1过滤FTP 过滤路由器被设置在内部网络上的一个FTP 客户机和外部网络上的一个FTP服务器之间。 假定网络安全策略允许内部主机初始化 个与外部主机的FTP会话。包过滤规则可按 表5-3设置:
1 过滤FTP • 过滤路由器被设置在内部网络上的一个FTP 客户机和外部网络上的一个FTP服务器之间。 假定网络安全策略允许内部主机初始化一 个与外部主机的FTP会话。包过滤规则可按 表5-3设置:
表5-3包过滤规则举例3 过滤动 源 日协 规则源地址端目的地的议描述 号 址端标 口 士 T 允许 允19924 * * 许6.180.0 C发出 P的rCP 连接 允 199.24 T目的端 20 许 *C口不知 6.180.0
表5-3 包过滤规则举例3 过滤 规则 号 动 作 源地址 源 端 口 目的地 址 目 的 端 口 协 议 标 志 描述 1 允 许 199.24 6.180.0 * * * T C P 允许 发出 的TCP 连接 2 允 许 * 20 199.24 6.180.0 * T C P 目的端 口不知 道
由规则2可看出,你并不知道目的端口号,因为这 是由FTP协议动态设置的。如果你允许主机为回 答从FTP服务器的回呼而可以请求任一端口的话 个怀有恶意的程序,如果从20端口发出一个请 求,便可以探测内部网络的任一主机。解决这种 问题的一个方法是:使用 TCP ACK标志来失败合 法的发来的连接并阻塞到内部之间的标准服务器 端口(通常小于1024)的连接。这样FTP会话的 包过滤规则可重新设计为(见表5-4)
• 由规则2可看出,你并不知道目的端口号,因为这 是由FTP协议动态设置的。如果你允许主机为回 答从FTP服务器的回呼而可以请求任一端口的话, 一个怀有恶意的程序,如果从20端口发出一个请 求,便可以探测内部网络的任一主机。解决这种 问题的一个方法是:使用TCP ACK标志来失败合 法的发来的连接并阻塞到内部之间的标准服务器 端口(通常小于1024)的连接。这样FTP会话的 包过滤规则可重新设计为(见表5-4)
规则一允许从内部网络上的任一端口到外 部主机的请求;规则2阻塞了到小于1024的 端口的请求,这时FTP操作是安全的,因为 在标准的FTP中,本地回呼端口大于1024 规则3只允许来自外部主机的端口20的包 但是,入侵者仍然可以从20端口产生请求, 探测地址大于1024的端口。因为有ACK标 志,这样的攻击需要有一定的技巧
• 规则一允许从内部网络上的任一端口到外 部主机的请求;规则2阻塞了到小于1024的 端口的请求,这时FTP操作是安全的,因为 在标准的FTP中,本地回呼端口大于1024; 规则3只允许来自外部主机的端口20的包。 但是,入侵者仍然可以从20端口产生请求, 探测地址大于1024的端口。因为有ACK标 志,这样的攻击需要有一定的技巧
表5-4包过滤规则举例4 日协 过滤动源地址「端目的地址端标描述 源 规则作 的议 口 T 允199246 139.40 许180.0 61.3 21C允许发出的 TCP连接 塞6131992465/0 阻13940 阻塞到标准 180.024C服务的连接 T允许从端口 允13940 199.246 20 许61.3 C20到内部机 180.0 P器任一端口 的ACK包
表5-4 包过滤规则举例4 过滤 规则 号 动 作 源地址 源 端 口 目的地址 目 的 端 口 协 议 标 志 描 述 1 允 许 199.246 .180.0 * 139.40. 61.3 21 T C P 允许发出的 TCP连接 2 阻 塞 139.40. 61.3 20 199.246 .180.0 <10 24 T C P 阻塞到标准 服务的连接 3 允 许 139.40. 61.3 20 199.246 .180.0 * T C P 允许从端口 20到内部机 器任一端口 的ACK包