用Rouing & Remote Access Server,構築簡單企業防火牆
使用Windows2000server+包過濾+NAT,構築簡單企業防火牆
*軟體要求: windows2000 server(推薦英文版) +sp2
*硬體要求: pc或pc伺服器(推薦),PIII700以上cpu,記憶體256M以上,
硬碟一定要求7200轉以上.
100M網路卡x 2(可加為4塊以上搭建路由器)
*適用環境: 使用一台pc伺服器可以滿足100-150人環境同時上網.並保證安全。
*環境描述: 伺服器(OS: win2k server)有兩塊網路卡, 一個外部IP, 內部網之間通過交換機相連, 要使內部網的用戶能通過伺服器訪問internet
使用優點: 1 NAT,Firewall集中在一台PC機上,物美價廉 ; )
2本系統還可以阻止單個個ip(無論內外)訪問(位址過濾)
3 系統原則容易制定與實施。
防火牆原則:無路內外網電腦多無法對其直接訪問與探測
實現手段: 局內網發往firewall的全部drop掉,外網路卡關閉所有可能有漏洞的連接阜,使其在最大限度內無破綻可循。
系統缺點: 因為使windows2000系統,有時會有系統漏洞,但只要:
1 最小安裝,打齊修正檔
2 將盡可能多的連接阜關掉
這樣可以保證90%的安全性。(可以啦,在這個價位上大家就別無所求了:-))
3 局內網能夠ping通內外網路卡,但也可作為內部檢查連通性的手段.
*安裝步驟:
1 最小化安裝系統
windows2000server ,注意,一定所有安裝選項特別是IIS等。都不要選.
安裝service pack 2.
然後整理c盤碎片!!
去掉系統的管理共享「$」。
停止一些不必要的系統服務。如dhcp client,等等
2 啟動服務
Routing and remote access(此步驟可省略)
3 配置NAT
做法:設定server的路由和遠端訪問, (控制台->系統管理工具->路由和遠端訪問),
選項"配置路由和遠端訪問", 選項第一項:internet 連接伺服器,下一步選項第
二項:設定有網路位址轉換(NAT)路由傳輸協定的路由器, 然後下一步再選項外部網
卡, 完成設定.
注意: 指定外網(Internet)網路卡時,注意不要選錯.
4 將網路卡改名
聯結廣域網的網路卡,改名為WAN
聯結區域網路的網路卡,改名為LAN
其他的網路卡可根據需要改名,如DMZ等.
5 設定包過濾
5.1
開始-程序-系統管理工具-路由和遠端訪問,開啟後
選本機伺服器-IP路由選項-一般
就可以見到wan和lan了.
5.2
區域網路卡輸入篩選器設定:
LAN內容-輸入篩選器-選項「接受所有除符合下列條件以外的資料包」
加入(注意,此處」空」表示不寫,系統預設為所有):
源位址 源掩碼 目標位址 目標掩碼 傳輸協定 源連接阜 目標連接阜
空 空 本機局內網卡位址 255.255.255.255 空 空 空
廣域網路卡輸入篩選器:.
WAN內容-輸入篩選器-選項「接受所有除符合下列條件以外的資料包」
加入(注意,此處」空」表示不寫,系統預設為所有):
本表正在更新中……
源位址 源掩碼 目標位址 目標掩碼 傳輸協定 源連接阜 目標連接阜
空 空 本機外網路卡位址 255.255.255.255 空 8(類型) 255(icmp程式碼)
空 空 本機外網路卡位址 255.255.255.255 空 空 25
空 空 本機外網路卡位址 255.255.255.255 空 空 80
空 空 本機外網路卡位址 255.255.255.255 空 空 110
空 空 本機外網路卡位址 255.255.255.255 空 空 135
空 空 本機外網路卡位址 255.255.255.255 空 空 139
空 空 本機外網路卡位址 255.255.255.255 空 空 389
空 空 本機外網路卡位址 255.255.255.255 空 空 443
空 空 本機外網路卡位址 255.255.255.255 空 空 514
空 空 本機外網路卡位址 255.255.255.255 空 空 3389(終端服務)
上面所列的連接阜均是容易引起漏洞的連接阜,此處載入在網路卡上用以阻止對其直接訪問
*使用檢測:
檢測時,使用掃瞄器從外網環境進行掃瞄,若發現有漏洞連接阜,應立即封鎖外網路卡連接阜。
使用外部檢測: 1 天網在線檢測:www.sky.net.cn
2 掃瞄器檢測:sss,css,h0le等。
把這個帖子貼出來的目的是拋磚引玉,希望大家能夠狠狠的批評,指出我的錯誤。謝謝!
公司就是這樣使用的防火牆,共150人上網正常。
RRAS還可以做ip地質對外發佈,方法極為簡單。就是在配置中填入「isp保留的位址」,然後再在其中作出位址對應或連接阜對應。
但我在套用的時候,發現有的時候並不能夠100%的起作用,又是必須重新啟動,有的時候乾脆連重新啟動都不起作用(如連接阜從定 向),也許是我設定的不對。歡迎有檢驗的工程師指點我一下。
附件是上一片帖子的安裝設定。
另:懇請使用過 isa publishing的工程師show一下具體步驟。謝謝!!!
本機伺服器-IP路由選項-一般
lan內容-輸入篩選器-選項「接受所有除符合下列條件以外的資料包」
WAN內容-輸入篩選器-選項「接受所有除符合下列條件以外的資料包」
|