随着
网络应用的不断发展和深化,我们越来越依赖于信息交流的环节。如何保证网络安全、稳定、平稳的
运行已成为一个迫切而重要的问题。
U3000 U3000
鉴于防火墙已经成为目前最常用的网络安全
解决方案,本文主要讨论了如何构建一个安全的防火墙
系统。
U3000 U3000
什么是防火墙它相当于一个阀门,过滤器或国家海关和边防
检查站,这是负责审查的数据和信息,并根据设定的规则不同
情况的
处理。可以看出,建设一个安全的防火墙系统,不仅取决于它已经购买了什么品牌的设备,而且无论
用户了解企业网络的情况,掌握用户的实际需求和
正确实施。
U3000 U3000
目前,主要有三种
类型的防火墙:基于通用
操作系统的软件防火墙,对安全
操作系统的
硬件和软件防火墙,基于专用安全操作系统的硬件防火墙。主要产品有检查点,dongdaepai Neteye,Linux ipchains,Cisco PIX等。
U3000 U3000
当前防火墙可以在结构上分为两种类型:
U3000 U3000
1。应用
网关结构
U3000 U3000
内部网络
代理网关(代理网关)Internet。
U3000 U3000
2。
路由器加滤波器结构
U3000 U3000
内部网络过滤器(路由器)因特网。
U3000 U3000
在一般情况下,应用网关防火墙体系结构在安全
控制规模上更
详细的,基于用户
界面更友好的软件系统的大多数,更方便的
管理和控制;大多数路由器和防火墙系统的滤波器结构,基于硬件的组合或更快,但一般只控制到第三层和第四层协议,不仔细区分不同的业务;有一部分结合防火墙包过滤和应用网关防火墙的
功能,混合形成。防火墙的具体使用应根据企业的实际情况选择。
U3000 U3000
我将用一个实际的例子来解释构建安全防火墙系统的过程。
U3000 U3000
所有内部网络用户通过路由器
连接到防火墙,以及防火墙连接到Internet,作为该网络的唯一出口。内部网络有两个网段:192.168.1.0和192.168.2.0 / / 255.255.255.0 255.255.255.0。
U3000 U3000
在这种情况下,我使用了一个基于Linux的防火墙ipchains软件。它运行在系统内核,采用路由器和滤波器的结构,但它也可以形成一个复合应用网关防火墙的鱿鱼和其他software.ipchains运行在系统内核层来保证更高的
速度和稳定性,且
性能更高比在应用层运行防火墙软件。根据我个人的经验,一个双网卡防火墙在PII 300
计算机上运行可以
传输45~60m / s的数据包,可以满足300用户。两端的主机作为防火墙,
地址192.168.233.1 / 255.255.255.248(内港)和202.102.184.1 / 255.255.255.252(外部端口)。
U3000 U3000
首先,我们应该确定用户的需求,然后根据需求实现它。
U3000 U3000
经调查,用户的要求如下:
U3000 U3000
1,保证内部网络的安全,
禁止外部用户连接内部网络。
U3000 U3000
2,
保护主机安全作为防火墙,禁止外部用户使用telnet、FTP等基本
服务,确保内网
管理员可以使用telnet管理防火墙。
U3000 U3000
三.内部网络的结构,以确保内部用户可以只通过一个合法的IP地址202.102.184.1.at同时连接到互联网的隐蔽性、许可内部用户都需要使用所有的互联网服务,包括电子邮件、WWW
浏览新闻,FTP,等等。
4,要求限制访问Internet的用户,只允许特定用户的IP地址访问外部网络。
U3000 U3000
5、要求防止IP地址
盗用功能,确保特权用户IP不受侵犯。
U3000 U3000
6,要求有防止IP地址欺骗的能力。
U3000 U3000
其次,根据用户的需求设计解决方案。
U3000 U3000
方案的设计如下:
U3000 U3000
1、
安装Linux
服务器,
配置双网卡,两端的地址是192.168.233.1 / 255.255.255.252(内部端口ETH 0)和202.102.184.1 / 255.255.255.248(外部端口ETH 1)。
删除所有不必要的服务,如httpd、手指、DNS、DHCP、IPChains NFS和Sendmail。只有telnet和FTP服务被保留,以确保系统的稳定运行和提高网络安全性。
U3000 U3000
2、
启动后的软件,为了保证安全,我们首先提出了链的政策去否定,禁止无证转发数据包,保证内网的安全,以满足1的需求。
U3000 U3000
Eg:# ipchains-p提出否定
U3000 U3000
三.满足要求2、所有的连接请求从防火墙外部段的1024端口号必须禁止。在这里,我将以下
设置来防止eth1端口连接的TCP协议数据报的小于1024的端口号的请求(请求连接数据包的SYN标记和ipchains
参数Y)。
U3000 U3000
Eg:# ipchains -
输入-p tcp - D 202.102.184.1 0:1024 Y我eth1 -j
U3000 U3000
它不简单地拒绝所有小于1024个端口号的数据报。在某些情况下,服务器将对小于1024的数据报作出答复。例如,一些
搜索引擎可能在应答
查询中使用不常用的端口号小于1024。此外,当使用DNS查询域名时,如果服务器回答超过512字节的数据,则客户端使用TCP连接从端口53获取数据。
U3000 U3000
4。为了满足要求3、IP地址
翻译功能,必须使用。用户数据包从内部保留地址重写,当它穿过防火墙,数据包看起来像一个防火墙,那么防火墙重写返回包,使他们看起来像是发送给申请人。通过使用这种
方法,用户可以透明地使用互联网上的各种服务,不泄露自己的网络
条件。注意,FTP服务,你需要加载FTP伪装模块。
顺序如下:
U3000 U3000
Eg:insmod ip_masq_ftp #
U3000 U3000
5、满足需求4,您可以添加一个授权的用户设置了拒绝转发链。因为这部分用户可以使用所有的服务和访问所有的地址,则不需要指定
目标地址和端口号。假设授权IP地址是192.168.1.22,配置
命令如下:
U3000 U3000
Eg:# ipchains-a forward-s 192.168.1.22 -j MASQ
U3000 U3000
同时,IP数据包转发功能的系统必须启动。出于安全的考虑,建议政策建立了链设置为拒绝,和所有的牌包被禁止reforward转发后。
U3000 U3000
配置命令如下所示:
U3000 U3000
#回声1 > /过程/系统/网 / / ip_forward IPv4
U3000 U3000
6、关于防止IP地址盗用,在这个网络的拓扑结构,我们看到,所有的用户
都是通过两个路由器连接到防火墙,所以我们只需要在路由器设置一个授权IP地址的静态映射表的MAC地址,如果一个客户端连接到防火墙主机直接,你需要使用arp命令设置一个IP地址的静态映射表在防火墙主机的MAC地址。
U3000 U3000
7。对于需求6,如果在入口端口中设置了IP地址
确认,则丢弃可能无法从端口发出的数据包。配置命令如下所示:
U3000 U3000
Ipchains -输入我的# eth1 192.168.0.0 / 255.255.0.0,否认
U3000 U3000
此时,即使基本上构建了防火墙,我们也可以
修改操作中出现的问题并正确地调试它。然后我们就可以
保存配置与利用保存的命令。当你需要再次使用它,你可以使用命令ipchains
恢复。
U3000 U3000
其他的包过滤防火墙ipchains不远的
工作原理,以及配置命令是一样的。虽然在市场上销售的防火墙可以预设一些基本的内容,因为最终用户的需求和环境之间的无休止的差异,这是不可避免的配置。
U3000 U3000
从以上例子可以看出,构建安全防火墙的关键是要了解实际情况,掌握用户需求,正确使用和正确实现
工具,这才是真正的重点。