如何对防火墙进行安全配置

实际上，网络上不同的服务往往都有各自不同的特点。有些服务是必须对外开放的，而有些服务是可以不提供的。对于开放的服务，会有很多种不同的防火墙设置。你知道面对各种不同的服务，该怎样装扮你的防火墙吗？

★电子邮件

电子邮件是一种广泛的Internet服务，几乎已经是我们生活中不可缺少的一部分。但正是这个小家伙给我们带来各种麻烦。而其中惹祸的根源往往是强大的Sendmail程序和SMTP协议。通常我们会在防火墙上安装Smap和Smapd这两个应用程序来限制Sendmail的权限，放弃了SMTP一些次要的功能，并尽可能地减少处理命令，来获得更好的安全性。

★Telnet服务

Telnet服务可以用来访问BBS站点和执行远程调用。不过它有个最大的安全问题：访问服务器的时候，口令的验证大都是采用明文验证。这样用户名和口令在传输的时候，很容易被监听。但是管理员在配置时对于出站和入站是有不同的态度的。通常，它希望内部的用户可以访问出站的Telnet服务，另一方面，它不想让入站的Telnet访问它的站点，所以要严格控制入站服务。

★WWW服务

WWW服务的功能强大，却也隐患多多：

1、HTTP协议

HTTP协议中的一个漏洞就是允许远程用户对远程服务器请求通信及远程执行命令，这会危及Web服务器和用户。它另一个问题就是服务器日志。通常Web服务器会记录下各种用户的请求和数据信息，而HTTP对这些信息的检索不设限制导致安全问题。这可以通过设置代理服务器或者设置加密通信来解决。

2、Java Applet和Java Script

由于Java Applet是在客户端执行，我们的机器对它带来的各种风险也照单全收。它本身存在一些特殊的安全漏洞：任意执行机器指令的能力、易受到拒绝服务的攻击和可以与任意的主机建立连接。虽然，Java的实现中的大部分Bug已经修复，但事实上，仍然还存在潜在的、严重的安全漏洞。如果让一般的管理员发现这样的漏洞是比较困难的，但是及时为你的系统打上补丁还是可以做到的。如果你是一个保守的“清教徒”，你不妨把这个功能禁止掉，对于一般中小型企业，这个功能就是没有也不会有太大的影响。

3、Cookie

Cookie只是你的浏览器动作的一小段影像，并不能“偷”有关你或你的计算机系统的信息。它们只能用在某种程度上存储你提供的信息，所以你不必对这个小家伙有太大的惊慌，而且，你可以很方便地在防火墙中设置是否存储Cookie，也可以手工删除它们。

★FTP服务

其实，FTP的安全性就像Telnet一样，很大的程度上要依靠于身份认证的是否强大，不过这里主要讲的是匿名FTP的安全问题。

首先，匿名用户不应该有任何的特殊的权限。其次，不要在~ftp/bin，~ftp/usr/bin，~ftp/sbin或类似的目录下存放任何系统命令。另外确保FTP的根目录的访问权限被设为555(read nowrite execute），文件所有者被设置成Root而不是FTP，并确保在FTP的根目录下的Password不是/etc/password的完全拷贝。注意了这几点，对于中小型局域网的安全而言就足够了，如果还有需要，还可以在防火墙上配置一些FTP的守护程序获得更高的安全性。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有