一、了解“防火墙设计政策” 防火墙设计政策防火墙专用的。它定义用来实施服务访问政策的规则。一个人不可能在完全不了解防火墙能力和限制以及与TCP/IP相关联的威胁和易受攻击性等问题的真空条件下设计这一政策。防火墙一般实施两个基本设计方针之一
1.拒绝访问除明确许可以外的任何一种服务;也即是拒绝一切未予特许的东西。
2.允许访问除明确拒绝以外的任何一种服务;也即是允许一切未被特别拒绝的东西。如果防火墙采取第一种安全控制的方针,那么,需要确定所有可以被提供的服务以及它们的安全特性,然后,开放这些服务,并将所有其它未被列入的服务排斥在外,禁止访问。如果防火墙采取第二中安全控制的方针,则正好相反,需要确定那些认为是不安全的服务,禁止其访问;而其它服务则被认为是安全的,允许访问。比较这两种政策,我们可以看到,第一种比较保守,遵循"我们所不知道的都会伤害我们"的观点,因此能提供较高的安全性。但是,这样一来,能穿过防火墙为我们所用的服务,无论在数量上还是类型上,都受到很大的限制。第二种则较灵活,虽然可以提供较多的服务,但是,所存在的风险也比第一种大。从安全性的角度考虑,第一种政策更可取一些;而从灵活性和使用方便性的角度考虑,则第二种政策更适合。我们这里要讨论的是服务器的放火墙设置,按照我们服务器的安全性需要我们应该选择第一种政策,毕竟服务器是开放少数端口而关闭不用的端口来保证安全性的。
二、了解“规则次序” 防火墙的验证规则一般是从上到下的逐条规则验证数据包的。首先对第一条规则进行验证,如果符合则执行“阻挡”或者“放行”如果不符合则转到下一条进行验证。一般来说,通常的顺序是,较特殊的规则在前,较普通的规则在后,防止在找到一个特殊规则之前一个普通规则便被匹配,这可以使你的防火墙避免配置错误。而我们的服务器是开放的端口远远少于关闭的端口,所以应该是开放的端口为特殊规则,大多数关闭的端口为普通规则。
三、明确“需要开放的端口与访问IP” 端口可分为3大类:
1. 公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯即WEB服务。 21端口对应开放服务为FTP文件传输服务;25端口对应开放服务为SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务
2. 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。如早期的QQ使用的端口是4000访问的服务器端口是8000-8020。
3.动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。在这里笔者的服务器只需要开放的端口是80端口网页服务器用,21端口ftp文件传输服务器用。访问ip限制设置,单位ftp文件传输服务器只提供本单位内的员工使用不对外网开放所以将限制外网访问服务器的21端口。
四、制作方案按照以上的这些分析了解,我们终于可以动手配置我们的防火墙了,在这里我主要讲述防火墙的访问规则设置,黑冰防火墙还有很多功能比如程序访问控制和网络访问控制(针对本机访问外网的控制)等这些都是比较实用的功能,在这里我就不将他们如何设置了。综合上面的三点初步得出的规则设置步骤如下:
(一)“防火墙设计政策”运用第一条政策
1.禁止所有ip地址对本机tcp端口的访问
2.禁止所有ip地址对本机udp端口的访问
3.开放你要开放的tcp端口的访问
4.开放你要开放的udp端口的访问
(二)“规则次序” 黑冰防火墙是先设置的同类规则在低部,所以我们的规则顺序为:
1.禁止所有ip地址对本机tcp端口的访问
2.禁止所有ip地址对本机udp端口的访问防火墙设计政策
3.开放你要开放的tcp端口的访问,这里我开放的是TCP 21端口和TCP 80端口
4.开放你要开放的udp端口的访问,没有允许访问的udp端口所以我没有设置任何开放的udp端口。
五、实施方案在系统栏图标上右键黑冰防火墙,选择Advanced Firewall Settings(高级防火墙设置)显示如图,options为属性;add..按钮为增加规则;Delete为删除选定的规则;Modify为修改选定的规则
