防火墙知识普及
新客网 XKER.COM 2007-01-13 来源: 收藏本文
14.怎样才能穿过防火墙使用FTP?
一般来说,可以通过使用像防火墙工具包中的ftp-gw这类代理服务器,或在有限的端口范围允许接入连接到网络上(利用如“建立的”屏蔽规则这样的规则来限制除上述端口外的接入),使FTP可以穿过防火墙工作。然后,修改FTP客户机,使其将数据端口连接在允许端口范围内的一个端口上。这样做需要能够修改在内部主机上的FTP客户机应用。
在某些情况下,如果FTP的下载是你所希望支持的,你不妨考虑宣布FTP为“死协议”(dead protocol),并且让户通过Web下载文件。如果你选择FTP-via-Web方式,用户将不能使用FTP向外传输文件,这可能会造成问题,不过这取决你试图完成什么。
另一个不同的办法是使用FTP "PASV"选项来指示远程FTP服务器允许客户机开始连接。PASV方式假设远程系统上的FTP服务器支持这种操作。(详细说明请参看RFC1579)
另一些站点偏爱建立根据SOCKS库链接的FTP程序的客户机版本。
15.怎样才能穿过防火墙使用telnet?
利用像防火墙工具包中的tn-gw这类应用代理,或简单地配置一台路由器使它利用像“建立的”屏蔽规则等策略允许接出,一般都可以支持使用telnet。应用代理可以以运行在桥头堡主机上的独立代理的形式,或以SOCKS服务器和修改的客户机的形式存在。
16.怎样才能穿过防火墙使用RealAudio?
RealNetworks中含有关于如何使穿过防火墙RealAudio的一些说明。在没有清楚地了解做哪些改动,了解新的改动将带来什么样的风险的情况下,就改动你的防火墙,是很不明智的。
17.如何才能使web服务器作为专用网络上的一个数据库的前端呢?
实现这点的最佳途径是通过特定的协议在web服务器与数据库服务器之间允许很有限的连接。特定的协议只支持你将使用的功能的级别。允许原始SQL或其它任何可为攻击者利用来进行定制提取(extractions)的东西,一般来说不是一个好主意。
假设攻击者能够进入你的web服务器,并以web服务器同样的方式进行查询。难道没有一种机制能提取web服务器不需要的像信用卡信息这样的敏感信息吗?攻击者难道不能发出一次SQL选择,然后提取你整个的专用数据库吗?
同其它所有应用一样,“电子商务”应用从一开始设计时就充分考虑到了安全问题,而不是以后再想起来“增加”安全性。应当从一个攻击者的角度,严格审查你的结构。假设攻击者了解你的结构的每一个细节。现在,再问问自己,想要窃取你的数据、进行非授权的改动或做其它任何你不想让做的事的话,应当做些什么。你可能会发现,不需要增加任何功
能,只需做出一些设计和实施上的决策就可大大地增加安全性。
下面是一些如何做到这点的想法:
以一般的原则,从数据库中提取你所需要的数据,使你不用对包含攻击者感兴趣的信息的整个数据库进行查询。对你允许在web服务器与数据库之间传输流实行严格的限制和审计。
一般来说,可以通过使用像防火墙工具包中的ftp-gw这类代理服务器,或在有限的端口范围允许接入连接到网络上(利用如“建立的”屏蔽规则这样的规则来限制除上述端口外的接入),使FTP可以穿过防火墙工作。然后,修改FTP客户机,使其将数据端口连接在允许端口范围内的一个端口上。这样做需要能够修改在内部主机上的FTP客户机应用。
在某些情况下,如果FTP的下载是你所希望支持的,你不妨考虑宣布FTP为“死协议”(dead protocol),并且让户通过Web下载文件。如果你选择FTP-via-Web方式,用户将不能使用FTP向外传输文件,这可能会造成问题,不过这取决你试图完成什么。
另一个不同的办法是使用FTP "PASV"选项来指示远程FTP服务器允许客户机开始连接。PASV方式假设远程系统上的FTP服务器支持这种操作。(详细说明请参看RFC1579)
另一些站点偏爱建立根据SOCKS库链接的FTP程序的客户机版本。
15.怎样才能穿过防火墙使用telnet?
利用像防火墙工具包中的tn-gw这类应用代理,或简单地配置一台路由器使它利用像“建立的”屏蔽规则等策略允许接出,一般都可以支持使用telnet。应用代理可以以运行在桥头堡主机上的独立代理的形式,或以SOCKS服务器和修改的客户机的形式存在。
16.怎样才能穿过防火墙使用RealAudio?
RealNetworks中含有关于如何使穿过防火墙RealAudio的一些说明。在没有清楚地了解做哪些改动,了解新的改动将带来什么样的风险的情况下,就改动你的防火墙,是很不明智的。
17.如何才能使web服务器作为专用网络上的一个数据库的前端呢?
实现这点的最佳途径是通过特定的协议在web服务器与数据库服务器之间允许很有限的连接。特定的协议只支持你将使用的功能的级别。允许原始SQL或其它任何可为攻击者利用来进行定制提取(extractions)的东西,一般来说不是一个好主意。
假设攻击者能够进入你的web服务器,并以web服务器同样的方式进行查询。难道没有一种机制能提取web服务器不需要的像信用卡信息这样的敏感信息吗?攻击者难道不能发出一次SQL选择,然后提取你整个的专用数据库吗?
同其它所有应用一样,“电子商务”应用从一开始设计时就充分考虑到了安全问题,而不是以后再想起来“增加”安全性。应当从一个攻击者的角度,严格审查你的结构。假设攻击者了解你的结构的每一个细节。现在,再问问自己,想要窃取你的数据、进行非授权的改动或做其它任何你不想让做的事的话,应当做些什么。你可能会发现,不需要增加任何功
能,只需做出一些设计和实施上的决策就可大大地增加安全性。
下面是一些如何做到这点的想法:
以一般的原则,从数据库中提取你所需要的数据,使你不用对包含攻击者感兴趣的信息的整个数据库进行查询。对你允许在web服务器与数据库之间传输流实行严格的限制和审计。
上一篇:软件防火墙 下一篇:Cisco PIX防火墙配置
最新相关文章发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
随机推荐
实用信息推荐