如何使用FreeBSD防火墙保护企业网络

怎样运用freebsd风火墙养护企业搜集

往日我仍旧写过一次《运用freebsd组装安定的网关》，重要偏差于怎样创造一个freebsd风火墙，而风火墙在很多功夫主假如要看怎样运用，此刻咱们看看怎样运用创造好了的freebsd风火墙养护企业，对于freebsd的风火墙树立进程请参考我的《运用freebsd组装安定的网关》，开始假如某企业有以次效劳器和处事站：1、web效劳器两台、一台湾企业业网页，一台做bbs，蓄意ip地方为xxx.xxx.xxx.001和xxx.xxx.xxx.0022、dns效劳器一台，而且兼带企业e-mail效劳，ip地方为xxx.xxx.xxx.003，把www.testdomain.com领会到xxx.xxx.xxx.001以及bbs.testdomain.com领会到xxx.xxx.xxx.0023、企业里面局域搜集，计划机n台，ip地方为10.125.0.0到10.125.255.255对于如许的一个企业，咱们开始要安排好搜集构架，在安排的同声要商量到各个效劳器以及里面搜集各放在什么场所，本领更灵验的共同风火墙，使得风火墙对每个局部都能充溢的养护。咱们开始来领会一下“黑客”侵犯的本领和道路，动作一个侵犯者，他的第一步天然是先要找到目的企业在搜集中的场所，假如他仍旧领会该企业没有运用长机托管效劳，而是和企业的搜集放在了一道，那么他只须ping一下该企业的网页就能领会到该企业的ip地方为xxx.xxx.xxx.001和xxx.xxx.xxx.002，而其余再有一台dns效劳器，也不妨运用nslookup如许的东西，一下就能查到目的企业的dns效劳器为地方xxx.xxx.xxx.003，而且他还管帐划，假如仍旧加入之上三台效劳器中的一台，他就会赶快领会搜集构造，而且加入内网，获得里面搜集职工材料，以及很多要害数据。从上头看得出来，要养护这个搜集，咱们须要做很多货色，开始咱们不妨想方法对效劳器之间以及效劳器和里面搜集之间举行分隔，但又能运用到她们该当有的功效，此刻对该企业的搜集做如次筹备：开始决定freebsd风火墙是动作企业贯穿到internet效劳器的独一道路，而后对freebsd举行确定的树立，打开它的ipfirewall以及natd功效，上海图书馆报告了咱们此刻是把www、bbs、dns等效劳器都放在里面举行养护，以是在风火墙要打开natd的反向代劳功效，开始咱们把xxx.xxx.xxx.001，xxx.xxx.xxx.002，xxx.xxx.xxx.003，绑定在freebsd外部网卡上，假如外部网卡号为fxp0，在rc.conf里咱们须要树立如次：ifconfig_fxp0="inet xxx.xxx.xxx.001 netmask 255.255.255.0"ifconfig_fxp0_alias0="inet xxx.xxx.xxx.002 netmask 255.255.255.0"ifconfig_fxp0_alias1="inet xxx.xxx.xxx.003 netmask 255.255.255.0"绑好之后咱们此刻就发端领会了，开始咱们来看看里面搜集，里面要上internet就必需要有一个网关，而且让她们平常的运用搜集，假如freebsd里面网卡编号为fxp1，那么咱们还要在rc.conf里介入：ifconfig_fxp1="inet 10.125.0.1 netmask 255.255.0.0"而后在风火墙准则里加上：divert 8668 ip from any to any via fxp0这条文则，承诺natd效劳，仅承诺natd效劳还不行，还要树立里面搜集能贯穿到internet，咱们再加上：allow ip from any to 10.125.0.0/16allow ip from 10.125.0.0/16 to any里面搜集树立gateway为10.125.0.1，如许企业的里面搜集就能平常贯穿到internet了。而后咱们来看看www效劳器，这个效劳器普遍来说只有盛开三个端口就够了，第一个端口天然是http端口不必说了，第二个端口那即是ftp端口以及ftp数据端口，个中http端口天然是让internet上以及企业里面考察的端口，而ftp端口是用来革新网页或做其余事的，而且只需要企业里面职员考察就充满了，固然有需要的话还要开telnet或ssh端口，这是简单企业里面体例处置员长途处置的，这边我倡导运用ssh，而且为了提防万一侵犯者进入了，他大概要对其余呆板举行报复，我确定对www效劳器举行独立辨别，此刻假如freebsd的里面网卡编号为fxp1，咱们编纂rc.conf文献，加上：ifconfig_fxp1_alias0 ="inet 10.80.0.1 netmask 255.255.255.0"而后咱们把www的效劳器树立成10.80这个网段，网关为10.80.0.1，如许就把www效劳器独立划在了一个特出的地区里了，假如咱们树立www的ip为10.80.0.80此刻咱们再树立风火墙准则：allow tcp from any to xxx.xxx.xxx.001 80 inallow tcp from xxx.xxx.xxx.001 80 to any out //承诺大肆场合能考察风火墙的80allow tcp from 10.80.0.80 80 to any outallow tcp from any to 10.80.0.80 80 in //承诺大肆场合考察www效劳器的80端口allow tcp from 10.125.0.0/16 to 10.80.0.80 21 inallow tcp from 10.125.0.0/16 to 10.80.0.80 20 inallow tcp from 10.80.0.80 21 to 10.125.0.0/16 outallow tcp from 10.80.0.80 20 to 10.125.0.0/16 out //承诺里面搜集运用ftp效劳器贯穿www效劳器树立实行风火墙准则还不行还须要树立natd，咱们树立natd为：redirect_port tcp 10.80.0.80:80 xxx.xxx.xxx.001:80如许树立此后，www效劳器就不妨承诺企业里面职员成功的革新网页和欣赏网页了，而internet却只能欣赏www效劳器上的网页，就算万一www效劳器运用http效劳器侵犯了该呆板，因为该效劳器的百般贯穿都被纵火墙阻断，而没辙对企业里面搜集举行侵犯和妨害，到达充溢养护www效劳器以及里面搜集的手段。此刻咱们再来领会dns效劳器，因为bbs效劳器和www效劳器本质上都一律这边就不计划了，dns效劳器天然要供给dns效劳器，也即是udp53端口，因为同声还带mail功效，以是还要盛开smtp端口以及pop3端口，而pop3效劳器同样只承诺里面企业考察，以是咱们给rc.conf介入：ifconfig_fxp1_alias0="inet 10.80.2.1 netmask 255.255.255.0"而后给dns效劳器树立ip为10.80.2.53，树立风火墙准则为：allow udp from any to xxx.xxx.xxx.003 53 inallow udp from xxx.xxx.xxx.003 53 to any out //承诺大肆场合能考察风火墙的53端口allow tcp from any to xxx.xxx.xxx.003 25 inallow tcp from xxx.xxx.xxx.003 25 to any out //承诺大肆场合能考察风火墙的smtp端口allow udp from 10.80.2.53 53 to any outallow udp from any to 10.80.2.53 53 in //承诺大肆场合考察dns效劳器的53端口allow tcp from any to 10.80.2.53 25 inallow tcp from 10.80.2.53 25 to any out //承诺大肆场合考察dns的smtp端口allow tcp from 10.125.0.0/16 to 10.80.2.53 110 inallow tcp from 10.80.2.53 110 to 10.125.0.0/16 out //承诺企业里面考察dns的pop3端口natd树立为：redirect_port udp 10.80.2.53:53 xxx.xxx.xxx.003:53 //把10.80.2.53的53转到xxx.xxx.xxx.003的53上，运用的udp。redirect_port tcp 10.80.2.53:25 xxx.xxx.xxx.003:25 //把10.80.2.53的25转到xxx.xxx.xxx.003的25上，运用的tcp。依照上头的准则树立好企业搜集后，使得企业搜集养护越发的精细，效劳器和效劳器之间以及效劳器和企业里面搜集之间举行了庄重遏制。固然这边没有商量里面侵犯，以及里面ip盗用动作，这也即是freebsd风火墙的控制性。然而不妨增添一块网卡，把企业里面职员的搜集独立用一个网卡来举行分隔，到达填补的方法。好了，之上为我运用freebsd风火墙养护企业搜集的部分做法，蓄意能给一局部企业网管有所扶助。