四、过滤规则设置
包过滤防火墙的过滤规则集由若干条规则组成,它应涵盖对所有出入防火墙的数据包的处理方法,
对于没有明确定义的数据包,应该有一个缺省处理方法;过滤规则应易于理解,易于编辑修改;
同时应具备一致性检测机制,防止冲突。IP包过滤的依据主要是根据IP包头部信息如源地址和目的地址进行过滤,
如果IP头中的协议字段表明封装协议为ICMP、TCP或UDP,那么再根据ICMP头信息(类型和代码值)、
相关文章链接
"菜鸟必读:你的QQ号码、Q币就这样被盗
安全知道 黑客是如何攻击电子邮件的
TCP头信息(源端口和目的端口)或UDP头信息(源端口和目的端口)执行过滤,其他的还有MAC地址过滤。
应用层协议过滤要求主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。
在一般情况下,我们可以从以下几个方面来进行访问规则的设置:
(1)禁止一切源路由寻径的IP包通过;
(2)IP包的源地址和目的地址;
(3)IP包中TCP与UDP的源端口和目的端口;
(4)运行协议;
(5)IP包的选择。
|
动作
|
协议
|
方向
|
访问时间
|
远端IP
|
端口
|
应用程序
|
备注
|
|
放行
|
IP
|
流进
|
工作时间
|
202.114.165.240
|
8080
|
IE
|
|
|
询问
|
TCP
|
流进
|
工作时间
|
202.114.165.192
|
1080
|
IE
|
|
|
拒绝
|
IP
|
流出
|
工作时间
|
202.114.204.153
|
80
|
IE
|
|
图3 一个典型的规则表
五、记录和报警
防火墙处理完整日志的方法:防火墙规定了对于符合条件的报文做日志,应该提供日志信息管理和存储方法。
提供自动日志扫描:指防火墙是否具有日志的自动分析和扫描功能,这可以获得更详细的统计结果,达到事后分析、亡羊补牢的目的。
提供自动报表、日志报告书写器:防火墙实现的一种输出方式,提供自动报表和日志报告功能。
|
动作
|
开始时间
结束时间
|
协议
|
进流量
|
出流量
|
本地IP:端口
远端IP:端口
|
应用程序
|
备注
|
|
放行
|
21:54 -
22:00
|
TCP
|
200
|
400
|
202.114.165.240:80
202.114.165.225:80 |
IE
|
|
|
放行
|
22:01-
22:10
|
IP
|
250
|
100
|
202.114.165.240:80
202.114.165.193:80 |
IE
|
|
警告通知机制:防火墙应提供告警机制,在检测到入侵网络以及设备运转异常情况时,通过告警来通知管理员采取必要的措施,包括E-mail、呼机、手机等。
提供简要报表(按照用户ID或IP地址):防火墙实现的一种输出方式,按要求提供报表分类打印。
提供实时统计:防火墙实现的一种输出方式,日志分析后所获得的智能统计结果,一般是图表显示。
用包过滤技术实现防火墙较为容易,具有比较好的网络安全保障功能,但也存在不足之处,由于过滤技术中无法包括用户名,而仅仅是客户机的IP地址,那么如果要过滤用户名就不能使用包过滤技术了,另外,由于包过滤技术遵循”未禁止就允许通过”的规则,因此,一些未经禁止的包的进出,可能对网络产生安全威胁。今后防火墙的发展会朝着简单化、安全化方向迈进, 综合包过滤和应用代理的功能,达到两者的有效结合,实现新型加密算法的设计,使数据的传输更加安全, 会和IDS、病毒检测等相关安全产品联合起来,充分发挥各自的长处,协同配合,共同建立一个有效的安全防范体系。 更多天网防火墙使用技巧和教程 点击进入天网防火墙软件门户
使用中出现问题不知道怎么解决?去天网防火墙软件社区 求助吧
|
