基本防火牆安全
Overview
發佈日期: 2003 年 5 月 22 日 | 更新日期: 2006 年 4 月 13 日
本頁內容
簡介
本文介紹五項業界標準,協助您免遭受未獲授權存取網路及資料這種最常見的攻擊。建議您在設定整體防火牆與網路組態時,一併採用這些規則。這些規則可能是從較廣泛或全面的防火牆指令碼摘錄而來,所以光靠它們並不足以嚴密保護您的網路。您應參閱防火牆製造商或服務提供者提供的文件,並諮詢 IT 安裝與組態設定專家,以便完成防火牆組態設定。實際所需的組態設定會根據您網路執行的服務和所需的外部存取層級有所不同。
避免遭受常見攻擊
封鎖所有來源位址在您位址範圍內的輸入流量
通常從您網路發出的流量不太可能在進入網際網路後,又嘗試掉頭回您的網路。如果發生這種情況,就表示有人可能想「詐騙」您的網路。「詐騙」是指將資料加以變造,偽裝成來自某特定電腦以蒙騙他人。通常特洛伊與拒絕服務 (DoS) 等攻擊會採用此技術,想在未獲授權的情況下取得您網路的存取權,您應該留心這種情況免得遭受攻擊。
封鎖所有來源位址不在您位址範圍內的輸出流量
這項規則恰好與規則 1 相反。來自其他網路的流量,通常不太可能會從您的網路離開。這是有人想利用您的網路「詐騙」或攻擊其他人的徵兆。規則 1 可以自保,而規則 2 則可以保護他人。請務必同時採用這兩項規則!
封鎖所有來源與目的地都位於私人位址的輸入與輸出流量
封鎖所有來源與目的地都位於私人位址範圍 (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 與 169.254.0.0/16) 的輸入與輸出流量。按慣例,這些位址都不應該出現在公開的網際網路,而是保留供內部區域網路使用。不要讓此流量由您的網路輸出,並封鎖任何類似流量進入您的網路 ,否則就代表路由設定有漏洞。
封鎖來源路由的所有輸入與輸出流量
網際網路通訊協定 (IP) 可使用「來源路由」這種特定選項,來指定路由封包應該依指示到達目的地,再返回原始位址。指定的路由通常會使用一般不會用來轉送封包至目的地的路由器或主機。幾年前通常會需要此選項,但現在網際網路的基礎結構已證實非常穩定,封包只需按標準的網際網路內外路由路徑進行傳遞即可。所以如果來源路出現流量,很可能代表攻擊者偽造受信任的用戶端,藉此規避您的路由基礎結構。
封鎖所有輸入與輸出的封包片段
IP 通訊協定允許將ㄧ個封包分割為多個 IP 封包,這些封包就叫做片段。正常封包會有傳輸控制協定 (Transport Control Protocol,TCP) 標頭與使用者資料包通訊協定 (User Datagram Protocol,UDP) 標頭,但是片段並不含這些資訊,所以可以騙過許多如防火牆等「封包過濾」裝置。如果出現封包片段,您幾乎可以斷定攻擊者手動製作片段企圖規避安全裝置。
**注意:**採 IPsec 的虛擬私人網路 (VPN) 通常會因為使用的驗證程序金鑰過長而建立封包片段。如果您允許 IPsec VPN 越過邊界網路,應先確認此規則對 VPN 的運作是否造成影響,再考慮是否採納。