防御攻擊者和未授權(quán)訪問(wèn)服務(wù)器的第一層次是防火墻。防火墻能分析服務(wù)器上的網(wǎng)絡(luò)通信,并決定應(yīng)該允許哪些通信通過(guò)或應(yīng)該停止哪些通信。
防御攻擊者和未授權(quán)訪問(wèn)服務(wù)器的第一層次是防火墻。防火墻能分析服務(wù)器上的網(wǎng)絡(luò)通信,并決定應(yīng)該允許哪些通信通過(guò)或應(yīng)該停止哪些通信。
防火墻怎樣工作?
防火墻的決策通常是由網(wǎng)絡(luò)連接本身的信息驅(qū)動(dòng)的,而不是由所發(fā)送的數(shù)據(jù)內(nèi)容驅(qū)動(dòng)的。因素可能包括通信正在經(jīng)過(guò)哪個(gè)網(wǎng)絡(luò)設(shè)備,計(jì)算機(jī)發(fā)送或接收數(shù)據(jù)的IP地址以及發(fā)送或接收數(shù)據(jù)的傳輸協(xié)議和端口。
盡管其中大多數(shù)都是不言而喻的,但協(xié)議和端口通常會(huì)讓人感到困惑。協(xié)議被定義為標(biāo)準(zhǔn),由兩臺(tái)計(jì)算機(jī)將數(shù)據(jù)傳輸?shù)綌?shù)據(jù)包中,并將數(shù)據(jù)發(fā)送給彼此,以便雙方都能理解并能夠讀取所發(fā)送的數(shù)據(jù)。最常使用的協(xié)議是傳輸控制協(xié)議(TCP)和用戶數(shù)據(jù)報(bào)協(xié)議(UDP)。端口是操作系統(tǒng)的網(wǎng)絡(luò)軟件所使用的數(shù)字,用來(lái)識(shí)別通過(guò)網(wǎng)絡(luò)上接收到的任何數(shù)據(jù)應(yīng)該給予哪一部分的軟件。當(dāng)需要在網(wǎng)絡(luò)上進(jìn)行通信的軟件運(yùn)行時(shí),它將請(qǐng)求使用網(wǎng)絡(luò)軟件中的端口號(hào),然后將任何接收到的數(shù)據(jù)發(fā)送給該軟件。
標(biāo)準(zhǔn)端口和協(xié)議
一些軟件使用預(yù)先定義的標(biāo)準(zhǔn)端口和協(xié)議。這使得交流變得更加容易,因?yàn)橛脩舨恍枰獡?dān)心這些細(xì)節(jié)。例如,web服務(wù)器技術(shù)人員通常會(huì)監(jiān)聽(tīng)TCP端口80來(lái)接收HTTP通信。他們還使用TCP端口443來(lái)進(jìn)行HTTPS通信。這種行為通常由連續(xù)運(yùn)行的服務(wù)器軟件所使用??蛻舳塑浖?,如計(jì)算機(jī)上的web瀏覽器,將對(duì)其進(jìn)行的每一個(gè)連接都使用一個(gè)隨機(jī)的端口。
防火墻通??梢耘渲枚喾N規(guī)則,它的通信可以與上面給出的選項(xiàng)相匹配,然后被告知該如何處理該匹配,即是否允許通信或阻斷通信。通過(guò)使用這些規(guī)則,我們可以限制誰(shuí)能夠與我們服務(wù)器上的各種網(wǎng)絡(luò)支持的軟件進(jìn)行通信。
除了需要在新服務(wù)器的安裝上執(zhí)行的手動(dòng)防火墻配置之外,還有一些工具,它們能夠自動(dòng)添加防火墻規(guī)則,以便在IP地址上執(zhí)行似乎正在對(duì)服務(wù)器進(jìn)行攻擊的額外塊。這些工具可以幫助確保您需要保留的對(duì)internet開(kāi)放的服務(wù)是安全的。
上一篇:服務(wù)器怎么托管
免責(zé)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn)自行上傳,本網(wǎng)站不擁有所有權(quán),也不承認(rèn)相關(guān)法律責(zé)任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容,請(qǐng)發(fā)送郵件至:operations@xinnet.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),本站將立刻刪除涉嫌侵權(quán)內(nèi)容。