收藏
常见问题解答- 1.防火墙日志工具或syslog 日志生成的日志文件是空的!
-
-
- 2.出现在防火墙配置里的/0,/24和/32 参数是什么?
-
答案:- 它们是无类别域间路由标准(Classless InterDomain Routing,缩写为CIDR)使用的网络掩码。关于此功能的更多解释,请查阅相关文档。
-
- 3.从防火墙管理工具选择Show Log 功能时,并看不见以前的事件,而只能看见现在发生的事件。这会使日志记录的目的失败吗?
-
-
- 4.我不能使静态地址转换(SAT)规则正常工作。错误在哪里?
-
-
- 答案:
- 设置SAT 规则所犯的常见错误是:
- 忘了SAT 规则本身对包不起任何作用。当包符合SAT 规则时,防火墙记住在晚些
时候进行静态地址转换并继续查找符合的FwdFast,Allow,NAT ,Drop 和Reject
规则。原因是即使使用两个以上的接口,也只需要设置一条单一的SAT 规则,例如,如果在第三个接口上设置了DMZ,可能要对外部网络(通常是Allow 规则)和受保
护网络(通常是NAT 规则)数据流分别设置规则。 - 如果使用FwdFast,也必须给返回数据流设置规则。因此,这就要求两套SAT 规则,
每个方向的数据流用一套。 - 只有遇到符合的FwdFast,Allow 或NAT 规则,才会发生静态地址转换。这表明把目的地址1.1.1.1 转换成2.2.2.2 的一条SAT 规则必须有一条相应的FwdFast 或NAT规则,其目的地址为1.1.1.1 而不是2.2.2.2。
- 忘了SAT 规则本身对包不起任何作用。当包符合SAT 规则时,防火墙记住在晚些
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 5.我的邮件服务器是Microsoft Exchange / Lotus Notes / Novell GroupWise/其它分组服务器。如果我把它放在DMZ,我的计算机将无法使用服务器提供的高级功能。我能把它放在受保护网络并允许从Internet 发送邮件吗?
-
-
- 答案:
-
可以。解决这个问题的方法有四个:
- 可以将邮件转发器置于DMZ,并能从Internet对它进行访问。允许转发器通过SMTP与内部邮件服务器通讯。这是最安全的方案。邮件转发器也能够扫描病毒并对进入邮件实施其他安全措施。
- 如果内部邮件服务器只有一个私网络地址,就可以在防火墙设置一条SAT 规则,将前往防火墙外部IP地址的端口为25的数据流转发到内部邮件服务器地址的25端口。记住添加一条相应的Allow规则,允许数据流真正通过防火墙。
- 如果邮件服务器有一个公开的IP地址,则可以轻易地让SMTP数据流通过,到达端口25。
- 如果邮件服务器没有公开的IP地址,而且不希望使用静态地址转换,则可以从外部网段选择一个IP地址并把它添加到邮件服务器的网络配置中。此过程要求在防火墙上为借用的IP地址另外添加一条路由。必须激活从接口上借用的地址的路由代理ARP。使数据流通过上述指示的地址。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 6.我希望用动态NAT隐藏我的地址。我能使用哪些私网络地址呢?
-
-
- 7.很多防火墙加载软件前,在启动过程的短时间内允许所有数据包通过。阿姆瑞特防火墙也会遇到这种问题吗?
-
- 答案:
- 不会。这种问题只会出现在自身有TCP/IP 协议栈的操作系统上。阿姆瑞特防火墙 核心启动时,所有功能包括规则集就可以使用了,所以不存在系统初始化期间缺陷。
-
- 8.使用端口扫描工具从外部扫描可被公开访问的服务器的端口后,发现某一个随机范围的UDP 端口是开放的。扫描工具每运行一次,这些开放的端口都会改动。到底正在发生什么事情?
-
-
- 答案:
-
端口扫描工具绝对无法确认受保护机器上一个指定UDP 端口是开放的。它只能给一个机器发送一个或多个数据包。数据包到达机器前发生的情况则是另外一回事情了。许多端口扫描工具监听ICMP 目标不可达(Destination Unreachable)数据包。如果因为符合拒绝(Reject)规则而被拒绝,防火墙会给发送方返回一个ICMP Destination Unreachable 数据包,但是,每秒发送这样的数据包的数量是有限的,具体数据在防火墙配置信息里规定。如果被拒绝数据包的速率更大,那么肯定会被丢弃,可是,防火墙不响应更多的ICMP Destination Unreachable。而符合丢弃(Drop)规则就决不会发回ICMP 目的地不可达的消息。如果由于以上两个原因,扫描程序接收不到任何类似消息,它将错误地认为端口是开放的。为了找出允许实际通过防火墙的数据流,可以与“Sniffer”连接,“Sniffer”是显示网络上所有数据包内容的网络分析工具。用端口扫描程序在感兴趣地址的所有端口发送一组数据包,检查是否有数据包通过防火墙。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
- 9.在你的受保护网络上使用不属于自己的公网地址会产生怎样的结果?
-
-
- 10.FTP 可在所有版本的Netscape 和第四版及以下版本的IE 上工作,但不能在第五版IE上工作,为什么?
-
-
- 答案:
-
FTP 使用两种连接工作:一个用来传送命令,另一个是用来传送文件。FTP 能够以主动或被动模式中的任何一种模式工作,工作模式用来指示FTP 服务器的行为。被动模式通常缩写为PASV 模式。一般使用FTP 的主动模式,从FTP 服务器打开到客户机的第二种连接(数据通道),而这是防火墙不允许的。被动模式使客户机能够打开到服务器的两种连接,这是防火墙允许的。Internet 浏览器Netscape 常常被设置为被动工作模式,而FTP 客户端软件一般为主动工作模式。这种设置可在大多数FTP 软件中进行改动,尽管Windows 的命令行FTP 客户机不具备这种功能。请查看FTP 软件的帮助文件,获取更多关于使用被动(PASV)模式的信息。如果设置最新版本的IE 5 以显示本地硬盘的方式显示FTP 站点,则使用主动模式,但是,如果设置成“以web 页面方式显示FTP”,则要使用被动模式的FTP。
- 此FAQ对你有帮助吗?[ 是 | 否 ] | 收藏 | 来源:Myprice价格网
