● Firewall-1防火墙(Batman From Chinaasp) - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: bstone (Back to real world!), 信区: Hacker
标  题: Firewall-1防火墙(Batman From Chinaasp)
发信站: BBS 荔园晨风站 (Fri Apr  7 14:59:49 2000), 转信

发信人: cloudsky (小四), 信区: Security
标  题: Firewall-1防火墙(Batman From Chinaasp)
发信站: 武汉白云黄鹤站 (Thu Apr  6 14:31:57 2000), 站内信件

    如何构造一个安全的防火墙，防火墙对于一个网络内部安全是非常重要的，如果配置仕
防火墙，那么防火墙将形式同虚设，反而成了放火墙了。
    下面我将手把手教你如何将最常见的Firewall-1防火墙和提供最常见的服务为例子，
从无到有构造起一个安全的防火墙。其实防火墙的规则的写法是相通的，这些规则也可以越
其他类型的防火墙。其中特别重要的地方我会有相应的注释：
    注意我为了描述方便，所有的防火墙规则我采用的格式按下面顺序排列：
No.        Source   Destination  Service  Action      Track   Install On
规则位置    源         目标        服务      采取的动作  是否日志  安装位置

第一步：(允许内部网全权访问外部)
1 Internal Any  Any  accept Long Gateways
[注释]：该规则允许内部任何人访问外部，这是极其不安全的
        下面将在它的基础上介绍如何设置你的防火墙规则。

第二步：（锁定防火墙）
1 Any  firewall Any  drop Long Gateways

2 Internal Any  Any  accept Long Gateways
[注释]：新加入的规则将锁定防火墙，不允许任何人从任何位置访问防火墙。值得注意的剩
?
它和允许内部网全权访问外部的规则是绝对不能够颠倒位置的，否则，内部网络的
任何一台机器都可以访问防火墙。位置在这里是非常严格的。

第三步：（只允许管理员访问防火墙）
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any  firewall Any  drop Long Gateways
3 Internal Any  Any  accept Long Gateways
[注释]：新加入的规则允许管理员对防火墙进行远程管理设置。注意它必须要放置在最前面
位置同样不能够颠倒。

第四步：（记录所有的登录失败日志）
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any  firewall Any  drop Long Gateways
3 Internal Any  Any  accept Long Gateways
4 Any  Any  Any  drop Long Gateways
[注释]：Firewall1防火墙默认的对登录失败的日志是不记录的，所以新加入的规则将记录
所有的登录失败日志。注意的是，使用任何一种防火墙这一步也都是必须要使用的。

第五步：（不需要记录入日志的内容）
第五步：（不需要记录入日志的内容）
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any  firewall NBT ident reject  Gateways
3 Any  firewall Any  drop Long Gateways
4 Internal Any  Any  accept Long Gateways
5 Any  Any  Any  drop Long Gateways
[注释]：通常在你的网络中有许多广播数据包，如果你也记录的话日志会很快填满你的硬牛
?
例如NetBios协议。新加入的规则将不记录这些数据流量。注意它的位置哦！

第六步：（允许访问DNS）
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any  firewall NBT ident reject  Gateways
3 Any  firewall Any  drop Long Gateways
4 Any but  dns-server domain-udp accept  Gateways
Internal
5 Internal Any  Any  accept Long Gateways
6 Any  Any  Any  drop Long Gateways
[注释]：新加入的规则严格控制除了内部网以外的机器访问53端口的DNS服务。由于内部网?

使用内部的dns服务器，所以不需要访问它。其次，不记录日志的理由是DNS流量会
很快占满硬盘地方。注意该规则的加入位置。

第七步：（允许访问电子邮件）
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any  firewall NBT ident reject  Gateways
3 Any  firewall Any  drop Long Gateways
4 Any but  dns-server domain-udp accept  Gateways
Internal
5 Any  mailserver smtp  accept Long Gateways
6 Internal Any  Any  accept Long Gateways
7 Any  Any  Any  drop Long Gateways
[注释]：新加入的规则允许内部往外发送邮件，也允许外部给内部发送邮件。
同时为了安全起见，关闭邮件服务器的mail-relay选项。

第八步：（允许Web访问）
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any  firewall NBT ident reject  Gateways
3 Any  firewall Any  drop Long Gateways
4 Any but  dns-server domain-udp accept  Gateways
Internal
5 Any  mailserver smtp  accept Long Gateways
6 Any  webserver http  accept Long Gateways
7 Internal Any  Any  accept Long Gateways
8 Any  Any  Any  drop Long Gateways

第七步：（允许访问电子邮件）
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any  firewall NBT ident reject  Gateways
3 Any  firewall Any  drop Long Gateways
4 Any but  dns-server domain-udp accept  Gateways
Internal
5 Any  mailserver smtp  accept Long Gateways
6 Internal Any  Any  accept Long Gateways
7 Any  Any  Any  drop Long Gateways
[注释]：新加入的规则允许内部往外发送邮件，也允许外部给内部发送邮件。
同时为了安全起见，关闭邮件服务器的mail-relay选项。

第八步：（允许Web访问）
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any  firewall NBT ident reject  Gateways
3 Any  firewall Any  drop Long Gateways
4 Any but  dns-server domain-udp accept  Gateways
Internal
5 Any  mailserver smtp  accept Long Gateways
6 Any  webserver http  accept Long Gateways
7 Internal Any  Any  accept Long Gateways
8 Any  Any  Any  drop Long Gateways
Internal
5 Any  mailserver smtp  accept Long Gateways
6 Any  webserver http  accept Long Gateways
7 Internal mailserver pop-3  accept Long Gateways
8 Internal Any  Any  accept Long Gateways
   but MADA
9 Any  Any  Any  drop Long Gateways
[注释]：新加入的规则让内部用户可以收取邮件。值得注意的是它必须要放置在阻塞
MADA规则的前面。否则内部用户将无法访问邮件服务器。

第十一步：（监视MADA状况）
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any  firewall NBT ident reject  Gateways
3 Any  firewall Any  drop Long Gateways
4 Any but  dns-server domain-udp accept  Gateways
Internal
5 Any  mailserver smtp  accept Long Gateways
6 Any  webserver http  accept Long Gateways
7 Internal mailserver pop-3  accept Long Gateways
8 Internal Any  Any  accept Long Gateways
   but MADA
9 MADA  Internal Any  drop Alert Gateways
10 Any  Any  Any  drop Long Gateways
10 Any  Any  Any  drop Long Gateways
[注释]：虽然第八条规则已经禁止内部用户访问不信任域MADA中的内容，但是加入第九条乖
?
则可以发现一旦有从该域中发出的消息就会发出警报。

第十二步：（允许管理员通过SSH远程管理）
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any  firewall NBT ident reject  Gateways
3 Any  firewall Any  drop Long Gateways
4 Any but  dns-server domain-udp accept  Gateways
Internal
5 Any  mailserver smtp  accept Long Gateways
6 Any  webserver http  accept Long Gateways
7 admin-ips internal-systems ssh  accept Long Gateways
8 Internal mailserver pop-3  accept Long Gateways
9 Internal Any  Any  accept Long Gateways
   but MADA
10 MADA  Internal Any  drop Alert Gateways
11 Any  Any  Any  drop Long Gateways
[注释]：允许管理员在特定IP的机器上使用SSH加密登录服务器。注意该规则放置的位置。

第十三步：（调整规则提高性能）
1 fw-admin firewall FireWall1 accept Long Gateways
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any  firewall NBT ident reject  Gateways
3 Any  firewall Any  drop Long Gateways
4 Any  webserver http  accept Long Gateways
5 Any but  dns-server domain-udp accept  Gateways
Internal
6 Any  mailserver smtp  accept Long Gateways

7 admin-ips internal-systems ssh  accept Long Gateways
8 Internal mailserver pop-3  accept Long Gateways
9 Internal Any  Any  accept Long Gateways
   but MADA
10 MADA  Internal Any  drop Alert Gateways
11 Any  Any  Any  drop Long Gateways
[注释]：现在基本上完成了防火墙的设置，先别急着退出，最重要的是要检查一些是否防磺
降呐渲?
会影响服务器的性能。一般的检查规则是：
最常用的规则放在最前面
例如许多公司里面的Web服务是最主要的，从而它的流量是最大的，所以应该对它进行响拥
牡髡?
尽量把它往前移动，但是注意到它必须要放在第三条规则的后面。

Batman From Chinaasp
1 fw-admin firewall FireWall1 accept Long Gateways
2 Any  firewall NBT ident reject  Gateways
3 Any  firewall Any  drop Long Gateways
4 Any  webserver http  accept Long Gateways
5 Any but  dns-server domain-udp accept  Gateways
Internal
6 Any  mailserver smtp  accept Long Gateways

7 admin-ips internal-systems ssh  accept Long Gateways
8 Internal mailserver pop-3  accept Long Gateways
9 Internal Any  Any  accept Long Gateways
   but MADA
10 MADA  Internal Any  drop Alert Gateways
11 Any  Any  Any  drop Long Gateways
[注释]：现在基本上完成了防火墙的设置，先别急着退出，最重要的是要检查一些是否防磺
降呐渲?
会影响服务器的性能。一般的检查规则是：
最常用的规则放在最前面
例如许多公司里面的Web服务是最主要的，从而它的流量是最大的，所以应该对它进行响拥
牡髡?
尽量把它往前移动，但是注意到它必须要放在第三条规则的后面。

Batman From Chinaasp
   but MADA

--
            我问飘逝的风：来迟了？
            风感慨：是的，他们已经宣战。
            我问苏醒的大地：还有希望么？
            大地揉了揉眼睛：还有，还有无数代的少年。
            我问长空中的英魂：你们相信？
            英魂带着笑意离去：相信，希望还在。

※ 来源:．武汉白云黄鹤站 bbs.whnet.edu.cn．[FROM: 203.207.226.124]

--
☆ 来源:．BBS 荔园晨风站 bbs.szu.edu.cn．[FROM: bbs@192.168.28.106]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店