1. 首页 / 资源

PIX访问控制列表和内容过滤(4)

PIX访问控制列表和内容过滤(4)

PIX访问控制列表和内容过滤(4) 四、恶意活动代码过滤   www.zhishiwu.com  1、Java Applet过滤     Java程序可能成为入侵内部系统的途径。为了解决该问题,通过启用Java过滤可以阻止内部系统下载Java applets。当允许访问80端口(HTTP)时,就有可能下载Java applets。某些Java applets可能包含隐藏代码,会破坏位于内部网络中的数据。     PIX防火墙的Java applet过滤可以针对每个客户端或者每个IP地址来阻止Java应用程序。当启用了Java过滤,PIX防火墙将搜索程序中的“cafe babe”字符串。一旦找到该字符串,防火墙将拒绝这个Java applet。典型的Java类代码段如下:00000000:cafe babe 003 002d 0099 0900 8345 0098 2、ActiveX过滤     ActiveX控件,作为对象连接和嵌入(OLE)控件(OCX)的前身,是一种可以被嵌入在web页面中的小程序,经常用在动画后者其他应用程序中。ActiveX控件因提供了攻击服务器的途径而带来安全问题。因此,可以使用PIX防火墙阻止所有的ActiveX控件。     使用filter activex | java命令将过滤出站数据包中的ActiveX或者Java应用。     filter activex | java命令的语法如下:filter activex | java port [-port] local_ip mask foreign_ip mask●activex--用于阻止出站数据包中的ActiveX和其他HTML<object>标签●java--用于阻止从出站连接返回的Java applets●port--在PIX防火墙上接收Internet流量的端口●local_ip--能访问的具有最高安全级别的接口的IP地址●mask--通配符掩码●foreign_ip--能访问的具有最低安全级别的接口的IP地址     当用户访问由alias命令指向的IP地址时,将不进行ActiveX过滤。     filter命令可以开启或关闭出站URL或HTML的过滤。下面列出了一些命令,用来过滤网络中来自内部主机到外部主机在80端口的ActiveX控件。pixfirewall(config)#filter activex 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 五、URL过滤  www.zhishiwu.com       URL过滤应用程序能够为PIX防火墙提供URL过滤,能更有效地监视和控制网络流量。由于PIX防火墙本身没有URL过滤功能,所以必须通过使用URL过滤应用程序来过滤特定地URL。可以使PIX防火墙与WebSense或者N2H2 URL过滤应用程序合作来实现这个目的。     当PIX防火墙收到来自用户访问某URL的请求时,将查询URL过滤服务器来决定是否返回这个URL请求。而URL过滤服务器检查其配置来决定是否过滤该URL。如果该URL应该被过滤掉,那么URL过滤应用程序将显示出过滤信息或者使用户请求到某个指定的web站点的URL。     在使用URL过滤之前,必须至少指定一台服务器用来运行WebSense或N2H2 URL过滤应用程序,最多指定16台URL服务器。每次只能使用N2H2或WebSense中的一种应用程序。另外,在PIX防火墙上改动配置不会更新应用服务器的配置,必须依照各个厂商的说明书分别配置。     使用url-server命令来指定运行URL过滤服务的服务器,然后使用filter url命令来启用URL过滤服务。     WebSense中url-server命令的语法如下:url-server [(if_name)] vendor websense host local_ip [timeout seconds] [protocol TCP | UDP version [1 | 4]●if_name--认证服务器所在的网络接口名称。如果没有指定,缺省是inside。●vendor websense--指明URL过滤服务的厂商是WebSense●host local_ip--运行URL过滤应用程序的服务器●timeout seconds--在PIX防火墙切换到下一个指定的服务器前所允许的最大空闲时间。缺省为5秒。●protocol--可以使用TCP或UDP关键字来配置的协议。缺省为版本1的TCP协议。●version--可以使用关键字1或4来配置的协议版本。缺省是TCP协议,版本为1。TCP协议可以使用版本1或4,UDP协议只能使用版本4。     N2H2中url-server命令的语法如下:url-server [(if_name)] vendor n2h2 host local_ip [port number] [timeout seconds] [protocol TCP | UDP]●if_name--认证服务器所在的网络接口名称。如果没有指定,缺省是inside。●vendor n2h2--指明URL过滤服务的厂商是N2H2●host local_ip--运行URL过滤应用程序的服务器●port number--N2H2服务器端口。另外,PIX防火墙在该端口上监听UDP答复。缺省的端口号是4005●timeout seconds--在PIX防火墙切换到下一个指定的服务器前所允许的最大空闲时间。缺省为5秒。●protocol--可以使用TCP或UDP关键字来配置的协议。缺省为TCP     在指定完运行URL过滤应用程序的服务器后,使用filter url|ftp|https命令让PIX防火墙向该服务器发送适当的请求以便进行过滤。在版本为6.3的PIX防火墙上除了旧版本中所具有的URL过滤外,还支持FTP和HTTPS过滤。     下面例子中的命令的作用是让PIX防火墙向URL过滤服务器发送所有要被过滤的URL请求。在PIX防火墙上使用URL过滤时,filter命令中的allow选项至关重要。在URL过滤服务器处于离线状态时,如果使用了allow选项,PIX防火墙将不进行过滤而使所有URL请求继续前进;但是如果未使用allow选项,所有80端口的URL请求都将被阻止,直到服务器重新在线为止。pixfirewall(config)#filter url http 0 0 0 0 allow     filter url|ftp|https命令的语法如下:filter url port [-port] | except local_ip local_mask foreign_ip foreign_mask [allow] [proxy-block] [longurl-truncate | longurl-deny][cgi-truncate]filter ftp port local_ip local_mask foreign_ip foreign_mask [allow] [interact-block]filter https port local_ip local_mask foreign_ip foreign_mask [allow]●url--从通过PIX防火墙的数据中过滤URL●ftp--从通过PIX防火墙的数据中过滤FTP地址●https--从通过PIX防火墙的数据中过滤HTTPS地址●port--在PIX防火墙上接收Internet流量的端口。典型的端口是80,但是也可以使用其他值。可以使用http或url来代替80端口●except--在以前的过滤条件下创建例外●local_ip--可以访问的具有最高安全级别的接口的IP地址●local_mask--local_ip的网络掩码●foreign_ip--可以访问的具有最低安全级别的接口的IP地址●foreign_mask--foreign_ip的网络掩码●allow--当URL过滤服务器不能用时,使出站连接不进行过滤就能通过PIX防火墙●proxy-block--防止用户连接到HTTP代理服务器●interact-block--防止用户通过交互式FTP程序连接到FTP服务器●longurl-truncate--无论URL缓存是否可用,都允许出站URL流量●longurl-deny--如果URL超出URL缓存大小的极限或者URL缓存不可用,拒绝URL请求●cgi-truncate--把CGI教本当作URL发送 长URL过滤     在版本为6.1和更早版本的PIX防火墙上,无法过滤大于1159字节的URL。在版本为6.2和更高版本的PIX防火墙上,用WebSense过滤服务器最多可以过滤长达4096字节的URL。还可以使用url-block url-size命令来增加所允许的单一URL的最大长度(只能用于WebSense)。     当用户发出一个长URL请求时,PIX防火墙会把该长URL拆成多个IP数据包并拷贝到缓存中。该URL随后通过TCP被发送到WebSense服务器上。可以使用url-block url-mempool命令来配置可供长URL使用的最大缓存。使用url-block url-size和url-block url-mempool这两个命令的no格式可以删除它们。     PIX防火墙不支持用于WebSense UDP服务器的长URL。     如果一个URL的长度仍然超出所允许的最大长度或者URL缓存不可用,可以在filter url命令中使用其他新选项来控制这种行为。当URL的长度超过了所允许的最大长度时,longurl-truncate选项将使PIX防火墙只向过滤服务器发送URL中的主机名或IP地址作为判断依据,longurl-deny选项用来阻止出站URL流量。     如果一个长URL请求是一个CGI请求,使用filter url命令中的新选项cgi-truncate可以加快其处理过程。当启用cgi-truncate选项时,PIX防火墙只向WebSense服务器传递CGI脚本名及位置作为URL。PIX防火墙省略了可能很长的参数列表。     在版本为6.2的PIX防火墙上,用url-block block命令可以使PIX防火墙在收到过滤服务器的响应前,把来自web服务器的响应记录在缓存中。这将减少客户端等待HTTP响应的时间。而在版本6.1或者更早的PIX防火墙上,来自web服务器的响应在收到过滤服务器的响应之前将被丢弃,从而导致客户端不得不等待web服务器重新发送响应。响应缓存特性是与WebSense和N2H2这两个过滤应用程序一起产生作用的。使用url-block block命令的no格式可以关闭响应缓存特性。     在版本为6.2的PIX防火墙上,用于N2H2过滤服务器时最大可支持1159字节的URL。     url-block命令的语法如下:url-block url-mempool memory_pool_sizeurl-block url-size long_url_sizeurl-block block block_buffer_limit●memory_pool_size--在2到10MB之间的最大可分配内存,取值范围为2到10000之间●long_url_size--允许的最大URL长度,取值范围在2到6KB之间●block_buffer_limit--在HTTP响应缓存中所允许的块数的最大值     下面说明了启用长URL过滤所需要的配置:pixfirewall(config)#url-server (inside) vendor Websense host 10.0.0.30 timeout 5 protocol TCP version 1pixfirewall(config)#filter url http 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 longurltruncate cgi-truncatepixfirewall(config)#url-block url-mempool 1500pixfirewall(config)#url-block url-size 4
 

相关推荐

  • 清屏dos命令 | 清屏命令是

    清屏dos命令 | 清屏命令是

    清屏dos命令 | 清屏命令是,命令,指令,退出,中断,删除,1. cmd清屏指令Ctrl + a 光标到开头 Ctrl + c 中断当前程序 Ctrl + d 退出当前窗口或当前用户 Ctrl + e 光标到结尾 Ctrl + l 清屏 相当与clear Ctrl + u 剪切、删除(光标以前的)内容 Ctrl + k 剪切、删除(光标以...

  • 电脑怎么连接ftp服务器 | 怎么连接ftp服务器

    电脑怎么连接ftp服务器 | 怎么连接ftp服务器

    电脑怎么连接ftp服务器 | 怎么连接ftp服务器,服务器,连接,防火墙,客户端,设置,1. 电脑怎样连接ftp服务器考虑以下原因:1、防火墙挡住了2、没有查看内容的权限3、网管屏蔽了FTP端口默认是pasv模式,因为服务端防火墙的设置,客户端不能用pasv模式,将设置中的pasv模式置为空,就正常了FTP连接服务器失败的原因一般有以下几种:1、网络不通导致FTP连接服务器失败有时可能是由服务器或者电脑本...

  • cad快捷键命令画矩形 | 矩形快捷键CAD

    cad快捷键命令画矩形 | 矩形快捷键CAD

    cad快捷键命令画矩形 | 矩形快捷键CAD,快捷键,命令,画矩形,命令大全,角点,1. cad矩形快捷键命令大全cad长方形的快捷键是rec。绘制方法:输入rec空格,用鼠标点击矩形的一个角点,然后点击矩形另一个角点即可。凡是用鼠标点击确定的角点都可以通过直接输入坐标值或相对坐标的方法获得。矩形命令的选项介绍如下:倒角(C):设置矩形角的倒角距离。标高(E):确定矩形在三维空间内的基面高度。圆角(F...

  • 编程得用什么配置的电脑 | 搞编程的电脑要什么配置

    编程得用什么配置的电脑 | 搞编程的电脑要什么配置

    编程得用什么配置的电脑 | 搞编程的电脑要什么配置,编程,配置,电脑配置,推荐,显卡,1. 编程需要什么样的电脑配置才能用cnc编程电脑配置要求2020:CPUAMD Phenom X3 8450 585,主板技嘉 GA-MA790GP-DS4H 899,内存金泰克 磐虎2G DDR2 800*2。最主要的是CPU,显卡这3块,推荐CPU英特尔i3处理器以上,不然计算速度会很慢,独立显卡显存1G以上,内...

  • dolphin模拟器pc设置 | dolphin模拟器配置

    dolphin模拟器pc设置 | dolphin模拟器配置

    dolphin模拟器pc设置 | dolphin模拟器配置,模拟器,配置,设置,缓存文件,下载,1. dolphin模拟器pc繁体中文的Rom需要把Dolphin设置成日语WII,还是运行不能请升级电脑配置或刻录DVD然后买个WII玩(这个最方便……)。2. dolphin模拟器pc版因为塞尔达是NS独占,所以电脑要玩的话需要下载wii模拟器和缓存文件,用模拟器运行。因为目前模拟器还不是很成熟,所以会占用大量电脑...

  • 小米笔记本电脑配置参数详解图 | 小米笔记本怎么看电

    小米笔记本电脑配置参数详解图 | 小米笔记本怎么看电

    小米笔记本电脑配置参数详解图 | 小米笔记本怎么看电脑配置,配置参数,电脑配置,市场,系统,独显,1. 小米笔记本电脑配置参数详解米粉用户经验:小米笔记本整体性价比还是挺高的。说一下我个人在用的小米笔记本,具体是几代忘了。I5+8G+GTX960M 2G独显的配置。当初入手价4999.低于市场上同配置的其他品牌机器。现在用了近2年了。没出过任何问题。不过系统倒是常常重装,个人习惯。打LOL的话。小米笔记本独显款完全...

  • ug多边形命令快捷键 | ug图形全部显示快捷键

    ug多边形命令快捷键 | ug图形全部显示快捷键

    ug多边形命令快捷键 | ug图形全部显示快捷键,快捷键,命令,显示,图形,线框,1. ug多边形快捷键你选的点应该是选错了,重新选过一次点,把中心点远在你要的地方2. ug8.0快捷键1. 右键点击工具栏选项,会出现功能列表2. 找到定制选项,左键点击进入定制界面定制快捷键第一步3. 在命令选项中点击右下角键盘按钮定制快捷键第二步4. 进入定制键盘窗口,找到想设置快捷键的功能选项5. 在按新的快捷...

  • 1.破解登录金蝶KIS专业版时出现提示“无效的服务器或

    1.破解登录金蝶KIS专业版时出现提示“无效的服务器或

    1.破解登录金蝶KIS专业版时出现提示“无效的服务器或服务器未启动”,服务器,无效,提示,专业版,启动,1.破解登录金蝶KIS专业版时出现提示“无效的服务器或服务器未启动”这是因为你加密服务器未启动,所以导致会提示2113“无效的服务器或服务器未启动”你现在电脑【5261开始】【金蝶专业版】【工具】【加密服务器】要是你安装的金蝶没有加密法服4102务器,那说明你安装时可能是指安装了客户端,没安装服务器,只要重新安装就好了...

  • dnf20开电脑配置 | dnf2020电脑配置要求

    dnf20开电脑配置 | dnf2020电脑配置要求

    dnf20开电脑配置 | dnf2020电脑配置要求,电脑配置,显卡,单核,处理器,硬盘,1. 2019玩dnf打团电脑配置地下城与勇士配置要求(最低):系统:WIN7/WIN8/WIN10CPU:P4 2.4GHz以上显卡:集成显卡硬盘使用大小:10GB以上内存:1G2. 2020年玩dnf打团电脑配置处理器方面:最低要求是单核处理器,主频2.0Ghz,这样级别的处理器目前属于非常低端的处理器,P4处理器...

  • 偏移的cad快捷键命令 | 偏移cad快捷键2014

    偏移的cad快捷键命令 | 偏移cad快捷键2014

    偏移的cad快捷键命令 | 偏移cad快捷键2014,快捷键,命令,启动,输入,菜单,1. 偏移的cad快捷键1、启动CAD制图软件专业版,选中需要偏移的对象。2、在软件右侧功能菜单找到并选择【偏移】命令,或是在命令行输入偏移快捷键O(Offset),按回车键。3、输入偏移距离。4、然后就可以进行偏移了,选中偏移的方向可以选择要平行复制的边,即你想往对象的哪边偏移就在那边点一下左键。2. 偏移cad快捷...

  • php上传大文件配置 | php默认上传文件大小不一致

    php上传大文件配置 | php默认上传文件大小不一致

    php上传大文件配置 | php默认上传文件大小不一致,上传,默认,文件大小,上传文件,配置,1. php默认上传文件大小默认只能传最大 2M 的文件。 不过,可以配置php.ini文件,修改上传文件大小的限制。 配置php.ini文件 (以上传500M以下大小的文件为例) 查找以下选项并修改-> file_uploads = On ;打开文件上传选项 upload_max_filesize =...

  • win10系统电脑配置推荐 | win10系统电脑配置要求

    win10系统电脑配置推荐 | win10系统电脑配置要求

    win10系统电脑配置推荐 | win10系统电脑配置要求,系统,电脑配置,推荐,运行,屏幕,1. win10系统需要电脑配置如果要安装Microsoft给出的最低计算机配置要求,可以说任何人都可以运行Windows 10系统。如果要升级Win 10系统,则基本上不会受到硬件的阻碍。关键在于用户对Windows 10程度的认识和接受。具体指标如下:屏幕:800x600或更高分辨率(消费版为8英寸或以上;专业版为...

  • 苹果cad快捷键命令大全 | 苹果cad快捷键和微软一样吗

    苹果cad快捷键命令大全 | 苹果cad快捷键和微软一样吗

    苹果cad快捷键命令大全 | 苹果cad快捷键和微软一样吗,快捷键,命令大全,系统,中文,快捷键大全,1. 苹果CAD快捷键你好,苹果系统是支持的,但是:其一:正版的售价800多。太贵。其二:破解版也有的找,但是Mac版的cad官方的是纯英文的。有中文破解版的,但是只有菜单是中文,其他都还是英文。其三:Mac版的cad下快捷键几乎都不同,你要重新学习适应。较麻烦。正常使用建议安装bootcamp双系统在windows下...

  • 弧线长度cad快捷键命令大全 | cad弧度怎么标注快捷键

    弧线长度cad快捷键命令大全 | cad弧度怎么标注快捷键

    弧线长度cad快捷键命令大全 | cad弧度怎么标注快捷键,快捷键,命令,标注,命令大全,修改,1. 弧线长度cad快捷键命令1 a。2 默认情况下。CAD画圆弧的快捷键就是a。3 实际工作中。快捷键是可以修改的。修改的依据主要是。个人的爱好和习惯。主要目的是操作方便。画图的时候本来就是单手操作。键盘有些区域有点顾及不到。你就可以自己把远处的快捷键调到近处来。这样你操作起来就会方便很多。2. cad圆弧长度快捷命...

  • 古墓丽影的最低配置 | 古墓丽影的配置要求

    古墓丽影的最低配置 | 古墓丽影的配置要求

    古墓丽影的最低配置 | 古墓丽影的配置要求,配置,推荐,需求,显卡,独立显卡,1. 古墓丽影配置最低i3 或者i5 独立显卡就可以了。当然显卡越好游戏越流畅2. 古墓丽影配置推荐6500xt显卡能玩古墓丽影古墓丽影系列游戏有多个版本,对于显卡的要求也不同。古墓丽影11最低配置要求GTX760或GTX 1050。古墓丽影10最低配置要求NVIDIA GeForce GTX 550 TI或AMD R...

  • 邮箱怎么设置pop协议 | qq邮箱pop服务器设置

    邮箱怎么设置pop协议 | qq邮箱pop服务器设置

    邮箱怎么设置pop协议 | qq邮箱pop服务器设置,服务器设置,设置,服务器,地址,协议,1. 邮箱pop服务器怎么设置pop是收邮件用的服务器SMTP是发文件用的服务器你用的什么邮箱,就查看那个邮箱的帮助,,里面有说明2. 邮箱pop服务器地址怎么填1、打开OutlookExpress后,单击窗口中的“工具”菜单,选择“帐户”;2、点击“邮件”标签,点击右侧的“添加”按钮,在弹出的菜单中选择“邮件”;3、...

  • cad快捷键 命令大全 | CAD快捷键 命令大全

    cad快捷键 命令大全 | CAD快捷键 命令大全

    cad快捷键 命令大全 | CAD快捷键 命令大全,快捷键,命令大全,命令,快捷键大全,常用命令,1. cad常用命令快捷键大全。常用功能键 F1: 获取帮助 F2: 实现作图窗和文本窗口的切换 F3: 控制是否实现对象自动捕捉 F4: 数字化仪控制 F5: 等轴测平面切换 F6: 控制状态行上坐标的显示方式 F7: 栅格显示模式控制 F8: 正交模式控制 F9: 栅格捕捉模式控制 F10: 极轴模式控制 F11:...

  • cad线性编辑快捷键命令大全 | cad线性参数设置快捷键

    cad线性编辑快捷键命令大全 | cad线性参数设置快捷键

    cad线性编辑快捷键命令大全 | cad线性参数设置快捷键,快捷键,线性,命令,命令大全,参数设置,1. cad线性编辑快捷键命令设置线型的快捷键是:CTRL+1。以下是CAD中设置线操作方法: 1、打开一个CAD文件,线型是默认的。 2、点击图层属性管理器按钮(或快捷键“LA”)。 3、找到线条所在的图层,在对应图层的线型上点击一下。 4、若出来的窗口上没有想要的线型,就点击一下加载。 5、找到想要的线型,选中后按...

  • CAD怎么恢复快捷键 | 在cad中恢复命令的快捷键是哪个

    CAD怎么恢复快捷键 | 在cad中恢复命令的快捷键是哪个

    CAD怎么恢复快捷键 | 在cad中恢复命令的快捷键是哪个,恢复,快捷键,选择,命令,文件,1. cad恢复选择快捷键是什么方法一:在(快捷键OP打开选项对话框)“选项”对话框的“配置”里输出成*.arg文件,把这个文件备份保存起来,下次重装CAD的时候直接输入文件,就不需要再重复设置了。输出的文件还可以分享给别人,这样别人直接输入CAD就可以了。输出成*.arg文件方法二:在AUTOCAD的APPDATA下...

  • 快速创建图表快捷键命令 | 快速创建图表的快捷键

    快速创建图表快捷键命令 | 快速创建图表的快捷键

    快速创建图表快捷键命令 | 快速创建图表的快捷键,图表,快捷键,命令,快捷方式,设置,1. 快速创建图表快捷键关于快捷方式图标应该怎么样设置的问题,其解决方法如下:1.找到手机“设置”,点击进去2.下划找到“更多设置”,点击进去3.找到“手势及按键快捷方式”,点击进去即可设置相关快捷键4.可设置相机,截屏,语音助手,手电筒等快捷键希望以上的方法能够帮到你的忙。2. 使用什么键可以快速创建图表1、进入计算...