《Linux防火牆(第4版)》——2.6 私有網路服務VS公有網路服務
本節書摘來自非同步社群《Linux防火牆(第4版)》一書中的第2章,第2.6節,作者:【美】Steve Suehring(史蒂夫 蘇哈林)著,更多章節內容可以訪問雲棲社群“非同步社群”公眾號檢視
2.6 私有網路服務VS公有網路服務
最容易因疏忽導致未經請求的入侵即是允許外部訪問那些被設計為只用於LAN的本地服務。一些服務,如果僅僅在本地提供,絕不應該跨越您的本地區域網和網際網路的界限。如果這樣的服務在您的區域網外可用,那麼有些服務會騷擾您的鄰居,有些會提供您應該保密的資訊,有些則代表著明顯的安全漏洞。
一些最早期的網路服務,尤其是被設計用於本地的分享並且簡化在受信任的環境裡跨多個實驗室的計算機間訪問的r-*-based。後來的一些服務用於接入網際網路,但它們被設計於一個網際網路基本是由學者和研究者構成的延伸社群的時代。那時,網際網路是相對開放、安全的地方。由於網際網路成長為一個包括了普通大眾訪問的全球性的網路,它已發展成為一個完全不受信任的環境。
許多Linux網路服務被設計用於提供系統中的一些本地資訊:關於使用者的賬戶、哪個程式在執行哪個資源正被使用、系統狀態、網路狀態、通過網路連線的其他計算機的相似的資訊。並不是所有的這些資訊化服務本身代表了安全漏洞。並不是說某人可以用它們直接對您的系統獲得非授權的訪問。它們只是提供了您系統的資訊以及使用者賬戶,這些資訊對某些在尋找已知漏洞的人來說十分有用。它們可能還提供了例如使用者名稱、地址、電話號碼等等,您絕對不希望輕易地被任何問詢的人瞭解資訊。
一些更危險的網路服務被設計用於提供區域網內對共享檔案系統和裝置的訪問,例如網路印表機或傳真機。
一些服務難於正確的配置,一些則難於安全的配置。整本書都致力於配置一些更復雜的Linux服務。特定的服務的配置則超出了本書的範圍。
有些服務僅僅在家庭或小型辦公室環境是沒有意義的。一些則傾向於管理大型網路,提供網際網路路由服務,提供大型資料庫資訊服務,支援雙向的加密和認證,等等。
2.6.1 保護不安全的本地服務
最簡單的保護您自己的方式就是不提供服務。但如果您需要這些本地服務中的一個呢?並不是所有的服務都能夠在資料包過濾層被充分地保護。檔案共享軟體、即時通訊服務和基於UDP的RPC服務都是眾所周知難以在資料包過濾層保障安全的。
一種保衛您的計算機的方式是不要在防火牆計算機上託管您不希望公眾使用的網路服務。如果服務不可用,那麼遠端的客戶端也就無法連線到它。讓防火牆只做防火牆。
一個包過濾防火牆並不能提供絕對的安全。一些程式需要比資料包過濾層能提供的更高層的安全措施。一些程式則有太多問題,以至於不應冒險執行在防火牆計算機,甚至不安全的住宅主機上。
小型站點(例如在家庭站點)通常沒有多餘的計算機通過“在其他計算機上執行私有服務”來執行訪問安全策略。這裡必須做出些折中,尤其是所需的服務僅由Linux提供。然而,在區域網中的小型站點不應該在防火牆機器上執行檔案共享或其他私有的LAN服務,例如Samba。這臺計算機不應該有任何不必要的使用者賬戶。不需要的系統軟體應該從該系統中移除。此計算機除了安全的閘道器外不應該擁有任何其他功能。
2.6.2 選擇執行的服務
當上面說到的都已做完時,您唯一可以決定的便是哪些服務是您需要或想要的。保障系統安全的第一步便是決定您打算在防火牆計算機上以及在防火牆後的私有網路中執行哪些服務和守護程式。每個服務都有它自己安全的考量。在選擇執行於Linux下或其他作業系統下的服務時,一般的規則是“僅執行那些您瞭解和需要的網路服務”。瞭解一個網路服務,在執行它之前知道它做了什麼、供誰使用十分重要——尤其是它執行在直接連線到網際網路的計算機上。
相關文章
- linux下重啟網路服務Linux
- Linux網路服務之部署YUM倉庫Linux
- 網路拓撲—FTP服務搭建FTP
- win10關閉防火牆服務方法_win10防火牆怎麼關閉服務Win10防火牆
- 【Linux】Linux7服務管理 OracleLinux7 關閉、禁用防火牆服務LinuxOracle防火牆
- Linux系統學習(四)Linux網路服務Linux
- xinetd - Linux中的網路相關服務Linux
- RDP服務之GoldBrute殭屍網路Go
- apache網路服務的搭建和配置Apache
- Ubuntu下的網路服務詳解Ubuntu
- 運營商服務如何網際網路化?
- 網際網路服務沒有免費午餐
- 防火牆 | 網路協議防火牆協議
- Linux下cifs公用網際網路系統和samba服務LinuxSamba
- 簡要介紹Linux網路服務的種類Linux
- Linux 網路通訊管理和系統服務管理Linux
- 服務網際網路+商務 電信運營商不等閒
- Linux核心防火牆,工作在網路層Linux防火牆
- Linux網路服務 ------------------ 瞭解網路設定與學習相關操作命令Linux
- 2017網際網路教育服務產業研究產業
- 網際網路環境下服務提供的模式模式
- 利用人性弱點的網際網路服務
- 網際網路衛星地圖服務比較地圖
- 10月14日 網路檔案共享服務 2 NFS服務和SAMBA服務NFSSamba
- 什麼是網路安全等保服務
- Python 網路服務相關 雜記Python
- Ubuntu關閉(重啟)網路服務命令Ubuntu
- 網路技術DNS服務全介紹DNS
- CentOS 7.3 minimal 開啟網路服務CentOS
- 網路目錄服務:實現組策略
- 網路拓撲—WEB-IIS服務搭建Web
- 網路安全——防火牆詳解防火牆
- linux就該這麼學第8章使用 iSCSI 服務部署網路儲存Linux
- Linux網路服務-WebService之【HTTP協議簡介】(一)LinuxWebHTTP協議
- 在Linux中,如何進行網路服務的監控?Linux
- win10防火牆服務禁用為灰色怎麼辦_win10防火牆服務選項灰色解決方法Win10防火牆
- 使用JavaScript和網路資訊API進行自適應網路服務JavaScriptAPI
- 青雲QingCloud推出SDN網路直通服務Docker網路能力大幅提升GCCloudDocker