世界顶级防火墙LooknStop配置详解
所以管理员在做好自己的安全策略后,还要检查已有的规则集,删除会导致策略冲突的规则,并可能根据实际应用环境做出策略调整,最后得出最终的安全策略列表,这一步就叫做“安全体系结构”:
1. 开放21、80、443端口
2. 在80端口上设置SYN计数防止DoS攻击
3. 继续阻止其他端口访问,如135、139等
4. 允许ICMP回显
5. 允许管理员能从内部网络远程登录配置服务器
6. 更多规则设置列表……
这些策略列表的集合描述,就是“安全体系结构”的具体形态。
管理员决定了整体的安全体系结构后,就要开始着手实施防火墙规则的修改了,但是在“动”规则之前,还有最后一个注意事项——“规则次序”。
“规则次序”是一个不可忽略的配置部分,因为大部分防火墙产品是顺序读取规则设置的,如果发现了一条匹配的规则,那么下面的其他规则描述则被忽略掉,所以规则的排列次序决定着防火墙的运作情况,管理员在配置规则时必须把属于特殊性质而又不容易与其他现存规则发生冲突的规则放到最前面,最大限度防止防火墙在找到一个特殊规则之前与普通规则相匹配,导致管理员精心设置的安全规则失效。
当所有准备工作就绪后,我们就要开始把方案转化为实体了,这就是防火墙规则设定。
前面说过了,防火墙规则就是一条条用于描述防火墙在遇到什么类型的数据包的时候应该怎么做的命令语句,根据防火墙核心能识别的深度差异,不同防火墙的规则定义也不尽相同,但是基本上都离不开这几个基本参数:数据包方向、数据包地址、范围、协议类型、端口号、标志位(TCP)、包类型和代码(ICMP)、以及满足条件时的防火墙动作(通行、拦截、忽略、记录)等,正是这些参数的各种搭配构筑了最终得以保护用户免遭网络攻击的一条条规则,成为用户的安全体系结构,一款防火墙产品核心能识别的数据类型越多,相对应的规则设定就越复杂,这是一种鱼和熊掌不可兼得的事情,因此,学习防火墙规则设置是每个管理员或专业用户都必要的。
防火墙的性能取决于最终的规则设定,稍有疏错,再强大的核心也只能发挥入门级的防御了。
例如,一个用户在设置防火墙规则时取消了低端口访问限制,却遗忘了139端口可能带来的危害,不久后,该用户机器被入侵者成功连接并种植了后门。、
这种情况下,我们该责怪防火墙,还是责怪用户规则设置得不严密呢?
这是个问题。
同样,LooknStop在为用户带来强大防御功能的同时也带来了规则复杂难以设置的代价,许多用户第一次打开它的规则设定界面时,傻了——包括我在内。
正因为这样,许多用户选择了退而求其次的道路,改用了其他防火墙产品。难道LooknStop就真的那么难以驯服吗?
今天,就让我们一起来驯服这匹上好的烈马。
三. 实战:LooknStop防火墙的规则设置
1.概述
LooknStop作为一款强大的防火墙,其采用的原型是非常严格的,首先,LooknStop先禁止所有本地和远程的网络访问操作,然后才逐项允许,在初始时不信任任何程序和网络操作,正是因为这过于严厉的策略原型,LooknStop才能成为一堵树立在系统和网络之间的“墙”,而也正是因为这样的模型,LooknStop也造成了一部分用户安装完毕后无法连接网络的问题——它把所有数据包都拦截了。所以我们首先要解决的就是大部分用户面对LooknStop时吃的第一个下马威:无法连接网络。
LooknStop的主界面并不难理解,从左到右分别为“欢迎”、“应用程序过滤”、“互联网过滤”、“日志”、“选项”和“注册”,欢迎界面主要用于显示一些概要信息如连接状态、IP地址、数据包情况等。
我们先解决第一个燃眉之急:如果你不幸成为安装LooknStop后无法成功进行ADSL拨号的用户,请先进入“互联网过滤”界面,然后双击最后一条规则“All other packets”,它就是罪魁祸首,选择“以太网类型”为IP,保存应用即可。
这一故障是LooknStop默认的严格规则造成的,它把所有未在规则里定义的数据包都过滤了,于是计算机向远程MODEM设备发送的PPPoE协议包全部被扼杀在了系统的门口里……由此可见,与某些防火墙比起来,LooknStop是多么的严格!
解决这个问题后,我们回到正题。
最新相关文章发表评论