Tento článek poskytuje přehled firewallů. Abyste pochopili, co je firewall, musíte nejprve pochopit, co je to Internet.
Internet je síť počítačů podobná webu. Některé počítače (jako váš notebook) se specializují především na úlohy na straně klienta. Jiní (jako server Rackspacecloud) se specializují především na úlohy na straně serveru. Některé vysoce specializované počítače pouze směrují komunikaci mezi jinými počítači. Tyto počítače se nazývají směrovače a přepínače .
Pakety
Počítače komunikují odesíláním dat v paketech . Tyto pakety přicházejí v různých velikostech a „tvarech“ v závislosti na protokolech, kterými se řídí. Paket může obsahovat všechny následující informace:
- Zdrojová IP adresa :Adresa internetového protokolu (IP) odesílatele.
- Cílová IP adresa :Adresa internetového protokolu (IP) příjemce.
- Číslo zdrojového portu :Port odesílající služby. Toto číslo se pohybuje od 1 do 65535.
- Číslo cílového portu :Port přijímající služby. Toto číslo je v rozsahu od 1 do 65535.
- Protokol :Protokol nebo model, který paket následuje.
- Pořadové číslo :Pořadové číslo paketu. Přijímač tato čísla používá k opětovnému sestavení paketů ve správném pořadí.
- Velikost paketu :Velikost balíčku.
- Data :Samotná zpráva.
- Kontrolní součet :Kontrola, která zajišťuje, že paket není poškozen.
Účelem firewallu je blokovat nechtěné a případně škodlivé pakety. Typický firewall provádí tento úkol tak, že se podívá na prvních šest informací v předchozím seznamu, zatímco sofistikovanější firewally a analyzátory provozu používají pokročilejší techniky.
Doporučené postupy pro firewall
Když na svém cloudovém serveru nastavujete firewall, musíte do něj udělat pár děr, abyste mohli přijímat komunikaci od základních služeb.
Určete porty, pro které chcete vytvořit pravidla brány firewall
Nejprve musíte určit, která komunikace přichází z těchto služeb a která k nim směřuje. Tyto informace můžete najít, když se podíváte na následující běžná čísla portů:
| Port (protokoly IP) | Služba/protokol |
|---|---|
| 21 (Transfer Control Protocol (TCP)) | Protokol přenosu souborů (FTP) |
| 22 (TCP a protokol uživatelských datagramů (TCP/UDP)) | Secure Shell a Secure File Transfer Protocol (SSH/SFTP) |
| 25 a 587 | Protokol SMTP (Simple Mail Transfer Protocol) |
| 53 (TCP/UDP) | Domain Name System (DNS) |
| 80 (TCP/UDP) | Hypertext Transfer Protocol (HTTP) |
| 110 (TCP) | Post Office Protocol (POP3) |
| 143 (TCP/UDP) | Internet Message Access Protocol (IMAP) |
| 389 (TCP/UDP) | Lightweight Directory Access Protocol (LDAP) |
| 443 (TCP/UDP) | Zabezpečený HTTP (HTTPS) |
| 465 (TCP) | Simple Mail Transfer Protocol Secure (SMTPS) |
| 636 (TCP/UDP) | Zabezpečený LDAP (LDAPS) |
| 694 (UDP) | Tlukot srdce |
| 873 (TCP) | rsync |
| 3306 (TCP/UDP) | MySQL |
| 5900 (TCP/UDP) | Virtual Network Computing (VNC) |
| 6660-6669 (TCP) | Internet Relay Chat (IRC) |
| 8080 (TCP) | Apache® Tomcat® |
Čísla portů vám umožňují prorazit ve vašem firewallu díry pro služby, které chcete otevřít světu. Existuje mnoho dalších čísel portů.
Použití seznamů povolených
Je důležité používat bílé listiny , což je seznam služeb, které povolujete, zatímco vše ostatní zakazujete.
Pokud například chcete otevřít přístup k vašemu webovému serveru a ničemu jinému, váš seznam pravidel může vypadat jako následující příklad:
ALLOW: DestPort=80DENY: ALL
Pokud chcete také povolit přístup Secure Shell (SSH), ale pouze z jedné konkrétní IP adresy, váš seznam může vypadat jako následující příklad:
ALLOW: DestPort=22 && SrcIP=1.2.3.4ALLOW: DestPort=80DENY: ALL
Řádek, který říká DENY: ALL je možná nejdůležitější řádek v pravidlech vaší brány firewall, protože blokuje vše, co konkrétně nepovolíte. Tento řádek byste měli obvykle umístit na konec.
Další zdroje
Mohou vám také pomoci následující zdroje:
-
Doporučené postupy pro konfiguraci pravidel brány firewall
-
Úvod do iptables