什么是网络防火墙安全策略? 网络防火墙安全策略定义了哪些服务将被显式允许或拒绝,这些服务将如何使用以及这些规则的例外情况。 组织的总体安全策略必须根据安全和业务需求分析来确定。 由于防火墙仅与网络安全相关,因此除非正确定义了总体安全策略,否则防火墙几乎没有价值。 网络防火墙安全策略中的每条规则都应在防火墙上实施。 通常,防火墙使用以下方法之一。
所有未明确允许的内容均被拒绝。 这种方法阻止两个网络之间的所有流量,但允许的服务和应用程序除外。 因此,每个所需的服务和应用程序都应逐个实施。 不应允许任何可能成为防火墙潜在漏洞的服务或应用程序。 这是最安全的方法,拒绝服务和应用程序,除非管理员明确允许。 另一方面,从用户的角度来看,它可能更具限制性且不太方便。 这是我们将在本书的防火墙配置文件中使用的方法。
所有未明确拒绝的内容均被允许 这种方法允许两个网络之间的所有流量,但被拒绝的服务和应用程序除外。 因此,每个不受信任或可能有害的服务或应用程序都应逐个拒绝。 虽然这对用户来说是一种灵活且方便的方法,但它可能会导致一些严重的安全问题。
什么是数据包过滤? 数据包过滤是内置于 Linux 内核的防火墙类型。 过滤防火墙在网络层工作。 只有在防火墙规则允许的情况下,数据才能离开系统。 当数据包到达时,它们会根据其类型、源地址、目标地址以及每个数据包中包含的端口信息进行过滤。 大多数时候,数据包过滤是通过使用路由器来完成的,该路由器可以根据过滤规则转发数据包。 当数据包到达数据包过滤路由器时,路由器会从数据包头中提取某些信息,并根据过滤规则决定是否允许数据包通过或丢弃。
可以从数据包头中提取以下信息
Source IP address
Destination IP address
TCP/UDP source port
TCP/UDP destination port
ICMP message type
Encapsulated protocol information (TCP, UDP, ICMP or IP tunnel)
|