chxi官方教程Word下载.docx
- 文档编号:19545021
- 上传时间:2023-01-07
- 格式:DOCX
- 页数:64
- 大小:903.96KB
chxi官方教程Word下载.docx
《chxi官方教程Word下载.docx》由会员分享,可在线阅读,更多相关《chxi官方教程Word下载.docx(64页珍藏版)》请在冰豆网上搜索。
TheCHXsuiteofnetworkandsecuritytoolscanbedeployedongateways(e.g.bridge,router,NAT)ordistributedonservers/workstations.
CHX网络和安全软件包可以被配置在网关模式下(如:
桥接、路由、NAT模式),也可以在服务器/工作站上使用。
UpgradesFrom2.xNotes
Generalupgrade(from2.x)notes:
升级到3.0的注意事项:
-priortoinstallingCHX3.0pleaseun-installanypreviousversionsofthepacketfilter.
-请先卸载原来版本的包过滤器,再直接安装CHX3.0即可
-youcanimport2.xfiltersets(.sfdor.cfffiles)
-可以直接把2.x版的过滤规则导入到3.0中(从2.x中导出的*.sfd或者*.cff文件)
-IfAlloworDenyAllwasusedinthepreviousversion'
spoliciesthenanadditionalpacketfilterruleMUSTbeaddedallowingARPtraffic.
-如果AllowAll或者DenyAll这两个规则在早期版本中被使用了,那么在3.0中,必须增加一个allowARP的过滤规则。
-ADial-uporVPNnodewascreatedwithapublicnodefordial-upinterfaces(e.g.modems)andaprivatenodeforVPN
-通过拨号上网的用户,CHX将创建一个publicnode,对于VPN为privatenode。
-TheCHXRMCisnowpartofthemainmanagementconsole
-CHX的RMC现在是主管理单元的一部分
PacketFilterModuleOverview包过滤器模块总览
ThePacketFiltermoduleoffersasimple,flexible,highperformanceIPfilteringmechanism.TheCHXstatefulimplementationisfullydocumentedandallinternalstatetabledetailscanbeviewedviatheCHXStateTableapplication.
包过滤器模块提供了一个简单、灵活、高性能的IP过滤机制。
CHX可以完整记录运行状态,并且所有运行状态的细节可以通过CHX的状态表程序(CHXStateTableapplication)来查看。
MustRead必读
Severalrulesofthumbthatshouldbeunderstoodwhencreatingpacketfilterpolicies:
几则在创建过滤策略时需要注意理解的概念
1.Alltrafficisfirstcheckedagainststaticpacketfilterrules.Ifallowed-thetrafficisthenanalyzedbythestatefulinspectionengineprovidedthestateanalysisoptionsareenabled.
1.所有的数据首先要被静态包过滤规则检测。
如果设置成“允许”,且状态分析选项被打开,那么CHX的“状态检测引擎”SPI就会对数据包进行分析。
2."
Allow"
rulesareProhibitive.ThismeansanythingnotspecifiedintheAllowrulesisautomaticallydropped.
2.默认情况下“Allow”规则是被禁止的。
这就意味着,任何未在“Allow”规则内指定的数据包都将被丢弃。
3.IftheUDP"
pseudo-stateful"
optionisenabledaForceAllowmustbeusedwhenrunningUDPservers(e.g.DNS).
3.如果UDP的“伪状态”选项被打开,而且你的机器上需要运行UDP协议的服务器软件(如:
DNS服务器软件),那么,你必须建立一条“强制允许”的规则,否则你的UDP服务器将不能正常运行。
4.IftheICMP"
optionisenabledaForceAllowmustbeusedwhenunsolicitedICMPtrafficisallowed.
4、如果ICMP的“伪状态”选项被打开,而且你需要允许任意ICMP通信,那么你也需要建立一条“强制允许”的规则。
5.AForceAllowactsasatrumpcardonlywithinthesameprioritycontext.
5、“强制允许”规则在相同优先级的情况下是张王牌(可以破例,可以打破前面的禁止规则)。
6.WithnostaticrulesloadedTCPstatefulinspectionandUDP/ICMPpseudostateanalysisisperformed(ifthestateoptionsareenabled)
6、如果没有静态规则,那么CHX将调用TCP状态检测(SPI)和UDP/ICMP伪状态分析(如果状态分析选项被打开的话)
7.TCPstatefulinspectiondoesnotpreventnewTCPsessionsfrombeingcreated.
7、TCP状态检测并不能够阻止创建新的TCP会话。
8.UDP/ICMPpseudo-stateswilldiscard"
unsolicited"
UDP/ICMPdatagrams.
8、UDP/ICMP伪状态下,会丢弃未经许可的UDP/ICMP数据报。
9.Anydatagramdiscardedbythepacketfilterdriverwillhaveacorrespondingentryinthelogfiles(unlessloggingisexplicitlydisabled).
9、任意被包过滤器规则丢弃的数据报,在日志中都有相应的记载(除非日志功能被关闭)
PacketFilterBasics包过滤基础知识
GenerallyspeakingtherearetwoapproacheswhendefininganIPfilterpolicyforahostornetwork:
通常情况下,为主机或者网络定义的IP过滤策略,只有两种处理办法:
●PROHIBITIVE-Thatwhichisnotexpresslyallowedisprohibited
●禁止-没有明确指出“允许”的,就被禁止
●PERMISSIVE-Thatwhichisnotexpresslyprohibitedisallowed
●允许-没有明确指出“禁止”的,就被允许。
TheCHXPacketFilterarchitectureincorporatesfour"
Actions"
thatcanbeperformedwithinthesameprioritylevel:
在相同优先级下,CHX包过滤体系对数据包有4种可能的处理行为:
1.
Allow
允许
2.
Deny
丢弃
3.
ForceAllow
强制允许
4.
LogOnly
仅记录
TheFollowingholdstruewithinthesameprioritycontext:
1)IfonlyoneormoreAllow-rulesareused,alltherestisprohibited.
2)IfonlyoneormoreDeny-rulesareused,alltherestisallowed.
3)IfthereareAllow-rulesandDeny-rules,alltrafficNOTspecifiedintheAllowrulesisdroppedaswellastrafficspecifiedintheDenyrules.(DenyrulescanoverlapaspacepermittedbyanAllowrule).
4)ToallowsomethingorpartofsomethingwhichhasbeenprohibitedbyanAlloworDeny-rule,aForce-Allow-rulemustbeused.
在相同优先级下,以下结论正确:
1)如果仅有1个或多个“允许”规则起作用,那么其他所有行为都是禁止的
2)如果仅有1个或多个“禁止”规则起作用,那么其他所有行为都是允许的
3)如果既有“允许”规则也有“禁止”规则,所有没在“允许”规则里面定义的数据包都会被丢弃,就像在“禁止”规则里面定义一样(“禁止”规则可以覆盖“允许”规则)。
4)对于某个已经被“禁止”规则禁止的数据包,如果想允许其通过或者部分允许通过,可以通过设定“强制允许”规则来达到目的。
Therearetwopossibleapproacheswhendefiningprohibitiverulesets:
有2种可行的方法来定义“禁止”规则:
a)EnteraDenyALLrulethenspecifypermittedtrafficwithForceAllowrules.
OR
b)DefinepermittedtrafficwithacombinationofAllowrules.(everythingnotspecifiedintheAllowruleswillbeBlocked)
a)建立一条“禁止所有”的规则,然后用“强制允许”规则来排除某些特定的数据包。
或者
b)在“允许”规则中允许特定的数据通过。
(没在“允许”规则中定义的,全部被禁止)
Permissivepoliciesshouldbeavoidedingeneral,buttheyareaccomplishedbymakingexclusiveuseofDenyfilters.
一般来说,最好不要用允许策略,而是在禁止规则里排除。
FilterPriorities过滤器属性
Theprioritycontextallows-amongotherthings-cascadingofDeny/ForceAllowcombinationstoachieveagreaterflexibility.
通过优先级功能,可以实现“禁止”和“强制允许”在功能上的重叠,从而提供了非常大的灵活性。
WithinthesameprioritycontextanAllowrulecanbenegatedwithaDenyrule,andaDenyrulecanbenegatedbyaForceAllowrule.However,thisapproachisnowextendedtoallowahigherpriorityDenytonegateaForceAllow.
在相同优先级的情况下,被“允许”规则放行的数据包能被“禁止”规则阻止,而被“禁止”规则阻止的数据包又能被“强制允许规则”放行。
但是,如果“禁止”规则的优先级较高的话,优先级低的“强制允许”规则就失去作用了。
所以,在设置“强制允许”规则时,要注意优先级。
4
3
2
1
ForceAllowrule
Allowrule
Denyrule
“禁止”/“允许”/“强制允许”规则与优先级关系的示意图
图中,粉色带箭头直线表示数据包的走向。
在没有设定CHX过滤规则的情况下,数据包应该从左侧流入,一直到右侧流出。
即最上面一条粉色直线所指的流向。
如果设定了CHX规则,则有可能会按照朝下方的粉色箭头所指方向流动。
5个方框代表5种优先级。
分别对应:
4——Highest3——High2——Normal1——Low0——Lowest
ConsidertheexampleofaDNSserverCHX-IpolicythatmakesuseofaForceAllowruletoallowANYincomingDNSqueriesoverTCP/UDPport53.Priortoversion2.5theForceAllowactionrepresentedthe"
trumpcard"
takingawaytheflexibilityofspecifyingaparticularIPorrangeofIPsthatshouldbeprohibitedfromaccessingthesamepublicserver.ThiscanbenowachievedbycreatingaDenyrulewithahigherprioritythantheForceAllowrule.
以DNS服务器为例,建立一个策略,利用“强制允许”规则来允许任何入站DNS请求(TCP/UDP的53号端口)。
在CHX2.5版本以前,“强制允许”行为代表着“特权”,牺牲了灵活性,因为他是在所有访问同一个服务器的用户中指定应该禁止的IP或IP范围(如果被禁止的IP很多,且这些IP还有可能发生变化的话,那简直不是人干的活)。
而在CHX3.0中,可以通过建立一条优先级高于“强制允许”规则的“禁止”规则来实现。
这里有个问题,如果有入侵者通过53端口入侵,怎么办?
呵呵,后面的负载过滤可以对每个协议进行过滤,从而可以区分开哪些数据包是正常的,哪些数据包是不正常的(通过建立标准数据包的模板pattern)。
据本人理解:
CHX的包过滤是面向连接的,即对连接(协议+端口)设置过滤规则,从而确定哪些协议、哪些端口的数据可以通行。
而负载过滤则是面向协议的,针对不同的协议,设置不同的数据包模板,某个数据包即使通过了包过滤,但有可能因为注入了邪恶的数据,而造成与标准数据包模板不匹配,就会被负载过滤阻止。
有人说负载过滤是应用层的,其实本人感觉还是包过滤,跟应用层无关,应用层的数据归根结底还要变成数据包进行传输。
Anothercriticalfactorindesigningprioritybasedrulesetsisthe"
order"
inwhichtherulesareapplied.IfaDenyruleissetwiththehighestpriority,andtherearenoForceAllowswithinthesamecontext-thenanypacketmatchingtheDenyruleisautomaticallydroppedandtheremainingrulesareignored.Conversely,ifarulehasthe"
ForceAllow"
withthehighestpriorityflagsetthenanyincomingpacketsmatchingtheForceAllowrulewillbeautomaticallypassedandtheremainingrulesdiscarded.
在基于优先级的规则集中,另一个影响规则作用的重要因素是规则被应用的“顺序”。
如果一个“禁止”规则被定义成最高优先级,且同一规则集内没有其他不低于该优先级的“强制允许”规则,那么当一个数据包匹配了这条“禁止”规则后,该数据包即被丢弃,就不再用后面的规则检测了。
反之,如果一个“强制允许”规则拥有最高优先级,那么任何入站数据包在匹配这条“强制允许”规则后,就会自动进入系统,而不会再继续匹配其后的规则。
(可以参看前一页的示意图)
总结一下,规则的应用顺序是:
先看优先级,先高后低;
同一优先级中,“强制允许”>
“禁止”>
“允许”。
跟定义规则的先后顺序无关。
FilterActionPriority过滤规则中的处理方法及其优先级
Fouractionscanbeperformeduponapacketmatchingthefilterdescription:
●Deny-Theactiondropssilentlythepacket
●Allow-TheactionpassesthepacketanddropseverythingelsenotspecifiedbytheAllowrule(s)
●
LogOnly-Thepacketispassedandtheeventlogged
●ForceAllow-Overridesanyotheractionstatingthecontrary
数据包匹配规则后,在规则定义中有4种可选处理方法:
●禁止–该数据包悄无声息地被丢弃
●允许–该数据包顺利通过,但没在此规则中定义的其他内容全部被丢弃
●记录–该数据包顺利通过,仅在事件日志中留下痕迹
●强制允许–无视禁止规则
Withinthesamepriority
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- chxi 官方 教程
![提示](https://static.bdocx.com/images/bang_tan.gif)