https防火墻如何設(shè)置
https防火墻要怎么樣去設(shè)置呢?才能最好的防御https呢?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的https防火墻設(shè)置方法介紹!希望對你有幫助!
https防火墻設(shè)置方法一:
利用SoftEther突破防火墻訪問互聯(lián)網(wǎng)
本文將告訴你如何利用SoftEther軟件突破公司的防火墻,實(shí)現(xiàn)對Internet的訪問。
注意!突破防火墻訪問Internet是極其危險的行為,有可能會給公司的Intranet帶來災(zāi)難性的后果!請務(wù)必在使用前三思!
1.SoftEther是一個虛擬局域網(wǎng)的軟件(就是傳說中的了),利用該軟件可以將Internet上的幾臺計(jì)算機(jī)連接到一個虛擬局域網(wǎng)中。SoftEther分為虛擬集線器和虛擬網(wǎng)卡兩部分,使用服務(wù)器/客戶端的方式工作,虛擬集線器就是服務(wù)器,虛擬網(wǎng)卡就是客戶端。連接時利用SoftEther提供的連接管理工具將虛擬網(wǎng)卡連接到遠(yuǎn)端的虛擬集線器上,這樣你的計(jì)算機(jī)就相當(dāng)于與該虛擬集線器上連接的其他計(jì)算機(jī)處于同一個局域網(wǎng)之內(nèi)了。
前提條件:
2.必須擁有一臺位于Internet上的計(jì)算機(jī),例如你家里的計(jì)算機(jī)。
公司的防火墻打開了SSL-HTTP連接的443端口,也就是說,你必須能夠訪問以https://開頭的網(wǎng)站。
3.架構(gòu)
家里的計(jì)算機(jī)作為服務(wù)器安裝一個虛擬集線器。同時在同一臺計(jì)算機(jī)上安裝一個虛擬網(wǎng)卡,該網(wǎng)卡當(dāng)作代理服務(wù)器的入口。
公司的計(jì)算機(jī)安裝虛擬網(wǎng)卡。
將家里的計(jì)算機(jī)上的虛擬網(wǎng)卡、公司計(jì)算機(jī)上的虛擬網(wǎng)卡都與家中計(jì)算機(jī)的虛擬集線器連接,這樣公司的計(jì)算機(jī)就與家里的計(jì)算機(jī)處于同一個局域網(wǎng)之內(nèi)。
在家里的計(jì)算機(jī)上安裝代理服務(wù)器軟件。
在公司的計(jì)算機(jī)上設(shè)置代理為家中的計(jì)算機(jī),這樣就可以訪問Internet了。
由于連接是通過加密的HTTP協(xié)議傳輸?shù)?,所以能穿過防火墻。傳輸中不會有泄漏秘密的可能,也不用擔(dān)心被網(wǎng)管發(fā)現(xiàn)自己在干什么。當(dāng)然要注意一下流量不要太大了。
4.首先在家中的計(jì)算機(jī)上安裝SoftEther,虛擬集線器和虛擬網(wǎng)卡都要安裝。安裝好之后,系統(tǒng)托盤右下角會多出一個網(wǎng)絡(luò)連接圖標(biāo),不過這時該連接的狀態(tài)是"網(wǎng)絡(luò)電纜沒有插好"。使用虛擬集線器的管理工具建立一個用戶。然后使用虛擬網(wǎng)卡的連接管理器,新建連接到本地(127.0.0.1,這個IP地址是你的真實(shí)的IP地址)。建立連接之后,你會發(fā)現(xiàn)系統(tǒng)托盤中的網(wǎng)絡(luò)連接圖標(biāo)的網(wǎng)線已經(jīng)插好了。
5.打開Windows的網(wǎng)絡(luò)連接屬性窗口,為剛剛連接好的虛擬網(wǎng)卡設(shè)置一個局域網(wǎng)IP地址,比如172.16.*.*,192.168.*.*,10.*.*.*等。
6.在家里的計(jì)算機(jī)上安裝一個代理服務(wù)器軟件(例如CCProxy,Wingate等)。最好是能夠提供Socks代理,這樣就可以在公司使任何應(yīng)用程序連接到Internet了。
7.在公司的計(jì)算機(jī)上安裝SoftEther,僅安裝虛擬網(wǎng)卡即可。安裝好之后使用虛擬網(wǎng)卡的連接管理器建立新連接,選擇連接類型為"Proxy Connection",單擊配置按鈕,在代理服務(wù)器的設(shè)置中填入公司防火墻提供的HTTP代理服務(wù)器的地址和端口,最后在"虛擬集線器的地址"中填入你家里的計(jì)算機(jī)的Internet IP地址(真實(shí)網(wǎng)卡的IP地址)。確定之后嘗試連接,連接成功的話即可繼續(xù)下一步。
8.設(shè)置公司計(jì)算機(jī)的虛擬網(wǎng)卡地址,注意IP和子網(wǎng)掩碼的設(shè)置方法,要保證和家里的計(jì)算機(jī)的虛擬網(wǎng)卡位于同一個子網(wǎng)。然后利用ping命令檢查兩臺計(jì)算機(jī)是否連通。
9.連通的話,即可利用家里計(jì)算機(jī)上架設(shè)的代理服務(wù)器來訪問Internet了。
內(nèi)網(wǎng)架設(shè)SoftEther簡單步驟~
翻了很多前輩們的帖子,終于把SoftEther架設(shè)成功了!有幾個小問題需要給將要架設(shè)SoftEther的朋友們說一下!
論壇里關(guān)于SoftEther的帖子說得很詳細(xì),但忽略了一點(diǎn)就是“連接共享”
A:首先安裝SoftEther,在設(shè)置管理器里面把三個都啟動,
接著設(shè)置虛擬那塊網(wǎng)卡的IP
我是網(wǎng)吧內(nèi)網(wǎng) 192.168.0.X被占用只好設(shè)置
IP:10.0.0.1
子網(wǎng):255.255.255.0
網(wǎng)關(guān)忽略
DNS:按你當(dāng)?shù)氐腄NS設(shè)置,我設(shè)置的是61.128.128.68
B:設(shè)置共享,你可以用ICS或者NAT!我使用的是NAT
C:設(shè)置SoftEther賬戶及權(quán)限(參看論壇帖子)
隨便設(shè)置一個賬戶,在服務(wù)器里撥上,就是網(wǎng)關(guān)了!
D:設(shè)置端口隱射,將433,7777,8023隱射到外網(wǎng)就可以了!
433和7777是SoftEther必須的,你可以根據(jù)實(shí)際情況修改,8023是管理端
https防火墻設(shè)置方法二:
防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。 它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況, 以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。
在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動, 保證了內(nèi)部網(wǎng)絡(luò)的安全。
2.使用Firewall的益處
保護(hù)脆弱的服務(wù)
通過過濾不安全的服務(wù),F(xiàn)irewall可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險。例如, Firewall可以禁止NIS、NFS服務(wù)通過,F(xiàn)irewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統(tǒng)的訪問
Firewall可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機(jī),同時禁止訪問另外的主機(jī)。例如, Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理,在Firewall定義的安全規(guī)則可以運(yùn)行于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng), 而無須在內(nèi)部網(wǎng)每臺機(jī)器上分別設(shè)立安全策略。Firewall可以定義不同的認(rèn)證方法, 而不需要在每臺機(jī)器上分別安裝特定的認(rèn)證軟件。外部用戶也只需要經(jīng)過一次認(rèn)證即可訪問內(nèi)部網(wǎng)。
增強(qiáng)的保密性
使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息,如Figer和DNS。
記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)
Firewall可以記錄和統(tǒng)計(jì)通過Firewall的網(wǎng)絡(luò)通訊,提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù),并且,F(xiàn)irewall可以提供統(tǒng)計(jì)數(shù)據(jù), 來判斷可能的攻擊和探測。
策略執(zhí)行
Firewall提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置Firewall時,網(wǎng)絡(luò)安全取決于每臺主機(jī)的用戶。
3.防火墻的種類
防火墻總體上分為包過濾、應(yīng)用級網(wǎng)關(guān)和代理服務(wù)器等幾大類型。
數(shù) 據(jù) 包 過 濾
數(shù)據(jù)包過濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾邏輯, 被稱為訪問控制表(Access Control Table)。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、 協(xié)議狀態(tài)等因素,或它們的組合來確定是否允許該數(shù)據(jù)包通過。 數(shù)據(jù)包過濾防火墻邏輯簡單,價格便宜,易于安裝和使用, 網(wǎng)絡(luò)性能和透明性好,它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡(luò)與Internet連接必不可少的設(shè)備, 因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。
數(shù)據(jù)包過濾防火墻的缺點(diǎn)有二:一是非法訪問一旦突破防火墻,即可對主機(jī)上的軟件和配置漏洞進(jìn)行攻擊; 二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部,很有可能被竊聽或假冒。
應(yīng) 用 級 網(wǎng) 關(guān)
應(yīng)用級網(wǎng)關(guān)(Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。 它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯,并在過濾的同時,對數(shù)據(jù)包進(jìn)行必要的分析、 登記和統(tǒng)計(jì),形成報告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。
數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻有一個共同的特點(diǎn),就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。 一旦滿足邏輯,則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系, 防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài),這有利于實(shí)施非法訪問和攻擊。
代 理 服 務(wù)
代理服務(wù)(Proxy Service)也稱鏈路級網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels), 也有人將它歸于應(yīng)用級網(wǎng)關(guān)一類。它是針對數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù), 其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的 鏈接, 由兩個終止代理服務(wù)器上的 鏈接來實(shí)現(xiàn),外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器, 從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外,代理服務(wù)也對過往的數(shù)據(jù)包進(jìn)行分析、注冊登記, 形成報告,同時當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報,并保留攻擊痕跡。
4.設(shè)置防火墻的要素
網(wǎng)絡(luò)策略
影響Firewall系統(tǒng)設(shè)計(jì)、安裝和使用的網(wǎng)絡(luò)策略可分為兩級,高級的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù), 低級的網(wǎng)絡(luò)策略描述Firewall如何限制和過濾在高級策略中定義的服務(wù)。
服務(wù)訪問策略
服務(wù)訪問策略集中在Internet訪問服務(wù)以及外部網(wǎng)絡(luò)訪問(如撥入策略、SLIP/PPP連接等)。 服務(wù)訪問策略必須是可行的和合理的。可行的策略必須在阻止已知的網(wǎng)絡(luò)風(fēng)險和提供用戶服務(wù)之間獲得平衡。 典型的服務(wù)訪問策略是:允許通過增強(qiáng)認(rèn)證的用戶在必要的情況下從Internet訪問某些內(nèi)部主機(jī)和服務(wù); 允許內(nèi)部用戶訪問指定的Internet主機(jī)和服務(wù)。
防火墻設(shè)計(jì)策略
防火墻設(shè)計(jì)策略基于特定的Firewall,定義完成服務(wù)訪問策略的規(guī)則。通常有兩種基本的設(shè)計(jì)策略: 允許任何服務(wù)除非被明確禁止;禁止任何服務(wù)除非被明確允許。第一種的特點(diǎn)是安全但不好用, 第二種是好用但不安全,通常采用第二種類型的設(shè)計(jì)策略。 而多數(shù)防火墻都在兩種之間采取折衷。
增強(qiáng)的認(rèn)證
許多在Internet上發(fā)生的入侵事件源于脆弱的傳統(tǒng)用戶/口令機(jī)制。多年來,用戶被告知使用難于猜測和破譯口令, 雖然如此,攻擊者仍然在Internet上監(jiān)視傳輸?shù)目诹蠲魑?,使傳統(tǒng)的口令機(jī)制形同虛設(shè)。增強(qiáng)的認(rèn)證機(jī)制包含智能卡, 認(rèn)證令牌,生理特征(指紋)以及基于軟件(RSA)等技術(shù),來克服傳統(tǒng)口令的弱點(diǎn)。雖然存在多種認(rèn)證技術(shù), 它們均使用增強(qiáng)的認(rèn)證機(jī)制產(chǎn)生難被攻擊者重用的口令和密鑰。 目前許多流行的增強(qiáng)機(jī)制使用一次有效的口令和密鑰(如SmartCard和認(rèn)證令牌)。
5.防火墻在大型網(wǎng)絡(luò)系統(tǒng)中的部署
根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全需要,可以在如下位置部署防火墻:
局域網(wǎng)內(nèi)的VLAN之間控制信息流向時。
Intranet與Internet之間連接時(企業(yè)單位與外網(wǎng)連接時的應(yīng)用網(wǎng)關(guān))。
在廣域網(wǎng)系統(tǒng)中,由于安全的需要,總部的局域網(wǎng)可以將各分支機(jī)構(gòu)的局域網(wǎng)看成不安全的系統(tǒng), (通過公網(wǎng)ChinaPac,ChinaDDN,F(xiàn)rame Relay等連接)在總部的局域網(wǎng)和各分支機(jī)構(gòu)連接時采用防火墻隔離, 并利用構(gòu)成虛擬專網(wǎng)。
總部的局域網(wǎng)和分支機(jī)構(gòu)的局域網(wǎng)是通過Internet連接,需要各自安裝防火墻,并利用NetScreen的組成虛擬專網(wǎng)。
在遠(yuǎn)程用戶撥號訪問時,加入虛擬專網(wǎng)。
ISP可利用NetScreen的負(fù)載平衡功能在公共訪問服務(wù)器和客戶端間加入防火墻進(jìn)行負(fù)載分擔(dān)、 存取控制、用戶認(rèn)證、流量控制、日志紀(jì)錄等功能。
兩網(wǎng)對接時,可利用NetScreen硬件防火墻作為網(wǎng)關(guān)設(shè)備實(shí)現(xiàn)地址轉(zhuǎn)換(NAT),地址映射(MAP), 網(wǎng)絡(luò)隔離(DMZ), 存取安全控制,消除傳統(tǒng)軟件防火墻的瓶頸問題。
6.防火墻在網(wǎng)絡(luò)系統(tǒng)中的作用
防火墻能有效地防止外來的入侵,它在網(wǎng)絡(luò)系統(tǒng)中的作用是:
控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包;
提供使用和流量的日志和審計(jì);
隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié);
提供功能;
看了“https防火墻如何設(shè)置 ”文章的還看了:
1.防火墻知識