abien <moneybag.bbs@bbs.cs.nthu.edu.tw> wrote in message
news:3eBcU6$80a@bbs.cs.nthu.edu.tw...
> ※ 引述《TGI.bbs@bbs.ntu.edu.tw (I got a Knife)》之銘言:
> > ==> leoliou.bbs@bbs.cynix.com.tw (繁星中的小流星) 提到:
> > > 舉例一下好哩~
> > > 假設你的 firewall 的 IP 168.95.1.82
> > > 然後你的 WWW server IP 為 192.168.0.1
> > >     你的 ftp server IP 為 192.168.0.2
> > > 那麼 firewall 會把 168.95.1.82 80 port 導向 192.168.0.1 80 port
> > >      firewall 會把 168.95.1.82 21 port 導向 192.168.0.2 21 port
> > > Hacker 是無法直接連到 192.168.0.x 的!!
> > > 就算 Hacker 攻擊 168.95.1.82 機器,也是攻擊 firewall,
> > > 並不直接傷害到 www or ftp server.
> >   補充一下
> >   但要是 rule 沒設計好的話,hacker 只要能進入 firewall 那台主機的話
> >   就等於可以進到你內部所有網路了
> >   所以 rule 的設定還是很重要的
>         ^^^^^^^^^^^^^^^^^^^^^^^^^^
>          該如何設定較理想????????

這個恐怕難有預定模式吧﹖因每一個網路環境和要求不同而各異﹐基本上﹐設定網路規
劃和規則設定順序是很重要的。
例如前面討論的 DMZ﹐不管您是用真實 IP 還是私有 IP﹐將那些對外伺服器和內部伺
服器分開是個明智之舉。往往﹐在 DMZ 裡面的機器﹐雖然也可以受到防火牆的保護﹐
但畢竟是對外開放的﹐總有被攻擊的危險。所以﹐我們常會以‘架設 DMZ 主機攻破後
怎麼辦﹖’的考量去設定防火牆的預設失效模式。換而言之﹐DMZ 裡面的主機是可以隨
時被‘犧牲’掉的﹐但內部網路呢﹖可不能這樣玩了﹐當然任何一位安全專家也無法保
證內部網路不被攻破﹐但起碼﹐通往內部網路的防火牆應該是最嚴格的。

如果有條件﹐多架一個防火牆在 DMZ 和內部網路之間﹐而該主機是內部網路的唯一出
路﹐同時將 DMZ 置於內部網路和外部路由器之間。也就是說﹐作為內部網路的防火
牆﹐分別使用 DMZ 和內部 IP﹐它必須再經一道外部防火牆出去。再加上在 DMZ 裡面
建置隱蔽性的檢查裝置﹐和充份的記錄﹐以及有效的預警機制。那麼當第一個防火牆失
效之後﹐起碼還有第二道防火牆來保護內部網路﹐從而提供預驚時間在入侵者攻破第二
道防火牆之前做出適當反應。當然﹐兩個防火牆的設定﹐將比設定一個防火牆要複雜很
多﹐而且測試也費時許多﹐因為往往在判定問題(通常是過嚴)出在哪個防火牆是頗難確
定的。如果覺得還不夠﹐那就再使用代理服務器﹐而只允許代理服務器的封包進出這個
閘道。

無論如何﹐防火牆自身的安全設定是至關重要的﹐其中一個守則應該尊守﹕一切從嚴﹗
在我們架設防火牆的時候﹐應該採取“預設拒絕狀態”﹐也就是﹕Deny All 然後將
Allow 的必要控制在最低限度。

而作為連接外部網路的防火牆主機﹐盡可能安裝儘量少的服務﹐諸如
Telnet 、r-serials 等危險性高的服務﹐甚至連 FTP 和 HTTP 等普通服務也一概移
除。這裡說的移除﹐並非指單純的不啟動服務﹐而是根本就不在主機上面安裝該等服務
(或從核心中移除)。同時﹐在那些提供 internet 服務的主機上面﹐除了它所提供的服
務外﹐也不要安裝其它服務﹐而且最好還是只跑單一服務。

防火牆的設計是非常複雜和多樣性的﹐很難提供一個唯一方案而適合所有的網路狀況。
任何微小的疏忽﹐都可能導致您所有的努力付諸東流。 如果以我個人認識來看﹐了解
網路環境、評估服務要求、設定防火牆、和測試﹐這四者的工作時間比例﹐將是
30%﹐30%﹐20%﹐20%。