快捷搜索:

如何使用FreeBSD防火墙保护企业网络

作者: 刘宏光

邮件: iceblood@163.com

曩昔我已经写过一次《使用FreeBSD组建安然的网关》,主要方向于若何建立一个FreeBSD防火墙,而防火墙在很多时刻主如果要看若何应用,现在我们看看若何应用建立好了的FreeBSD防火墙保护企业,关于FreeBSD的防火墙扶植历程请参考我的《使用FreeBSD组建安然的网关》,首先假设某企业有以下办事器和事情站:

1、WEB办事器两台、一台企业主页,一台做BBS,盼望IP地址为xxx.xxx.xxx.001和xxx.xxx.xxx.002

2、DNS办事器一台,并且兼带企业E-mail办事,IP地址为xxx.xxx.xxx.003,把www.testdomain.com解析到xxx.xxx.xxx.001以及bbs.testdomain.com解析到xxx.xxx.xxx.002

3、企业内部局域收集,谋略机N台,IP地址为10.125.0.0到10.125.255.255

对付这样的一个企业,我们首先要设计好收集构架,在设计的同时要斟酌到各个办事器以及内部收集各放在什么位置,才能更有效的共同防火墙,使得防火墙对每个部分都能充分的保护。

我们首先来阐发一下“黑客”入侵的手段和道路,作为一个入侵者,他的第一步自然是先要找到目标企业在收集中的位置,假设他已经知道该企业没有应用主机托管办事,而是和企业的收集放在了一路,那么他只须ping一下该企业的主页就能懂得到该企业的IP地址为xxx.xxx.xxx.001和xxx.xxx.xxx.002,而别的还有一台DNS办事器,也可以应用nslookup这样的对象,一下就能查到目标企业的DNS办事器为地址xxx.xxx.xxx.003,并且他还会计划,假设已经进入以上三台办事器中的一台,他就会顿时阐发收集布局,并且进入内网,获取内部收集员工资料,以及很多紧张数据。从上面看得出来,要保护这个收集,我们必要做很多器械,首先我们可以设法主见子对办事器之间以及办事器和内部收集之间进行隔离,但又能利用到他们应该有的功能,现在对该企业的收集做如下策划:

首先确定FreeBSD防火墙是作为企业连接到Internet办事器的独一道路,然后对FreeBSD进行必然的设置,开启它的ipfirewall以及NATD功能,上图奉告了我们现在是把WWW、BBS、DNS等办事器都放在内部进行保护,以是在防火墙要开启NATD的反向代理功能,首先我们把xxx.xxx.xxx.001,xxx.xxx.xxx.002,xxx.xxx.xxx.003,绑定在FreeBSD外部网卡上,假设外部网卡号为fxp0,在rc.conf里我们必要设置如下:

ifconfig_fxp0="inet xxx.xxx.xxx.001 netmask 255.255.255.0"

ifconfig_fxp0_alias0="inet xxx.xxx.xxx.002 netmask 255.255.255.0"

ifconfig_fxp0_alias1="inet xxx.xxx.xxx.003 netmask 255.255.255.0"

绑好之后我们现在就开始阐发了,首先我们来看看内部收集,内部要上Internet就必须要有一个网关,并且让他们正常的应用收集,假设FreeBSD内部网卡编号为fxp1,那么我们还要在rc.conf里加入:

ifconfig_fxp1="inet 10.125.0.1 netmask 255.255.0.0"

然后在防火墙规则里加上:

divert 8668 ip from any to any via fxp0

这条规则,容许NATD办事,仅容许NATD办事还不可,还要设置内部收集能连接到Internet,我们再加上:

allow ip from any to 10.125.0.0/16

allow ip from 10.125.0.0/16 to any

内部收集设置Gateway为10.125.0.1,这样企业的内部收集就能正常连接到Internet了。

然后我们来看看WWW办事器,这个办事器一样平常来说只要开放三个端口就够了,第一个端口自然是HTTP端口不用说了,第二个端口那便是ftp端口以及ftp数据端口,此中HTTP端口自然是让Internet上以及企业内部造访的端口,而FTP端口是用来更新主页或做其余事的,并且只须要企业内部职员造访就足够了,当然有需要的话还要开telnet或ssh端口,这是方便企业内部系统治理员远程治理的,这里我建议应用ssh,并且为了防止万一入侵者进来了,他可能要对其他机械进行进击,我抉择对WWW办事器进行零丁分离,现在假设FreeBSD的内部网卡编号为fxp1,我们编辑rc.conf文件,加上:

ifconfig_fxp1_alias0="inet 10.80.2.1 netmask 255.255.255.0"

然后给DNS办事器设置IP为10.80.2.53,设置防火墙规则为:

allow udp from any to xxx.xxx.xxx.003 53 in

allow udp from xxx.xxx.xxx.003 53 to any out //容许随意率性地方能造访防火墙的53端口

allow tcp from any to xxx.xxx.xxx.003 25 in

allow tcp from xxx.xxx.xxx.003 25 to any out //容许随意率性地方能造访防火墙的smtp端口

allow udp from 10.80.2.53 53 to any out

allow udp from any to 10.80.2.53 53 in //容许随意率性地方造访DNS办事器的53端口

allow tcp from any to 10.80.2.53 25 in

allow tcp from 10.80.2.53 25 to any out //容许随意率性地方造访DNS的SMTP端口

allow tcp from 10.125.0.0/16 to 10.80.2.53 110 in

allow tcp from 10.80.2.53 110 to 10.125.0.0/16 out //容许企业内部造访DNS的POP3端口

NATD设置为:

redirect_port udp 10.80.2.53:53 xxx.xxx.xxx.003:53 //把10.80.2.53的53转到xxx.xxx.xxx.003的53上,应用的UDP。

redirect_port tcp 10.80.2.53:25 xxx.xxx.xxx.003:25 //把10.80.2.53的25转到xxx.xxx.xxx.003的25上,应用的TCP。

按照上面的规则设置好企业收集后,使得企业收集保护加倍的缜密,办事器和办事器之间以及办事器和企业内部收集之间进行了严格节制。当然这里没有斟酌内部入侵,以及内部IP盗用行径,这也便是FreeBSD防火墙的局限性。不过可以添加一块网卡,把企业内部职员的收集零丁用一个网卡来进行隔离,达到增补的法子。

好了,以上为我应用FreeBSD防火墙保护企业收集的小我做法,盼望能给一部分企业网管有所赞助。

您可能还会对下面的文章感兴趣: