร์วอลล์
การแปล กรุณารอสักครู่..
กฎโดยเฉพาะอย่างยิ่งสามารถทำให้เกิดผลที่ไม่คาดฝัน องค์กรหนึ่งที่ติดตั้งใหม่ 50,000 $
ไฟร์วอลล์เพียงเพื่อพบว่าการรักษาความปลอดภัยไฟร์วอลล์ที่มีให้เป็นที่สมบูรณ์แบบที่เกินไป,
ไม่มีอะไรที่ได้รับอนุญาตในและไม่มีอะไรที่ได้รับอนุญาตให้ออก! มันไม่ได้จนกว่าผู้ดูแลระบบไฟร์วอลล์
ตระหนักว่าฐานกฎออกจากลำดับว่าปัญหาได้รับการแก้ไข.
ตาราง 6-16 ผ่าน 6-19 แสดงชุดของกฎในลำดับที่เหมาะสมของพวกเขาทั้งภายนอก
ไฟร์วอลล์และภายใน.
หมายเหตุ ว่ากฎข้อแรกจะช่วยป้องกันการปลอมแปลงที่อยู่ IP ภายใน กฎที่ช่วยให้การตอบสนอง
ต่อการสื่อสารภายใน (ปรากฏในตารางที่ 6-16 เป็นกฎ 6), มาหลังจากสี่กฎ
ห้ามไม่ให้มีการสื่อสารโดยตรงไปยังหรือจากไฟร์วอลล์ (กฎ 2-5 ในตารางที่ 6-16) ในความเป็นจริง
กฎที่ 4 และ 5 มีความซ้ำซ้อนกฎ 1 ครอบคลุมการกระทำของตน พวกเขาอยู่ที่นี่สำหรับตัวอย่าง
วัตถุประสงค์ ถัดมากฎเกณฑ์การเข้าถึงเซิร์ฟเวอร์ SMTP ปฏิเสธปิงและ
การเข้าถึง Telnet และการเข้าถึงเซิร์ฟเวอร์ HTTP หากการจราจรหนาแน่นไปยังเซิร์ฟเวอร์ HTTP มีการ
คาดว่าจะย้ายกฎเซิร์ฟเวอร์ HTTP ใกล้ชิดไปด้านบน (ตัวอย่างเช่นในตำแหน่งของ
กฎ 2) ซึ่งจะเร่งการประมวลผลสำหรับกฎการสื่อสารภายนอก กฎ 8 และ 9
เป็นจริงที่ไม่จำเป็นเป็นกฎการทำความสะอาดจะดูแลงานของพวกเขา กฎสุดท้ายใน
ตารางที่ 6-16 ปฏิเสธชนิดอื่น ๆ ของการสื่อสาร ในชุดกฎขาออก (ตารางที่ 6-17)
กฎข้อแรกช่วยให้ไฟร์วอลล์ระบบหรือผู้ดูแลระบบเครือข่ายในการเข้าถึงอุปกรณ์ใด ๆ
รวมทั้งไฟร์วอลล์ เนื่องจากกฎนี้อยู่ในฝั่งขาออกคุณไม่จำเป็นต้องกังวล
เกี่ยวกับการโจมตีภายนอกหรือ Spoofers สี่กฎต่อไปห้ามการเข้าถึงและโดย
ไฟร์วอลล์ตัวเองกับกฎระเบียบที่เหลือช่วยให้การสื่อสารขาออกและปฏิเสธ
สิ่งอื่นใด.
หมายเหตุคล้ายคลึงและแตกต่างในสองไฟร์วอลล์ 'ชุดกฎ กรองภายในเราเตอร์ /
ชุดกฎของไฟร์วอลล์ที่แสดงในตารางที่ 6-18 และ 6-19 มีทั้งป้องกันการเข้าชมและ
ให้การจราจรจากเครือข่ายภายใน (192.168.2.0) ส่วนใหญ่ของกฎในตารางที่ 6-18
และ 6-19 มีความคล้ายคลึงกับในตารางที่ 6-16 และ 6-17: คำตอบที่ช่วยให้การภายใน
การสื่อสาร ปฏิเสธการสื่อสารไปและกลับจากไฟร์วอลล์เอง; และช่วยให้ทุก
การเข้าชมภายในขาออก. เพราะเครือข่าย 192.168.2.x เป็นเครือข่าย unrouteable การสื่อสารภายนอกจะจัดการโดยเซิร์ฟเวอร์ NAT ซึ่งแผนที่ภายใน (192.168.2.0) ที่อยู่ภายนอก(10.10.10.0) ที่อยู่ นี้จะช่วยป้องกันผู้บุกรุกจากสูญเสียหนึ่งในภายในกล่องและการเข้าถึงเครือข่ายภายในกับมัน ยกเว้นเป็นพร็อกซีเซิร์ฟเวอร์ (กฎ 7 ในตารางที่ 6-19 ในอินเตอร์เฟซขาเข้าเราเตอร์ภายใน) ซึ่งควรจะเป็นอย่างมากการกำหนดค่า หากองค์กรไม่จำเป็นต้องพร็อกซีเซิร์ฟเวอร์เช่นเดียวกับในกรณีที่ทุกภายนอกเข้าถึงบริการที่มีให้จากเครื่องใน DMZ แล้วกฎ 7 ไม่จำเป็นต้อง โปรดทราบว่าไม่มีปิงและ Telnet กฎในตารางที่ 6-18 หรือ 6-19 เพราะนี่คือไฟร์วอลล์ภายนอกตัวกรองการร้องขอภายนอกเหล่านี้ออก กฎสุดท้ายกฎ 8 ให้การทำความสะอาดและอาจไม่เป็นที่ต้องการขึ้นอยู่กับไฟร์วอลล์
ไฟร์วอลล์เพียงเพื่อพบว่าการรักษาความปลอดภัยไฟร์วอลล์ที่มีให้เป็นที่สมบูรณ์แบบที่เกินไป,
ไม่มีอะไรที่ได้รับอนุญาตในและไม่มีอะไรที่ได้รับอนุญาตให้ออก! มันไม่ได้จนกว่าผู้ดูแลระบบไฟร์วอลล์
ตระหนักว่าฐานกฎออกจากลำดับว่าปัญหาได้รับการแก้ไข.
ตาราง 6-16 ผ่าน 6-19 แสดงชุดของกฎในลำดับที่เหมาะสมของพวกเขาทั้งภายนอก
ไฟร์วอลล์และภายใน.
หมายเหตุ ว่ากฎข้อแรกจะช่วยป้องกันการปลอมแปลงที่อยู่ IP ภายใน กฎที่ช่วยให้การตอบสนอง
ต่อการสื่อสารภายใน (ปรากฏในตารางที่ 6-16 เป็นกฎ 6), มาหลังจากสี่กฎ
ห้ามไม่ให้มีการสื่อสารโดยตรงไปยังหรือจากไฟร์วอลล์ (กฎ 2-5 ในตารางที่ 6-16) ในความเป็นจริง
กฎที่ 4 และ 5 มีความซ้ำซ้อนกฎ 1 ครอบคลุมการกระทำของตน พวกเขาอยู่ที่นี่สำหรับตัวอย่าง
วัตถุประสงค์ ถัดมากฎเกณฑ์การเข้าถึงเซิร์ฟเวอร์ SMTP ปฏิเสธปิงและ
การเข้าถึง Telnet และการเข้าถึงเซิร์ฟเวอร์ HTTP หากการจราจรหนาแน่นไปยังเซิร์ฟเวอร์ HTTP มีการ
คาดว่าจะย้ายกฎเซิร์ฟเวอร์ HTTP ใกล้ชิดไปด้านบน (ตัวอย่างเช่นในตำแหน่งของ
กฎ 2) ซึ่งจะเร่งการประมวลผลสำหรับกฎการสื่อสารภายนอก กฎ 8 และ 9
เป็นจริงที่ไม่จำเป็นเป็นกฎการทำความสะอาดจะดูแลงานของพวกเขา กฎสุดท้ายใน
ตารางที่ 6-16 ปฏิเสธชนิดอื่น ๆ ของการสื่อสาร ในชุดกฎขาออก (ตารางที่ 6-17)
กฎข้อแรกช่วยให้ไฟร์วอลล์ระบบหรือผู้ดูแลระบบเครือข่ายในการเข้าถึงอุปกรณ์ใด ๆ
รวมทั้งไฟร์วอลล์ เนื่องจากกฎนี้อยู่ในฝั่งขาออกคุณไม่จำเป็นต้องกังวล
เกี่ยวกับการโจมตีภายนอกหรือ Spoofers สี่กฎต่อไปห้ามการเข้าถึงและโดย
ไฟร์วอลล์ตัวเองกับกฎระเบียบที่เหลือช่วยให้การสื่อสารขาออกและปฏิเสธ
สิ่งอื่นใด.
หมายเหตุคล้ายคลึงและแตกต่างในสองไฟร์วอลล์ 'ชุดกฎ กรองภายในเราเตอร์ /
ชุดกฎของไฟร์วอลล์ที่แสดงในตารางที่ 6-18 และ 6-19 มีทั้งป้องกันการเข้าชมและ
ให้การจราจรจากเครือข่ายภายใน (192.168.2.0) ส่วนใหญ่ของกฎในตารางที่ 6-18
และ 6-19 มีความคล้ายคลึงกับในตารางที่ 6-16 และ 6-17: คำตอบที่ช่วยให้การภายใน
การสื่อสาร ปฏิเสธการสื่อสารไปและกลับจากไฟร์วอลล์เอง; และช่วยให้ทุก
การเข้าชมภายในขาออก. เพราะเครือข่าย 192.168.2.x เป็นเครือข่าย unrouteable การสื่อสารภายนอกจะจัดการโดยเซิร์ฟเวอร์ NAT ซึ่งแผนที่ภายใน (192.168.2.0) ที่อยู่ภายนอก(10.10.10.0) ที่อยู่ นี้จะช่วยป้องกันผู้บุกรุกจากสูญเสียหนึ่งในภายในกล่องและการเข้าถึงเครือข่ายภายในกับมัน ยกเว้นเป็นพร็อกซีเซิร์ฟเวอร์ (กฎ 7 ในตารางที่ 6-19 ในอินเตอร์เฟซขาเข้าเราเตอร์ภายใน) ซึ่งควรจะเป็นอย่างมากการกำหนดค่า หากองค์กรไม่จำเป็นต้องพร็อกซีเซิร์ฟเวอร์เช่นเดียวกับในกรณีที่ทุกภายนอกเข้าถึงบริการที่มีให้จากเครื่องใน DMZ แล้วกฎ 7 ไม่จำเป็นต้อง โปรดทราบว่าไม่มีปิงและ Telnet กฎในตารางที่ 6-18 หรือ 6-19 เพราะนี่คือไฟร์วอลล์ภายนอกตัวกรองการร้องขอภายนอกเหล่านี้ออก กฎสุดท้ายกฎ 8 ให้การทำความสะอาดและอาจไม่เป็นที่ต้องการขึ้นอยู่กับไฟร์วอลล์
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- โอเคฉันจะไปอยู่ที่นั่นประมาณครึ่งชั่วโมง
- คุณก็มีแฟนสักที
- Maximise citation exposure through publi
- สถานภาพ
- CHONG ฉันได้ปิดการประมูลเพื่อคุณ เรียบร้
- เปิดเพลงเสียงดัง
- I'm happy every time you're near
- Our new ribosome-inactivating protein is
- ซึ่งน้ำที่ดีควรจะมีคุณลักษณะต่างๆที่เหมา
- นภัสวรรณ
- กี่คน
- ฉันไม่รู้ว่าคุณไม่ว่างหรือไม่อยากคุยกับฉ
- I actually bought you a cake but I got h
- ฉันตื่นเต้นมากตอนที่จะได้มาสมัครเรียนที่
- จะเกิดอุบัติเหตุ
- อิ่มมากกินอิ่มมาก.Eat so full much. Tomo
- But it is difficult to draw.
- แต่ฉันก็รู้สึกเช่นกันว่าแม่ของฉันท่านเหน
- ิ น้อยใจ
- แต่ฉันก็รู้สึกเช่นกันว่าแม่ของฉันท่านเหน
- Consists of a telescope in direct from o
- live
- ที่จะมีเงินไปลบรอยแผลเป็นพวกนั้น
- เปิดเพลงเสียงดัง
