如何建立安全防火墙系统实例讲解

核心提示： 所有的内部网络用户通过两个路由器连接防火墙，防火墙作为本网络的唯一出口连接到Internet.内部网络有两个网段：192.168.1.0 /255.255.255.0和192.168.2.0 /255.255.255.0.在本例中，如何建立安全防火墙系统实例讲解(2)，我使用的是基于Lin

所有的内部网络用户通过两个路由器连接防火墙，防火墙作为本网络的唯一出口连接到Internet.内部网络有两个网段：192.168.1.0 /255.255.255.0和192.168.2.0 /255.255.255.0.

在本例中，我使用的是基于Linux 的软件防火墙 IPChains .它运行在系统内核，采用路由器加过滤器结构，但也可以与SQUID等软件组成复合型应用网关防火墙。IPChains在系统内核层运行，可以保证更高的速度和稳定性，性能远高于运行在应用程序层的防火墙软件。根据我个人经验，一台运行在PII 300计算机上的双网卡防火墙，其包转发速度就可以达到45～60M/S，满足300个用户使用。作为防火墙的主机两端地址分别为 192.168.233.1/255.255.255.248（内部端口）和202.102.184.1/255.255.255.252（外部端口）。

首先，我们应该确定用户的需求，再根据需求进行实现。

经调研，用户需求如下：

1、保障内部网络安全，禁止外部用户连接到内部网络。

2、保护作为防火墙的主机安全，禁止外部用户使用防火墙的主机Telnet、FTP等项基本服务，同时要保证处于内部网络的管理员可以使用Telnet管理防火墙。

3、隐蔽内部网络结构，保证内部用户可以通过仅有的一个合法IP地址202.102.184.1连接Internet.同时要求许可内部用户使用包括E-Mail、WWW浏览、News、FTP等所有Internet上的服务。

4、要求对可以访问Internet的用户进行限制，仅允许特定用户的IP地址可以访问外部网络。

5、要求具备防止IP地址盗用功能，保证特权用户的IP不受侵害。

6、要求具备防IP地址欺骗能力。

其次，根据用户需求设计解决方案。

方案设计如下：

1、安装一台Linux服务器，配置双网卡，两端地址分别为192.168.233.1 /255.255.255.252（内部端口ETH 0）和202.102.184.1/255.255.255.248（外部端口ETH 1）。在IPChains中去除诸如 HTTPD、Finger、DNS、DHCP、NFS、SendMail之类所有不需要的服务，仅保留Telnet和FTP服务，以保证系统运行稳定，提高网络安全性。