国产探花免费观看_亚洲丰满少妇自慰呻吟_97日韩有码在线_资源在线日韩欧美_一区二区精品毛片,辰东完美世界有声小说,欢乐颂第一季,yy玄幻小说排行榜完本

首頁(yè) > 學(xué)院 > 網(wǎng)絡(luò)通信 > 正文

使用FreeBSD防火墻保護(hù)企業(yè)網(wǎng)絡(luò)

2019-11-05 03:19:38
字體:
來(lái)源:轉(zhuǎn)載
供稿:網(wǎng)友
我們看看如何使用建立好了的FreeBSD防火墻保護(hù)企業(yè),首先假設(shè)某企業(yè)有以下服務(wù)器和工作站:

  1、WEB服務(wù)器兩臺(tái)、一臺(tái)企業(yè)主頁(yè),一臺(tái)做BBS,希望  ifconfig_fxp0_alias0="inet xxx.xxx.xxx.002 netmask 255.255.255.0"
  ifconfig_fxp0_alias1="inet xxx.xxx.xxx.003 netmask 255.255.255.0"
  綁好之后我們現(xiàn)在就開(kāi)始分析了,首先我們來(lái)看看內(nèi)部網(wǎng)絡(luò),內(nèi)部要上Internet就必須要有一個(gè)網(wǎng)關(guān),并且讓他們正常的使用網(wǎng)絡(luò),假設(shè)FreeBSD內(nèi)部網(wǎng)卡編號(hào)為fxp1,那么我們還要在rc.conf里加入:
  ifconfig_fxp1="inet 10.125.0.1 netmask 255.255.0.0"
然后在防火墻規(guī)則里加上:
  divert 8668 ip from any to any via fxp0
這條規(guī)則,答應(yīng)NATD服務(wù),僅答應(yīng)NATD服務(wù)還不行,還要設(shè)置內(nèi)部網(wǎng)絡(luò)能連接到Internet,我們?cè)偌由希?BR>  allow ip from any to 10.125.0.0/16
  allow ip from 10.125.0.0/16 to any

  內(nèi)部網(wǎng)絡(luò)設(shè)置Gateway為10.125.0.1,這樣企業(yè)的內(nèi)部網(wǎng)絡(luò)就能正常連接到Internet了。
然后我們來(lái)看看WWW服務(wù)器,這個(gè)服務(wù)器一般來(lái)說(shuō)只要開(kāi)放三個(gè)端口就夠了,第一個(gè)端口自然是HTTP端口不用說(shuō)了,第二個(gè)端口那就是FTP端口以及ftp數(shù)據(jù)端口,其中HTTP端口自然是讓Internet上以及企業(yè)內(nèi)部訪問(wèn)的端口,而FTP端口是用來(lái)更新主頁(yè)或做別的事的,并且只須要企業(yè)內(nèi)部人員訪問(wèn)就足夠了,當(dāng)然有必要的話(huà)還要開(kāi)telnet或ssh端口,這是方便企業(yè)內(nèi)部系統(tǒng)治理員遠(yuǎn)程治理的,這里我建議使用ssh,并且為了防止萬(wàn)一入侵者進(jìn)來(lái)了,他可能要對(duì)其他機(jī)器進(jìn)行攻擊,我決定對(duì)WWW服務(wù)器進(jìn)行單獨(dú)分離,現(xiàn)在假設(shè)FreeBSD的內(nèi)部網(wǎng)卡編號(hào)為fxp1,我們編輯rc.conf文件,加上:

  ifconfig_fxp1_alias0 ="inet 10.80.0.1 netmask 255.255.255.0"

  然后我們把WWW的服務(wù)器設(shè)置成10.80這個(gè)網(wǎng)段,網(wǎng)關(guān)為10.80.0.1,這樣就把WWW服務(wù)器單獨(dú)劃在了一個(gè)非凡的區(qū)域里了,假設(shè)我們?cè)O(shè)置WWW的IP為10.80.0.80現(xiàn)在我們?cè)僭O(shè)置防火墻規(guī)則:

  allow tcp from any to xxx.xxx.xxx.001 80 in
  allow tcp from xxx.xxx.xxx.001 80 to any out //答應(yīng)任意地方能訪問(wèn)防火墻的80
  allow tcp from 10.80.0.80 80 to any out
  allow tcp from any to 10.80.0.80 80 in //答應(yīng)任意地方訪問(wèn)WWW服務(wù)器的80端口
  allow tcp from 10.125.0.0/16 to 10.80.0.80 21 in
  allow tcp from 10.125.0.0/16 to 10.80.0.80 20 in

  allow tcp from 10.80.0.80 21 to 10.125.0.0/16 out
  allow tcp from 10.80.0.80 20 to 10.125.0.0/16 out //答應(yīng)內(nèi)部網(wǎng)絡(luò)使用FTP服務(wù)器連接WWW服務(wù)器

  設(shè)置完成防火墻規(guī)則還不行還需要設(shè)置NATD,我們?cè)O(shè)置NATD為:
  redirect_port tcp 10.80.0.80:80 xxx.xxx.xxx.001:80

  這樣設(shè)置以后,WWW服務(wù)器就可以答應(yīng)企業(yè)內(nèi)部人員順利的更新主頁(yè)和瀏覽主頁(yè)了,而Internet卻只能瀏覽WWW服務(wù)器上的主頁(yè),就算萬(wàn)一WWW服務(wù)器利用HTTP服務(wù)器入侵了該機(jī)器,由于該服務(wù)器的各種連接都被放火墻阻斷,而無(wú)法對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行入侵和破壞,達(dá)到充分保護(hù)WWW服務(wù)器以及內(nèi)部網(wǎng)絡(luò)的目的。

  現(xiàn)在我們?cè)賮?lái)分析DNS服務(wù)器,由于BBS服務(wù)器和WWW服務(wù)器實(shí)質(zhì)上都一樣這里就不討論了,DNS服務(wù)器自然要提供DNS服務(wù)器,也就是UDP53端口,由于同時(shí)還帶MAIL功能,所以還要開(kāi)放SMTP端口以及POP3端口,而POP3服務(wù)器同樣只答應(yīng)內(nèi)部企業(yè)訪問(wèn),所以我們給rc.conf加入:
ifconfig_fxp1_alias0="inet 10.80.2.1 netmask 255.255.255.0"
然后給DNS服務(wù)器設(shè)置IP為10.80.2.53,設(shè)置防火墻規(guī)則為:

  allow udp from any to xxx.xxx.xxx.003 53 in
  allow udp from xxx.xxx.xxx.003 53 to any out //答應(yīng)任意地方能訪問(wèn)防火墻的53端口
  allow tcp from any to xxx.xxx.xxx.003 25 in
  allow tcp from xxx.xxx.xxx.003 25 to any out //答應(yīng)任意地方能訪問(wèn)防火墻的smtp端口
  allow udp from 10.80.2.53 53 to any out
  allow udp from any to 10.80.2.53 53 in //答應(yīng)任意地方訪問(wèn)DNS服務(wù)器的53端口
  allow tcp from any to 10.80.2.53 25 in
  allow tcp from 10.80.2.53 25 to any out //答應(yīng)任意地方訪問(wèn)DNS的SMTP端口
  allow tcp from 10.125.0.0/16 to 10.80.2.53 110 in
  allow tcp from 10.80.2.53 110 to 10.125.0.0/16 out //答應(yīng)企業(yè)內(nèi)部訪問(wèn)DNS的POP3端口
  NATD設(shè)置為:
  redirect_port udp 10.80.2.53:53 xxx.xxx.xxx.003:53 //把10.80.2.53的53轉(zhuǎn)到xxx.xxx.xxx.003的53上,使用的UDP。
  redirect_port tcp 10.80.2.53:25 xxx.xxx.xxx.003:25 //把10.80.2.53的25轉(zhuǎn)到xxx.xxx.xxx.003的25上,使用的TCP。

  按照上面的規(guī)則設(shè)置好企業(yè)網(wǎng)絡(luò)后,使得企業(yè)網(wǎng)絡(luò)保護(hù)更加的嚴(yán)密,服務(wù)器和服務(wù)器之間以及服務(wù)器和企業(yè)內(nèi)部網(wǎng)絡(luò)之間進(jìn)行了嚴(yán)格控制。當(dāng)然這里沒(méi)有考慮內(nèi)部入侵,以及內(nèi)部IP盜用行為,這也就是FreeBSD防火墻的局限性。不過(guò)可以添加一塊網(wǎng)卡,把企業(yè)內(nèi)部人員的網(wǎng)絡(luò)單獨(dú)用一個(gè)網(wǎng)卡來(lái)進(jìn)行隔離,達(dá)到彌補(bǔ)的辦法。

  好了,以上為我使用FreeBSD防火墻保護(hù)企業(yè)網(wǎng)絡(luò)的個(gè)人做法,希望能給一部分企業(yè)網(wǎng)管有所幫助。


發(fā)表評(píng)論 共有條評(píng)論
用戶(hù)名: 密碼:
驗(yàn)證碼: 匿名發(fā)表
主站蜘蛛池模板: 永丰县| 新疆| 湖南省| 库尔勒市| 若尔盖县| 英山县| 南郑县| 唐河县| 宝清县| 都兰县| 三门县| 郯城县| 堆龙德庆县| 屏东市| 平顺县| 宝山区| 同德县| 永仁县| 平南县| 文昌市| 谢通门县| 云阳县| 松滋市| 灌南县| 吴桥县| 屏南县| 隆尧县| 梁平县| 宜昌市| 韶山市| 喀喇| 拜城县| 师宗县| 都江堰市| 越西县| 若尔盖县| 确山县| 图们市| 蓝田县| 玛曲县| 潞城市|