[计算机]LooknStop 规则.docVIP

二. 原理篇：规则与通信 以前我们介绍过防火墙的原理，在里面，我提到了“防火墙规则”（Firewall Rules），规则是防火墙的思维，它们其实是一条条描述语句，用于设置防火墙行为等，每一条规则都对应了一种特定的行为判断，防火墙根据规则的内容对符合条件（端口、协议类型、甚至包数据）的数据包给予拦截或通行，当然也可以记录数据。众多的规则结合，防火墙工具才得以给我们带来一个牢固而灵活的安全保护体系。 配置防火墙规则往往是网络管理员最头痛的事情，一个防火墙的工作效率、拦截放行、总体安全系数除了要求防火墙的引擎功能强大以外，就全看规则的设置了，如果防火墙引擎不能识别复杂的数据包结构，那么一些描述复杂的规则就不能正常工作，但是一个防火墙越强大，其相应的规则设置也就更复杂，对这种防火墙而言，一条好的规则就比什么都重要了。 规则并不是随便设置的，它围绕着一定的“安全策略”实施，许多防火墙产品在市场上出售时，就已经有了默认规则，而这些规则就是厂商的“安全策略”的实体对象，许多用户安装或购买一个防火墙产品后，就一直没对这些规则做过修改，或者不知道防火墙规则的存在，但是他们依然能得到防火墙的保护，就是因为厂商已经为广大群体套用了“兼容的”规则集合，换句话说，就是用户在接受一款防火墙产品的时候，就已经得到了厂商为大家定制的“安全策略”。但是这种面对大众的策略并不一定适合每一个人，有时候，一些用户会觉得默认规则不太适合自己的实际环境，他们便会根据自己的要求，修改增加这个规则集合，例如一台网站服务器，使用的防火墙默认规则里限制了外部对1024以下低端口号的访问，这显然就和做网站需要开放80端口的要求冲突了，所以网络管理员会修改防火墙规则，去掉这条限制规则或者从规则里除掉80端口的条件。许多用户并不知道，他们删改或增加规则的行为，其实就是自身“安全策略”的实施过程。 但是在把安全策略转化为规则实体之前，我们还必须慎密的思考一件事情，那就是“安全体系结构”。 所谓“安全体系结构”，就是整个防火墙最终为用户带来的安全效果，安全策略可以是片面的，管理员在思考策略的时候不一定要考虑到整体效果，但是当一条条安全策略作为规则集合出现之前，它就必须先转化为面向整体的“安全体系结构”，这是一种考虑全局的策略集，还是上面的网站服务器例子，管理员需要开放基本的80端口，如果有FTP，还要开放21端口，甚至SSL端口443，这个环境的安全策略则可以描述为以下列表： 1. 开放80端口 2. 开放443端口 3. 开放21端口 但是光有这些还不够，管理员必须保证它与已有的规则集合不会发生冲突以及实际环境中的应用效率，例如，实际生活中，防火墙在开放端口的同时还要对数据进行监控，以防止SYN洪水等，另外还要检查防火墙默认规则集合里有没有与之冲突的描述，如果你增加了一条“开放80端口”的规则，但是规则集合里却存在着“限制所有端口连接”的规则，那么其中一条规则就会失效，管理员的预期设想也就得不到正确实施了。 所以管理员在做好自己的安全策略后，还要检查已有的规则集，删除会导致策略冲突的规则，并可能根据实际应用环境做出策略调整，最后得出最终的安全策略列表，这一步就叫做“安全体系结构”： 1. 开放21、80、443端口 2. 在80端口上设置SYN计数防止DoS攻击 3. 继续阻止其他端口访问，如135、139等 4. 允许ICMP回显 5. 允许管理员能从内部网络远程登录配置服务器 6. 更多规则设置列表…… 这些策略列表的集合描述，就是“安全体系结构”的具体形态。 管理员决定了整体的安全体系结构后，就要开始着手实施防火墙规则的修改了，但是在“动”规则之前，还有最后一个注意事项——“规则次序”。 “规则次序”是一个不可忽略的配置部分，因为大部分防火墙产品是顺序读取规则设置的，如果发现了一条匹配的规则，那么下面的其他规则描述则被忽略掉，所以规则的排列次序决定着防火墙的运作情况，管理员在配置规则时必须把属于特殊性质而又不容易与其他现存规则发生冲突的规则放到最前面，最大限度防止防火墙在找到一个特殊规则之前与普通规则相匹配，导致管理员精心设置的安全规则失效。 当所有准备工作就绪后，我们就要开始把方案转化为实体了，这就是防火墙规则设定。 前面说过了，防火墙规则就是一条条用于描述防火墙在遇到什么类型的数据包的时候应该怎么做的命令语句，根据防火墙核心能识别的深度差异，不同防火墙的规则定义也不尽相同，但是基本上都离不开这几个基本参数：数据包方向、数据包地址、范围、协议类型、端口号、标志位（TCP）、包类型和代码（ICMP）、以及满足条件时的防火墙动作（通行、拦截、忽略、记录）等，正是这些参数的各种搭配构筑了最终得以保护用户免遭网络攻击的一条条规则，成为用户的安全体系结构，一款防火墙产品核心能识别的数据