通透式防火牆
一般來講,Packet Filter Firewall 是在 Layer 3 運作的,因此會去牽涉到 Routing 的問題,若你的 Firewall 本身是建立在企業內部網路的 Gateway(或 NAT)上面,那這並不會是一個很大的問題。但假如今天你們的機器受到外界不斷的攻擊(不論它是 Linux 還是 Windows),你希望在不改變網路架構的前提下(IP 不改變,Routing 不更動),放置一台 Firewall 在機器的前方抵擋外來的攻擊呢?這時你就需要使用 Transparant Firewall,也就是俗稱的通透式防火牆。
通透式防火牆最大的優點就是不需要去變動原有的網路架構,你只需要把網路線剪成二半,將通透式防火牆接在中間即可,如下圖的範例。 本來的網路架構: 伺服器 ---------> Router(OR Nat) ----------> INTERNET 裝上通透式防火牆就變成: 伺服器 ---------> Firewall ---------> Router(OR Nat) ----------> INTERNET 其實通透式防火牆的運作原理很簡單,它其實就是一台 "Bridge",只是它具有防火牆的功能而已。Linux 是可以當做通透式防火牆來使用的,而且設定上非常的簡單。更棒的是由於 Linux 功能強大,你除了可以把它當作防火牆來使用以外,還可以搭配 Layer 7 Filter(應用層防火牆)來進行頻寬管理,例如限制 P2P 軟體可以使用的頻寬或是管控 MSN 等等。 接下來是讓 Linux 以 Bridge Mode 運作的設定方式。 網路 script 組態設定 一、/etc/sysconfig/network-scripts/ifcfg-br0: 二、/etc/sysconfig/network-scripts/ifcfg-eth0: 三、/etc/sysconfig/network-scripts/ifcfg-eth1: 設定好後,以 servier network restart 重新啟動網路界面,應該就可以發現 br0 這個 bridge 界面了。很簡單吧,只要輕輕鬆鬆的幾行設定就可以讓 Linux 搖身一變成為 Bridge Firewall,只要你懂得如何調較,Linux 一點都不會輸給那些貴死人的企業級firewall。事實上,有很多企業級 firewall 其實骨子裡也是使用 Linux......。 設定防火牆需注意事項: 1.過濾條件要寫在 FORWARD Chain |
所有時間均為台北時間。現在的時間是 03:03 PM。 |
Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.
『服務條款』
* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *