神马文学网簡易防火牆設置 ---- 臥龍小三
来源:百度文库 编辑:神马文学网 时间:2024/06/05 09:04:20
簡易防火牆設置
Copyright 2001 OLS3,本講義僅供教育人員參考,任何引用,請先取得作者的同意.
Email:ols3@www.tnc.edu.tw
網站:http://www.ols3cgi.com/ 或http://www.perl.ms/ 臥龍小三CGI天堂
或http://perl.tnc.edu.tw/
本文儘量不涉及太專業的防火牆知識,以讓各校網管人員易於建構為原則!
一.防火牆 ??
傳統上,防火牆是指一套用來明顯區隔兩個(或以上)網路之間的一組軟硬體裝置,使網管人員得以事先制定種種安全規則,針對網路交通及安全程度,進行過濾控制和調整,最大的目的在於防止網路遭受入侵。
二 .想法:
以往,防火牆是高貴的設備組合,價格往往在數十萬至數百萬之譜,平民百姓根本買不起(也無此必要),拜 Open Source 之賜,網管人員經常可以利用 Linux 或 FreeBSD 內建的核心封包過濾功能 (註一),來建構平價的防火牆系統(但卻可以做到百萬防火牆等級的功能,麻豆國中目前便是利用此一方式,用一部 PII 350 + 5 部淘汰閒置的 P100 主機板+ 數片網路卡+ Linux + ipchains + PROXY),唯對國民中小學校網管教師而言,在短期內,未必具備有足夠的知能來建構及管理此一系統(通常,必須大幅調整網路架構),因此,試想:如果有一簡易的裝置,符合平價、功能足敷所需、又易於管理、不當機,可供建置校園網路防火牆之用,豈不甚好?!
拜 ADSL 風潮之賜,目前市面上應運而生許多 ADSL Switch Router (俗稱 IP 分享器),其功能剛好符合上述的想法需求,價格也很低廉(視功能而定約在 3999~15000 元之間),比起用一台 PC 搭配 Linux 的 ipchains 等,亦便宜許多,又有不易當機,好管理的優點。
以下便是採用一台 ADSL Switch Router (花了我 6999 元而已) 來建置防火牆的簡單介紹,貴校或許花點時間,可免除駭客之苦 (但絕非從此便可高枕無憂!安逸亦可使人滅亡哪!)。
三.架構圖:(僅供參考)
此架構圖有幾個重點:
Router 位址: 163.26.xxx.126 (視貴校而有所不同)
ADSL Switch Router 的真實 IP : 163.26.xxx.1 (視貴校而有所不同) , Netmask: 255.255.255.128, Default Gateway: 163.26.xxx.126 (即貴校 Router 位址)
ADSL Switch Router 的虛擬 IP : 192.168.1.254, Netmask: 255.255.255.0
DNS IP : 192.168.1.10 (可自定)
WWW IP : 192.168.1.11 (可自定)
FTP IP: 192.168.1.12 (可自定)
以上主機的 default gateway 指向 192.168.1.254 即可。
大部份提供網路服務的主機,皆放在 Virtual Host 設定段中,只開放服務的通道。
設定例如下:
port 80 ---> 192.168.1.11 (WWW)
port 20 ---> 192.168.1.12 (FTP data)
port 21 ---> 192.168.1.12 (FTP)
port 25 ---> 192.168.1.10 (MAIL)
port 53 ---> 192.168.1.10 (DNS)
port 22 ---> 192.168.1.10 (SSH)
其它port --> ?????
使用者只要指向 163.26.XXX.1 ,便可由此台 ADSL Switch Router 分流至相關的伺服主機。
這麼一來,在安全上,可說大大地提高。
其它校園電腦(如各處室桌上型電腦),可放置在真實 IP 段(default gateway 指向貴校 router ip),或置於 ADSL Switch Router 之後(擬虛 IP 段: 192.168.1.0/255.255.255.0,default gateway 指向 192.168.1.254),享受DHCP 的便利。
流量較大的伺服主機可考慮放在真實網段。
此台 ADSL Switch Router 至少應具備以下功能:
1. 一個 Wan port : 速率至少 10Mb,最好是 10/100Mb。
(不過目前有 Wan port 是 10/100Mb 的,好像只有一家。)
2. 四個 Lan switch port : 速率 10Mb/100Mb。
3. 具 DHCP Server 功能。
4. 具 Virtual Host 功能 (最重要)。
5. 具 DMZ (非軍事區) 功能 (所謂 DMZ,簡單地來說就是:該區和外界之間所有通道皆可放行,有如置放於真實 IP 段一樣,但又可受到防火牆的監控及安全規則的運作,是一個接近公開的網段環境)
6. 欲擴充時可再串連一部以上,以加大網段範圍。
7. NAT(Network Address Translation 的簡稱) 功能(最重要)。
8. 具記錄功能。
9. 具封包過濾功能。
10. 具 static routing 功能,最好有 RIP I,II。
11. 具 Web 管理介面。
四:管理
我的建議是,網管人員要逐步放棄使用 telnet / ftp 等軟體(明碼傳遞)的習慣,因為,有心人只要中途攔截封包,再重新組合,便可取得各式資訊,包括您的帳號密碼等。這種工具,網路上隨手可得,並不需要高超的技巧。
在此介紹 telnet 的替代方案之一:ssh (Secure Shell, 使用 port 22)
建議您應該儘量用它來管理主機(telnet port 最好關了吧)。
我目前使用的是www.ssh.com 所推出的 ssh2
Server 版可至ftp.tnc.edu.tw/pub/Sysop/SSH 抓取 ssh-2.4.0.tar.gz (或至 www.ssh.com)
此程式包中已含有 client 端程式 ssh2 及 sftp2.
安裝方式簡介如下:
1. tar xvzf ssh*.gz
2. cd ssh-2.4.0
3. ./configure --with-libwrap (準備和 tcp_wrappers 合作共用)
4. make
5. make install
(它會把程式放在 /usr/local/sbin 及 /usr/local/bin 中)
然後在 /etc/inetd.conf 中加入以下設定
ssh stream tcp nowait root /usr/sbin/tcpd /usr/local/sbin/sshd2 - i
( -i 是說要和 inetd 來配合之意)
再重新啟動 inetd 即可:
/etc/rc.d/init.d/inet restart
(至於使用 xinetd 者,應該會自行比照設定吧?!)
6. 設限:
/etc/hosts.allow 中加入:
sshd2 : 163.26.xxx.0/255.255.255.128 : allow
(上述 IP 值各校不同,請自行調整,若您想由家中遠端管理,最好申請有固定 ip 的 ADSL方案,然後,把 ISP 配給你的固定 ip 加入上述設定中)
/etc/hosts.deny 中加入:
sshd2 : All : deny
如此便可享受 SSH2 的安全和便利。
使用法:
ssh2 -l 帳號 主機或IP
( l 是 L 小寫)
查核密碼之後,便可登入主機,操作方式和 telnet 並無太大不同。
例:ssh2 -l admin 163.26.xxx.1
sftp2 帳號@主機或IP
查核密碼之後,便可登入 FTP 傳檔,操作上和 ftp 大同小異。
例:sftp2 admin@163.26.xxx.1
若您習慣 Windows 平台 client 介面,可至ftp.tnc.edu.tw/pub/Sysop/SSH 下載 SSHWin-2.4.0-pl2.exe
不過這是要花點小錢註冊的 (我好像花了 100 塊美金,我忘了,請自行至 www.ssh.com 查看)。
五:結言
只要按上述參考方式來建構,相信應該可以減輕網管人員每天擔心主機被駭的恐懼感吧?!
(當然,這只是陽春防火牆而已,但對小型校園網路而言,應該已足敷所需了。
我準備在本次教網中心會議中提案,懇請由教育局撥款全縣購置。等不及的學校,可先自行購置。當然,若貴校有經費的話,還是以建置至少“傳統防火牆以上的等級”方案為佳。)
不過,您仍要注意所使用的伺服軟體是否有安全上的漏洞?(儘量不使用 wu-ftpd,改用 proftpd 吧, rpc 系列, nfs 系列程式, 則絕不使用)使用上是否有良好的安全習慣?是否有良好的密碼管理?是否隨時注意安全資訊?是否適時更新修補套件?更要隨時注意主機的運作狀況,定時查看記錄檔,最重要的是,要養成看書的習慣(書籍是最值得投資的人生股票資產),閱讀網路上各式網管相關文件的習慣,要有定期與不定期自我成長的習慣。
還是那句老話:網管是長期投注心力的維護工作,人與機器缺一不可。
註:本文仍會不定期再修增。
希望這份講義對台南縣中小學能有所助益....
Written by OLS3 All right reserved. 04/12/2001 pm 1:30
註1:
簡易的 Linux 防火牆建置可參考高健智先生的文章:
http://www.tp.edu.tw/service/network.htm
ipchains 的用法簡介可參考施勢帆、吳國華先生文章:
http://linuxfab.cx/indexBookData.php?BID=7
NAT 可參考劉劍青先生的文章:
http://www.cc.ncu.edu.tw/~center5/livecd/
Copyright 2001 OLS3,本講義僅供教育人員參考,任何引用,請先取得作者的同意.
Email:ols3@www.tnc.edu.tw
網站:http://www.ols3cgi.com/ 或http://www.perl.ms/ 臥龍小三CGI天堂
或http://perl.tnc.edu.tw/
本文儘量不涉及太專業的防火牆知識,以讓各校網管人員易於建構為原則!
一.防火牆 ??
傳統上,防火牆是指一套用來明顯區隔兩個(或以上)網路之間的一組軟硬體裝置,使網管人員得以事先制定種種安全規則,針對網路交通及安全程度,進行過濾控制和調整,最大的目的在於防止網路遭受入侵。
二 .想法:
以往,防火牆是高貴的設備組合,價格往往在數十萬至數百萬之譜,平民百姓根本買不起(也無此必要),拜 Open Source 之賜,網管人員經常可以利用 Linux 或 FreeBSD 內建的核心封包過濾功能 (註一),來建構平價的防火牆系統(但卻可以做到百萬防火牆等級的功能,麻豆國中目前便是利用此一方式,用一部 PII 350 + 5 部淘汰閒置的 P100 主機板+ 數片網路卡+ Linux + ipchains + PROXY),唯對國民中小學校網管教師而言,在短期內,未必具備有足夠的知能來建構及管理此一系統(通常,必須大幅調整網路架構),因此,試想:如果有一簡易的裝置,符合平價、功能足敷所需、又易於管理、不當機,可供建置校園網路防火牆之用,豈不甚好?!
拜 ADSL 風潮之賜,目前市面上應運而生許多 ADSL Switch Router (俗稱 IP 分享器),其功能剛好符合上述的想法需求,價格也很低廉(視功能而定約在 3999~15000 元之間),比起用一台 PC 搭配 Linux 的 ipchains 等,亦便宜許多,又有不易當機,好管理的優點。
以下便是採用一台 ADSL Switch Router (花了我 6999 元而已) 來建置防火牆的簡單介紹,貴校或許花點時間,可免除駭客之苦 (但絕非從此便可高枕無憂!安逸亦可使人滅亡哪!)。
三.架構圖:(僅供參考)
此架構圖有幾個重點:
Router 位址: 163.26.xxx.126 (視貴校而有所不同)
ADSL Switch Router 的真實 IP : 163.26.xxx.1 (視貴校而有所不同) , Netmask: 255.255.255.128, Default Gateway: 163.26.xxx.126 (即貴校 Router 位址)
ADSL Switch Router 的虛擬 IP : 192.168.1.254, Netmask: 255.255.255.0
DNS IP : 192.168.1.10 (可自定)
WWW IP : 192.168.1.11 (可自定)
FTP IP: 192.168.1.12 (可自定)
以上主機的 default gateway 指向 192.168.1.254 即可。
大部份提供網路服務的主機,皆放在 Virtual Host 設定段中,只開放服務的通道。
設定例如下:
port 80 ---> 192.168.1.11 (WWW)
port 20 ---> 192.168.1.12 (FTP data)
port 21 ---> 192.168.1.12 (FTP)
port 25 ---> 192.168.1.10 (MAIL)
port 53 ---> 192.168.1.10 (DNS)
port 22 ---> 192.168.1.10 (SSH)
其它port --> ?????
使用者只要指向 163.26.XXX.1 ,便可由此台 ADSL Switch Router 分流至相關的伺服主機。
這麼一來,在安全上,可說大大地提高。
其它校園電腦(如各處室桌上型電腦),可放置在真實 IP 段(default gateway 指向貴校 router ip),或置於 ADSL Switch Router 之後(擬虛 IP 段: 192.168.1.0/255.255.255.0,default gateway 指向 192.168.1.254),享受DHCP 的便利。
流量較大的伺服主機可考慮放在真實網段。
此台 ADSL Switch Router 至少應具備以下功能:
1. 一個 Wan port : 速率至少 10Mb,最好是 10/100Mb。
(不過目前有 Wan port 是 10/100Mb 的,好像只有一家。)
2. 四個 Lan switch port : 速率 10Mb/100Mb。
3. 具 DHCP Server 功能。
4. 具 Virtual Host 功能 (最重要)。
5. 具 DMZ (非軍事區) 功能 (所謂 DMZ,簡單地來說就是:該區和外界之間所有通道皆可放行,有如置放於真實 IP 段一樣,但又可受到防火牆的監控及安全規則的運作,是一個接近公開的網段環境)
6. 欲擴充時可再串連一部以上,以加大網段範圍。
7. NAT(Network Address Translation 的簡稱) 功能(最重要)。
8. 具記錄功能。
9. 具封包過濾功能。
10. 具 static routing 功能,最好有 RIP I,II。
11. 具 Web 管理介面。
四:管理
我的建議是,網管人員要逐步放棄使用 telnet / ftp 等軟體(明碼傳遞)的習慣,因為,有心人只要中途攔截封包,再重新組合,便可取得各式資訊,包括您的帳號密碼等。這種工具,網路上隨手可得,並不需要高超的技巧。
在此介紹 telnet 的替代方案之一:ssh (Secure Shell, 使用 port 22)
建議您應該儘量用它來管理主機(telnet port 最好關了吧)。
我目前使用的是www.ssh.com 所推出的 ssh2
Server 版可至ftp.tnc.edu.tw/pub/Sysop/SSH 抓取 ssh-2.4.0.tar.gz (或至 www.ssh.com)
此程式包中已含有 client 端程式 ssh2 及 sftp2.
安裝方式簡介如下:
1. tar xvzf ssh*.gz
2. cd ssh-2.4.0
3. ./configure --with-libwrap (準備和 tcp_wrappers 合作共用)
4. make
5. make install
(它會把程式放在 /usr/local/sbin 及 /usr/local/bin 中)
然後在 /etc/inetd.conf 中加入以下設定
ssh stream tcp nowait root /usr/sbin/tcpd /usr/local/sbin/sshd2 - i
( -i 是說要和 inetd 來配合之意)
再重新啟動 inetd 即可:
/etc/rc.d/init.d/inet restart
(至於使用 xinetd 者,應該會自行比照設定吧?!)
6. 設限:
/etc/hosts.allow 中加入:
sshd2 : 163.26.xxx.0/255.255.255.128 : allow
(上述 IP 值各校不同,請自行調整,若您想由家中遠端管理,最好申請有固定 ip 的 ADSL方案,然後,把 ISP 配給你的固定 ip 加入上述設定中)
/etc/hosts.deny 中加入:
sshd2 : All : deny
如此便可享受 SSH2 的安全和便利。
使用法:
ssh2 -l 帳號 主機或IP
( l 是 L 小寫)
查核密碼之後,便可登入主機,操作方式和 telnet 並無太大不同。
例:ssh2 -l admin 163.26.xxx.1
sftp2 帳號@主機或IP
查核密碼之後,便可登入 FTP 傳檔,操作上和 ftp 大同小異。
例:sftp2 admin@163.26.xxx.1
若您習慣 Windows 平台 client 介面,可至ftp.tnc.edu.tw/pub/Sysop/SSH 下載 SSHWin-2.4.0-pl2.exe
不過這是要花點小錢註冊的 (我好像花了 100 塊美金,我忘了,請自行至 www.ssh.com 查看)。
五:結言
只要按上述參考方式來建構,相信應該可以減輕網管人員每天擔心主機被駭的恐懼感吧?!
(當然,這只是陽春防火牆而已,但對小型校園網路而言,應該已足敷所需了。
我準備在本次教網中心會議中提案,懇請由教育局撥款全縣購置。等不及的學校,可先自行購置。當然,若貴校有經費的話,還是以建置至少“傳統防火牆以上的等級”方案為佳。)
不過,您仍要注意所使用的伺服軟體是否有安全上的漏洞?(儘量不使用 wu-ftpd,改用 proftpd 吧, rpc 系列, nfs 系列程式, 則絕不使用)使用上是否有良好的安全習慣?是否有良好的密碼管理?是否隨時注意安全資訊?是否適時更新修補套件?更要隨時注意主機的運作狀況,定時查看記錄檔,最重要的是,要養成看書的習慣(書籍是最值得投資的人生股票資產),閱讀網路上各式網管相關文件的習慣,要有定期與不定期自我成長的習慣。
還是那句老話:網管是長期投注心力的維護工作,人與機器缺一不可。
註:本文仍會不定期再修增。
希望這份講義對台南縣中小學能有所助益....
Written by OLS3 All right reserved. 04/12/2001 pm 1:30
註1:
簡易的 Linux 防火牆建置可參考高健智先生的文章:
http://www.tp.edu.tw/service/network.htm
ipchains 的用法簡介可參考施勢帆、吳國華先生文章:
http://linuxfab.cx/indexBookData.php?BID=7
NAT 可參考劉劍青先生的文章:
http://www.cc.ncu.edu.tw/~center5/livecd/