不卡AV在线|网页在线观看无码高清|亚洲国产亚洲国产|国产伦精品一区二区三区免费视频

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 防火墻知識(shí) > ros5防火墻如何設(shè)置

ros5防火墻如何設(shè)置

時(shí)間: 林輝766 分享

ros5防火墻如何設(shè)置

  ros5防火墻我們要怎么樣去設(shè)置呢?小編來教你!下面由學(xué)習(xí)啦小編給你做出詳細(xì)的ros5防火墻設(shè)置方法介紹!希望對(duì)你有幫助!

  ros5防火墻設(shè)置方法一:

  Ip 防火墻應(yīng)用

  描述

  在這個(gè)部分,我們討論防火墻的一些的應(yīng)用和例子。

  防火墻設(shè)置基本原則

  假定我們有一個(gè)本地網(wǎng)通過路由連接到internet,那么基本的防火墻構(gòu)建原則由以下幾部分組成:

  1、保護(hù)路由避免沒有認(rèn)證的訪問

  必須監(jiān)控那些到路由的連接。只能允許某些特定的主機(jī)到路由某些特定的 tcp端口的訪問。這項(xiàng)工作可以在input中設(shè)置,以便比較匹配通過路由所有連接界面到路由目的地址的數(shù)據(jù)包。

  2、保護(hù)本地主機(jī)

  必須監(jiān)控那些到本地網(wǎng)絡(luò)地址的連接。只有有權(quán)到某些主機(jī)和服務(wù)的連接才能被允許。這項(xiàng)工作可以在forward中設(shè)置,以便比較匹配決定通過路由所有連接界面到本地網(wǎng)路目的地址的數(shù)據(jù)包。

  3、利用nat將本地的網(wǎng)絡(luò)隱藏在一個(gè)公網(wǎng)的ip后面。

  所有本地網(wǎng)絡(luò)的連接被偽裝成來自路由本身的公網(wǎng)地址。這項(xiàng)工作可以通過啟用偽裝行為來實(shí)現(xiàn)源地址轉(zhuǎn)換規(guī)則。

  4、強(qiáng)制本地網(wǎng)絡(luò)連接到公網(wǎng)的訪問原則。

  必須監(jiān)控那些來自本地網(wǎng)絡(luò)地址的連接。這項(xiàng)工作可以通過forward中設(shè)置,或者通過偽裝哪些被允許的連接來實(shí)現(xiàn)。數(shù)據(jù)的過濾會(huì)對(duì)router的性能造成一定的影響,為了把這個(gè)影響降到最低,這些過濾的規(guī)則必須放在各個(gè)chain的頂部。這個(gè)在傳輸控制協(xié)議選項(xiàng)non- syn -only中.

  防火墻過濾實(shí)例

  實(shí)現(xiàn)目標(biāo):

  目標(biāo)1、讓路由只允許來自10.5.8.0/24網(wǎng)絡(luò)地址的訪問。

  目標(biāo)2、保護(hù)本地主機(jī)(192.168.0.0/24)遠(yuǎn)離未授權(quán)的訪問。

  目標(biāo)3、讓公網(wǎng)可以訪問本地主機(jī)192.168.0.17的http 和smtp服務(wù)。

  目標(biāo)4、只允許本地網(wǎng)絡(luò)中的主機(jī)進(jìn)行icmp ping 操作。強(qiáng)制使用在192.168.0.17主機(jī)上的代理服務(wù)。

  假設(shè)我的網(wǎng)絡(luò)設(shè)置如下:

  公網(wǎng) ip :10.0.0.217/24 網(wǎng)關(guān) ip :10.0.0.254

  內(nèi)網(wǎng) ip :192.168.0.254/24 內(nèi)網(wǎng)服務(wù)器地址:192.168.0.17/24

  為了實(shí)現(xiàn)第一個(gè)目標(biāo),我們必須對(duì)所有通過路由的數(shù)據(jù)包進(jìn)行過濾,只接受哪些我們?cè)试S的數(shù)據(jù)。因?yàn)樗型ㄟ^路由的數(shù)據(jù)包都要經(jīng)過input chain進(jìn)行處理,所以,我們可以在ip->firewall-> rule input 中加入以下規(guī)則。

  [admin@MikroTik] >ip firewall rule input

  [admin@MikroTik] ip firewall rule input>add protocol=tcp [admin@MikroTik] ip firewall rule input>tcp-options=non-syn-only connection-state=established

  [admin@MikroTik] ip firewall rule input>add protocol=udp

  [admin@MikroTik] ip firewall rule input>add protocol=icmp

  [admin@MikroTik] ip firewall rule input>add src-addr=10.5.8.0/24

  [admin@MikroTik] ip firewall rule input>add action=reject log=yes

  通過上述設(shè)置,input chain就可以實(shí)現(xiàn)只接受10.5.8.0/24地址段的連接,而把其他連接都拒絕并且記錄到日志。

  為了保護(hù)本地網(wǎng)絡(luò),我們必須對(duì)通過路由訪問本地網(wǎng)絡(luò)也就是對(duì)192.168.0.0/24一段地址的訪問的數(shù)據(jù)包進(jìn)行比對(duì)篩選,這個(gè)功能可以在forward chain 中實(shí)現(xiàn)。在forward 中,我們可以依靠ip地址對(duì)數(shù)據(jù)包進(jìn)行匹配,然后跳轉(zhuǎn)到我們自己創(chuàng)建的chain中,比如這里我們創(chuàng)建一個(gè) customer chain 并加入一些規(guī)則。

  [admin@MikroTik] ip firewall> add name=customer

  [admin@MikroTik] ip firewall> print

  # NAME POLICY

  0 input accept

  1 forward accept

  2 output accept

  3 customer none

  [admin@MikroTik] ip firewall> rule customer

  [admin@MikroTik] ip firewall rule customer> protocol=tcp tcp-options=non-syn-only connection-state=established

  [admin@MikroTik] ip firewall rule customer> add protocol=udp

  [admin@MikroTik] ip firewall rule customer> add protocol=icmp

  [admin@MikroTik] ip firewall rule customer> add protocol=tcp tcp-options=syn-only dst-address=192.168.0.17/32:80 [admin@MikroTik] ip firewall rule customer> add protocol=tcp tcp-options=syn-only dst-address=192.168.0.17/32:25

  [admin@MikroTik] ip firewall rule customer> add action=reject log=yes

  通過上述規(guī)則,我們?cè)赾ustomer chain 中設(shè)定了對(duì)數(shù)據(jù)包的過濾規(guī)則,那么下面我要做的就是在forward chain 中做一個(gè)跳轉(zhuǎn),將所有進(jìn)入到本地網(wǎng)的數(shù)據(jù)跳轉(zhuǎn)到customer chain 中處理。

  [admin@MikroTik] ip firewall rule forward> add out-interface=Local action=jump jump-target=customer

  這樣,所有通過路由進(jìn)入到本地網(wǎng)絡(luò)的數(shù)據(jù)包都將通過customer chain中的防火墻規(guī)則進(jìn)行過濾。

  Step 3

  為了強(qiáng)制本地網(wǎng)絡(luò)的主機(jī)通過192.168.0.17這臺(tái)代理服務(wù)器訪問internet ,

  我們應(yīng)該在forward 鏈中加入以下規(guī)則。(這個(gè)設(shè)置我覺得好像有點(diǎn)多余,是不是這里192.168.0.17起到了一層防火墻的作用,反正我是沒有加這個(gè)規(guī)則)。

  [admin@MikroTik] ip firewall rule forward> add protocol=icmp out-interface=Public

  [admin@MikroTik] ip firewall rule forward> add src-address = 192.168.0.17 / 32 out-interface=Public

  [admin@MikroTik] ip firewall rule forward> add action=reject out-interface=Public

  ros5防火墻設(shè)置方法二:

  Ip 防火墻應(yīng)用描述部我討論防火墻些應(yīng)用例防火墻設(shè)置基本原則假定我本網(wǎng)通路由連接internet基本防火墻構(gòu)建原則由幾部組:

  1、保護(hù)路由避免沒認(rèn)證訪問必須監(jiān)控些路由連接能允許某些特定主機(jī)路由某些特定 tcp端口訪問項(xiàng)工作input設(shè)置便比較匹配通路由所連接界面路由目址數(shù)據(jù)包

  2、保護(hù)本主機(jī)必須監(jiān)控些本網(wǎng)絡(luò)址連接權(quán)某些主機(jī)服務(wù)連接才能允許項(xiàng)工作forward設(shè)置便比較匹配決定通路由所連接界面本網(wǎng)路目址數(shù)據(jù)包

  3、利用nat本網(wǎng)絡(luò)隱藏公網(wǎng)ip面所本網(wǎng)絡(luò)連接偽裝自路由本身公網(wǎng)址項(xiàng)工作通啟用偽裝行實(shí)現(xiàn)源址轉(zhuǎn)換規(guī)則

  4、強(qiáng)制本網(wǎng)絡(luò)連接公網(wǎng)訪問原則必須監(jiān)控些自本網(wǎng)絡(luò)址連接項(xiàng)工作通forward設(shè)置或者通偽裝哪些允許連接實(shí)現(xiàn)數(shù)據(jù)濾router性能造定影響影響降低些濾規(guī)則必須放各chain頂部傳輸控制協(xié)議選項(xiàng)non- syn -only.

  看了“ros5防火墻如何設(shè)置 ”文章的還看了:

1.機(jī)器狗病毒預(yù)防

2.cisco ROS動(dòng)態(tài)ADSL+固定IP怎么做策略路由

3.軟路由怎么搭建服務(wù)器

839925