国产探花免费观看_亚洲丰满少妇自慰呻吟_97日韩有码在线_资源在线日韩欧美_一区二区精品毛片,辰东完美世界有声小说,欢乐颂第一季,yy玄幻小说排行榜完本

<noscript id="rwbcr"></noscript>

<small id="rwbcr"></small>

首頁(yè) > 學(xué)院 > 網(wǎng)絡(luò)通信 > 正文

使用FreeBSD防火墻保護(hù)企業(yè)網(wǎng)絡(luò)

2019-11-05 03:19:38

字體：大中小

來(lái)源：轉(zhuǎn)載

供稿：網(wǎng)友

我們看看如何使用建立好了的FreeBSD防火墻保護(hù)企業(yè)，首先假設(shè)某企業(yè)有以下服務(wù)器和工作站：

　　1、WEB服務(wù)器兩臺(tái)、一臺(tái)企業(yè)主頁(yè)，一臺(tái)做BBS，希望　　ifconfig_fxp0_alias0="inet xxx.xxx.xxx.002 netmask 255.255.255.0"
　　ifconfig_fxp0_alias1="inet xxx.xxx.xxx.003 netmask 255.255.255.0"
　　綁好之后我們現(xiàn)在就開(kāi)始分析了，首先我們來(lái)看看內(nèi)部網(wǎng)絡(luò)，內(nèi)部要上Internet就必須要有一個(gè)網(wǎng)關(guān)，并且讓他們正常的使用網(wǎng)絡(luò)，假設(shè)FreeBSD內(nèi)部網(wǎng)卡編號(hào)為fxp1，那么我們還要在rc.conf里加入：
　　ifconfig_fxp1="inet 10.125.0.1 netmask 255.255.0.0"
然后在防火墻規(guī)則里加上：
　　divert 8668 ip from any to any via fxp0
這條規(guī)則，答應(yīng)NATD服務(wù)，僅答應(yīng)NATD服務(wù)還不行，還要設(shè)置內(nèi)部網(wǎng)絡(luò)能連接到Internet，我們?cè)偌由希?BR>　　allow ip from any to 10.125.0.0/16
　　allow ip from 10.125.0.0/16 to any

　　內(nèi)部網(wǎng)絡(luò)設(shè)置Gateway為10.125.0.1，這樣企業(yè)的內(nèi)部網(wǎng)絡(luò)就能正常連接到Internet了。
然后我們來(lái)看看WWW服務(wù)器，這個(gè)服務(wù)器一般來(lái)說(shuō)只要開(kāi)放三個(gè)端口就夠了，第一個(gè)端口自然是HTTP端口不用說(shuō)了，第二個(gè)端口那就是FTP端口以及ftp數(shù)據(jù)端口，其中HTTP端口自然是讓Internet上以及企業(yè)內(nèi)部訪問(wèn)的端口，而FTP端口是用來(lái)更新主頁(yè)或做別的事的，并且只須要企業(yè)內(nèi)部人員訪問(wèn)就足夠了，當(dāng)然有必要的話(huà)還要開(kāi)telnet或ssh端口，這是方便企業(yè)內(nèi)部系統(tǒng)治理員遠(yuǎn)程治理的，這里我建議使用ssh，并且為了防止萬(wàn)一入侵者進(jìn)來(lái)了，他可能要對(duì)其他機(jī)器進(jìn)行攻擊，我決定對(duì)WWW服務(wù)器進(jìn)行單獨(dú)分離，現(xiàn)在假設(shè)FreeBSD的內(nèi)部網(wǎng)卡編號(hào)為fxp1，我們編輯rc.conf文件，加上：

　　ifconfig_fxp1_alias0 ="inet 10.80.0.1 netmask 255.255.255.0"

　　然后我們把WWW的服務(wù)器設(shè)置成10.80這個(gè)網(wǎng)段，網(wǎng)關(guān)為10.80.0.1，這樣就把WWW服務(wù)器單獨(dú)劃在了一個(gè)非凡的區(qū)域里了，假設(shè)我們?cè)O(shè)置WWW的IP為10.80.0.80現(xiàn)在我們?cè)僭O(shè)置防火墻規(guī)則：

　　allow tcp from any to xxx.xxx.xxx.001 80 in
　　allow tcp from xxx.xxx.xxx.001 80 to any out //答應(yīng)任意地方能訪問(wèn)防火墻的80
　　allow tcp from 10.80.0.80 80 to any out
　　allow tcp from any to 10.80.0.80 80 in //答應(yīng)任意地方訪問(wèn)WWW服務(wù)器的80端口
　　allow tcp from 10.125.0.0/16 to 10.80.0.80 21 in
　　allow tcp from 10.125.0.0/16 to 10.80.0.80 20 in

　　allow tcp from 10.80.0.80 21 to 10.125.0.0/16 out
　　allow tcp from 10.80.0.80 20 to 10.125.0.0/16 out //答應(yīng)內(nèi)部網(wǎng)絡(luò)使用FTP服務(wù)器連接WWW服務(wù)器

　　設(shè)置完成防火墻規(guī)則還不行還需要設(shè)置NATD，我們?cè)O(shè)置NATD為：
　　redirect_port tcp 10.80.0.80:80 xxx.xxx.xxx.001:80

　　這樣設(shè)置以后，WWW服務(wù)器就可以答應(yīng)企業(yè)內(nèi)部人員順利的更新主頁(yè)和瀏覽主頁(yè)了，而Internet卻只能瀏覽WWW服務(wù)器上的主頁(yè)，就算萬(wàn)一WWW服務(wù)器利用HTTP服務(wù)器入侵了該機(jī)器，由于該服務(wù)器的各種連接都被放火墻阻斷，而無(wú)法對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行入侵和破壞，達(dá)到充分保護(hù)WWW服務(wù)器以及內(nèi)部網(wǎng)絡(luò)的目的。

　　現(xiàn)在我們?cè)賮?lái)分析DNS服務(wù)器，由于BBS服務(wù)器和WWW服務(wù)器實(shí)質(zhì)上都一樣這里就不討論了，DNS服務(wù)器自然要提供DNS服務(wù)器，也就是UDP53端口，由于同時(shí)還帶MAIL功能，所以還要開(kāi)放SMTP端口以及POP3端口，而POP3服務(wù)器同樣只答應(yīng)內(nèi)部企業(yè)訪問(wèn)，所以我們給rc.conf加入：
ifconfig_fxp1_alias0="inet 10.80.2.1 netmask 255.255.255.0"
然后給DNS服務(wù)器設(shè)置IP為10.80.2.53，設(shè)置防火墻規(guī)則為：

　　allow udp from any to xxx.xxx.xxx.003 53 in
　　allow udp from xxx.xxx.xxx.003 53 to any out //答應(yīng)任意地方能訪問(wèn)防火墻的53端口
　　allow tcp from any to xxx.xxx.xxx.003 25 in
　　allow tcp from xxx.xxx.xxx.003 25 to any out //答應(yīng)任意地方能訪問(wèn)防火墻的smtp端口
　　allow udp from 10.80.2.53 53 to any out
　　allow udp from any to 10.80.2.53 53 in //答應(yīng)任意地方訪問(wèn)DNS服務(wù)器的53端口
　　allow tcp from any to 10.80.2.53 25 in
　　allow tcp from 10.80.2.53 25 to any out //答應(yīng)任意地方訪問(wèn)DNS的SMTP端口
　　allow tcp from 10.125.0.0/16 to 10.80.2.53 110 in
　　allow tcp from 10.80.2.53 110 to 10.125.0.0/16 out //答應(yīng)企業(yè)內(nèi)部訪問(wèn)DNS的POP3端口
　　NATD設(shè)置為：
　　redirect_port udp 10.80.2.53:53 xxx.xxx.xxx.003:53 //把10.80.2.53的53轉(zhuǎn)到xxx.xxx.xxx.003的53上，使用的UDP。
　　redirect_port tcp 10.80.2.53:25 xxx.xxx.xxx.003:25 //把10.80.2.53的25轉(zhuǎn)到xxx.xxx.xxx.003的25上，使用的TCP。

　　按照上面的規(guī)則設(shè)置好企業(yè)網(wǎng)絡(luò)后，使得企業(yè)網(wǎng)絡(luò)保護(hù)更加的嚴(yán)密，服務(wù)器和服務(wù)器之間以及服務(wù)器和企業(yè)內(nèi)部網(wǎng)絡(luò)之間進(jìn)行了嚴(yán)格控制。當(dāng)然這里沒(méi)有考慮內(nèi)部入侵，以及內(nèi)部IP盜用行為，這也就是FreeBSD防火墻的局限性。不過(guò)可以添加一塊網(wǎng)卡，把企業(yè)內(nèi)部人員的網(wǎng)絡(luò)單獨(dú)用一個(gè)網(wǎng)卡來(lái)進(jìn)行隔離，達(dá)到彌補(bǔ)的辦法。

　　好了，以上為我使用FreeBSD防火墻保護(hù)企業(yè)網(wǎng)絡(luò)的個(gè)人做法，希望能給一部分企業(yè)網(wǎng)管有所幫助。

上一篇：如何實(shí)現(xiàn)網(wǎng)絡(luò)分段

下一篇：IEEE 802.11b典型解決方案

學(xué)習(xí)交流

索泰發(fā)布一款GTX 1070 Mini迷你版本:小機(jī)

索泰發(fā)布一款GTX 1070 Mini迷你版本:小機(jī)箱大愛(ài)...

熱門(mén)圖片

猜你喜歡的新聞

猜你喜歡的關(guān)注

新聞熱點(diǎn)

榮耀總裁趙明烏鎮(zhèn)演講：榮耀首款5G手機(jī)V30下月發(fā)布

2019-10-23 09:17:05

搜狐張朝陽(yáng)：回歸媒體是搜狐重新崛起的關(guān)鍵

2019-10-21 09:20:02

華為輪值董事長(zhǎng)郭平：虛擬技術(shù)創(chuàng)造現(xiàn)實(shí)價(jià)值

2019-10-21 09:00:12

滴滴英文服務(wù)上線兩周年用戶(hù)已超200萬(wàn)

2019-09-26 08:57:12

華為推出全球至快AI訓(xùn)練集群Atlas900

2019-09-25 08:46:36

馬斯克：特斯拉正組建中國(guó)技術(shù)團(tuán)隊(duì)

2019-09-25 08:15:43

疑難解答

圖片精選

網(wǎng)友關(guān)注

主站蜘蛛池模板：文成县| 育儿| 鄯善县| 甘孜| 富裕县| 关岭| 沛县| 江口县| 灵石县| 公安县| 泽普县| 镶黄旗| 桂东县| 台前县| 漳平市| 平和县| 嵊州市| 怀安县| 江油市| 辉县市| 自贡市| 海伦市| 黄龙县| 平武县| 安平县| 射阳县| 云梦县| 射洪县| 双流县| 墨竹工卡县| 城口县| 屏东市| 巴林右旗| 营口市| 祁连县| 深水埗区| 泗水县| 石棉县| 岫岩| 乌兰察布市| 奈曼旗|

<noscript id="gab3t"></noscript>

<noscript id="gab3t"></noscript>