咨询热线:025-52216934
寄件邮箱:njmobai@163.com
网站建设包过滤路由器的配
发表日期:2016-5-4 16:14:42      浏览次数:首页 >>知识学堂 >>网络安全常识


  在配置包过渡路由器时, 首先要确定哪些服务允许通过而哪些服务应被拒绝, 并将这些最定翻译成有关的包过滤规则 。 对包的内容一般并不需要多加关心 。 比如: 允许站点接收来自外部网的邮件, 而不关心该邮件是用什么工具制作的 。 路由器只关注包中的一小部分内容 . 下面给出将有关服务翻译成包过滤规则时非常重要的几个概念 。

1 ) 协议的双向性。 协议总是双向的, 协议包括一方发送一一个请求而另一方返回一个成答。 在制定包过滤规则时, 要注意包是从两个方向来到路由器的, 比如, 只允许往外的Tlelnet 包将键入信息送达远程主机, 而不允许返回的显示信息包通过相同的连接, 这种规则是不正确的, 同时, 拒绝半个连接往往也是不起作用的。 在许多攻击中, 人侵者往内部网发送包, 他们甚至不用返回信息就可完成对内部网的攻击, 因为他们能对返回信息加以推测。

2)“往内”与''往外”的含义。在制定包过滤规则时,必须准确理解“往内”与''往外”的包和'·往内”与“往外”的服务这几个词的语义。一个往外的服务(如上面提到的Telnet)同时包含往外的包(键入信息)和往内的包(返回的屏幕显示的信息)。虽然大多数人习惯于用 “服务'' 来定义规定, 但在制定包过滤规则时, 一定要具体到每一种类型的包。在使用包过滤时也一定要弄清“往内”与“往外”的包和“往内”与“往外”的服务这几个词之间的区别 。

3)“默认允许”与“默认拒绝”。网络的安全策略中有两种方法:默认拒绝(没有明确地被允许就应被拒绝)与默认允许(没有明确地被拒绝就应被允许)。从安全角度来看,用歡认拒绝应该更合适。就如前面讨论的,首先应从拒绝任何传输来设置包过滤规则,然后再对某些应被允许传输的协议设置允许标志 。 这样系统的安全性会更好一些 。