用Rouing & Remote Access Server,構築簡單企業防火牆
使用Windows2000server+包過濾+NAT,構築簡單企業防火牆
*軟體要求: windows2000 server(推薦英文版) +sp2 *硬體要求: pc或pc伺服器(推薦),PIII700以上cpu,記憶體256M以上, 硬碟一定要求7200轉以上. 100M網路卡x 2(可加為4塊以上搭建路由器) *適用環境: 使用一台pc伺服器可以滿足100-150人環境同時上網.並保證安全。 *環境描述: 伺服器(OS: win2k server)有兩塊網路卡, 一個外部IP, 內部網之間通過交換機相連, 要使內部網的用戶能通過伺服器訪問internet 使用優點: 1 NAT,Firewall集中在一台PC機上,物美價廉 ; ) 2本系統還可以阻止單個個ip(無論內外)訪問(位址過濾) 3 系統原則容易制定與實施。 防火牆原則:無路內外網電腦多無法對其直接訪問與探測 實現手段: 局內網發往firewall的全部drop掉,外網路卡關閉所有可能有漏洞的連接阜,使其在最大限度內無破綻可循。 系統缺點: 因為使windows2000系統,有時會有系統漏洞,但只要: 1 最小安裝,打齊修正檔 2 將盡可能多的連接阜關掉 這樣可以保證90%的安全性。(可以啦,在這個價位上大家就別無所求了:-)) 3 局內網能夠ping通內外網路卡,但也可作為內部檢查連通性的手段. *安裝步驟: 1 最小化安裝系統 windows2000server ,注意,一定所有安裝選項特別是IIS等。都不要選. 安裝service pack 2. 然後整理c盤碎片!! 去掉系統的管理共享「$」。 停止一些不必要的系統服務。如dhcp client,等等 2 啟動服務 Routing and remote access(此步驟可省略) 3 配置NAT 做法:設定server的路由和遠端訪問, (控制台->系統管理工具->路由和遠端訪問), 選項"配置路由和遠端訪問", 選項第一項:internet 連接伺服器,下一步選項第 二項:設定有網路位址轉換(NAT)路由傳輸協定的路由器, 然後下一步再選項外部網 卡, 完成設定. 注意: 指定外網(Internet)網路卡時,注意不要選錯. 4 將網路卡改名 聯結廣域網的網路卡,改名為WAN 聯結區域網路的網路卡,改名為LAN 其他的網路卡可根據需要改名,如DMZ等. 5 設定包過濾 5.1 開始-程序-系統管理工具-路由和遠端訪問,開啟後 選本機伺服器-IP路由選項-一般 就可以見到wan和lan了. 5.2 區域網路卡輸入篩選器設定: LAN內容-輸入篩選器-選項「接受所有除符合下列條件以外的資料包」 加入(注意,此處」空」表示不寫,系統預設為所有): 源位址 源掩碼 目標位址 目標掩碼 傳輸協定 源連接阜 目標連接阜 空 空 本機局內網卡位址 255.255.255.255 空 空 空 廣域網路卡輸入篩選器:. WAN內容-輸入篩選器-選項「接受所有除符合下列條件以外的資料包」 加入(注意,此處」空」表示不寫,系統預設為所有): 本表正在更新中…… 源位址 源掩碼 目標位址 目標掩碼 傳輸協定 源連接阜 目標連接阜 空 空 本機外網路卡位址 255.255.255.255 空 8(類型) 255(icmp程式碼) 空 空 本機外網路卡位址 255.255.255.255 空 空 25 空 空 本機外網路卡位址 255.255.255.255 空 空 80 空 空 本機外網路卡位址 255.255.255.255 空 空 110 空 空 本機外網路卡位址 255.255.255.255 空 空 135 空 空 本機外網路卡位址 255.255.255.255 空 空 139 空 空 本機外網路卡位址 255.255.255.255 空 空 389 空 空 本機外網路卡位址 255.255.255.255 空 空 443 空 空 本機外網路卡位址 255.255.255.255 空 空 514 空 空 本機外網路卡位址 255.255.255.255 空 空 3389(終端服務) 上面所列的連接阜均是容易引起漏洞的連接阜,此處載入在網路卡上用以阻止對其直接訪問 *使用檢測: 檢測時,使用掃瞄器從外網環境進行掃瞄,若發現有漏洞連接阜,應立即封鎖外網路卡連接阜。 使用外部檢測: 1 天網在線檢測:www.sky.net.cn 2 掃瞄器檢測:sss,css,h0le等。 把這個帖子貼出來的目的是拋磚引玉,希望大家能夠狠狠的批評,指出我的錯誤。謝謝! 公司就是這樣使用的防火牆,共150人上網正常。 RRAS還可以做ip地質對外發佈,方法極為簡單。就是在配置中填入「isp保留的位址」,然後再在其中作出位址對應或連接阜對應。 但我在套用的時候,發現有的時候並不能夠100%的起作用,又是必須重新啟動,有的時候乾脆連重新啟動都不起作用(如連接阜從定 向),也許是我設定的不對。歡迎有檢驗的工程師指點我一下。 附件是上一片帖子的安裝設定。 另:懇請使用過 isa publishing的工程師show一下具體步驟。謝謝!!! 本機伺服器-IP路由選項-一般 lan內容-輸入篩選器-選項「接受所有除符合下列條件以外的資料包」 WAN內容-輸入篩選器-選項「接受所有除符合下列條件以外的資料包」 |
所有時間均為台北時間。現在的時間是 04:47 PM。 |
Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.
『服務條款』
* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *