扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
注意,为了使用在服务主机上的FTP代理服务器,用户的过滤路由器必须允许这样的TCP连接,它们源自外部系统的23号端口,目的端口是服务主机的大于1023的端口。对一个通常的堡垒主机,这不成问题,因为其它服务不使用这个端口。然而,对服务主机而言就可能不是这样,这些端口也有可能保留做其它用途。
在任何配置中,进入的用户FTP与进入的Telnet走的是同样的路,在Telnet服务中我们已经决定禁止外部用户进入的Telnet,同样也要禁止外部用户进入的FTP。为什么?因为在子网过滤结构中,当进入的匿名FTP到达堡垒主机时,其风险是可以承受的,然而,进入的匿名FTP到达服务主机时,这种服务所造成的危险是不可估量的,因为这里可能有机密数据和对内部网络的安全访问权限,所以我们也必须禁止它。
SMTP:在主机过滤结构中,可能只有一种办法来建立SMTP服务。进入的邮件应当通过DNSMX记录被引导到服务主机上,外出邮件应当通过服务主机发出。事实上没有其它更合适的办法。正如我们在上面所讨论的那样,让进入邮件直接到达所有的内部机器是不适宜的。同样,一旦已将进入邮件通过一个单一的点引导进来,那么要将外出邮件通过那里发出,比把邮件直接发出实际上更容易(注意不是指更安全)。
NNTP:与SMTP一样,在主机过滤结构中也许只有一种建立NNTP的办法,这就是用另外一台内部机器作为Usenet新闻服务器,并且允许NNTP服务直接通向它。我们将把服务主机当作新闻服务器。然而,最好是干脆放弃新闻服务,当然,这取决于新闻服务会给机器带来多大的负载,以及服务主机的重要程度。
HTTP:正如在前面例子中所说的那样,HTTP可以通过包过滤直接提供,或者通过代理服务器间接地提供。然而,最有意义的还是通过带有缓冲的代理服务器,比如CERNHTTP服务器来间接地提供HTTP服务。这样做的理由是:由于缓冲的作用,性能也就提高了。
在此例中,假定将要通过运行在服务主机上的一个CERN代理服务器来提供HTTP服务。由于风险的原因(这种风险由于服务主机的敏感位置而进一步复杂化了),只提供本地用户向外的服务,对外部来的客户将关闭此项服务。
DNS:与其它大多数服务一样,在主机过滤结构中,实际上只有一个比较合适的地方可以安放DNS服务器,即放在服务主机上。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。