外圍防火牆規則
通常情況下,您的外圍防火牆需要以預設的形式或者通過配置來實現下列規則:
• 拒絕所有通訊,除非顯式允許的通訊。
• 阻止宣告具有內部或者外圍網路源位址的外來資料報。
• 阻止宣告具有外部源 ip 位址的外出資料報(通訊應該只源自堡壘主機)。
• 允許從 dns 解析程式到 internet 上的dns 伺服器的基於 udp 的 dns 查詢和應答。
• 允許從 internet dns 伺服器到 dns 解析程式的基於 udp 的 dns 查詢和應答。
• 允許基於 udp 的外部客戶端查詢 dns 解析程式並提**答。
• 允許從 internet dns 伺服器到 dns 解析程式的基於 tcp 的 dns 查詢和應答。
• 允許從出站 **tp 堡壘主機到 internet 的外出郵件。
• 允許外來郵件從 internet 到達入站 **tp 堡壘主機。
• 允許從**發起的通訊從**伺服器到達 internet。
• 允許**應答從 internet 定向到外圍上的**伺服器
內部防火牆規則
內部防火牆監視外圍區域和信任的內部區域之間的通訊。
• 預設情況下,阻止所有資料報。
• 在外圍介面上,阻止看起來好像來自內部 ip 位址的傳入資料報,以阻止欺騙。
• 在內部介面上,阻止看起來好像來自外部 ip 位址的傳出資料報以限制內部攻擊。
• 允許從內部 dns 伺服器到 dns 解析程式 bastion 主機的基於 udp 的查詢和響應。
• 允許從 dns 解析程式 bastion 主機到內部 dns 伺服器的基於 udp 的查詢和響應。
• 允許從內部 dns 伺服器到 dns 解析程式 bastion 主機的基於 tcp 的查詢,包括對這些查詢的響應。
• 允許從 dns 解析程式 bastion 主機到內部 dns 伺服器的基於 tcp 的查詢,包括對這些查詢的響應。
• 允許 dns 廣告商 bastion 主機和內部 dns 伺服器主機之間的區域傳輸。
• 允許從內部 **tp 郵件伺服器到出站 **tp bastion 主機的傳出郵件。
• 允許從入站 **tp bastion 主機到內部 **tp 郵件伺服器的傳入郵件。
• 允許來自 vpn 伺服器上後端的通訊到達內部主機並且允許響應返回到 vpn 伺服器。
• 允許驗證通訊到達內部網路上的 raduis 伺服器並且允許響應返回到 vpn 伺服器。
• 來自內部客戶端的所有出站 web 訪問將通過**伺服器,並且響應將返回客戶端。
• 在外圍域和內部域的網段之間支援 microsoft windows 2000/2003 域驗證通訊。
• 至少支援五個網段。
• 在所有加入的網段之間執行資料報的狀態檢查(線路層防火牆 – 第 3 層和第 4 層)。
• 支援高可用性功能,如狀態故障轉移。
• 在所有連線的網段之間路由通訊,而不使用網路位址轉換。
防火牆規則
raw表 主要用來決定是否對資料報進行狀態跟蹤 mangle表 用來修改資料報的tos服務型別 ttl生存週期 為資料報設定mark標記,以實現流量整形 策略路由等高階應用 filter表 用來對資料報進行過濾,根據具體的規則要求決定如何處理乙個資料報 prerouting鏈 prerouting鏈...
LINUX防火牆規則
1 filter 主要跟linux本機有關,是預設的table.input 主要與資料報想要進入linux本機有關 output 主要與linux本機所要送出的資料報有關 forward 與linux本機沒有關係,它可以將資料報 到後端的計算機中,與nat表的相關性很高 檢視防火牆規則 iptabl...
防火牆順序規則
總規則順序 資料進來,進行比對判斷。一條乙個動作執行,上面一條比對符合後,執行 accept 就和下面規則沒有關係了。1.a情況比對符合,就執行後面的動作,後面動作有三個 accept,reject,drop 比對通過,做動作,不理會下面規則。如被過濾後還有資料,往下走。1.b情況比對不符合,又沒有...