и регистрации используется небольшое количество
IP адрес источника
IP адрес получателя
TCP/UDP порт источника
TCP/UDP порт получателя
Тип ICMP сообщения
Информация об инкапсулированном протоколе (TCP, UDP, ICMP или IP tunnel).
Так как для анализа и регистрации используется небольшое количество данных, фильтрующий брандмауэр создает меньшую нагрузку на CPU и меньшие задержки в сети. Существует много путей структурирования вашей сети для защиты ее брандмауэром.
Топология.
Все сервера должны быть настроены так, чтобы блокировать все неиспользуемые порты. Это необходимо для большей безопасности. Представьте себе, что кто-то сумел проникнуть на ваш брандмауэр: если соседние сервера не настроены на блокирование неиспользуемых портов, то это может привести к серьезным проблемам в безопасности. То же истинно и для локальных соединений: неправомочные служащие могут получить доступ на ваши сервера из внутренней части.
В нашей конфигурации мы дадим вам три различных примера, которые помогут вам настроить ваши правила брандмауэра в зависимости от типа сервера и его размещения в вашей сети. Первый пример будет для Веб сервера, второй для почтового сервера и третий для Шлюза, который действует как сервер- посредник (proxy server) для внутренних Wins машин, рабочих станций и серверов.

www.openna.com Кэширующий DNS 208.164.186.3
|
deep.openna.com Мастер DNS сервер 208.164.186.1
|
mail.openna.com Slave DNS сервер 208.164.186.2
|
Разрешен неограниченный трафик на интерфейсе loopback
Разрешен ICMP трафик
Разрешен DNS сервер и клиент на порту 53
Разрешен SSH сервер на порту 22
Разрешен HTTP сервер на 80 порту
Разрешен HTTPS сервер на порту 443
Разрешен SMTP клиент на порт 25
Разрешен FTP сервер на 20, 21 портах
Разрешены исходящие traceroute запросы
|
Разрешен неограниченный трафик на интерфейсе loopback
Разрешен ICMP трафик
Разрешен DNS сервер и клиент на порт 53
Разрешен SSH сервер и клиент на порт 22
Разрешен HTTP сервер и клиент на порт 80
Разрешен HTTPS сервер и клиент на порт 443
Разрешен WWW-CACHE клиент на порт 8080
Разрешен внешний POP клиент на порт 110
Разрешен внешний NNTP NEWS клиент на порт 119
Разрешен SMTP сервер и клиент на порт 25
Разрешен IMAP сервер на порт 143
Разрешен IRC клиент на порт 6667
Разрешен ICQ клиент на порт 4000
Разрешен FTP клиент на порты 20, 21
Разрешен RealAudio/QuickTime клиент
Разрешены исходящие traceroute запросы
|
Разрешен неограниченный трафик на интерфейсе loopback
Разрешен ICMP трафик
Разрешен DNS сервер и клиент на порт 53
Разрешен SSH сервер на порт 22
Разрешен SMTP сервер и клиент на порт 25
Разрешен IMAP сервер на порт 143
Разрешены исходящие traceroute запросы
|
Эта таблица показывает, какие порты я должен открыть на различных серверах. В зависимости от того, какой сервис должен быть доступен на сервере, вы должны настроить скрипт брандмауэра на разрешение трафика к определенному порту. www.openna.com – наш Веб сервер, mail.openna.com – это наш почтовый сервер для всех внутренних сетей и deep.openna.com – это шлюз в всех примеров объясненных в этой главе.
Содержание Назад Вперед