如何测试防火墙规则正确与否

设置完防火墙上的规则后,就可以开始测试单机防火墙的设定值是否符合自己的需要,而整个测试流程则分为“网络上任意主机对服务器的访问测试”及“服务器主机对网络上其他主机的访问测试”两个阶段。

  设置完防火墙上的规则后,就可以开始测试单机防火墙的设定值是否符合自己的需要,而整个测试流程则分为“网络上任意主机对服务器的访问测试”及“服务器主机对网络上其他主机的访问测试”两个阶段。

  1. 网络上任意主机对服务器的访问测试

  这个测试过程并不难,我们只需在192.168.0.100及192.168.0.200这两台主机上,分别对服务器主机192.168.0.1提出各种不同的服务请求即可。如果请求有得到回应,那就表示防火墙上对该项服务是开放的;如果没有得到回应,就代表防火墙对该项服务是没有开放的,在此请注意以下几点:

  当客户端访问一个防火墙没有开启的服务时,因为默认策略状态为DROP,因此客户端的应用程序将会有卡住的现象而不会立即断线,如果要等到断线,通常需要等一段时间,而这段时间约为3分钟左右。

  在这个试验中,如果你在客户端主机,尝试去访问服务器上防火墙有开放的服务时,有可能在等很久之后,服务器才会给你应答,这个问题并不是每一台服务器都会如此,所以当你在客户端主机上连接服务器时,服务器如果没有立即应答,就请耐心等候。为何会有此类现象?解决办法是什么?稍后会有完整且详细的说明,现阶段请暂时把这个现象视为正常。

  如果网络状态机防火墙的参数设置都没有问题,那么这项测试应该可以很顺利地完成,并且符合我们的需求。图2-26为笔者实际的测试流程,首先可以看到.....五个服务的测试,其分别指代表2-4显示的内容。

  表2-4 标注与测试服务的对应表

  第1阶段测试说明:

  在SMTP的测试中,笔者使用Telnet 客户端工具去连接192.168.0.1主机的端口25②,接下来需要一些时间来等待服务器的应答;当看到服务器有应答之后,就代表防火墙是允许这个连接操作的。接着输入quit命令,以终止与SMTP 服务的连接②。

  第2阶段测试说明:

  在HTTP的测试中,笔者使用wget工具去下载服务器上的index.html文件③,接着,我们可以从标注④的地方清楚看到,index.html文件已经成功被下载回来了,由此也可以确定防火墙是允许这个连接操作的。

  第3阶段测试说明:

  在POP3的测试中,笔者使用Telnet客户端工具去连接192.168.0.1主机的端口110⑤,并且即刻就可以得到服务器的应答,由此可以证明防火墙是允许这个连接请求操作,接着可以输入quit命令来终止与POP3 服务的连接⑥。

  第4阶段测试说明:

  在这个项目中,我们测试的是SSH服务,因此使用SSH客户端工具来连接192.168.0.1服务器的SSH服务⑦,接着,大约需要约三分钟时间等待结果,最后会看到⑦中的“ssh:connect to host 192.168.0.1 port 22:Connection timed out”错误信息,这可以证明防火墙不允许这个连接请求操作。

  第5阶段测试说明:

  在这个项目中,我们测试的是TELNET服务,因此使用Telnet客户端工具来连接192.168.0.1服务器的TELNET服务⑧,接着,约需三分钟的时间等待结果,最后就会看到⑧的“telnet:connect to address 192.168.0.1:Connection timed out;telnet:Unable to connectto remote host:Connection timed out”错误信息,这也可以证明防火墙是不允许这个连接操作的。

  2. 服务器对网络上其他主机的访问测试

  在测试完“网络上任意主机对服务器的访问测试”项目之后,接着要做的是“服务器对网络上其他主机的访问测试”。表2-3是我们在服务器上所设置的规则条件,请问在这个规则条件下,如果我们在服务器上使用SSH 客户端去连接192.168.0.100主机上的SSH服务(该主机并没有设置任何的防火墙参数),这个SSH的连接请求操作是否可以成功?

  当你看完表2-3之后,可能很快就能回答“可以”,因为服务器上并没有对OUTPUT链施加任何限制,乍看之下好像蛮有道理的,但可惜答案是“行不通”。我们以图2-27来解释“行不通”的理由。首先,我们假设客户端主机上的SSH服务已经正常启动,并且在TCPPort 22位置正确运行,接着在服务器上启动SSH 客户端,我们假设SSH 客户端这次使用的是TCP Port 12345;然后,服务器上的SSH 客户端从端口 12345发出服务请求数据包给客户端主机的端口 22,而这个请求包一定可以成功送达客户端主机,因为服务器上的OUTPUT链并没有设置任何规则,但此时收到请求包的客户端主机,自然会回应数据包给这个SSH 客户端,不过,这个数据包将会从192.168.0.100的TCP Port 22回送到192.168.0.1的TCP Port 12345.

  试问,服务器的INPUT链允许网络上的主机发送数据包到TCP Port 12345吗?如果不允许,那么这个应答包当然就无法正确地回送到服务器上,因此,我们从服务器上连接网络上其他主机的操作将无法成功。或许你会问,在INPUT链中将TCP Port 12345打开不就可以了!别忘了,我们在第1章曾经提过,客户端的应用程序所使用的端口是随机的(Random),所以我们不可能事先预知客户端的应用程序会使用哪个端口,也就不可能事先帮客户端把端口打开等着客户端来使用。该如何解决这个问题呢?请耐心地往下看。

(责任编辑:闫小琪)

顶一下
(1)
100%
踩一下
(0)
0%
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
图片资讯

企业需要全新方式管理安全风险

企业需要全新方式管理安全风险

如今随着企业的信息化水平不断提高,IT系统的规模在不断的扩大,网络结构也日益复杂,...[详细]

如何搞定Fedora 18上的防火墙配置?

如何搞定Fedora 18上的防火墙配置?

经历了几次跳票之后Fedora 18正式版于2013年1月15日面世,凝聚了许多开发者的心血。很...[详细]

揭穿黑客关于Ashx脚本写aspx木马的方法

揭穿黑客关于Ashx脚本写aspx木马的方法汇总

.Net环境,上传处未限制Ashx和Asmx,后者上传无法运行,提示Asmx脚本只能在本地运行,...[详细]

家用路由器巧用防火墙免攻击

家用路由器巧用防火墙免攻击

随着网络信息安全的需求度提高,个人信息与网络安全逐渐被提上了台面。人们越来越意识...[详细]

Windows安全攻略:教你完全修复系统漏洞

Windows安全攻略:教你完全修复系统漏洞

目前互联网上的病毒集团越来越猖狂,对用户的危害也愈演愈烈,大家要懂得保护自己的电...[详细]