Questo articolo fornisce una panoramica dei firewall. Per capire cos'è un firewall, devi prima capire cos'è Internet.
Internet è una rete di computer simile al web. Alcuni computer (come il tuo laptop) sono specializzati principalmente in attività lato client. Altri (come un server Rackspacecloud) sono specializzati principalmente in attività lato server. Alcuni computer altamente specializzati instradano solo le comunicazioni tra altri computer. Questi computer sono chiamati router e switch .
Pacchetti
I computer comunicano inviando dati in pacchetti . Questi pacchetti sono disponibili in una varietà di dimensioni e "forme", a seconda dei protocolli che seguono. Un pacchetto potrebbe contenere tutte le seguenti informazioni:
- Indirizzo IP di origine :l'indirizzo IP (Internet Protocol) del mittente.
- Indirizzo IP di destinazione :l'indirizzo IP (Internet Protocol) del destinatario.
- Numero di porta di origine :La porta del servizio di invio. Questo numero va da 1 a 65535.
- Numero della porta di destinazione :la porta del servizio ricevente. Questo numero è compreso tra 1 e 65535.
- Protocollo :Il protocollo o il modello seguito dal pacchetto.
- Numero di sequenza :Il numero di sequenza per il pacchetto. Il destinatario usa questi numeri per riassemblare i pacchetti nell'ordine corretto.
- Formato del pacchetto :La dimensione del pacchetto.
- Dati :Il messaggio stesso.
- Somma di controllo :Un controllo che assicura che il pacchetto non sia danneggiato.
Lo scopo di un firewall è bloccare i pacchetti indesiderati e possibilmente dannosi. Un firewall tipico esegue questa attività esaminando le prime sei informazioni nell'elenco precedente, mentre i firewall e gli analizzatori di traffico più sofisticati utilizzano tecniche più avanzate.
Best practice per il firewall
Quando configuri un firewall sul tuo server cloud, devi fare alcuni buchi in esso in modo da poter ricevere comunicazioni dai servizi essenziali.
Identifica le porte per le quali desideri creare regole firewall
Innanzitutto, è necessario identificare da quali comunicazioni provengono e vanno a quei servizi. Puoi trovare queste informazioni guardando i seguenti numeri di porta comuni:
| Porta (protocolli IP) | Servizio/Protocollo |
|---|---|
| 21 (Transfer Control Protocol (TCP)) | Protocollo di trasferimento file (FTP) |
| 22 (TCP e User Datagram Protocol (TCP/UDP)) | Secure Shell e Secure File Transfer Protocol (SSH/SFTP) |
| 25 e 587 | Simple Mail Transfer Protocol (SMTP) |
| 53 (TCP/UDP) | Sistema dei nomi di dominio (DNS) |
| 80 (TCP/UDP) | Protocollo di trasferimento ipertestuale (HTTP) |
| 110 (TCP) | Protocollo dell'ufficio postale (POP3) |
| 143 (TCP/UDP) | Protocollo di accesso ai messaggi Internet (IMAP) |
| 389 (TCP/UDP) | Lightweight Directory Access Protocol (LDAP) |
| 443 (TCP/UDP) | HTTP sicuro (HTTPS) |
| 465 (TCP) | Simple Mail Transfer Protocol Secure (SMTPS) |
| 636 (TCP/UDP) | LDAP protetto (LDAP) |
| 694 (UDP) | Battito cardiaco |
| 873 (TCP) | rsync |
| 3306 (TCP/UDP) | MySQL |
| 5900 (TCP/UDP) | Calcolo di rete virtuale (VNC) |
| 6660-6669 (TCP) | Chat di inoltro Internet (IRC) |
| 8080 (TCP) | Apache® Tomcat® |
I numeri di porta ti consentono di fare buchi nel tuo firewall per i servizi che vuoi aprire al mondo. Ci sono molti numeri di porta aggiuntivi.
Utilizza le whitelist
È importante utilizzare le liste bianche , che sono l'elenco dei servizi che consenti negando tutto il resto.
Ad esempio, se desideri aprire l'accesso al tuo server web e nient'altro, il tuo elenco di regole potrebbe essere simile al seguente:
ALLOW: DestPort=80DENY: ALL
Se desideri consentire anche l'accesso a Secure Shell (SSH), ma solo da un indirizzo IP specifico, il tuo elenco potrebbe essere simile al seguente:
ALLOW: DestPort=22 && SrcIP=1.2.3.4ALLOW: DestPort=80DENY: ALL
La riga che dice DENY: ALL è forse la riga più importante nelle regole del tuo firewall perché blocca tutto ciò che non consenti specificamente. Di solito dovresti posizionare questa riga in basso.
Risorse aggiuntive
Potresti anche trovare utili le seguenti risorse:
-
Best practice per la configurazione delle regole del firewall
-
Introduzione a iptables