史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 資訊系統安全備援防護技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2007-08-07, 05:13 PM   #1
Admin1
管理員
 
Admin1 的頭像
榮譽勳章
UID - 112827
在線等級: 級別:29 | 在線時長:972小時 | 升級還需:48小時級別:29 | 在線時長:972小時 | 升級還需:48小時級別:29 | 在線時長:972小時 | 升級還需:48小時級別:29 | 在線時長:972小時 | 升級還需:48小時級別:29 | 在線時長:972小時 | 升級還需:48小時級別:29 | 在線時長:972小時 | 升級還需:48小時級別:29 | 在線時長:972小時 | 升級還需:48小時級別:29 | 在線時長:972小時 | 升級還需:48小時級別:29 | 在線時長:972小時 | 升級還需:48小時
註冊日期: 2007-02-18
VIP期限: 0000-00
文章: 3507
精華: 0
現金: 1702 金幣
資產: 10196 金幣
預設 通透式防火牆

一般來講,Packet Filter Firewall 是在 Layer 3 運作的,因此會去牽涉到 Routing 的問題,若你的 Firewall 本身是建立在企業內部網路的 Gateway(或 NAT)上面,那這並不會是一個很大的問題。但假如今天你們的機器受到外界不斷的攻擊(不論它是 Linux 還是 Windows),你希望在不改變網路架構的前提下(IP 不改變,Routing 不更動),放置一台 Firewall 在機器的前方抵擋外來的攻擊呢?這時你就需要使用 Transparant Firewall,也就是俗稱的通透式防火牆。

通透式防火牆最大的優點就是不需要去變動原有的網路架構,你只需要把網路線剪成二半,將通透式防火牆接在中間即可,如下圖的範例。

本來的網路架構:
伺服器 ---------> Router(OR Nat) ----------> INTERNET

裝上通透式防火牆就變成:
伺服器 ---------> Firewall ---------> Router(OR Nat) ----------> INTERNET

其實通透式防火牆的運作原理很簡單,它其實就是一台 "Bridge",只是它具有防火牆的功能而已。Linux 是可以當做通透式防火牆來使用的,而且設定上非常的簡單。更棒的是由於 Linux 功能強大,你除了可以把它當作防火牆來使用以外,還可以搭配 Layer 7 Filter(應用層防火牆)來進行頻寬管理,例如限制 P2P 軟體可以使用的頻寬或是管控 MSN 等等。

接下來是讓 Linux 以 Bridge Mode 運作的設定方式。



網路 script 組態設定
一、/etc/sysconfig/network-scripts/ifcfg-br0:
引用:
DEVICE=br0
TYPE=Bridge
IPADDR=192.168.100.254
NETMASK=255.255.255.0
ONBOOT=yes
註:如果需要進行遠端管理在bind IP到Bridge介面,否則不需bind任何IP。


二、/etc/sysconfig/network-scripts/ifcfg-eth0:
引用:
DEVICE=eth0
TYPE=ETHER
ONBOOT=yes
BRIDGE=br0


三、/etc/sysconfig/network-scripts/ifcfg-eth1:
引用:
DEVICE=eth1
TYPE=ETHER
ONBOOT=yes
BRIDGE=br0

設定好後,以 servier network restart 重新啟動網路界面,應該就可以發現 br0 這個 bridge 界面了。很簡單吧,只要輕輕鬆鬆的幾行設定就可以讓 Linux 搖身一變成為 Bridge Firewall,只要你懂得如何調較,Linux 一點都不會輸給那些貴死人的企業級firewall。事實上,有很多企業級 firewall 其實骨子裡也是使用 Linux......。


設定防火牆需注意事項:
1.過濾條件要寫在 FORWARD Chain

2.要使用 physdev 模組來過濾特定界面的封包,例如:

iptables -A forward -m physdev --physdev-in eth0 -j DROP
(從 eth0 進來的封包都丟掉)

iptables -A forward -m physdev --physdev-out eth0 -j DROP
(從 eth0 進來的封包都丟掉)

iptables -A forward -m physdev --physdev-is-in DROP
(進入 bridge 界面的封包都丟掉)

iptables -A forward -m physdev --physdev-is-out DROP
(從 bridge 界面送出去的封包都丟掉)
Admin1 目前離線  
送花文章: 8870, 收花文章: 2195 篇, 收花: 5820 次
有 5 位會員向 Admin1 送花:
alife0504 (2007-09-19),grc45 (2007-08-08),shyu2033 (2007-10-03),t1314 (2007-10-16),zazoo (2007-08-11)
感謝您發表一篇好文章
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 12:08 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1