史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   網路軟硬體架設技術文件 (http://forum.slime.com.tw/f133.html)
-   -   用Rouing & Remote Access Server,構築簡單企業防火牆 (http://forum.slime.com.tw/thread108915.html)

psac 2004-05-12 11:00 PM

用Rouing & Remote Access Server,構築簡單企業防火牆
 
使用Windows2000server+包過濾+NAT,構築簡單企業防火牆

*軟體要求: windows2000 server(推薦英文版) +sp2
*硬體要求: pc或pc伺服器(推薦),PIII700以上cpu,記憶體256M以上,
硬碟一定要求7200轉以上.
100M網路卡x 2(可加為4塊以上搭建路由器)
*適用環境: 使用一台pc伺服器可以滿足100-150人環境同時上網.並保證安全。


*環境描述: 伺服器(OS: win2k server)有兩塊網路卡, 一個外部IP, 內部網之間通過交換機相連, 要使內部網的用戶能通過伺服器訪問internet

使用優點: 1 NAT,Firewall集中在一台PC機上,物美價廉 ; )
2本系統還可以阻止單個個ip(無論內外)訪問(位址過濾)

3 系統原則容易制定與實施。

防火牆原則:無路內外網電腦多無法對其直接訪問與探測
實現手段: 局內網發往firewall的全部drop掉,外網路卡關閉所有可能有漏洞的連接阜,使其在最大限度內無破綻可循。
系統缺點: 因為使windows2000系統,有時會有系統漏洞,但只要:


1 最小安裝,打齊修正檔

2 將盡可能多的連接阜關掉

這樣可以保證90%的安全性。(可以啦,在這個價位上大家就別無所求了:-))



3 局內網能夠ping通內外網路卡,但也可作為內部檢查連通性的手段.

*安裝步驟:
1 最小化安裝系統
windows2000server ,注意,一定所有安裝選項特別是IIS等。都不要選.
安裝service pack 2.
然後整理c盤碎片!!
去掉系統的管理共享「$」。
停止一些不必要的系統服務。如dhcp client,等等
2 啟動服務
Routing and remote access(此步驟可省略)

3 配置NAT
做法:設定server的路由和遠端訪問, (控制台->系統管理工具->路由和遠端訪問),
選項"配置路由和遠端訪問", 選項第一項:internet 連接伺服器,下一步選項第
二項:設定有網路位址轉換(NAT)路由傳輸協定的路由器, 然後下一步再選項外部網
卡, 完成設定.
注意: 指定外網(Internet)網路卡時,注意不要選錯.

4 將網路卡改名
聯結廣域網的網路卡,改名為WAN
聯結區域網路的網路卡,改名為LAN
其他的網路卡可根據需要改名,如DMZ等.
5 設定包過濾


5.1
開始-程序-系統管理工具-路由和遠端訪問,開啟後
選本機伺服器-IP路由選項-一般
就可以見到wan和lan了.

5.2

區域網路卡輸入篩選器設定:
LAN內容-輸入篩選器-選項「接受所有除符合下列條件以外的資料包」
加入(注意,此處」空」表示不寫,系統預設為所有):

源位址 源掩碼 目標位址 目標掩碼 傳輸協定 源連接阜 目標連接阜
空 空 本機局內網卡位址 255.255.255.255 空 空 空




廣域網路卡輸入篩選器:.
WAN內容-輸入篩選器-選項「接受所有除符合下列條件以外的資料包」
加入(注意,此處」空」表示不寫,系統預設為所有):
本表正在更新中……
源位址 源掩碼 目標位址 目標掩碼 傳輸協定 源連接阜 目標連接阜
空 空 本機外網路卡位址 255.255.255.255 空 8(類型) 255(icmp程式碼)
空 空 本機外網路卡位址 255.255.255.255 空 空 25
空 空 本機外網路卡位址 255.255.255.255 空 空 80
空 空 本機外網路卡位址 255.255.255.255 空 空 110
空 空 本機外網路卡位址 255.255.255.255 空 空 135
空 空 本機外網路卡位址 255.255.255.255 空 空 139
空 空 本機外網路卡位址 255.255.255.255 空 空 389
空 空 本機外網路卡位址 255.255.255.255 空 空 443
空 空 本機外網路卡位址 255.255.255.255 空 空 514
空 空 本機外網路卡位址 255.255.255.255 空 空 3389(終端服務)

上面所列的連接阜均是容易引起漏洞的連接阜,此處載入在網路卡上用以阻止對其直接訪問




*使用檢測:
檢測時,使用掃瞄器從外網環境進行掃瞄,若發現有漏洞連接阜,應立即封鎖外網路卡連接阜。
使用外部檢測: 1 天網在線檢測:www.sky.net.cn


2 掃瞄器檢測:sss,css,h0le等。

把這個帖子貼出來的目的是拋磚引玉,希望大家能夠狠狠的批評,指出我的錯誤。謝謝!
公司就是這樣使用的防火牆,共150人上網正常。
RRAS還可以做ip地質對外發佈,方法極為簡單。就是在配置中填入「isp保留的位址」,然後再在其中作出位址對應或連接阜對應。



但我在套用的時候,發現有的時候並不能夠100%的起作用,又是必須重新啟動,有的時候乾脆連重新啟動都不起作用(如連接阜從定 向),也許是我設定的不對。歡迎有檢驗的工程師指點我一下。

附件是上一片帖子的安裝設定。

另:懇請使用過 isa publishing的工程師show一下具體步驟。謝謝!!!

本機伺服器-IP路由選項-一般


lan內容-輸入篩選器-選項「接受所有除符合下列條件以外的資料包」


WAN內容-輸入篩選器-選項「接受所有除符合下列條件以外的資料包」


所有時間均為台北時間。現在的時間是 04:47 PM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1