GNU/Linux >> Linux の 問題 >  >> Linux

ファイアウォールの概要

この記事では、ファイアウォールの概要について説明します。ファイアウォールとは何かを理解するには、まずインターネットとは何かを理解する必要があります。

インターネットは、コンピューターのWebのようなネットワークです。一部のコンピューター(ラップトップなど)は、主にクライアント側のタスクに特化しています。その他(Rackspacecloudサーバーなど)は、主にサーバー側のタスクを専門としています。一部の高度に専門化されたコンピューターは、他のコンピューター間の通信のみをルーティングします。これらのコンピューターは、ルーターおよびスイッチと呼ばれます。 。

パケット

コンピューターは、パケットでデータを送信することで通信します 。これらのパケットには、従うプロトコルに応じて、さまざまなサイズと「形状」があります。パケットには、次のすべての情報が含まれている場合があります。

  • 送信元IPアドレス :送信者のインターネットプロトコル(IP)アドレス。
  • 宛先IPアドレス :受信者のインターネットプロトコル(IP)アドレス。
  • 送信元ポート番号 :送信サービスのポート。この番号の範囲は1〜65535です。
  • 宛先ポート番号 :受信サービスのポート。この番号の範囲は1〜65535です。
  • プロトコル :パケットが従うプロトコルまたはモデル。
  • シーケンス番号 :パケットのシーケンス番号。受信者はこれらの番号を使用して、パケットを正しい順序で再構成します。
  • パケットサイズ :パケットのサイズ。
  • データ :メッセージ自体。
  • チェックサム :パケットが破損していないことを確認するチェック。

ファイアウォールの目的は、不要で悪意のある可能性のあるパケットをブロックすることです。一般的なファイアウォールは、上記のリストの最初の6つの情報を確認することでこのタスクを実行しますが、より高度なファイアウォールとトラフィックアナライザーはより高度な技術を採用しています。

ファイアウォールのベストプラクティス

クラウドサーバーにファイアウォールを設定するときは、重要なサービスからの通信を受信できるように、ファイアウォールにいくつかの穴を開ける必要があります。

ファイアウォールルールを作成するポートを特定します

まず、これらのサービスとの間で送受信される通信を特定する必要があります。この情報は、次の一般的なポート番号を確認することで見つけることができます:

ポート(IPプロトコル) サービス/プロトコル
21(転送制御プロトコル(TCP)) ファイル転送プロトコル(FTP)
22(TCPおよびユーザーデータグラムプロトコル(TCP / UDP)) セキュアシェルおよびセキュアファイル転送プロトコル(SSH / SFTP)
25および587 Simple Mail Transfer Protocol(SMTP)
53(TCP / UDP) ドメインネームシステム(DNS)
80(TCP / UDP) ハイパーテキスト転送プロトコル(HTTP)
110(TCP) Post Office Protocol(POP3)
143(TCP / UDP) インターネットメッセージアクセスプロトコル(IMAP)
389(TCP / UDP) ライトウェイトディレクトリアクセスプロトコル(LDAP)
443(TCP / UDP) セキュアHTTP(HTTPS)
465(TCP) Simple Mail Transfer Protocol Secure(SMTPS)
636(TCP / UDP) セキュアLDAP(LDAPS)
694(UDP) ハートビート
873(TCP) rsync
3306(TCP / UDP) MySQL
5900(TCP / UDP) 仮想ネットワークコンピューティング(VNC)
6660-6669(TCP) インターネットリレーチャット(IRC)
8080(TCP) Apache®Tomcat®

ポート番号を使用すると、ファイアウォールに穴を開けて、世界に公開したいサービスを見つけることができます。追加のポート番号はたくさんあります。

ホワイトリストを使用する

ホワイトリストを使用することが重要です 、他のすべてを拒否しながら許可するサービスのリストです。

たとえば、Webサーバーへのアクセスを開放し、それ以外のことを行わない場合、ルールリストは次の例のようになります。

  • ALLOW: DestPort=80
  • DENY: ALL

Secure Shell(SSH)アクセスも許可したいが、特定の1つのIPアドレスからのみ許可したい場合、リストは次の例のようになります。

  • ALLOW: DestPort=22 && SrcIP=1.2.3.4
  • ALLOW: DestPort=80
  • DENY: ALL

DENY: ALLという行 ファイアウォールルールでおそらく最も重要な行です。これは、特に許可されていないすべてのものをブロックするためです。通常、この行は一番下に配置する必要があります。

追加のリソース

次のリソースも役立つ場合があります。

  • ファイアウォールルール構成のベストプラクティス

  • iptablesの紹介


Linux

  1. viエディターの紹介

  2. Dockerの概要

  3. Plesk:はじめに

  1. GNUAutotoolsの紹介

  2. Cプログラミング言語-はじめに

  3. /dev/tcp を使用するために < または > が必要な理由

  1. Linuxシステム管理者向けのWebアプリケーションファイアウォールの概要

  2. ファイアウォールの概要

  3. iptablesの紹介