使用FreeBSD防火墙保护企业网络

我们看看如何使用建立好了的FreeBSD防火墙保护企业,首先假设某企业有以下服务器和工作站:

  1、WEB服务器两台、一台企业主页,一台做BBS,希望IP地址为xxx.xxx.xxx.001和xxx.xxx.xxx.002
  2、DNS服务器一台,并且兼带企业E-mail服务,IP地址为xxx.xxx.xxx.003,把www.testdomain.com解析到xxx.xxx.xxx.001以及bbs.testdomain.com解析到xxx.xxx.xxx.002
  3、企业内部局域网络,计算机N台,IP地址为10.125.0.0到10.125.255.255

  对于这样的一个企业,我们首先要设计好网络构架,在设计的同时要考虑到各个服务器以及内部网络各放在什么位置,才能更有效的配合防火墙,使得防火墙对每个部分都能充分的保护。
我们首先来分析一下“黑客”入侵的手段和途径,作为一个入侵者,他的第一步自然是先要找到目标企业在网络中的位置,假设他已经知道该企业没有使用主机托管服务,而是和企业的网络放在了一起,那么他只须ping一下该企业的主页就能了解到该企业的IP地址为xxx.xxx.xxx.001和xxx.xxx.xxx.002,而另外还有一台DNS服务器,也可以使用nslookup这样的工具,一下就能查到目标企业的DNS服务器为地址xxx.xxx.xxx.003,并且他还会计划,假设已经进入以上三台服务器中的一台,他就会马上分析网络结构,并且进入内网,获取内部网络员工资料,以及很多重要数据。从上面看得出来,要保护这个网络,我们需要做很多东西,首先我们可以想办法对服务器之间以及服务器和内部网络之间进行隔离,但又能应用到他们应该有的功能,现在对该企业的网络做如下策划:

  首先确定FreeBSD防火墙是作为企业连接到Internet服务器的唯一途径,然后对FreeBSD进行一定的设置,开启它的ipfirewall以及NATD功能,上图告诉了我们现在是把WWW、BBS、DNS等服务器都放在内部进行保护,所以在防火墙要开启NATD的反向代理功能,首先我们把xxx.xxx.xxx.001,xxx.xxx.xxx.002,xxx.xxx.xxx.003,绑定在FreeBSD外部网卡上,假设外部网卡号为fxp0,在rc.conf里我们需要设置如下:

  ifconfig_fxp0="inet xxx.xxx.xxx.001 netmask 255.255.255.0"
  ifconfig_fxp0_alias0="inet xxx.xxx.xxx.002 netmask 255.255.255.0"
  ifconfig_fxp0_alias1="inet xxx.xxx.xxx.003 netmask 255.255.255.0"
  绑好之后我们现在就开始分析了,首先我们来看看内部网络,内部要上Internet就必须要有一个网关,并且让他们正常的使用网络,假设FreeBSD内部网卡编号为fxp1,那么我们还要在rc.conf里加入:
  ifconfig_fxp1="inet 10.125.0.1 netmask 255.255.0.0"
然后在防火墙规则里加上:
  divert 8668 ip from any to any via fxp0
这条规则,允许NATD服务,仅允许NATD服务还不行,还要设置内部网络能连接到Internet,我们再加上:
  allow ip from any to 10.125.0.0/16
  allow ip from 10.125.0.0/16 to any

内部网络设置Gateway为10.125.0.1,这样企业的内部网络就能正常连接到Internet了。
然后我们来看看WWW服务器,这个服务器一般来说只要开放三个端口就够了,第一个端口自然是HTTP端口不用说了,第二个端口那就是ftp端口以及ftp数据端口,其中HTTP端口自然是让Internet上以及企业内部访问的端口,而FTP端口是用来更新主页或做别的事的,并且只须要企业内部人员访问就足够了,当然有必要的话还要开telnet或ssh端口,这是方便企业内部系统管理员远程管理的,这里我建议使用ssh,并且为了防止万一入侵者进来了,他可能要对其他机器进行攻击,我决定对WWW服务器进行单独分离,现在假设FreeBSD的内部网卡编号为fxp1,我们编辑rc.conf文件,加上:

  ifconfig_fxp1_alias0 ="inet 10.80.0.1 netmask 255.255.255.0"

  然后我们把WWW的服务器设置成10.80这个网段,网关为10.80.0.1,这样就把WWW服务器单独划在了一个特殊的区域里了,假设我们设置WWW的IP为10.80.0.80现在我们再设置防火墙规则:

  allow tcp from any to xxx.xxx.xxx.001 80 in
  allow tcp from xxx.xxx.xxx.001 80 to any out //允许任意地方能访问防火墙的80
  allow tcp from 10.80.0.80 80 to any out
  allow tcp from any to 10.80.0.80 80 in //允许任意地方访问WWW服务器的80端口
  allow tcp from 10.125.0.0/16 to 10.80.0.80 21 in
  allow tcp from 10.125.0.0/16 to 10.80.0.80 20 in
  allow tcp from 10.80.0.80 21 to 10.125.0.0/16 out
  allow tcp from 10.80.0.80 20 to 10.125.0.0/16 out //允许内部网络使用FTP服务器连接WWW服务器

  设置完成防火墙规则还不行还需要设置NATD,我们设置NATD为:
  redirect_port tcp 10.80.0.80:80 xxx.xxx.xxx.001:80

  这样设置以后,WWW服务器就可以允许企业内部人员顺利的更新主页和浏览主页了,而Internet却只能浏览WWW服务器上的主页,就算万一WWW服务器利用HTTP服务器入侵了该机器,由于该服务器的各种连接都被放火墙阻断,而无法对企业内部网络进行入侵和破坏,达到充分保护WWW服务器以及内部网络的目的。

  现在我们再来分析DNS服务器,由于BBS服务器和WWW服务器实质上都一样这里就不讨论了,DNS服务器自然要提供DNS服务器,也就是UDP53端口,由于同时还带MAIL功能,所以还要开放SMTP端口以及POP3端口,而POP3服务器同样只允许内部企业访问,所以我们给rc.conf加入:
ifconfig_fxp1_alias0="inet 10.80.2.1 netmask 255.255.255.0"
然后给DNS服务器设置IP为10.80.2.53,设置防火墙规则为:

  allow udp from any to xxx.xxx.xxx.003 53 in
  allow udp from xxx.xxx.xxx.003 53 to any out //允许任意地方能访问防火墙的53端口
  allow tcp from any to xxx.xxx.xxx.003 25 in
  allow tcp from xxx.xxx.xxx.003 25 to any out //允许任意地方能访问防火墙的smtp端口
  allow udp from 10.80.2.53 53 to any out
  allow udp from any to 10.80.2.53 53 in //允许任意地方访问DNS服务器的53端口
  allow tcp from any to 10.80.2.53 25 in
  allow tcp from 10.80.2.53 25 to any out //允许任意地方访问DNS的SMTP端口
  allow tcp from 10.125.0.0/16 to 10.80.2.53 110 in
  allow tcp from 10.80.2.53 110 to 10.125.0.0/16 out //允许企业内部访问DNS的POP3端口
  NATD设置为:
  redirect_port udp 10.80.2.53:53 xxx.xxx.xxx.003:53 //把10.80.2.53的53转到xxx.xxx.xxx.003的53上,使用的UDP。
  redirect_port tcp 10.80.2.53:25 xxx.xxx.xxx.003:25 //把10.80.2.53的25转到xxx.xxx.xxx.003的25上,使用的TCP。

  按照上面的规则设置好企业网络后,使得企业网络保护更加的严密,服务器和服务器之间以及服务器和企业内部网络之间进行了严格控制。当然这里没有考虑内部入侵,以及内部IP盗用行为,这也就是FreeBSD防火墙的局限性。不过可以添加一块网卡,把企业内部人员的网络单独用一个网卡来进行隔离,达到弥补的办法。

  好了,以上为我使用FreeBSD防火墙保护企业网络的个人做法,希望能给一部分企业网管有所帮助。 文章录入:csh    责任编辑:csh

(0)

相关推荐

  • 使用FreeBSD防火墙保护企业网络

    我们看看如何使用建立好了的FreeBSD防火墙保护企业,首先假设某企业有以下服务器和工作站: 1.WEB服务器两台.一台企业主页,一台做BBS,希望IP地址为xxx.xxx.xxx.001和xxx.xxx.xxx.002 2.DNS服务器一台,并且兼带企业E-mail服务,IP地址为xxx.xxx.xxx.003,把www.testdomain.com解析到xxx.xxx.xxx.001以及bbs.testdomain.com解析到xxx.xxx.xxx.002 3.企业内部局域网络,计算机N台

  • 消除无线网络的安全风险,保护你的电脑

    人们从来没有停止过对便利生活的追求,而为满足这种需要各种技术也不断被推动向前发展着.就在人们刚刚学会享受网络技术所带来的巨大便利之时,信息技术厂商已经在为我们描绘另一个更加宏大.美丽的场景,那就是无线网络. "网络能做什么"的浪潮已经过去,"如何使用网络"又将成为新一轮的竞争焦点.而这新一轮的网络发展正在力争让无线信号覆盖到全球的各个角落,试图让人们能够在任何时间.任何地点,通过任何设备都能联入全球网络.然而,当更多的线缆被肉眼看不见的无线信号取代以后,用户是否能够

  • 3-8 防火墙是不是保证企业网络安全

    企业有防火墙就安全了吗?现在的企业网架构安全吗?当前企业网络安全基础设施存在什么问题?新一代安全代理专用设备将是企业网络安全架构的重要组成部分,也是解决企业网面临上述问题的有效解决方法!  随着互联网飞速发展,越来越多的企业都通过网络开展业务,许多企业甚至感到离开网络,业务就无法正常运行,网络安全的重要性由此可见一斑.因此,企业不惜代价地在网络安全方面投入资金,购买防火墙.电子邮件防毒系统或桌面防毒系统,来阻止病毒泛滥和黑客攻击.在许多企业.甚至系统集成商看来,这样的网络在安全方面可以高枕无忧了

  • 3-8  防火墙是不是保证企业网络安全

    企业有防火墙就安全了吗?现在的企业网架构安全吗?当前企业网络安全基础设施存在什么问题?新一代安全代理专用设备将是企业网络安全架构的重要组成部分,也是解决企业网面临上述问题的有效解决方法!  随着互联网飞速发展,越来越多的企业都通过网络开展业务,许多企业甚至感到离开网络,业务就无法正常运行,网络安全的重要性由此可见一斑.因此,企业不惜代价地在网络安全方面投入资金,购买防火墙.电子邮件防毒系统或桌面防毒系统,来阻止病毒泛滥和黑客攻击.在许多企业.甚至系统集成商看来,这样的网络在安全方面可以高枕无忧了

  • 比较精辟的精通防火墙问与答

    凡是网络存在之处,都不可避免地会受到诸多不安全因素的威胁,在系统中安装防火墙无疑是最明智.有效的选择.我们既然寄希望于防火墙成为个人计算机与网络之间的一道安全屏障,就一定要对防火墙的方方面面有通透的了解,才能事半功倍,达到预期效果.  问:Windows 2003 自带的防火墙应该如何打开和关闭? 答:可以直接在网卡属性里面设置,也可以在服务里面自己开启服务. ******************************************************* 问:除了Norton 8

  • 解读什么是防火墙

    一. 防火墙的概念  近年来,随着普通计算机用户群的日益增长,"防火墙"一词已经不再是服务器领域的专署,大部分家庭用户都知道为自己爱机安装各种"防火墙"软件了.但是,并不是所有用户都对"防火墙"有所了解的,一部分用户甚至认为,"防火墙"是一种软件的名称--  到底什么才是防火墙?它工作在什么位置,起着什么作用?查阅历史书籍可知,古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种

  • 使用Windows防火墙十大经典问题荟萃

    问:我使用不同的 Windows 版本,怎么办呢? 答:Windows XP 前的 Windows 版本不含内建防火墙.如果计算机用的是旧版 Windows,如 Windows 2000.Windows Millennium Edition 或 Windows 98,你应取得防火墙,并加以安装.可使用硬件防火墙或软件防火墙. 问:如果我在家中或小型办公室网络中有一台以上的计算机时,应该使用网络联机防火墙吗? 答:是的.如果你在家中或小型办公室网络中有一台以上的计算机,应该保护网络中的每一台计算机

  • 如何鉴别防火墙的实际功能差异

    有一些问题常令用户困惑:在产品的功能上,各个厂商的描述十分雷同,一些"后起之秀"与知名品牌极其相似.面对这种情况,该如何鉴别? 描述得十分类似的产品,即使是同一个功能,在具体实现上.在可用性和易用性上,个体差异地十分明显. 一.网络层的访问控制 所有防火墙都必须具备此项功能,否则就不能称其为防火墙.当然,大多数的路由器也可以通过自身的ACL来实现此功能. 1.规则编辑 对网络层的访问控制主要表现在防火墙的规则编辑上,我们一定要考察:对网络层的访问控制是否可以通过规则表现出来?访问控制的

  • 网络漏洞扫描系统必要性

    随着计算机技术.网络技术的飞速发展和普及应用,网络安全已日渐成为人们关注的焦点问题之一.近几年来,安全技术和安全产品已经有了长足的进步,部分技术与产品已日趋成熟.但是,单个安全技术或者安全产品的功能和性能都有其局限性,只能满足系统与网络特定的安全需求.因此,如何有效利用现有的安全技术和安全产品来保障系统与网络的安全已成为当前信息安全领域的研究热点之一. 首先,让我们来看看现阶段网络上使用最多的安全设备防火墙和入侵检测.为了确保网络的安全使用,研究它们的局限性和脆弱性已经十分必要. 一.防火墙的局

  • 菜鸟必看网络名词

    ADSL ADSL(Asymetric Digital Subscriber Loop)技术即非对称数字用户环路技术,就是利用现有的一对电话铜线,为用户提供上.下行非对称的传输速率(带宽),上行(从用户到网络)为低速的传输,可达640Kbps:下行(从网络到用户)为高速传输,可达7Mbps.它最初主要是针对视频点播业务开发的,随着技术的发展,逐步成为了一种较方便的宽带接入技术,为电信部门所重视. 这种宽带接入技术具有以下特点: 1. 可直接利用现有用户电话线,无须另铺电缆,节省投资: 2. 渗入

随机推荐