如何保证您服务器的安全?
- 来源:纵横数据
- 作者:中横科技
- 时间:2013/1/6 15:36:49
- 类别:新闻资讯
数据包筛选器用于IP数据包的过滤。数据包筛选器分为入站筛选器和出站筛选器,分别对应接收到的数据包和发出去的数据包。对于某一个接口而言,入站数据包指的是从此接口接收到的数据包,而不论此数据包的源IP地址和目的IP地址;出站数据包指的是从此接口发出的数据包,而不论此数据包的源IP地址和目的IP地址。
可以再入站筛选器和出站筛选器中定义NAT服务器只允许筛选器中定义的IP数据包或允许除了筛选器中定义的IP数据包外的所有数据包,对于没有允许的数据包,NAT服务器默认会丢弃此数据包。
在入站筛选器上可以设置一下筛选器操作。
1、接收所有除符合下列条件以外的数据包:当接收到的数据包匹配下面所设置的筛选器时,丢弃此数据包,允许所有不匹配筛选器设置的数据包。
2、丢弃所有的包,满足下面条件的除外:当接收到的数据包匹配下面所设置的筛选器时,允许此数据包,丢弃所有不匹配筛选器设置的数据包。
在出站筛选器上可以设置以下筛选器操作。
1、传输所有除符合下列条件以外的数据包:当需要传输的数据包匹配下面所设置的筛选器时,丢弃此数据包,传输所有不匹配筛选器设置的数据包。
2、丢弃所有的包,满足下面条件的除外:当需要传输的数据包匹配下面所设置的筛选器时,允许此数据包,丢弃所有不匹配筛选器设置的数据包。
还可以通过协议来进行筛选。在IP筛选器中,可以设置为使用TCP、UDP、ICMP及其他指定协议号的IP协议或任何IP协议来进行筛选。
此外,在NAT服务器中,如果启用了“NAT/基本防火墙”功能,则可以对连接到Internet的公用接口设置基本防火墙。基本防火墙是一个具有状态过滤的防火墙,它会将每一个从专用网络(内部网络)发往公用接口的IP数据包记录到一个连接状态表中。当从公用接口接收到某个数据包时,基本防火墙将此数据包和连接状态表中的记录进行比较,如果比较结果显示是由专用网络发起的通信,则允许此IP数据包;如果比较结果显示不是由专用网络发起的通信,则丢弃此IP数据包。通过这种方法,基本防火墙可使来自公用网络的未经请求和通信无法到达专用网络,保证了专用网络的安全。
基本防火墙类似于公用接口上的入站筛选器,但是和入站筛选器有以下几点主要区别。
1、基本防火墙只能再公用接口上设置,而入站筛选器可以在专用网络接口上设置;
2、基本防火墙比入站筛选器具有更高的优先级
3、基本防火墙配置更为简单。公用接口属性中的服务和端口、ICMP标签中的配置都会在基本防火墙上开放相应的协议和端口,但不会设置相应的入站筛选器。此外,基本防火墙不可配置;
4、基本防火墙和入站筛选器是独立的,对于每一个入站IP数据包,必须同时经过基本防火墙和入站筛选器的允许,否则将被丢弃。
因此对于公用接口,当已配置实用基本防火墙时,不建议在配置入站筛选器。
文章来源于纵横数据(www.zoneidc.com)