文档介绍:防火墙的安全规则
防火墙规则设置中所涉及的动作
允许:允许数据包通过防火墙传输,并按照路由表中的信息被转发
放弃:不允许数据包通过防火墙传输,但仅丢弃,不发送任何相应数据包
拒绝:不允许数据包通过防火墙传输,并向数据包的源端发送目的主机不可达的ICMP包
返回:没有发现匹配的规则,执行默认动作
默认拒绝:只允许指定的数据包,其他一切禁止
默认许可:只禁止指定的数据包,其他一切允许
包过滤防火墙的两类过滤规则
按地址过滤
用户拒绝伪造的数据包。
规则号
方向
源地址
目的地址
动作
n
入
内部
任意
拒绝
按服务类型过滤
按数据包的服务端口号进行过滤。
TCP协议中,协议是双向的,为例,其中包的交换也是双向的。
发动源端口大于1023、目的端口为23的IP包;服务器接到请求后,即回送一个相应的ACK包,在ACK包中的端口号是23,目的端口号是大于1023的,所以包过滤规则应该这样设置:
规则号
方向
协议
源地址
目的地址
源端口
目的端口
动作
1
出
TCP
内部
任意
23
>1023
允许
2
入
TCP
任意
内部
>1023
23
允许
例。制定屏蔽子网防火墙的规则
,;
,;
;
规则集1:防火墙设备不允许任何人直接访问,也阻止防火墙直接访问其他设备
规则号
方向
源地址
目的地址
动作
1
入
任意
拒绝
2
出
任意
拒绝
3
出
任意
拒绝
4
入
任意
拒绝
5
入
任意
拒绝
6
出
任意
拒绝
7
出
任意
拒绝
8
入
任意
拒绝
规则集2:允许信任网络向外的所有通信
规则集3:允许外部主机访问DMZ中访问WWW服务
规则号
方向
源地址
目的地址
动作
9
出
任意
允许
10
出
任意
允许
规则号
方向
协议
源地址
目的地址
源端口
目的端口
动作
11
入
TCP
任意
>1023
80
允许
12
出
TCP
任意
80
>1023
允许
13
出
TCP
>1023
80
允许
14
入
TCP
80
>1023
允许
规则集