|
論壇說明 | 標記討論區已讀 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2007-08-07, 05:13 PM | #1 | |||
管理員
|
通透式防火牆
一般來講,Packet Filter Firewall 是在 Layer 3 運作的,因此會去牽涉到 Routing 的問題,若你的 Firewall 本身是建立在企業內部網路的 Gateway(或 NAT)上面,那這並不會是一個很大的問題。但假如今天你們的機器受到外界不斷的攻擊(不論它是 Linux 還是 Windows),你希望在不改變網路架構的前提下(IP 不改變,Routing 不更動),放置一台 Firewall 在機器的前方抵擋外來的攻擊呢?這時你就需要使用 Transparant Firewall,也就是俗稱的通透式防火牆。
通透式防火牆最大的優點就是不需要去變動原有的網路架構,你只需要把網路線剪成二半,將通透式防火牆接在中間即可,如下圖的範例。 本來的網路架構: 伺服器 ---------> Router(OR Nat) ----------> INTERNET 裝上通透式防火牆就變成: 伺服器 ---------> Firewall ---------> Router(OR Nat) ----------> INTERNET 其實通透式防火牆的運作原理很簡單,它其實就是一台 "Bridge",只是它具有防火牆的功能而已。Linux 是可以當做通透式防火牆來使用的,而且設定上非常的簡單。更棒的是由於 Linux 功能強大,你除了可以把它當作防火牆來使用以外,還可以搭配 Layer 7 Filter(應用層防火牆)來進行頻寬管理,例如限制 P2P 軟體可以使用的頻寬或是管控 MSN 等等。 接下來是讓 Linux 以 Bridge Mode 運作的設定方式。 網路 script 組態設定 一、/etc/sysconfig/network-scripts/ifcfg-br0: 二、/etc/sysconfig/network-scripts/ifcfg-eth0: 三、/etc/sysconfig/network-scripts/ifcfg-eth1: 設定好後,以 servier network restart 重新啟動網路界面,應該就可以發現 br0 這個 bridge 界面了。很簡單吧,只要輕輕鬆鬆的幾行設定就可以讓 Linux 搖身一變成為 Bridge Firewall,只要你懂得如何調較,Linux 一點都不會輸給那些貴死人的企業級firewall。事實上,有很多企業級 firewall 其實骨子裡也是使用 Linux......。 設定防火牆需注意事項: 1.過濾條件要寫在 FORWARD Chain |
|||
送花文章: 8870,
|