如何建立安全防火墙系统实例讲解
2008-11-26 12:18:04 来源:WEB开发网所有的内部网络用户通过两个路由器连接防火墙,防火墙作为本网络的唯一出口连接到Internet.内部网络有两个网段:192.168.1.0 /255.255.255.0和192.168.2.0 /255.255.255.0.
在本例中,我使用的是基于Linux 的软件防火墙 IPChains .它运行在系统内核,采用路由器加过滤器结构,但也可以与SQUID等软件组成复合型应用网关防火墙。IPChains在系统内核层运行,可以保证更高的速度和稳定性,性能远高于运行在应用程序层的防火墙软件。根据我个人经验,一台运行在PII 300计算机上的双网卡防火墙,其包转发速度就可以达到45~60M/S,满足300个用户使用。作为防火墙的主机两端地址分别为 192.168.233.1/255.255.255.248(内部端口)和202.102.184.1/255.255.255.252(外部端口)。
首先,我们应该确定用户的需求,再根据需求进行实现。
经调研,用户需求如下:
1、保障内部网络安全,禁止外部用户连接到内部网络。
2、保护作为防火墙的主机安全,禁止外部用户使用防火墙的主机Telnet、FTP等项基本服务,同时要保证处于内部网络的管理员可以使用Telnet管理防火墙。
3、隐蔽内部网络结构,保证内部用户可以通过仅有的一个合法IP地址202.102.184.1连接Internet.同时要求许可内部用户使用包括E-Mail、WWW浏览、News、FTP等所有Internet上的服务。
4、要求对可以访问Internet的用户进行限制,仅允许特定用户的IP地址可以访问外部网络。
5、要求具备防止IP地址盗用功能,保证特权用户的IP不受侵害。
6、要求具备防IP地址欺骗能力。
其次,根据用户需求设计解决方案。
方案设计如下:
1、安装一台Linux服务器,配置双网卡,两端地址分别为192.168.233.1 /255.255.255.252(内部端口ETH 0)和202.102.184.1/255.255.255.248(外部端口ETH 1)。在IPChains中去除诸如 HTTPD、Finger、DNS、DHCP、NFS、SendMail之类所有不需要的服务,仅保留Telnet和FTP服务,以保证系统运行稳定,提高网络安全性。
更多精彩
赞助商链接