麻豆小视频在线观看_中文黄色一级片_久久久成人精品_成片免费观看视频大全_午夜精品久久久久久久99热浪潮_成人一区二区三区四区

首頁(yè) > 學(xué)院 > 網(wǎng)絡(luò)通信 > 正文

使用FreeBSD防火墻保護(hù)企業(yè)網(wǎng)絡(luò)

2019-11-05 03:19:38
字體:
來(lái)源:轉(zhuǎn)載
供稿:網(wǎng)友
我們看看如何使用建立好了的FreeBSD防火墻保護(hù)企業(yè),首先假設(shè)某企業(yè)有以下服務(wù)器和工作站:

  1、WEB服務(wù)器兩臺(tái)、一臺(tái)企業(yè)主頁(yè),一臺(tái)做BBS,希望  ifconfig_fxp0_alias0="inet xxx.xxx.xxx.002 netmask 255.255.255.0"
  ifconfig_fxp0_alias1="inet xxx.xxx.xxx.003 netmask 255.255.255.0"
  綁好之后我們現(xiàn)在就開(kāi)始分析了,首先我們來(lái)看看內(nèi)部網(wǎng)絡(luò),內(nèi)部要上Internet就必須要有一個(gè)網(wǎng)關(guān),并且讓他們正常的使用網(wǎng)絡(luò),假設(shè)FreeBSD內(nèi)部網(wǎng)卡編號(hào)為fxp1,那么我們還要在rc.conf里加入:
  ifconfig_fxp1="inet 10.125.0.1 netmask 255.255.0.0"
然后在防火墻規(guī)則里加上:
  divert 8668 ip from any to any via fxp0
這條規(guī)則,答應(yīng)NATD服務(wù),僅答應(yīng)NATD服務(wù)還不行,還要設(shè)置內(nèi)部網(wǎng)絡(luò)能連接到Internet,我們?cè)偌由希?BR>  allow ip from any to 10.125.0.0/16
  allow ip from 10.125.0.0/16 to any

  內(nèi)部網(wǎng)絡(luò)設(shè)置Gateway為10.125.0.1,這樣企業(yè)的內(nèi)部網(wǎng)絡(luò)就能正常連接到Internet了。
然后我們來(lái)看看WWW服務(wù)器,這個(gè)服務(wù)器一般來(lái)說(shuō)只要開(kāi)放三個(gè)端口就夠了,第一個(gè)端口自然是HTTP端口不用說(shuō)了,第二個(gè)端口那就是FTP端口以及ftp數(shù)據(jù)端口,其中HTTP端口自然是讓Internet上以及企業(yè)內(nèi)部訪問(wèn)的端口,而FTP端口是用來(lái)更新主頁(yè)或做別的事的,并且只須要企業(yè)內(nèi)部人員訪問(wèn)就足夠了,當(dāng)然有必要的話還要開(kāi)telnet或ssh端口,這是方便企業(yè)內(nèi)部系統(tǒng)治理員遠(yuǎn)程治理的,這里我建議使用ssh,并且為了防止萬(wàn)一入侵者進(jìn)來(lái)了,他可能要對(duì)其他機(jī)器進(jìn)行攻擊,我決定對(duì)WWW服務(wù)器進(jìn)行單獨(dú)分離,現(xiàn)在假設(shè)FreeBSD的內(nèi)部網(wǎng)卡編號(hào)為fxp1,我們編輯rc.conf文件,加上:

  ifconfig_fxp1_alias0 ="inet 10.80.0.1 netmask 255.255.255.0"

  然后我們把WWW的服務(wù)器設(shè)置成10.80這個(gè)網(wǎng)段,網(wǎng)關(guān)為10.80.0.1,這樣就把WWW服務(wù)器單獨(dú)劃在了一個(gè)非凡的區(qū)域里了,假設(shè)我們?cè)O(shè)置WWW的IP為10.80.0.80現(xiàn)在我們?cè)僭O(shè)置防火墻規(guī)則:

  allow tcp from any to xxx.xxx.xxx.001 80 in
  allow tcp from xxx.xxx.xxx.001 80 to any out //答應(yīng)任意地方能訪問(wèn)防火墻的80
  allow tcp from 10.80.0.80 80 to any out
  allow tcp from any to 10.80.0.80 80 in //答應(yīng)任意地方訪問(wèn)WWW服務(wù)器的80端口
  allow tcp from 10.125.0.0/16 to 10.80.0.80 21 in
  allow tcp from 10.125.0.0/16 to 10.80.0.80 20 in

  allow tcp from 10.80.0.80 21 to 10.125.0.0/16 out
  allow tcp from 10.80.0.80 20 to 10.125.0.0/16 out //答應(yīng)內(nèi)部網(wǎng)絡(luò)使用FTP服務(wù)器連接WWW服務(wù)器

  設(shè)置完成防火墻規(guī)則還不行還需要設(shè)置NATD,我們?cè)O(shè)置NATD為:
  redirect_port tcp 10.80.0.80:80 xxx.xxx.xxx.001:80

  這樣設(shè)置以后,WWW服務(wù)器就可以答應(yīng)企業(yè)內(nèi)部人員順利的更新主頁(yè)和瀏覽主頁(yè)了,而Internet卻只能瀏覽WWW服務(wù)器上的主頁(yè),就算萬(wàn)一WWW服務(wù)器利用HTTP服務(wù)器入侵了該機(jī)器,由于該服務(wù)器的各種連接都被放火墻阻斷,而無(wú)法對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行入侵和破壞,達(dá)到充分保護(hù)WWW服務(wù)器以及內(nèi)部網(wǎng)絡(luò)的目的。

  現(xiàn)在我們?cè)賮?lái)分析DNS服務(wù)器,由于BBS服務(wù)器和WWW服務(wù)器實(shí)質(zhì)上都一樣這里就不討論了,DNS服務(wù)器自然要提供DNS服務(wù)器,也就是UDP53端口,由于同時(shí)還帶MAIL功能,所以還要開(kāi)放SMTP端口以及POP3端口,而POP3服務(wù)器同樣只答應(yīng)內(nèi)部企業(yè)訪問(wèn),所以我們給rc.conf加入:
ifconfig_fxp1_alias0="inet 10.80.2.1 netmask 255.255.255.0"
然后給DNS服務(wù)器設(shè)置IP為10.80.2.53,設(shè)置防火墻規(guī)則為:

  allow udp from any to xxx.xxx.xxx.003 53 in
  allow udp from xxx.xxx.xxx.003 53 to any out //答應(yīng)任意地方能訪問(wèn)防火墻的53端口
  allow tcp from any to xxx.xxx.xxx.003 25 in
  allow tcp from xxx.xxx.xxx.003 25 to any out //答應(yīng)任意地方能訪問(wèn)防火墻的smtp端口
  allow udp from 10.80.2.53 53 to any out
  allow udp from any to 10.80.2.53 53 in //答應(yīng)任意地方訪問(wèn)DNS服務(wù)器的53端口
  allow tcp from any to 10.80.2.53 25 in
  allow tcp from 10.80.2.53 25 to any out //答應(yīng)任意地方訪問(wèn)DNS的SMTP端口
  allow tcp from 10.125.0.0/16 to 10.80.2.53 110 in
  allow tcp from 10.80.2.53 110 to 10.125.0.0/16 out //答應(yīng)企業(yè)內(nèi)部訪問(wèn)DNS的POP3端口
  NATD設(shè)置為:
  redirect_port udp 10.80.2.53:53 xxx.xxx.xxx.003:53 //把10.80.2.53的53轉(zhuǎn)到xxx.xxx.xxx.003的53上,使用的UDP。
  redirect_port tcp 10.80.2.53:25 xxx.xxx.xxx.003:25 //把10.80.2.53的25轉(zhuǎn)到xxx.xxx.xxx.003的25上,使用的TCP。

  按照上面的規(guī)則設(shè)置好企業(yè)網(wǎng)絡(luò)后,使得企業(yè)網(wǎng)絡(luò)保護(hù)更加的嚴(yán)密,服務(wù)器和服務(wù)器之間以及服務(wù)器和企業(yè)內(nèi)部網(wǎng)絡(luò)之間進(jìn)行了嚴(yán)格控制。當(dāng)然這里沒(méi)有考慮內(nèi)部入侵,以及內(nèi)部IP盜用行為,這也就是FreeBSD防火墻的局限性。不過(guò)可以添加一塊網(wǎng)卡,把企業(yè)內(nèi)部人員的網(wǎng)絡(luò)單獨(dú)用一個(gè)網(wǎng)卡來(lái)進(jìn)行隔離,達(dá)到彌補(bǔ)的辦法。

  好了,以上為我使用FreeBSD防火墻保護(hù)企業(yè)網(wǎng)絡(luò)的個(gè)人做法,希望能給一部分企業(yè)網(wǎng)管有所幫助。

發(fā)表評(píng)論 共有條評(píng)論
用戶名: 密碼:
驗(yàn)證碼: 匿名發(fā)表
主站蜘蛛池模板: 黄色成人短视频 | 国产欧美精品综合一区 | 成人一区二区三区四区 | 国产日产精品一区二区三区四区 | 性爱视频在线免费 | 亚洲午夜久久久久 | 欧美成人午夜 | 国产精品视频在 | 曰批全过程120分钟免费69 | 在线免费观看毛片 | 国产成年免费视频 | 成人毛片免费看 | free korean xxxxhd| 色综合久久久久久久久久久 | 亚洲成人在线视频网 | 亚洲精品欧美二区三区中文字幕 | 成人免费一区二区三区在线观看 | 中文字幕一区二区三区四区 | 国产成人高清在线观看 | 免费在线观看国产精品 | 大片毛片| 国产毛片网 | 欧美人与性禽动交精品 | 九九热视频在线 | 黄色7777 | 视频在线亚洲 | 牛牛热这里只有精品 | 九九精品视频免费 | 一区二区三区视频在线 | hd porn 4k video xhicial | 一级毛片在线视频 | 成人福利视频 | 亚洲生活片 | 91色一区二区三区 | 亚洲国产成人久久一区www妖精 | 久久99在线 | 成人在线视频网 | 免费在线观看午夜视频 | 精品亚洲视频在线 | 97中文 | 欧美雌雄另类xxxxx |