荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: bstone (Back to real world!), 信区: Hacker
标 题: Firewall-1防火墙(Batman From Chinaasp)
发信站: BBS 荔园晨风站 (Fri Apr 7 14:59:49 2000), 转信
发信人: cloudsky (小四), 信区: Security
标 题: Firewall-1防火墙(Batman From Chinaasp)
发信站: 武汉白云黄鹤站 (Thu Apr 6 14:31:57 2000), 站内信件
如何构造一个安全的防火墙,防火墙对于一个网络内部安全是非常重要的,如果配置仕
防火墙,那么防火墙将形式同虚设,反而成了放火墙了。
下面我将手把手教你如何将最常见的Firewall-1防火墙和提供最常见的服务为例子,
从无到有构造起一个安全的防火墙。其实防火墙的规则的写法是相通的,这些规则也可以越
其他类型的防火墙。其中特别重要的地方我会有相应的注释:
注意我为了描述方便,所有的防火墙规则我采用的格式按下面顺序排列:
No. Source Destination Service Action Track Install On
规则位置 源 目标 服务 采取的动作 是否日志 安装位置
第一步:(允许内部网全权访问外部)
1 Internal Any Any accept Long Gateways
[注释]:该规则允许内部任何人访问外部,这是极其不安全的
下面将在它的基础上介绍如何设置你的防火墙规则。
第二步:(锁定防火墙)
1 Any firewall Any drop Long Gateways
2 Internal Any Any accept Long Gateways
[注释]:新加入的规则将锁定防火墙,不允许任何人从任何位置访问防火墙。值得注意的剩
?
它和允许内部网全权访问外部的规则是绝对不能够颠倒位置的,否则,内部网络的
任何一台机器都可以访问防火墙。位置在这里是非常严格的。
第三步:(只允许管理员访问防火墙)
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any firewall Any drop Long Gateways
3 Internal Any Any accept Long Gateways
[注释]:新加入的规则允许管理员对防火墙进行远程管理设置。注意它必须要放置在最前面
位置同样不能够颠倒。
第四步:(记录所有的登录失败日志)
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any firewall Any drop Long Gateways
3 Internal Any Any accept Long Gateways
4 Any Any Any drop Long Gateways
[注释]:Firewall1防火墙默认的对登录失败的日志是不记录的,所以新加入的规则将记录
所有的登录失败日志。注意的是,使用任何一种防火墙这一步也都是必须要使用的。
第五步:(不需要记录入日志的内容)
第五步:(不需要记录入日志的内容)
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any firewall NBT ident reject Gateways
3 Any firewall Any drop Long Gateways
4 Internal Any Any accept Long Gateways
5 Any Any Any drop Long Gateways
[注释]:通常在你的网络中有许多广播数据包,如果你也记录的话日志会很快填满你的硬牛
?
例如NetBios协议。新加入的规则将不记录这些数据流量。注意它的位置哦!
第六步:(允许访问DNS)
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any firewall NBT ident reject Gateways
3 Any firewall Any drop Long Gateways
4 Any but dns-server domain-udp accept Gateways
Internal
5 Internal Any Any accept Long Gateways
6 Any Any Any drop Long Gateways
[注释]:新加入的规则严格控制除了内部网以外的机器访问53端口的DNS服务。由于内部网?
使用内部的dns服务器,所以不需要访问它。其次,不记录日志的理由是DNS流量会
很快占满硬盘地方。注意该规则的加入位置。
第七步:(允许访问电子邮件)
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any firewall NBT ident reject Gateways
3 Any firewall Any drop Long Gateways
4 Any but dns-server domain-udp accept Gateways
Internal
5 Any mailserver smtp accept Long Gateways
6 Internal Any Any accept Long Gateways
7 Any Any Any drop Long Gateways
[注释]:新加入的规则允许内部往外发送邮件,也允许外部给内部发送邮件。
同时为了安全起见,关闭邮件服务器的mail-relay选项。
第八步:(允许Web访问)
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any firewall NBT ident reject Gateways
3 Any firewall Any drop Long Gateways
4 Any but dns-server domain-udp accept Gateways
Internal
5 Any mailserver smtp accept Long Gateways
6 Any webserver http accept Long Gateways
7 Internal Any Any accept Long Gateways
8 Any Any Any drop Long Gateways
第七步:(允许访问电子邮件)
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any firewall NBT ident reject Gateways
3 Any firewall Any drop Long Gateways
4 Any but dns-server domain-udp accept Gateways
Internal
5 Any mailserver smtp accept Long Gateways
6 Internal Any Any accept Long Gateways
7 Any Any Any drop Long Gateways
[注释]:新加入的规则允许内部往外发送邮件,也允许外部给内部发送邮件。
同时为了安全起见,关闭邮件服务器的mail-relay选项。
第八步:(允许Web访问)
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any firewall NBT ident reject Gateways
3 Any firewall Any drop Long Gateways
4 Any but dns-server domain-udp accept Gateways
Internal
5 Any mailserver smtp accept Long Gateways
6 Any webserver http accept Long Gateways
7 Internal Any Any accept Long Gateways
8 Any Any Any drop Long Gateways
Internal
5 Any mailserver smtp accept Long Gateways
6 Any webserver http accept Long Gateways
7 Internal mailserver pop-3 accept Long Gateways
8 Internal Any Any accept Long Gateways
but MADA
9 Any Any Any drop Long Gateways
[注释]:新加入的规则让内部用户可以收取邮件。值得注意的是它必须要放置在阻塞
MADA规则的前面。否则内部用户将无法访问邮件服务器。
第十一步:(监视MADA状况)
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any firewall NBT ident reject Gateways
3 Any firewall Any drop Long Gateways
4 Any but dns-server domain-udp accept Gateways
Internal
5 Any mailserver smtp accept Long Gateways
6 Any webserver http accept Long Gateways
7 Internal mailserver pop-3 accept Long Gateways
8 Internal Any Any accept Long Gateways
but MADA
9 MADA Internal Any drop Alert Gateways
10 Any Any Any drop Long Gateways
10 Any Any Any drop Long Gateways
[注释]:虽然第八条规则已经禁止内部用户访问不信任域MADA中的内容,但是加入第九条乖
?
则可以发现一旦有从该域中发出的消息就会发出警报。
第十二步:(允许管理员通过SSH远程管理)
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any firewall NBT ident reject Gateways
3 Any firewall Any drop Long Gateways
4 Any but dns-server domain-udp accept Gateways
Internal
5 Any mailserver smtp accept Long Gateways
6 Any webserver http accept Long Gateways
7 admin-ips internal-systems ssh accept Long Gateways
8 Internal mailserver pop-3 accept Long Gateways
9 Internal Any Any accept Long Gateways
but MADA
10 MADA Internal Any drop Alert Gateways
11 Any Any Any drop Long Gateways
[注释]:允许管理员在特定IP的机器上使用SSH加密登录服务器。注意该规则放置的位置。
第十三步:(调整规则提高性能)
1 fw-admin firewall FireWall1 accept Long Gateways
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any firewall NBT ident reject Gateways
3 Any firewall Any drop Long Gateways
4 Any webserver http accept Long Gateways
5 Any but dns-server domain-udp accept Gateways
Internal
6 Any mailserver smtp accept Long Gateways
7 admin-ips internal-systems ssh accept Long Gateways
8 Internal mailserver pop-3 accept Long Gateways
9 Internal Any Any accept Long Gateways
but MADA
10 MADA Internal Any drop Alert Gateways
11 Any Any Any drop Long Gateways
[注释]:现在基本上完成了防火墙的设置,先别急着退出,最重要的是要检查一些是否防磺
降呐渲?
会影响服务器的性能。一般的检查规则是:
最常用的规则放在最前面
例如许多公司里面的Web服务是最主要的,从而它的流量是最大的,所以应该对它进行响拥
牡髡?
尽量把它往前移动,但是注意到它必须要放在第三条规则的后面。
Batman From Chinaasp
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any firewall NBT ident reject Gateways
3 Any firewall Any drop Long Gateways
4 Any webserver http accept Long Gateways
5 Any but dns-server domain-udp accept Gateways
Internal
6 Any mailserver smtp accept Long Gateways
7 admin-ips internal-systems ssh accept Long Gateways
8 Internal mailserver pop-3 accept Long Gateways
9 Internal Any Any accept Long Gateways
but MADA
10 MADA Internal Any drop Alert Gateways
11 Any Any Any drop Long Gateways
[注释]:现在基本上完成了防火墙的设置,先别急着退出,最重要的是要检查一些是否防磺
降呐渲?
会影响服务器的性能。一般的检查规则是:
最常用的规则放在最前面
例如许多公司里面的Web服务是最主要的,从而它的流量是最大的,所以应该对它进行响拥
牡髡?
尽量把它往前移动,但是注意到它必须要放在第三条规则的后面。
Batman From Chinaasp
but MADA
--
我问飘逝的风:来迟了?
风感慨:是的,他们已经宣战。
我问苏醒的大地:还有希望么?
大地揉了揉眼睛:还有,还有无数代的少年。
我问长空中的英魂:你们相信?
英魂带着笑意离去:相信,希望还在。
※ 来源:.武汉白云黄鹤站 bbs.whnet.edu.cn.[FROM: 203.207.226.124]
--
☆ 来源:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: bbs@192.168.28.106]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店