最近碰到的一些防火墙规则问题
最近单位的服务器不是正常,经常是能远程桌面,但是不能通过网络邻居访问,要么就是反过来,对于这个,一直不得其解。因为APP服务器和DATA服务器装的是不同的防火墙,再加上自己用的是天网的防火墙。今晚好好的研究了一下。一般来说,网络防火墙作用就是建立一定的规则,通过检测数据包的源IP,目的IP,源端口,目的端口,数据内容(这个非常少,估计电信级别的会因为国家安全而进行检测,不过很傻,因为数据内容需要重组,如果碰上加密的,就没辙了。),协议等等。进行某些程度的限制数据流通。
我自己用的天网防火墙规则很简单,就是一串列表规则,能通过的放最上面,不能通过的放最下面。当然也可以放最上面。因为是个人应用级,所以,天网防火墙的匹配原则非常简单。数据包进来,按照规则一条一条匹配,有符合的就放过。假设都不符合的就抛弃,所以,天网防火墙最下面的规则是拦截的。不管是TCP还是UDP的,都是这样。这样的匹配原则因为简单易懂,所以,大量的应用在个人应用级别的网络防火墙产品。这样的匹配原则最大的缺陷就是效率低下,想象一下,一个企业级的服务器,高峰期1秒钟几十个乃至几百个请求的情况下,每个请求的数据包需要通过几十个规则的时候,需要的增量资源以几何级别增长。企业级别的情况肯定不会考虑这样的防火墙。
单位的APP防火墙用的是BLACKICE,用这个防火墙的最大原因是,有APPLICATION PROTECTION(应用程序保护),不过黑冰的缺点是扫描应用程序基准的时候,你会以为服务器死机了,而且超久,最严重的时候,真的死机了。-。-!DATA服务器用的是诺顿自带的网络防火墙,而且也有APPLICATION PROTECTION机制。
对于此类防火墙的拦截规则匹配算法,我不是很清楚。。。我唯一知道的一种算法就是,把多个规则通过交叉乘积法合并成为一个大的规则,这样就能减低匹配的次数提高效率。这个还是很多年前为了考试看的书里面提到的,听说90%的数据包,只需要20%的匹配规则。剩下的80%的匹配规则是为了过滤网络中的10%数据包,很夸张的说。
BLACKICE和NORTON的防火墙不是基于顺序规则的,数据包不是根据规则顺序进行匹配的。因此,当有重复条件的时候后,会让防火墙很郁闷。举个例子:
当你需要打开网上邻居的时候,需要开放3个端口,UDP的137和138端口,这两个用于传输文件用的,TCP 139是共享用的。你还需要开放某个段访问你。
一开始,偷懒就是,某个段1~25,可以访问你的所有端口。这样设置没有错。
不过,这样很危险,所以,最好还是需要有针对性的,于是又设置了,某个段1~25不但可以访问你的所有端口,还能访问你的137、138、139端口。这个时候,因为137、138、139都属于你的“任意端口”因此,两条防火墙规则会出现卡规则的情况,某些情况下反而变成了无法访问。norton和blackice都是这样。因此,碰到这种情况。就是老老实实做人,设置某个段1~25可以访问你的137,138,139端口。其他的规则不要再设置。以后需要用到什么再针对这个端口或者协议什么的,新建规则,规则之间千万不能有交集,否则会出现意想不到的情况。
页:
[1]