2过滤 TELNET TELNET流量不需要任何到 TELNET客户机 的未被保护端口的回呼机制,因此,在标 准端口23上, TELNET会话相对较容易。 TELNET也可能被外部主机使用,用来探测 你内部机器TCP端口上可以提供的特殊服务。 如果有,你应该用过滤路由器或防火墙网 关来保护这些服务
2 过滤TELNET • TELNET流量不需要任何到TELNET客户机 的未被保护端口的回呼机制,因此,在标 准端口23上,TELNET会话相对较容易。 • TELNET也可能被外部主机使用,用来探测 你内部机器TCP端口上可以提供的特殊服务。 如果有,你应该用过滤路由器或防火墙网 关来保护这些服务
3过滤UDP UDP会话是无连接的,而不使用虚电路。 因此,它不需要保持任何状态信息,没有 序列和确认号来决定下一包。正因为如此, 你必须依靠端口号来过滤UDP。考虑这样 的情况,内部网络上的190246180.9要询问 14723124的外部主机上的SNMP进程, SNMP接口进程使用UDP标准端口161
3 过滤UDP • UDP会话是无连接的,而不使用虚电路。 因此,它不需要保持任何状态信息,没有 序列和确认号来决定下一包。正因为如此, 你必须依靠端口号来过滤UDP。考虑这样 的情况,内部网络上的190.246.180.9要询问 147.23.12.44的外部主机上的SNMP进程, SNMP接口进程使用UDP标准端口161
表5-5过滤UDP包的安全规则举例 ·过滤规 则 ·目的·协议 作 源地址端口 目的地址端口标志 描述 允·190.246.180.9 ·147.23.13.44 许 ·1400 ·161·UDP 允许发出SNMP 询问 允·147.23.1344 ·190.246.180.9 许 ·161 1400·UDP·允许SNMP应答
表5-5 过滤UDP包的安全规则举例 •过滤规 则号 •动 作 •源地址 •源 端口 •目的地址 •目的 端口 •协议 标志 •描 述 •1 •允 许 •190.246.180.9 •1400 •147.23.13.44 •161 •UDP •允许发出SNMP 询问 •2 •允 许 •147.23.13.44 •161 •190.246.180.9 •1400 •UDP •允许SNMP应答
假定1902461809主机·SNMP应答包组成为 上的SNMP管理器使用·源P地址=147231344 的本地端口为1400, 源端口=161 则SNMP询问包组成为 目的IP地址 源TP地址 190246.180.9 190.246.180.9 目的端口=1400 源端口=1400 目的P地址 147.23.13.44 目的端口=161
• 假定190.246.180.9主机 上的SNMP管理器使用 的本地端口为1400, • 则SNMP询问包组成为: • 源 IP 地 址 =190.246.180.9 • 源端口=1400 • 目 的 IP 地 址 =147.23.13.44 • 目的端口=161 • SNMP应答包组成为: • 源IP地址=147.23.13.44 • 源端口=161 • 目 的 IP 地 址 =190.246.180.9 • 目的端口=1400
那么收到下列的应答包意味着什么? 源P地址=143.23.1344 源端口=161 目的P地址=190.246.1809 目的端口=1352 根据过滤规则2,应当允许该应答包通过。但是也 可能它是有人伪造了一个使用源端口161的UDP包, 利用它来攻击内部网络机器上的端口1352!
• 那么收到下列的应答包意味着什么? • 源IP地址=143.23.13.44 • 源端口=161 • 目的IP地址=190.246.180.9 • 目的端口=1352 • 根据过滤规则2,应当允许该应答包通过。但是也 可能它是有人伪造了一个使用源端口161的UDP包, 利用它来攻击内部网络机器上的端口1352!