不卡AV在线|网页在线观看无码高清|亚洲国产亚洲国产|国产伦精品一区二区三区免费视频

學習啦>學習電腦>電腦安全>防火墻知識>

實例講解如何建立安全防火墻

時間: admin1 分享

隨著網(wǎng)絡應用的不斷發(fā)展和深入,我們對于那些溝通信息的紐帶也越來越依賴,如何保證網(wǎng)絡安全、穩(wěn)定、暢通地運行也就成為緊迫而且重要的問題。
  
  鑒于目前防火墻已經(jīng)成為最普遍的網(wǎng)絡安全解決方案,在這里我們就主要討論如何建立一個安全的防火墻系統(tǒng)。
  
  防火墻是什么東西呢?它相當于一個閥門,一個過濾器或者說國家的海關(guān)、邊防檢查站,負責審查經(jīng)過的數(shù)據(jù)和信息,根據(jù)設定的規(guī)則處理不同的情況。由此可見,建立一個安全的防火墻系統(tǒng)并不僅僅取決于購買了什么牌子的設備,更重要的是在于使用者是否了解本企業(yè)網(wǎng)絡的情況、掌握用戶的實際需求并正確地付諸實施。
  
  目前防火墻主要有三類:建立在通用操作系統(tǒng)上的軟件防火墻、具有安全操作系統(tǒng)的軟硬件結(jié)合的防火墻和基于專用安全操作系統(tǒng)的硬件防火墻。代表產(chǎn)品有Check Point、東大阿派Neteye、Linux下的IPChains、Cisco的PIX等等。
  
  目前的防火墻從結(jié)構(gòu)上講,可分為兩種:
  
1.應用網(wǎng)關(guān)結(jié)構(gòu)
  
內(nèi)部網(wǎng)絡<—>代理網(wǎng)關(guān)(Proxy Gateway)<—>Internet。
  
2.路由器加過濾器結(jié)構(gòu)
  
內(nèi)部網(wǎng)絡<—>過濾器(Filter)<—>路由器(Router)<—>Internet。
  
  總的來講,應用網(wǎng)關(guān)結(jié)構(gòu)的防火墻系統(tǒng)在安全控制的粒度上更加細致,多數(shù)基于軟件系統(tǒng),用戶界面更加友好,管理控制較為方便;路由器加過濾器結(jié)構(gòu)的防火墻系統(tǒng)多數(shù)基于硬件或軟硬件結(jié)合,速度比較快,但是一般僅控制到第三層和第四層協(xié)議,不能細致區(qū)分各種不同業(yè)務;有一部分防火墻結(jié)合了包過濾和應用網(wǎng)關(guān)兩種功能,形成復合型防火墻。具體使用防火墻則應該根據(jù)本企業(yè)實際情況加以選擇。
  
  下面我就用一個實際例子講解建立安全防火墻系統(tǒng)的過程。
  
  所有的內(nèi)部網(wǎng)絡用戶通過兩個路由器連接防火墻,防火墻作為本網(wǎng)絡的唯一出口連接到Internet。內(nèi)部網(wǎng)絡有兩個網(wǎng)段:192.168.1.0 /255.255.255.0和192.168.2.0 /255.255.255.0。
  
  在本例中,我使用的是基于Linux 的軟件防火墻 IPChains 。它運行在系統(tǒng)內(nèi)核,采用路由器加過濾器結(jié)構(gòu),但也可以與SQUID等軟件組成復合型應用網(wǎng)關(guān)防火墻。IPChains在系統(tǒng)內(nèi)核層運行,可以保證更高的速度和穩(wěn)定性,性能遠高于運行在應用程序?qū)拥姆阑饓浖?。根?jù)我個人經(jīng)驗,一臺運行在PII 300計算機上的雙網(wǎng)卡防火墻,其包轉(zhuǎn)發(fā)速度就可以達到45~60M/S,滿足300個用戶使用。作為防火墻的主機兩端地址分別為 192.168.233.1/255.255.255.248(內(nèi)部端口)和202.102.184.1/255.255.255.252(外部端口)。
  
  首先,我們應該確定用戶的需求,再根據(jù)需求進行實現(xiàn)。
  
  經(jīng)調(diào)研,用戶需求如下:
  
1、保障內(nèi)部網(wǎng)絡安全,禁止外部用戶連接到內(nèi)部網(wǎng)絡。
  
2、保護作為防火墻的主機安全,禁止外部用戶使用防火墻的主機Telnet、FTP等項基本服務,同時要保證處于內(nèi)部網(wǎng)絡的管理員可以使用Telnet管理防火墻。
  
3、隱蔽內(nèi)部網(wǎng)絡結(jié)構(gòu),保證內(nèi)部用戶可以通過僅有的一個合法IP地址202.102.184.1連接Internet。同時要求許可內(nèi)部用戶使用包括E-Mail、WWW瀏覽、News、FTP等所有Internet上的服務。
4、要求對可以訪問Internet的用戶進行限制,僅允許特定用戶的IP地址可以訪問外部網(wǎng)絡。
  
5、要求具備防止IP地址盜用功能,保證特權(quán)用戶的IP不受侵害。
  
6、要求具備防IP地址欺騙能力。
  
  其次,根據(jù)用戶需求設計解決方案。
  
  方案設計如下:
  
  1、安裝一臺Linux服務器,配置雙網(wǎng)卡,兩端地址分別為192.168.233.1 /255.255.255.252(內(nèi)部端口ETH 0)和202.102.184.1/255.255.255.248(外部端口ETH 1)。在IPChains中去除諸如 HTTPD、Finger、DNS、DHCP、NFS、SendMail之類所有不需要的服務,僅保留Telnet和FTP服務,以保證系統(tǒng)運行穩(wěn)定,提高網(wǎng)絡安全性。
  
  2、啟動IPChains后,為保證安全性,首先將Forward Chains的策略設置為DENY,禁止所有的未許可包轉(zhuǎn)發(fā),保障內(nèi)部網(wǎng)安全性,以滿足需求1。
  
eg:# ipchains-P forward DENY
  
  3、為滿足需求2,必須禁止所有來自外部網(wǎng)段對防火墻發(fā)起的低于1024端口號的連接請求。在此,我做了如下設定來阻止對ETH1端口請求連接小于1024端口號的TCP協(xié)議的數(shù)據(jù)報(請求連接數(shù)據(jù)報帶有SYN標記,IPChains中使用參數(shù)-y表示)
  
eg:#ipchains -A input -p tcp -d 202.102.184.1 0:1024 -y -i eth1 -j DENY
  
  之所以不是簡單的拒絕所有小于1024端口號的數(shù)據(jù)報在于,某些情況下服務器會回復一個小于1024接口的數(shù)據(jù)報。比如某些搜索引擎就可能在回復查詢中使用一個不常用的小于1024的端口號。此外,當使用DNS查詢域名時,如果服務器回復的數(shù)據(jù)超過512字節(jié),客戶機使用TCP連接從53端口獲得數(shù)據(jù)。
  
  4、為滿足需求3,必須使用IP地址翻譯功能。來自內(nèi)部保留地址的用戶數(shù)據(jù)包在經(jīng)過防火墻時被重寫,使包看起來象防火墻自身發(fā)出的。然后防火墻重寫返回的包,使它們看起來象發(fā)往原來的申請者。采用這種方法,用戶就可以透明地使用因特網(wǎng)上的各種服務,同時又不會泄露自身的網(wǎng)絡情況。注意,對于FTP服務,需要加載FTP偽裝模塊。命令如下:
  
eg: # insmod ip_masq_ftp
  
  5、為滿足需求4,可以在已經(jīng)設置為DENY的Forward Chains中添加許可用戶。因為許可這部分用戶使用所有的服務,訪問所有的地址,所以不用再指定目標地址和端口號。假定許可IP地址為192.168.1.22,配置命令如下:
  
eg: #ipchains-A forward-s 192.168.1.22 -j MASQ
  
  同時,必須啟動系統(tǒng)的IP包轉(zhuǎn)發(fā)功能。出于安全的考慮,建議在設置了Forward Chains的策略設置為DENY,禁止所有的未許可包轉(zhuǎn)發(fā)后再開啟轉(zhuǎn)發(fā)功能。
  
  配置命令如下:
  
# echo 1 > /proc/sys/net/ipv4/ip_forward
  
  6、關(guān)于防止IP地址盜用問題,在本網(wǎng)絡拓撲中,可見所有用戶都是通過兩個路由器連接到防火墻,所以只需要在路由器中建立授權(quán)IP地址到MAC地址的靜態(tài)映射表即可。如果有客戶機直接連接到防火墻主機,就需要使用ARP命令在防火墻主機中建立IP地址到MAC地址的靜態(tài)映射表。
  
  7、對于需求6,只要在進入端口中設定IP地址確認,丟棄不可能來自端口的數(shù)據(jù)包就可以了。配置命令如下:
  
# ipchains -A input -i eth1 -s 192.168.0.0/255.255.0.0 -j DENY
  
  至此,就算基本建立起來一個較為安全的防火墻了,再針對運行中出現(xiàn)的問題進行修改,調(diào)試無誤后就可以用ipchains-save命令將配置保存起來。需要再次使用時,用命令 ipchains-restore即可。
  
  其他的包過濾防火墻與IPChains的運行原理都相差不遠,配置命令也大同小異。市面上出售的防火墻雖然可以預置一些基本的內(nèi)容,但由于最終用戶要求和環(huán)境千差萬別,免不了要自己動手配置。
  
  從上面的例子我們可以看出,建立一個安全的防火墻關(guān)鍵在于對實際情況的了解,對用戶需求的掌握和對工具的熟練運用與正確實施上,這是真正的重點


實例講解如何建立安全防火墻相關(guān)文章

1.實例講解如何建立安全防火墻

2.Web應用防火墻基礎(chǔ)知識

3.用組策略部署Windows防火墻

4.WIN7防火墻在哪里設置

5.防火墻的分類與優(yōu)缺點知識

6.快速解決 Windows系統(tǒng)防火墻的配置問題

7.安裝殺毒軟件與設置防火墻 保障電腦安全

11314