本文为大家介绍pixiv访问权限限制(ip访问控制列表配置),下面和小编一起看看详细内容吧。
pix 访问控制列表和内容过滤(4)
4.恶意活动代码过滤
www.ttep.cn
1. java applet过滤
java 程序可以成为入侵内部系统的一种手段。为了解决这个问题,可以通过启用java过滤来防止java小程序被内部系统下载。当允许访问端口80 (http) 时,可以下载java 小程序。某些java 小程序可能包含隐藏代码,这些代码可能会损坏位于内部网络上的数据。
pix 防火墙的java applet 过滤可以阻止每个客户端或每个ip 地址的java 应用程序。当启用java过滤时,pix防火墙会在程序中搜索字符串“cafe babe”。一旦找到该字符串,防火墙将拒绝java 小程序。一个典型的java类代码片段如下:
00000000:咖啡馆宝贝003 002d 0099 0900 8345 0098
2.activex过滤
activex 控件是对象链接和嵌入(ole) 控件(ocx) 的前身,是可以嵌入网页中的小程序,通常用于动画和其他应用程序。 activex 控件会造成安全问题,因为它们提供了一种攻击服务器的方法。因此,您可以使用pix 防火墙来阻止所有activex 控件。
使用过滤器activex | java 命令将过滤出站数据包中的activex 或java 应用程序。
过滤器activex | 的语法java命令如下:
过滤activex | java port [-port] local_ip 掩码foreign_ip 掩码
activex - 用于阻止出站数据包中的activex 和其他html 标记
java - 用于阻止从出站连接返回的java 小程序
port - pix 防火墙上接收internet 流量的端口
local_ip——可访问的安全级别最高的接口ip地址
掩码——通配符掩码
foreign_ip——可访问的安全级别最低的接口ip地址
当用户访问alias命令指向的ip地址时,不会进行activex过滤。
filter 命令可以启用或禁用出站url 或html 过滤。下面列出了一些命令来过滤端口80 上的activex 控件,从内部主机到网络中的外部主机。
pixfirewall(配置)#filter activex 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
5.网址过滤www.ttep.cn
url过滤应用可以为pix防火墙提供url过滤,可以更有效地监控和控制网络流量。由于pix 防火墙本身没有url 过滤功能,因此必须使用url 过滤应用程序过滤特定的url。为此,可以让pix 防火墙与websense 或n2h2 url 过滤应用程序一起工作。
当pix防火墙收到用户访问某个url的请求时,会查询url过滤服务器,决定是否返回该url请求。 url 过滤服务器检查其配置以决定是否过滤该url。如果应该过滤掉该url,则url过滤应用程序将显示过滤信息或使用户请求指定网站的url。
在使用url 过滤之前,必须至少指定一台服务器来运行websense 或n2h2 url 过滤应用程序,并且最多必须指定16 台url 服务器。一次只能使用n2h2 或websense 中的一个应用程序。另外,在pix防火墙上更改配置不会更新应用服务器的配置,必须根据各厂商的说明单独配置。
使用url-server命令指定运行url过滤服务的服务器,然后使用filter url命令开启url过滤服务。
websense 中url-server 命令的语法如下:
url-server [(if_name)] vendor websense host local_ip [timeout seconds] [protocol tcp | udp 版本[1 | 4]
if_name——认证服务器所在的网络接口名称。如果不指定,默认在里面。
vendor websense——表示提供url过滤服务的厂商为websense
host local_ip - 运行url 过滤应用程序的服务器
超时秒数——pix防火墙切换到下一个指定服务器前允许的最大空闲时间。默认值为5 秒。
protocol——可以使用tcp或udp关键字配置的协议。默认为tcp 协议版本1。
version——可以使用关键字1或4来配置协议版本。默认为tcp协议,版本为1。tcp协议可以使用版本1或4,udp协议只能使用版本4。
n2h2 中url-server 命令的语法如下:
url-server [(if_name)] vendor n2h2 host local_ip [port number] [timeout seconds] [protocol tcp | udp]
if_name——认证服务器所在的网络接口名称。如果不指定,默认是insi
de。
●vendor n2h2--指明url过滤服务的厂商是n2h2
●host local_ip--运行url过滤应用程序的服务器
●port number--n2h2服务器端口。另外,pix防火墙在该端口上监听udp答复。缺省的端口号是4005
●timeout seconds--在pix防火墙切换到下一个指定的服务器前所允许的最大空闲时间。缺省为5秒。
●protocol--可以使用tcp或udp关键字来配置的协议。缺省为tcp
在指定完运行url过滤应用程序的服务器后,使用filter url|ftp|https命令让pix防火墙向该服务器发送适当的请求以便进行过滤。在版本为6.3的pix防火墙上除了旧版本中所具有的url过滤外,还支持ftp和https过滤。
下面例子中的命令的作用是让pix防火墙向url过滤服务器发送所有要被过滤的url请求。在pix防火墙上使用url过滤时,filter命令中的allow选项至关重要。在url过滤服务器处于离线状态时,如果使用了allow选项,pix防火墙将不进行过滤而使所有url请求继续前进;但是如果未使用allow选项,所有80端口的url请求都将被阻止,直到服务器重新在线为止。
pixfirewall(config)#filter url http 0 0 0 0 allow
filter url|ftp|https命令的语法如下:
filter url port [-port] | except local_ip local_mask foreign_ip foreign_mask [allow] [proxy-block] [longurl-truncate | longurl-deny]
[cgi-truncate]
filter ftp port local_ip local_mask foreign_ip foreign_mask [allow] [interact-block]
filter https port local_ip local_mask foreign_ip foreign_mask [allow]
●url--从通过pix防火墙的数据中过滤url
●ftp--从通过pix防火墙的数据中过滤ftp地址
●https--从通过pix防火墙的数据中过滤https地址
●port--在pix防火墙上接收internet流量的端口。典型的端口是80,但是也可以使用其他值。可以使用http或url来代替80端口
●except--在以前的过滤条件下创建例外
●local_ip--可以访问的具有最高安全级别的接口的ip地址
●local_mask--local_ip的网络掩码
●foreign_ip--可以访问的具有最低安全级别的接口的ip地址
好了,pixiv访问权限限制(ip访问控制列表配置)的介绍到这里就结束了,想知道更多相关资料可以收藏我们的网站。