如何使用Nmap和Tcpdump测试您的防火墙配置

2 年 ago
新, 韵
9 minutes

引言

为您的基础设施设置防火墙是提供服务安全的好方法。一旦您制定了满意的策略,下一步就是测试您的防火墙规则。重要的是要了解您的防火墙规则是否如您所想,以及外界对您的基础设施的印象如何。

在本指南中,我们将介绍一些工具和技术,您可以使用它们来验证防火墙规则。这些工具与恶意用户可能使用的工具相同,因此您将能够查看他们通过向您的服务器发出请求时可以获取到哪些信息。

先决条件

在本指南中,我们将假设您至少在一台服务器上配置了防火墙。您可以按照这些指南中的一个或多个开始构建您的防火墙策略。

  • IptablesIptables Essentials: Common Firewall Rules and Commands
  • UFWHow To Set Up a Firewall with UFW on Ubuntu 22.04
    UFW Essentials: Common Firewall Rules and Commands
  • FirewallDHow To Set Up a Firewall Using FirewallD on Rocky Linux 9

你也可以配置Silicon Cloud的云防火墙,在Silicon Cloud基础设施上作为附加的外部层来运行。这样,你就不必在服务器本身上配置防火墙了。

在本指南中,我们将称您希望测试的防火墙策略所在的服务器为目标服务器。除了目标服务器,您还需要一个位于您的防火墙保护范围之外的网络中的服务器进行测试。在本指南中,您将使用一个Ubuntu 22.04服务器作为您的审核机器。

一旦您有一台用于测试的服务器和您想要评估的目标,您就可以继续使用本指南。

Warning

警告
您应该仅在您控制的基础设施上执行此指南中规定的活动,目的是进行安全审计。在许多司法管辖区,关于端口扫描的法律不明确。已知有些互联网服务提供商和其他供应商会封禁进行端口扫描的用户。

我们将使用的工具来测试防火墙策略

有很多不同的工具可以用来测试我们的防火墙策略。其中一些工具有重叠的功能。我们不会涵盖所有可能的工具。相反,我们将涵盖一些常见的审计工具类别,并介绍本指南中将使用的工具。

数据包分析器

数据包分析器可以用来详细观察通过接口传输的所有网络流量。大多数数据包分析器都可以选择实时操作,显示发送或接收的数据包,或将数据包信息写入文件,稍后进行处理。数据包分析让您能够以细粒度的方式查看目标机器向开放网络上的主机发送的响应类型。

为了这个指南的目的,我们将使用tcpdump工具。这是一个好选择,因为它在Linux系统上功能强大、灵活,并且无处不在。您将使用它来捕获我们在运行测试时的原始数据包,以备后续分析时使用。其他一些受欢迎的选项包括Wireshark(或其命令行版本tshark)和tcpflow,后者可以有条理地组合整个TCP对话。

端口扫描器

为了产生数据包分析器捕获的流量和响应,您将使用端口扫描器。端口扫描器可以用来构建并发送各种类型的数据包到远程主机,以发现服务器接受的流量类型。恶意用户经常将其作为一种探测工具,试图找到可利用的有漏洞服务(这也是使用防火墙的一部分原因),因此您将使用它来尝试查看攻击者可能发现的内容。

对于这个指南,你将使用nmap网络映射和端口扫描工具。你可以使用nmap发送不同类型的数据包,尝试确定目标机器上有哪些服务以及它所受到的防火墙规则是什么。

设置审计机

在开始之前,请确保我们已安装所需工具。您可以从Ubuntu的软件存储库中获取tcpdump和nmap。运行apt update命令来更新您本地的软件包列表,然后使用apt install命令来安装它们。

  1. sudo apt update
  2. sudo apt install tcpdump nmap

 

接下来,创建一个目录来存储您的扫描结果:

  1. mkdir ~/scan_results

 

为确保您获取干净的结果,请退出您的审计系统和目标系统之间可能打开的任何会话。包括SSH会话、您在Web浏览器中建立的任何HTTP(S)连接等。

扫描您的目标以查找开放的TCP端口 de yǐ chá de TCP

既然我们已经准备好了服务器和文件,你现在可以开始扫描目标主机的开放TCP端口。

实际上,nmap知道如何进行几种TCP扫描。通常最好开始使用的是SYN扫描,也称为“半开放扫描”,因为它实际上没有进行完整的TCP连接协商。攻击者经常使用此方法,因为它不会在某些入侵检测系统上注册,因为它从未完成完整的握手过程。

设置数据包捕获

在进行扫描之前,你需要先设置tcpdump来捕获测试生成的流量。如果需要的话,这将帮助你更深入地分析发送和接收的数据包。在~/scan_results目录中创建一个文件夹,以便将与你的SYN扫描相关的文件放在一起。

  1. mkdir ~/scan_results/syn_scan

 

您可以使用以下命令启动tcpdump抓包,并将结果写入到您的~/scan_results/syn_scan目录中的文件。

  1. sudo tcpdump host target_ip_addr -w ~/scan_results/syn_scan/packets

 

默认情况下,tcpdump将在前台运行。为了在同一窗口中运行您的nmap扫描,您需要暂停tcpdump进程,然后将其在后台重新启动。

我们可以通过按下CTRL-Z来暂停运行中的进程。

Output

^Z [1]+ Stopped sudo tcpdump host target_ip_addr -w ~/scan_results/syn_scan/packets

现在,你可以输入“bg”来在后台重新启动工作。

  1. bg

 

你应该得到一行类似的输出,这次没有“停止”标签,并且在结尾有一个“&”符号来表示该进程将在后台运行(即不再阻塞你的终端)。

Output

[1]+ sudo tcpdump host target_ip_addr -w ~/scan_results/syn_scan/packets &

命令目前正在后台运行,监听您的审核和目标机器之间的任何数据包。现在我们可以进行SYN扫描了。

进行 SYN 扫描

使用tcpdump记录您的流量到目标机器后,您可以开始运行nmap。您可以使用以下标志运行nmap:

  • -sS: This starts a SYN scan. This is technically the default scan that nmap will perform if no scan type is given, but we will include it here to be explicit.
  • -Pn: This tells nmap to skip the host discovery step, which would abort the test early if the host doesn’t respond to a ping. Since you know that the target is online, you can skip this.
  • -p-: By default, SYN scans will only try the 1000 most commonly used ports. This tells nmap to check every available port.
  • -T4: This sets a timing profile for nmap, telling it to speed up the test at the risk of slightly less accurate results. 0 is the slowest and 5 is the fastest. Since you’re scanning every port, you can use this as your baseline and re-check any ports later that might have been reported incorrectly.
  • -vv: This increases the verbosity of the output.
  • –reason: This tells nmap to provide the reason that a port’s state was reported a certain way.
  • -oN: This writes the results to a file that you can use for later analysis.

Note

注意:要检查IPv6,您需要在您的命令中添加“-6”标志…

一起,指令会是这样的形式:

  1. sudo nmap -sS -Pn -p- -T4 -vv –reason -oN ~/scan_results/syn_scan/nmap.results target_ip_addr

 

尽管将时序模板设定为4,但由于要扫描 65535 个端口,扫描很可能需要相当长的时间。将会逐渐开始打印出类似这样的结果。

Output

Starting Nmap 6.49BETA4 ( https://nmap.org ) at 2022-12-19 16:54 EDT Initiating Parallel DNS resolution of 1 host. at 16:54 Completed Parallel DNS resolution of 1 host. at 16:54, 0.12s elapsed Initiating SYN Stealth Scan at 16:54 Scanning 198.51.100.15 [65535 ports] Discovered open port 22/tcp on 198.51.100.15 Discovered open port 80/tcp on 198.51.100.15 SYN Stealth Scan Timing: About 6.16% done; ETC: 17:02 (0:07:52 remaining) SYN Stealth Scan Timing: About 8.60% done; ETC: 17:06 (0:10:48 remaining) . . .

停止tcpdump的数据包捕获

扫描完成后,您可以将tcpdump进程调至前台并停止它。

通过运行fg命令将其从后台调至前台。

  1. fg

 

按下 Ctrl+C 键来停止正在运行的进程。

分析结果

现在你的~/scan_results/syn_scan目录中应该有两个文件。一个是由tcpdump运行生成的名为packets的文件,另一个是由nmap生成的名为nmap.results的文件。

让我们首先看一下nmap.results文件:

  1. less ~/scan_results/syn_scan/nmap.results

 

~/scan_results/syn_scan/nmap.results的中文翻译选项如下:
~/扫描结果/ SYN扫描/nmap结果
# Nmap 6.49BETA4 scan initiated Mon Dec 19 17:05:13 2022 as: nmap -sS -Pn -p- -T4 -vv --reason -oN /home/user/scan_results/syn_scan/nmap.results 198.51.100.15
Increasing send delay for 198.51.100.15 from 0 to 5 due to 9226 out of 23064 dropped probes since last increase.
Increasing send delay for 198.51.100.15 from 5 to 10 due to 14 out of 34 dropped probes since last increase.
Nmap scan report for 198.51.100.15
Host is up, received user-set (0.00097s latency).
Scanned at 2022-12-19 17:05:13 EDT for 2337s
Not shown: 65533 closed ports
Reason: 65533 resets
PORT   STATE SERVICE REASON
22/tcp open  ssh     syn-ack ttl 63
80/tcp open  http    syn-ack ttl 63

Read data files from: /usr/local/bin/../share/nmap
# Nmap done at Mon Dec 19 17:44:10 2022 -- 1 IP address (1 host up) scanned in 2336.85 seconds

上面的亮点区域包含了扫描的主要结果。通过这些结果,我们可以推断扫描的主机开放了22端口和80端口,以便允许SSH和HTTP流量。我们还可以观察到,共有65,533个端口关闭了。另一个可能的结果是”filtered”,这意味着这些端口被识别为在网络路径上被某种因素阻止了。这可能是目标主机上的防火墙,也可能是审核机器和目标机器之间的任何中间主机上的过滤规则。

要查看发送和接收到目标的实际数据包流量,您可以将数据包文件重新读入tcpdump,就像这样:

  1. sudo tcpdump -nn -r ~/scan_results/syn_scan/packets | less

 

这个文件包含了两个主持人之间的全部对话内容。你可以通过多种方式进行筛选。

这个档案记录了两位主持人之间完整的对话内容。你可以使用多种方式进行筛选。

例如,如果要查看仅发送到目标的流量,可以输入:

  1. sudo tcpdump -nn -r ~/scan_results/syn_scan/packets ‘dst target_ip_addr | less

 

同样地,你可以将目的地(dst)改为源地址(src),只查看响应流量。

  1. sudo tcpdump -nn -r ~/scan_results/syn_scan/packets ‘src target_ip_addr | less

 

打开的TCP端口会用SYN包响应这些请求。我们可以直接通过类似这样的过滤器搜索此类型的响应。

  1. sudo tcpdump -nn -r ~/scan_results/syn_scan/packets ‘src target_ip_addr and tcp[tcpflags] & tcp-syn != 0′ | less

 

这将只显示成功的SYN响应,并应与您在nmap运行中看到的端口匹配。

Output

reading from file packets, link-type EN10MB (Ethernet) 17:05:13.557597 IP 198.51.100.15.22 > 198.51.100.2.63872: Flags [S.], seq 2144564104, ack 4206039348, win 29200, options [mss 1460], length 0 17:05:13.558085 IP 198.51.100.15.80 > 198.51.100.2.63872: Flags [S.], seq 3550723926, ack 4206039348, win 29200, options [mss 1460], length 0

在你认为合适的情况下,你可以对这些数据进行更多的分析。这些数据已经被捕捉并用于异步处理和分析。

扫描您的目标以查找开放的UDP端口

既然你已经掌握了如何运行这些测试,你可以完成类似的流程来扫描开放的UDP端口。

设置数据包捕获

再次创建一个目录来保存你的结果。

  1. mkdir ~/scan_results/udp_scan

 

重新开始一个tcpdump的捕获。这次,将文件写入新的~/scan_results/udp_scan目录中。

  1. sudo tcpdump host target_ip_addr -w ~/scan_results/udp_scan/packets

 

暂停进程并将其放入后台,可通过输入Ctrl+Z然后运行bg命令实现。

  1. bg

 

进行UDP扫描

现在你已经准备好进行UDP扫描了。由于UDP协议的特性,这种扫描通常比SYN扫描花费更长时间。事实上,如果你正在扫描系统上的每个端口,可能需要超过一天的时间。UDP是一种无连接的协议,所以不收到响应可能意味着目标端口被阻塞,已被接受,或者数据包丢失。为了区分这些情况,nmap必须重新传输额外的数据包以尝试获得响应。

大多数的旗帜与您用于SYN扫描时一样。实际上,唯一新增的旗帜是:

  • -sU: This tells nmap to perform a UDP scan.

加快 UDP 测试速度

如果您担心这个测试所需的时间,您可能只想先测试一部分UDP端口。您可以通过不使用“-p-”标志来仅测试最常见的1000个端口。这样可以大大缩短扫描时间。但如果您想要完整的画面,您之后还需要回来扫描整个端口范围。

因为你正在扫描自己的基础设施,可能加快UDP扫描的最佳选择是在目标系统上暂时禁用ICMP速率限制。通常,Linux主机将ICMP响应限制为每秒1个(这通常是一件好事,但不适用于我们的审计),这意味着完整的UDP扫描将需要超过18个小时。你可以通过输入以下命令来检查目标机器上的此设置:

  1. sudo sysctl net.ipv4.icmp_ratelimit

 

Output

net.ipv4.icmp_ratelimit = 1000

“1000” 是响应之间的毫秒数。您可以通过输入以下命令在目标系统上暂时禁用此速率限制:

  1. sudo sysctl -w net.ipv4.icmp_ratelimit=0

 

在你的测试之后,恢复这个值非常重要。

进行测试

确保将结果写入~/scan_results/udp_scan目录中。总的来说,命令应该是这样的:

  1. sudo nmap -sU -Pn -p- -T4 -vv –reason -oN ~/scan_results/udp_scan/nmap.results target_ip_addr

 

扫描完成后,您应该将目标机器上的ICMP速率限制恢复到原来的设置(如果您进行了修改)。

  1. sudo sysctl -w net.ipv4.icmp_ratelimit=1000

 

停止tcpdump数据包捕获

通过运行fg命令,将tcpdump进程恢复到您的审计机器的前台。

  1. fg

 

然后,使用Ctrl+C停止数据包捕获。

分析结果

现在,你可以看一下生成的文件。

生成的nmap.results文件应该与上次的结果类似。

  1. less ~/scan_results/udp_scan/nmap.results

 

~/scan_results/udp_scan/nmap.results 文件中的内容
# Nmap 6.49BETA4 scan initiated Mon Dec 19 12:42:42 2022 as: nmap -sU -Pn -p- -T4 -vv --reason -oN /home/user/scan_results/udp_scan/nmap.results 198.51.100.15
Increasing send delay for 198.51.100.15 from 0 to 50 due to 10445 out of 26111 dropped probes since last increase.
Increasing send delay for 198.51.100.15 from 50 to 100 due to 11 out of 23 dropped probes since last increase.
Increasing send delay for 198.51.100.15 from 100 to 200 due to 3427 out of 8567 dropped probes since last increase.
Nmap scan report for 198.51.100.15
Host is up, received user-set (0.0010s latency).
Scanned at 2022-12-19 12:42:42 EDT for 9956s
Not shown: 65532 closed ports
Reason: 65532 port-unreaches
PORT    STATE         SERVICE REASON
22/udp  open|filtered ssh     no-response
80/udp  open|filtered http    no-response
443/udp open|filtered https   no-response

Read data files from: /usr/local/bin/../share/nmap
# Nmap done at Mon Dec 19 15:28:39 2022 -- 1 IP address (1 host up) scanned in 9956.97 seconds

这个结果与之前的 SYN 结果之间的一个关键差异可能是标记为开放或过滤的端口数量。这意味着nmap无法确定缺乏响应是因为服务接受了流量还是因为沿途存在防火墙或过滤机制导致被丢弃。

分析tcpdump输出也更加困难,因为没有连接标志,并且你必须将ICMP响应与UDP请求匹配起来。

您可以通过查看报告的端口之一的UDP流量来查看nmap需要发送多少个数据包来达到这些被报告为开放|筛选的端口。

  1. sudo tcpdump -nn -Q out -r ~/scan_results/udp_scan/packets ‘udp and port 22’

 

Output

reading from file /home/user/scan_results/udp_scan/packets, link-type EN10MB (Ethernet) 14:57:40.801956 IP 198.51.100.2.60181 > 198.51.100.15.22: UDP, length 0 14:57:41.002364 IP 198.51.100.2.60182 > 198.51.100.15.22: UDP, length 0 14:57:41.202702 IP 198.51.100.2.60183 > 198.51.100.15.22: UDP, length 0 14:57:41.403099 IP 198.51.100.2.60184 > 198.51.100.15.22: UDP, length 0 14:57:41.603431 IP 198.51.100.2.60185 > 198.51.100.15.22: UDP, length 0 14:57:41.803885 IP 198.51.100.2.60186 > 198.51.100.15.22: UDP, length 0

将此与其中一个标记为“关闭”的扫描端口的结果进行比较。

  1. sudo tcpdump -nn -Q out -r ~/scan_results/udp_scan/packets ‘udp and port 53’

 

Output

reading from file /home/user/scan_results/udp_scan/packets, link-type EN10MB (Ethernet) 13:37:24.219270 IP 198.51.100.2.60181 > 198.51.100.15.53: 0 stat [0q] (12)

你可以尝试手动重构nmap的过程,首先编译一个我们发送UDP数据包的所有端口的列表,可以像这样使用:

  1. sudo tcpdump -nn -Q out -r ~/scan_results/udp_scan/packets “udp” | awk ‘{print $5;}’ | awk ‘BEGIN { FS = “.” } ; { print $5 +0}’ | sort -u | tee outgoing

 

然后你可以看到我们收到的ICMP包,其中说明了端口不可达。

  1. sudo tcpdump -nn -Q in -r ~/scan_results/udp_scan/packets “icmp” | awk ‘{print $10,$11}’ | grep unreachable | awk ‘{print $1}’ | sort -u | tee response

 

你可以将这两个回应进行比对,看看哪些UDP数据包没有收到ICMP回应。

  1. comm -3 outgoing response

 

这应该大部分与nmap报告的端口列表相匹配(可能包含一些从丢失的返回数据包中产生的虚报)。

主机和服务发现

您可以对目标进行一些额外的测试,以确定nmap是否能够识别出操作系统或服务版本。创建一个目录来保存您的版本结果。

  1. mkdir ~/scan_results/versions

 

发现服务器上的服务版本

你可以尝试通过一种被称为指纹识别的过程来猜测目标服务的版本。你从服务器上获取信息,并将其与我们数据库中的已知版本进行比较。

在这种情况下,使用tcpdump可能没有太大的用处,所以你可以跳过它。如果你仍然想要捕获它,可以按照上一次使用的步骤进行。

您需要使用的nmap扫描是通过-sV标志触发的。由于您已经进行了SYN和UDP扫描,可以将需要查看的确切端口传递给-p标志。在这里,您将查看22和80端口(这些端口在我们的SYN扫描中显示出来)。

  1. sudo nmap -sV -Pn -p 22,80 -vv –reason -oN ~/scan_results/versions/service_versions.nmap target_ip_addr

 

如果您查看生成的文件,根据服务的响应程度,您可以获取有关正在运行的服务的信息的情况。

  1. less ~/scan_results/versions/service_versions.nmap

 

~/scan_results/versions/service_versions.nmap 的内容
# Nmap 6.49BETA4 scan initiated Mon Dec 19 15:46:12 2022 as: nmap -sV -Pn -p 22,80 -vv --reason -oN /home/user/scan_results/versions/service_versions.nmap 198.51.100.15
Nmap scan report for 198.51.100.15
Host is up, received user-set (0.0011s latency).
Scanned at 2022-12-19 15:46:13 EDT for 8s
PORT   STATE SERVICE REASON         VERSION
22/tcp open  ssh     syn-ack ttl 63 OpenSSH 6.6.1p1 Ubuntu 2ubuntu2 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    syn-ack ttl 63 nginx 1.4.6 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Read data files from: /usr/local/bin/../share/nmap
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Mon Dec 19 15:46:21 2022 -- 1 IP address (1 host up) scanned in 8.81 seconds

在这里,你可以看到测试能够识别出SSH服务器的版本和打包它的Linux发行版,同时也识别出了所接受的SSH协议版本。它还能够识别出Nginx的版本,并确认与Ubuntu的一个包匹配。

发现主机操作系统

你可以尝试使用nmap根据软件和响应特征来猜测主机操作系统。这与服务版本探测的方式相同。同样,我们将在这个测试中省略tcpdump运行,但如果你愿意,你可以执行它。

你需要执行操作系统检测的标志是-O(大写字母“O”)。完整的命令可能是这样的:

  1. sudo nmap -O -Pn -vv –reason -oN ~/scan_results/versions/os_version.nmap target_ip_addr

 

如果您查看输出文件,可能会看到类似如下的内容:

  1. less ~/scan_results/versions/os_version.nmap

 

~/scan_results/versions/os_versions.nmap 总结
# Nmap 6.49BETA4 scan initiated Mon Dec 19 15:53:54 2022 as: nmap -O -Pn -vv --reason -oN /home/user/scan_results/versions/os_version.nmap 198.51.100.15
Increasing send delay for 198.51.100.15 from 0 to 5 due to 65 out of 215 dropped probes since last increase.
Increasing send delay for 198.51.100.15 from 5 to 10 due to 11 out of 36 dropped probes since last increase.
Increasing send delay for 198.51.100.15 from 10 to 20 due to 11 out of 35 dropped probes since last increase.
Increasing send delay for 198.51.100.15 from 20 to 40 due to 11 out of 29 dropped probes since last increase.
Increasing send delay for 198.51.100.15 from 40 to 80 due to 11 out of 31 dropped probes since last increase.
Nmap scan report for 198.51.100.15
Host is up, received user-set (0.0012s latency).
Scanned at 2022-12-19 15:53:54 EDT for 30s
Not shown: 998 closed ports
Reason: 998 resets
PORT   STATE SERVICE REASON
22/tcp open  ssh     syn-ack ttl 63
80/tcp open  http    syn-ack ttl 63
No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=6.49BETA4%E=4%D=8/27%OT=22%CT=1%CU=40800%PV=N%DS=2%DC=I%G=Y%TM=55
OS:DF6AF0%P=x86_64-unknown-linux-gnu)SEQ(SP=F5%GCD=1%ISR=106%TI=Z%CI=Z%TS=8
OS:)OPS(O1=M5B4ST11NW8%O2=M5B4ST11NW8%O3=M5B4NNT11NW8%O4=M5B4ST11NW8%O5=M5B
OS:4ST11NW8%O6=M5B4ST11)WIN(W1=7120%W2=7120%W3=7120%W4=7120%W5=7120%W6=7120
OS:)ECN(R=Y%DF=Y%T=40%W=7210%O=M5B4NNSNW8%CC=Y%Q=)T1(R=Y%DF=Y%T=40%S=O%A=S+
OS:%F=AS%RD=0%Q=)T2(R=N)T3(R=N)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)
OS:T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=40%W=0%S=A%A
OS:=Z%F=R%O=%RD=0%Q=)T7(R=N)U1(R=Y%DF=N%T=40%IPL=164%UN=0%RIPL=G%RID=G%RIPC
OS:K=G%RUCK=G%RUD=G)U1(R=N)IE(R=N)

Uptime guess: 1.057 days (since Mon Dec 12 14:32:23 2022)
Network Distance: 2 hops
TCP Sequence Prediction: Difficulty=245 (Good luck!)
IP ID Sequence Generation: All zeros

Read data files from: /usr/local/bin/../share/nmap
OS detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Mon Dec 12 15:54:24 2022 -- 1 IP address (1 host up) scanned in 30.94 seconds

我们可以看到,在这种情况下,nmap根据它所看到的特征信息无法猜测操作系统。如果它收到更多信息,可能会显示各种百分比,这些百分比表示目标机器的特征信息与其数据库中的操作系统特征信息的匹配程度。您可以在TCP/IP指纹:行下方看到nmap从目标处收到的指纹特征信息。

操作系统识别可以帮助攻击者确定系统上可能有用的漏洞。将防火墙配置为对较少的查询做出响应可以阻碍部分这些检测方法的准确性。

结论是

通过测试您的防火墙并了解您内部网络对外部攻击者的情况可以帮助降低风险。从测试您自己的基础设施中获得的信息可能会引发关于是否需要重新审查某些策略决定以增加安全性的讨论。它还可以揭示由于规则排序不正确或遗忘测试策略而导致的安全漏洞。建议定期使用最新的扫描数据库来测试您的策略,以改善或至少维持您当前的安全级别。

检查这份指南,以获得一些关于你的防火墙的政策改进的想法。

广告
将在 10 秒后关闭
bannerAds