目录:
- Netcat可以测试某些防火墙规则,而无需直接测试生产系统。例如,您可以检查防火墙是否允许通过端口23(telnet)。请按照以下步骤查看是否可以通过端口23建立连接:
- 针对防火墙规则库漏洞的对策
- 在您的防火墙(和路由器,如果需要)上设置规则,只传递绝对必须通过的流量。例如,具有允许到内部Web服务器的HTTP入站流量,到电子邮件服务器的SMTP入站流量和用于外部Web访问的HTTP出站流量的规则。
视频: 【网络安全】2019最新 Web安全渗透测试工程师 P1 day01 WEB安全基础 2024
作为您的道德黑客攻击的一部分,您可以测试防火墙规则以确保其符合要求。防火墙中的违规行为很容易危及您在安全方面的最大努力。一些测试可以验证你的防火墙实际上做了它所做的事情。您可以在打开的端口上通过防火墙进行连接,但是可以打开的端口又不应该是什么?
<! NetcatNetcat可以测试某些防火墙规则,而无需直接测试生产系统。例如,您可以检查防火墙是否允许通过端口23(telnet)。请按照以下步骤查看是否可以通过端口23建立连接:
在网络中的
-
内的客户端计算机 上加载Netcat。 设置出站连接。
在防火墙之外的测试计算机
-
上加载Netcat。
例如,如果您正在测试端口23,请输入以下命令:
-
nc -l -p 23 cmd。 exe
输入Netcat命令在测试(外部)机器上启动入站会话。您必须包含以下信息:
-
您正在测试的内部机器的IP地址
您正在测试的端口号-
例如,如果内部(客户端)机器的IP地址是10。 11. 12. 2和端口是23,输入这个命令:
-
nc -v 10. 11. 12. 2 23
如果Netcat提供给你一个新的命令提示符(这就是cmd.exe的用途在步骤3)在外部机器上,您已连接并可以在内部机器上执行命令!这可以用于多种目的,包括测试防火墙规则,网络地址转换(NAT),端口转发以及 - 在远程系统上执行命令 - 呃, AlgoSec防火墙分析仪
-
AlgoSec的防火墙分析仪是一款商业工具,效果显着。 AlgoSec防火墙分析器和Athena Firewall Grader等类似防火墙分析器允许您对所有主要供应商的防火墙规则库进行深入分析,发现安全漏洞和低效率,否则您将无法发现。
防火墙规则库分析与软件源代码分析非常相似 - 即使从互联网和内部网络进行深入的道德黑客测试,人们也很可能永远也看不到漏洞。如果您从未执行防火墙规则库分析,那么这是必须的!
针对防火墙规则库漏洞的对策
以下对策可以防止黑客测试您的防火墙:
执行防火墙规则库审计。你不能保证你不承认的东西。没有比防火墙规则库更好的例子。无论您的规则库如何看似简单,使用自动化工具验证您的工作从未受伤。
将流量限制在所需的范围内。
在您的防火墙(和路由器,如果需要)上设置规则,只传递绝对必须通过的流量。例如,具有允许到内部Web服务器的HTTP入站流量,到电子邮件服务器的SMTP入站流量和用于外部Web访问的HTTP出站流量的规则。
这是防止某人在您的防火墙上执行攻击的最佳防御措施。
-
阻止ICMP阻止外部攻击者戳动网络,查看哪些主机处于活动状态。 在防火墙上启用状态数据包检查以阻止未经请求的请求。
-
