Username: Password:

怎样使用FreeBSD防火墙保护企业网络
< 上一篇 | 下一篇 >
来源:作者:刘宏光(iceblood) 发布时间:2007-11-21 13:26:00

怎样使用FreeBSD防火墙保护企业网络


以前我已写过一次《利用FreeBSD组建安全的网关》,主要偏向于怎样建立一个FreeBSD防火墙,而防火墙在很多时候主要是要看怎样使用,现在我们看看怎样使用建立好了的FreeBSD防火墙保护企业,关于FreeBSD的防火墙建设过程请参考我的《利用FreeBSD组建安全的网关》,首先假设某企业有以下服务器和工作站:
1、WEB服务器两台、一台企业主页,一台做BBS,希望IP地址为xxx.xxx.xxx.001和xxx.xxx.xxx.002
2、DNS服务器一台,并且兼带企业E-mail服务,IP地址为xxx.xxx.xxx.003,把www.testdomain.com解析到xxx.xxx.xxx.001连同bbs.testdomain.com解析到xxx.xxx.xxx.002
3、企业内部局域网络,电脑N台,IP地址为10.125.0.0到10.125.255.255
对于这样的一个企业,我们首先要设计好网络构架,在设计的同时要考虑到各个服务器连同内部网络各放在什么位置,才能更有效的配合防火墙,使得防火墙对每个部分都能充分的保护。
我们首先来分析一下“黑客”入侵的手段和途径,作为一个入侵者,他的第一步自然是先要找到目标企业在网络中的位置,假设他已知道该企业没有使用主机托管服务,而是和企业的网络放在了一起,那么他只须ping一下该企业的主页就能了解到该企业的IP地址为xxx.xxx.xxx.001和xxx.xxx.xxx.002,而另外更有一台DNS服务器,也能够使用nslookup这样的工具,一下就能查到目标企业的DNS服务器为地址xxx.xxx.xxx.003,并且他还会计划,假设已进入以上三台服务器中的一台,他就会马上分析网络结构,并且进入内网,获取内部网络员工资料,连同很多重要数据。从上面看得出来,要保护这个网络,我们需要做很多东西,首先我们能够想办法对服务器之间连同服务器和内部网络之间进行隔离,但又能应用到他们应该有的功能,现在对该企业的网络做如下策划:

首先确定FreeBSD防火墙是作为企业连接到Internet服务器的唯一途径,然后对FreeBSD进行一定的配置,开启他的ipfirewall连同NATD功能,上图告诉了我们现在是把WWW、BBS、DNS等服务器都放在内部进行保护,所以在防火墙要开启NATD的反向代理功能,首先我们把xxx.xxx.xxx.001,xxx.xxx.xxx.002,xxx.xxx.xxx.003,绑定在FreeBSD外部网卡上,假设外部网卡号为fxp0,在rc.conf里我们需要配置如下:
ifconfig_fxp0="inet xxx.xxx.xxx.001 netmask 255.255.255.0"
ifconfig_fxp0_alias0="inet xxx.xxx.xxx.002 netmask 255.255.255.0"
ifconfig_fxp0_alias1="inet xxx.xxx.xxx.003 netmask 255.255.255.0"
绑好之后我们现在就开始分析了,首先我们来看看内部网络,内部要上Internet就必须要有一个网关,并且让他们正常的使用网络,假设FreeBSD内部网卡编号为fxp1,那么我们还要在rc.conf里加入:
ifconfig_fxp1="inet 10.125.0.1 netmask 255.255.0.0"
然后在防火墙规则里加上:
divert 8668 ip from any to any via fxp0
这条规则,允许NATD服务,仅允许NATD服务还不行,还要配置内部网络能连接到Internet,我们再加上:
allow ip from any to 10.125.0.0/16
allow ip from 10.125.0.0/16 to any
内部网络配置Gateway为10.125.0.1,这样企业的内部网络就能正常连接到Internet了。
然后我们来看看WWW服务器,这个服务器一般来说只要开放三个端口就够了,第一个端口自然是HTTP端口不用说了,第二个端口那就是ftp端口连同ftp数据端口,其中HTTP端口自然是让Internet上连同企业内部访问的端口,而FTP端口是用来更新主页或做别的事的,并且只须要企业内部人员访问就足够了,当然有必要的话还要开telnet或ssh端口,这是方便企业内部系统管理员远程管理的,这里我建议使用ssh,并且为了防止万一入侵者进来了,他可能要对其他机器进行攻击,我决定对WWW服务器进行单独分离,现在假设FreeBSD的内部网卡编号为fxp1,我们编辑rc.conf文档,加上:
ifconfig_fxp1_alias0 ="inet 10.80.0.1 netmask 255.255.255.0"
然后我们把WWW的服务器配置成10.80这个网段,网关为10.80.0.1,这样就把WWW服务器单独划在了一个特别的区域里了,假设我们配置WWW的IP为10.80.0.80现在我们再配置防火墙规则:
allow tcp from any to xxx.xxx.xxx.001 80 in
allow tcp from xxx.xxx.xxx.001 80 to any out //允许任意地方能访问防火墙的80
allow tcp from 10.80.0.80 80 to any out
allow tcp from any to 10.80.0.80 80 in //允许任意地方访问WWW服务器的80端口
allow tcp from 10.125.0.0/16 to 10.80.0.80 21 in
allow tcp from 10.125.0.0/16 to 10.80.0.80 20 in
allow tcp from 10.80.0.80 21 to 10.125.0.0/16 out
allow tcp from 10.80.0.80 20 to 10.125.0.0/16 out //允许内部网络使用FTP服务器连接WWW服务器
配置完成防火墙规则还不行还需要配置NATD,我们配置NATD为:
redirect_port tcp 10.80.0.80:80 xxx.xxx.xxx.001:80
这样配置以后,WWW服务器就能够允许企业内部人员顺利的更新主页和浏览主页了,而Internet却只能浏览WWW服务器上的主页,就算万一WWW服务器利用HTTP服务器入侵了该机器,由于该服务器的各种连接都被放火墙阻断,而无法对企业内部网络进行入侵和破坏,达到充分保护WWW服务器连同内部网络的目的。
现在我们再来分析DNS服务器,由于BBS服务器和WWW服务器实质上都相同这里就不讨论了,DNS服务器自然要提供DNS服务器,也就是UDP53端口,由于同时还带MAIL功能,所以还要开放SMTP端口连同POP3端口,而POP3服务器同样只允许内部企业访问,所以我们给rc.conf加入:
ifconfig_fxp1_alias0="inet 10.80.2.1 netmask 255.255.255.0"
然后给DNS服务器配置IP为10.80.2.53,配置防火墙规则为:
allow udp from any to xxx.xxx.xxx.003 53 in
allow udp from xxx.xxx.xxx.003 53 to any out //允许任意地方能访问防火墙的53端口
allow tcp from any to xxx.xxx.xxx.003 25 in
allow tcp from xxx.xxx.xxx.003 25 to any out //允许任意地方能访问防火墙的smtp端口
allow udp from 10.80.2.53 53 to any out
allow udp from any to 10.80.2.53 53 in //允许任意地方访问DNS服务器的53端口
allow tcp from any to 10.80.2.53 25 in
allow tcp from 10.80.2.53 25 to any out //允许任意地方访问DNS的SMTP端口
allow tcp from 10.125.0.0/16 to 10.80.2.53 110 in
allow tcp from 10.80.2.53 110 to 10.125.0.0/16 out //允许企业内部访问DNS的POP3端口
NATD配置为:
redirect_port udp 10.80.2.53:53 xxx.xxx.xxx.003:53 //把10.80.2.53的53转到xxx.xxx.xxx.003的53上,使用的UDP。
redirect_port tcp 10.80.2.53:25 xxx.xxx.xxx.003:25 //把10.80.2.53的25转到xxx.xxx.xxx.003的25上,使用的TCP。
按照上面的规则配置好企业网络后,使得企业网络保护更加的严密,服务器和服务器之间连同服务器和企业内部网络之间进行了严格控制。当然这里没有考虑内部入侵,连同内部IP盗用行为,这也就是FreeBSD防火墙的局限性。但是能够添加一块网卡,把企业内部人员的网络单独用一个网卡来进行隔离,达到弥补的办法。
好了,以上为我使用FreeBSD防火墙保护企业网络的个人做法,希望能给一部分企业网管有所帮助。

喜欢本文,那就收藏到:

    Del.icio.us Google书签 Digg Live Bookmark Technorati Furl Yahoo书签 Facebook 百度搜藏 新浪ViVi 365Key网摘 天极网摘 和讯网摘 博拉网 POCO网摘 添加到饭否 QQ书签 Digbuzz我挖网
相关评论  我也要评论
还没有关于此文章的相关评论!
首页 上一页 下一页 尾页
  • 昵称: (为空则显示guest)
  • 评论分数: ★ ★ ★★★ ★★★★ ★★★★★
  • 评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。

    • 相关推荐

  • xml轻松学习手册(3)xml的术语_xml教程
  • xml轻松学习手册(4)xml语法_xml教程
  • xml轻松学习手册(5)xml实例解析_xml教程
  • 了解web页面工具语言xml(一)产生背景_xml教程
  • 了解web页面工具语言xml(二)定义_xml教程
  • 了解web页面工具语言xml(三)支持工具_xml教程
  • 了解web页面工具语言xml(四)应用分类_xml教程
  • 了解web页面工具语言xml(五)好处_xml教程
  • 了解web页面工具语言xml(六)展望_xml教程
  • xml技术上传文档_xml技巧

    • 相关资讯

  • Perl文档及目录操作
  • Perl的运算符号字符
  • Perl变量(1)--纯变量
  • 跟我学Perl(三)
  • 跟我学Perl(二)
  • 跟我学Perl(一)
  • CGI教程(5)利用CGI解码FORM
  • CGI教程(4)HTML表单
  • CGI教程(3)怎样发回文档给客户端
  • PerlDBI入门
    • 点击发布文章
    导航
  • 主页
  • 设为首页
  • 加入收藏
  • 联系我们
    • 赞助商
    文章类别
  • 行业资讯
  • 域名资讯
  • 虚拟主机
  • 托管租用
  • VPS
  • CDN
  • 网站运营
  • 技术资讯
  • Mac OS
  • 网络设备
  • 路由技术
  • 网络技术
  • HTML/DHTML
  • 源码天堂
  • 网络编程
  • Java
  • Perl
  • C/C++
  • Shell
  • 数据库其他
  • DB2
  • Sybase
  • 存储备份
  • 硬件技术
  • 网站建设
  • 通信技术
  • 虚拟化技术
  • 安全其他
  • 安全工具
  • 加密和破解
  • 数据库安全
  • 程序安全
  • 网络安全
  • 系统安全
  • 防火墙
  • VPN
  • 网管技术其他
  • Informix
  • Oracle
  • PostgreSQL
  • Dreamweaver教程
  • windows操作系统
  • XML编程
  • NET编程
  • JSP编程
  • PHP编程
  • ASP编程
  • Mssql
  • Mysql
  • Access
  • Coreldraw
  • flash
  • web服务器
  • ftp服务器
  • mail服务器
  • 邮件系统
  • IBM-AIX
  • HP-UX
  • Sco
  • Solaris
  • FreeBSD
  • Linux
  • Proxy
  • CSS教程
  • Javascript教程
  • Ajax
  • dns服务器
  • Photoshop教程
  • 站长资讯
  • 冲浪宝典
  • 帮助中心
  • 首页新闻
  • 其它相关问题
  • 安全漏洞相关问题
  • 网站推广相关问题
  • 虚拟主机相关问题
  • 网站建设相关问题
  • 服务器相关问题
  • 备案相关问题
  • 支付相关问题
  • 后台操作指南
  • 代理相关问题
  • 邮件相关问题
  • 域名相关问题
  • vps相关问题
  • 行业资讯
  • 名网动态
  • 新手指南
  • 代理帮助
    • 订阅
  • Rss Feed
    • 主机赞助商连接: 华夏名网虚拟主机域名注册 关于我们 | 网站声明 | 联系我们 | 广告服务 IDC中文资讯站-客观公证的IDC产业权威媒体

    Copyright @ 2007-2008 IDCNEWS.NET, All Rights Reserved
    蜀ICP备07504800号