查看單個文章
舊 2004-05-12, 11:00 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 用Rouing & Remote Access Server,構築簡單企業防火牆

使用Windows2000server+包過濾+NAT,構築簡單企業防火牆

*軟體要求: windows2000 server(推薦英文版) +sp2
*硬體要求: pc或pc伺服器(推薦),PIII700以上cpu,記憶體256M以上,
硬碟一定要求7200轉以上.
100M網路卡x 2(可加為4塊以上搭建路由器)
*適用環境: 使用一台pc伺服器可以滿足100-150人環境同時上網.並保證安全。


*環境描述: 伺服器(OS: win2k server)有兩塊網路卡, 一個外部IP, 內部網之間通過交換機相連, 要使內部網的用戶能通過伺服器訪問internet

使用優點: 1 NAT,Firewall集中在一台PC機上,物美價廉 ; )
2本系統還可以阻止單個個ip(無論內外)訪問(位址過濾)

3 系統原則容易制定與實施。

防火牆原則:無路內外網電腦多無法對其直接訪問與探測
實現手段: 局內網發往firewall的全部drop掉,外網路卡關閉所有可能有漏洞的連接阜,使其在最大限度內無破綻可循。
系統缺點: 因為使windows2000系統,有時會有系統漏洞,但只要:


1 最小安裝,打齊修正檔

2 將盡可能多的連接阜關掉

這樣可以保證90%的安全性。(可以啦,在這個價位上大家就別無所求了:-))



3 局內網能夠ping通內外網路卡,但也可作為內部檢查連通性的手段.

*安裝步驟:
1 最小化安裝系統
windows2000server ,注意,一定所有安裝選項特別是IIS等。都不要選.
安裝service pack 2.
然後整理c盤碎片!!
去掉系統的管理共享「$」。
停止一些不必要的系統服務。如dhcp client,等等
2 啟動服務
Routing and remote access(此步驟可省略)

3 配置NAT
做法:設定server的路由和遠端訪問, (控制台->系統管理工具->路由和遠端訪問),
選項"配置路由和遠端訪問", 選項第一項:internet 連接伺服器,下一步選項第
二項:設定有網路位址轉換(NAT)路由傳輸協定的路由器, 然後下一步再選項外部網
卡, 完成設定.
注意: 指定外網(Internet)網路卡時,注意不要選錯.

4 將網路卡改名
聯結廣域網的網路卡,改名為WAN
聯結區域網路的網路卡,改名為LAN
其他的網路卡可根據需要改名,如DMZ等.
5 設定包過濾


5.1
開始-程序-系統管理工具-路由和遠端訪問,開啟後
選本機伺服器-IP路由選項-一般
就可以見到wan和lan了.

5.2

區域網路卡輸入篩選器設定:
LAN內容-輸入篩選器-選項「接受所有除符合下列條件以外的資料包」
加入(注意,此處」空」表示不寫,系統預設為所有):

源位址 源掩碼 目標位址 目標掩碼 傳輸協定 源連接阜 目標連接阜
空 空 本機局內網卡位址 255.255.255.255 空 空 空




廣域網路卡輸入篩選器:.
WAN內容-輸入篩選器-選項「接受所有除符合下列條件以外的資料包」
加入(注意,此處」空」表示不寫,系統預設為所有):
本表正在更新中……
源位址 源掩碼 目標位址 目標掩碼 傳輸協定 源連接阜 目標連接阜
空 空 本機外網路卡位址 255.255.255.255 空 8(類型) 255(icmp程式碼)
空 空 本機外網路卡位址 255.255.255.255 空 空 25
空 空 本機外網路卡位址 255.255.255.255 空 空 80
空 空 本機外網路卡位址 255.255.255.255 空 空 110
空 空 本機外網路卡位址 255.255.255.255 空 空 135
空 空 本機外網路卡位址 255.255.255.255 空 空 139
空 空 本機外網路卡位址 255.255.255.255 空 空 389
空 空 本機外網路卡位址 255.255.255.255 空 空 443
空 空 本機外網路卡位址 255.255.255.255 空 空 514
空 空 本機外網路卡位址 255.255.255.255 空 空 3389(終端服務)

上面所列的連接阜均是容易引起漏洞的連接阜,此處載入在網路卡上用以阻止對其直接訪問




*使用檢測:
檢測時,使用掃瞄器從外網環境進行掃瞄,若發現有漏洞連接阜,應立即封鎖外網路卡連接阜。
使用外部檢測: 1 天網在線檢測:www.sky.net.cn


2 掃瞄器檢測:sss,css,h0le等。

把這個帖子貼出來的目的是拋磚引玉,希望大家能夠狠狠的批評,指出我的錯誤。謝謝!
公司就是這樣使用的防火牆,共150人上網正常。
RRAS還可以做ip地質對外發佈,方法極為簡單。就是在配置中填入「isp保留的位址」,然後再在其中作出位址對應或連接阜對應。



但我在套用的時候,發現有的時候並不能夠100%的起作用,又是必須重新啟動,有的時候乾脆連重新啟動都不起作用(如連接阜從定 向),也許是我設定的不對。歡迎有檢驗的工程師指點我一下。

附件是上一片帖子的安裝設定。

另:懇請使用過 isa publishing的工程師show一下具體步驟。謝謝!!!

本機伺服器-IP路由選項-一般


lan內容-輸入篩選器-選項「接受所有除符合下列條件以外的資料包」


WAN內容-輸入篩選器-選項「接受所有除符合下列條件以外的資料包」
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次