一个例子展示了如何构建安全防火墙防火墙。

随着网络应用的不断发展和深化，我们越来越依赖于信息交流的环节。如何保证网络安全、稳定、平稳的运行已成为一个迫切而重要的问题。

U3000 U3000

鉴于防火墙已经成为目前最常用的网络安全解决方案，本文主要讨论了如何构建一个安全的防火墙系统。

U3000 U3000

什么是防火墙它相当于一个阀门，过滤器或国家海关和边防检查站，这是负责审查的数据和信息，并根据设定的规则不同情况的处理。可以看出，建设一个安全的防火墙系统，不仅取决于它已经购买了什么品牌的设备，而且无论用户了解企业网络的情况，掌握用户的实际需求和正确实施。

U3000 U3000

目前，主要有三种类型的防火墙：基于通用操作系统的软件防火墙，对安全操作系统的硬件和软件防火墙，基于专用安全操作系统的硬件防火墙。主要产品有检查点，dongdaepai Neteye，Linux ipchains，Cisco PIX等。

U3000 U3000

当前防火墙可以在结构上分为两种类型：

U3000 U3000

1。应用网关结构

U3000 U3000

内部网络代理网关（代理网关）Internet。

U3000 U3000

2。路由器加滤波器结构

U3000 U3000

内部网络过滤器（路由器）因特网。

U3000 U3000

在一般情况下，应用网关防火墙体系结构在安全控制规模上更详细的，基于用户界面更友好的软件系统的大多数，更方便的管理和控制；大多数路由器和防火墙系统的滤波器结构，基于硬件的组合或更快，但一般只控制到第三层和第四层协议，不仔细区分不同的业务；有一部分结合防火墙包过滤和应用网关防火墙的功能，混合形成。防火墙的具体使用应根据企业的实际情况选择。

U3000 U3000

我将用一个实际的例子来解释构建安全防火墙系统的过程。

U3000 U3000

所有内部网络用户通过路由器连接到防火墙，以及防火墙连接到Internet，作为该网络的唯一出口。内部网络有两个网段：192.168.1.0和192.168.2.0 / / 255.255.255.0 255.255.255.0。

U3000 U3000

在这种情况下，我使用了一个基于Linux的防火墙ipchains软件。它运行在系统内核，采用路由器和滤波器的结构，但它也可以形成一个复合应用网关防火墙的鱿鱼和其他software.ipchains运行在系统内核层来保证更高的速度和稳定性，且性能更高比在应用层运行防火墙软件。根据我个人的经验，一个双网卡防火墙在PII 300计算机上运行可以传输45～60m / s的数据包，可以满足300用户。两端的主机作为防火墙，地址192.168.233.1 / 255.255.255.248（内港）和202.102.184.1 / 255.255.255.252（外部端口）。

U3000 U3000

首先，我们应该确定用户的需求，然后根据需求实现它。

U3000 U3000

经调查，用户的要求如下：

U3000 U3000

1，保证内部网络的安全，禁止外部用户连接内部网络。

U3000 U3000

2，保护主机安全作为防火墙，禁止外部用户使用telnet、FTP等基本服务，确保内网管理员可以使用telnet管理防火墙。

U3000 U3000

三.内部网络的结构，以确保内部用户可以只通过一个合法的IP地址202.102.184.1.at同时连接到互联网的隐蔽性、许可内部用户都需要使用所有的互联网服务，包括电子邮件、WWW浏览新闻，FTP，等等。
4，要求限制访问Internet的用户，只允许特定用户的IP地址访问外部网络。

U3000 U3000

5、要求防止IP地址盗用功能，确保特权用户IP不受侵犯。

U3000 U3000

6，要求有防止IP地址欺骗的能力。

U3000 U3000

其次，根据用户的需求设计解决方案。

U3000 U3000

方案的设计如下：

U3000 U3000

1、安装Linux服务器，配置双网卡，两端的地址是192.168.233.1 / 255.255.255.252（内部端口ETH 0）和202.102.184.1 / 255.255.255.248（外部端口ETH 1）。删除所有不必要的服务，如httpd、手指、DNS、DHCP、IPChains NFS和Sendmail。只有telnet和FTP服务被保留，以确保系统的稳定运行和提高网络安全性。

U3000 U3000

2、启动后的软件，为了保证安全，我们首先提出了链的政策去否定，禁止无证转发数据包，保证内网的安全，以满足1的需求。

U3000 U3000

Eg：# ipchains-p提出否定

U3000 U3000

三.满足要求2、所有的连接请求从防火墙外部段的1024端口号必须禁止。在这里，我将以下设置来防止eth1端口连接的TCP协议数据报的小于1024的端口号的请求（请求连接数据包的SYN标记和ipchains参数Y）。

U3000 U3000

Eg：# ipchains -输入-p tcp - D 202.102.184.1 0:1024 Y我eth1 -j

U3000 U3000

它不简单地拒绝所有小于1024个端口号的数据报。在某些情况下，服务器将对小于1024的数据报作出答复。例如，一些搜索引擎可能在应答查询中使用不常用的端口号小于1024。此外，当使用DNS查询域名时，如果服务器回答超过512字节的数据，则客户端使用TCP连接从端口53获取数据。

U3000 U3000

4。为了满足要求3、IP地址翻译功能，必须使用。用户数据包从内部保留地址重写，当它穿过防火墙，数据包看起来像一个防火墙，那么防火墙重写返回包，使他们看起来像是发送给申请人。通过使用这种方法，用户可以透明地使用互联网上的各种服务，不泄露自己的网络条件。注意，FTP服务，你需要加载FTP伪装模块。顺序如下：

U3000 U3000

Eg：insmod ip_masq_ftp #

U3000 U3000

5、满足需求4，您可以添加一个授权的用户设置了拒绝转发链。因为这部分用户可以使用所有的服务和访问所有的地址，则不需要指定目标地址和端口号。假设授权IP地址是192.168.1.22，配置命令如下：

U3000 U3000

Eg：# ipchains-a forward-s 192.168.1.22 -j MASQ

U3000 U3000

同时，IP数据包转发功能的系统必须启动。出于安全的考虑，建议政策建立了链设置为拒绝，和所有的牌包被禁止reforward转发后。

U3000 U3000

配置命令如下所示：

U3000 U3000

#回声1 > /过程/系统/网 / / ip_forward IPv4

U3000 U3000

6、关于防止IP地址盗用，在这个网络的拓扑结构，我们看到，所有的用户都是通过两个路由器连接到防火墙，所以我们只需要在路由器设置一个授权IP地址的静态映射表的MAC地址，如果一个客户端连接到防火墙主机直接，你需要使用arp命令设置一个IP地址的静态映射表在防火墙主机的MAC地址。

U3000 U3000

7。对于需求6，如果在入口端口中设置了IP地址确认，则丢弃可能无法从端口发出的数据包。配置命令如下所示：

U3000 U3000

Ipchains -输入我的# eth1 192.168.0.0 / 255.255.0.0，否认

U3000 U3000

此时，即使基本上构建了防火墙，我们也可以修改操作中出现的问题并正确地调试它。然后我们就可以保存配置与利用保存的命令。当你需要再次使用它，你可以使用命令ipchains恢复。

U3000 U3000

其他的包过滤防火墙ipchains不远的工作原理，以及配置命令是一样的。虽然在市场上销售的防火墙可以预设一些基本的内容，因为最终用户的需求和环境之间的无休止的差异，这是不可避免的配置。

U3000 U3000

从以上例子可以看出，构建安全防火墙的关键是要了解实际情况，掌握用户需求，正确使用和正确实现工具，这才是真正的重点。