如何使用FreeBSD防火牆保護企業網路

psac · 2004-02-27, 07:21 PM

作者: iceblood

關於FreeBSD的防火牆建設程序請參考我的《利用FreeBSD組建安全的網關》，首先假設某企業有以下伺服器和工作站：

1、WEB伺服器兩台、一台企業主頁，一台做BBS，希望IP位址為xxx.xxx.xxx.001和xxx.xxx.xxx.002
2、DNS伺服器一台，並且兼帶企業E-mail服務，IP位址為xxx.xxx.xxx.003，把http://www.testdomain.com解析到xx...xx.xxx.xxx.002
3、企業內部區域網路絡，電腦N台，IP位址為10.125.0.0到10.125.255.255
對於這樣的一個企業，我們首先要設計好網路構架，在設計的同時要考慮到各個伺服器以及內部網路各放在什麼位置，才能更有效的配合防火牆，使得防火牆對每個部分都能充分的保護。
我們首先來分析一下「黑客」入侵的手段和途徑，作為一個入侵者，他的第一步自然是先要找到目標企業在網路中的位置，假設他已經知道該企業沒有使用主機托管服務，而是和企業的網路放在了一起，那麼他只須ping一下該企業的主頁就能瞭解到該企業的IP位址為xxx.xxx.xxx.001和xxx.xxx.xxx.002，而另外還有一台DNS伺服器，也可以使用nslookup這樣的工具，一下就能查到目標企業的DNS伺服器為位址xxx.xxx.xxx.003，並且他還會計劃，假設已經進入以上三台伺服器中的一台，他就會馬上分析網路結構，並且進入局內網，獲取內部網路員工資料，以及很多重要資料。從上面看得出來，要保護這個網路，我們需要做很多東西，首先我們可以想辦法對伺服器之間以及伺服器和內部網路之間進行隔離，但又能套用到他們應該有的功能，現在對該企業的網路做如下策劃：

首先確定FreeBSD防火牆是作為企業連線到Internet伺服器的唯一途徑，然後對FreeBSD進行一定的設定，開啟它的ipfirewall以及NATD功能，上圖告訴了我們現在是把WWW、BBS、DNS等伺服器都放在內部進行保護，所以在防火牆要開啟NATD的反向代理功能，首先我們把xxx.xxx.xxx.001，xxx.xxx.xxx.002，xxx.xxx.xxx.003，綁定在FreeBSD外部網路卡上，假設外部網路卡號為fxp0，在rc.conf裡我們需要設定如下：
ifconfig_fxp0="inet xxx.xxx.xxx.001 netmask 255.255.255.0"
ifconfig_fxp0_alias0="inet xxx.xxx.xxx.002 netmask 255.255.255.0"
ifconfig_fxp0_alias1="inet xxx.xxx.xxx.003 netmask 255.255.255.0"
綁好之後我們現在就開始分析了，首先我們來看看內部網路，內部要上Internet就必須要有一個網關，並且讓他們正常的使用網路，假設FreeBSD內部網路卡編號為fxp1，那麼我們還要在rc.conf裡加入：

ifconfig_fxp1="inet 10.125.0.1 netmask 255.255.0.0"
然後在防火牆規則裡加上：

divert 8668 ip from any to any via fxp0
這條規則，允許NATD服務，僅允許NATD服務還不行，還要設定內部網路能連線到Internet，我們再加上：
allow ip from any to 10.125.0.0/16
allow ip from 10.125.0.0/16 to any
內部網路設定Gateway為10.125.0.1，這樣企業的內部網路就能正常連線到Internet了。

然後我們來看看WWW伺服器，這個伺服器一般來說只要開放三個連接埠就夠了，第一個連接埠自然是HTTP連接埠不用說了，第二個連接埠那就是ftp連接埠以及ftp資料連接埠，其中HTTP連接埠自然是讓Internet上以及企業內部訪問的連接埠，而FTP連接埠是用來更新主頁或做別的事的，並且只須要企業內部人員訪問就足夠了，當然有必要的話還要開telnet或ssh連接埠，這是方便企業內部系統管理員遠端管理的，這裡我建議使用ssh，並且為了防止萬一入侵者進來了，他可能要對其他機器進行攻擊，我決定對WWW伺服器進行單獨分離，現在假設FreeBSD的內部網路卡編號為fxp1，我們編輯rc.conf文件，加上：

ifconfig_fxp1_alias0 ="inet 10.80.0.1 netmask 255.255.255.0"
然後我們把WWW的伺服器設定成10.80這個網段，網關為10.80.0.1，這樣就把WWW伺服器單獨劃在了一個特殊的區域裡了，假設我們設定WWW的IP為10.80.0.80現在我們再設定防火牆規則：

allow tcp from any to xxx.xxx.xxx.001 80 in
allow tcp from xxx.xxx.xxx.001 80 to any out //允許任意地方能訪問防火牆的80
allow tcp from 10.80.0.80 80 to any out
allow tcp from any to 10.80.0.80 80 in //允許任意地方訪問WWW伺服器的80連接埠
allow tcp from 10.125.0.0/16 to 10.80.0.80 21 in
allow tcp from 10.125.0.0/16 to 10.80.0.80 20 in
allow tcp from 10.80.0.80 21 to 10.125.0.0/16 out
allow tcp from 10.80.0.80 20 to 10.125.0.0/16 out //允許內部網路使用FTP伺服器連接WWW伺服器
設定完成防火牆規則還不行還需要設定NATD，我們設定NATD為：

redirect_port tcp 10.80.0.80:80 xxx.xxx.xxx.001:80
這樣設定以後，WWW伺服器就可以允許企業內部人員順利的更新主頁和瀏覽主頁了，而Internet卻只能瀏覽WWW伺服器上的主頁，就算萬一WWW伺服器利用HTTP伺服器入侵了該機器，由於該伺服器的各種連接都被放火牆阻斷，而無法對企業內部網路進行入侵和破壞，達到充分保護WWW伺服器以及內部網路的目的。

現在我們再來分析DNS伺服器，由於BBS伺服器和WWW伺服器實質上都一樣這裡就不討論了，DNS伺服器自然要提供DNS伺服器，也就是UDP53連接埠，由於同時還帶MAIL功能，所以還要開放SMTP連接埠以及POP3連接埠，而POP3伺服器同樣只允許內部企業訪問，所以我們給rc.conf加入：

ifconfig_fxp1_alias0="inet 10.80.2.1 netmask 255.255.255.0"
然後給DNS伺服器設定IP為10.80.2.53，設定防火牆規則為：

allow udp from any to xxx.xxx.xxx.003 53 in
allow udp from xxx.xxx.xxx.003 53 to any out //允許任意地方能訪問防火牆的53連接埠
allow tcp from any to xxx.xxx.xxx.003 25 in
allow tcp from xxx.xxx.xxx.003 25 to any out //允許任意地方能訪問防火牆的smtp連接埠
allow udp from 10.80.2.53 53 to any outallow tcp from any to 10.80.2.53 25 in
allow udp from any to 10.80.2.53 53 in //允許任意地方訪問DNS伺服器的53連接埠

allow tcp from 10.80.2.53 25 to any out //允許任意地方訪問DNS的SMTP連接埠
allow tcp from 10.125.0.0/16 to 10.80.2.53 110 in
allow tcp from 10.80.2.53 110 to 10.125.0.0/16 out //允許企業內部訪問DNS的POP3連接埠
NATD設定為：
redirect_port udp 10.80.2.53:53 xxx.xxx.xxx.003:53 //把10.80.2.53的53轉到xxx.xxx.xxx.003的53上，使用的UDP。
redirect_port tcp 10.80.2.53:25 xxx.xxx.xxx.003:25 //把10.80.2.53的25轉到xxx.xxx.xxx.003的25上，使用的TCP。

按照上面的規則設定好企業網路後，使得企業網路保護更加的嚴密，伺服器和伺服器之間以及伺服器和企業內部網路之間進行了嚴格控制。當然這裡沒有考慮內部入侵，以及內部IP盜用行為，這也就是FreeBSD防火牆的局限性。

不過可以增加一塊網路卡，把企業內部人員的網路單獨用一個網路卡來進行隔離，達到彌補的辦法。

好了，以上為我使用FreeBSD防火牆保護企業網路的個人做法，希望能給一部分企業網管有所說明。

2004-02-27, 07:21 PM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	如何使用FreeBSD防火牆保護企業網路作者: iceblood 關於FreeBSD的防火牆建設程序請參考我的《利用FreeBSD組建安全的網關》，首先假設某企業有以下伺服器和工作站： 1、WEB伺服器兩台、一台企業主頁，一台做BBS，希望IP位址為xxx.xxx.xxx.001和xxx.xxx.xxx.002 2、DNS伺服器一台，並且兼帶企業E-mail服務，IP位址為xxx.xxx.xxx.003，把http://www.testdomain.com解析到xx...xx.xxx.xxx.002 3、企業內部區域網路絡，電腦N台，IP位址為10.125.0.0到10.125.255.255 對於這樣的一個企業，我們首先要設計好網路構架，在設計的同時要考慮到各個伺服器以及內部網路各放在什麼位置，才能更有效的配合防火牆，使得防火牆對每個部分都能充分的保護。我們首先來分析一下「黑客」入侵的手段和途徑，作為一個入侵者，他的第一步自然是先要找到目標企業在網路中的位置，假設他已經知道該企業沒有使用主機托管服務，而是和企業的網路放在了一起，那麼他只須ping一下該企業的主頁就能瞭解到該企業的IP位址為xxx.xxx.xxx.001和xxx.xxx.xxx.002，而另外還有一台DNS伺服器，也可以使用nslookup這樣的工具，一下就能查到目標企業的DNS伺服器為位址xxx.xxx.xxx.003，並且他還會計劃，假設已經進入以上三台伺服器中的一台，他就會馬上分析網路結構，並且進入局內網，獲取內部網路員工資料，以及很多重要資料。從上面看得出來，要保護這個網路，我們需要做很多東西，首先我們可以想辦法對伺服器之間以及伺服器和內部網路之間進行隔離，但又能套用到他們應該有的功能，現在對該企業的網路做如下策劃：首先確定FreeBSD防火牆是作為企業連線到Internet伺服器的唯一途徑，然後對FreeBSD進行一定的設定，開啟它的ipfirewall以及NATD功能，上圖告訴了我們現在是把WWW、BBS、DNS等伺服器都放在內部進行保護，所以在防火牆要開啟NATD的反向代理功能，首先我們把xxx.xxx.xxx.001，xxx.xxx.xxx.002，xxx.xxx.xxx.003，綁定在FreeBSD外部網路卡上，假設外部網路卡號為fxp0，在rc.conf裡我們需要設定如下： ifconfig_fxp0="inet xxx.xxx.xxx.001 netmask 255.255.255.0" ifconfig_fxp0_alias0="inet xxx.xxx.xxx.002 netmask 255.255.255.0" ifconfig_fxp0_alias1="inet xxx.xxx.xxx.003 netmask 255.255.255.0" 綁好之後我們現在就開始分析了，首先我們來看看內部網路，內部要上Internet就必須要有一個網關，並且讓他們正常的使用網路，假設FreeBSD內部網路卡編號為fxp1，那麼我們還要在rc.conf裡加入： ifconfig_fxp1="inet 10.125.0.1 netmask 255.255.0.0" 然後在防火牆規則裡加上： divert 8668 ip from any to any via fxp0 這條規則，允許NATD服務，僅允許NATD服務還不行，還要設定內部網路能連線到Internet，我們再加上： allow ip from any to 10.125.0.0/16 allow ip from 10.125.0.0/16 to any 內部網路設定Gateway為10.125.0.1，這樣企業的內部網路就能正常連線到Internet了。然後我們來看看WWW伺服器，這個伺服器一般來說只要開放三個連接埠就夠了，第一個連接埠自然是HTTP連接埠不用說了，第二個連接埠那就是ftp連接埠以及ftp資料連接埠，其中HTTP連接埠自然是讓Internet上以及企業內部訪問的連接埠，而FTP連接埠是用來更新主頁或做別的事的，並且只須要企業內部人員訪問就足夠了，當然有必要的話還要開telnet或ssh連接埠，這是方便企業內部系統管理員遠端管理的，這裡我建議使用ssh，並且為了防止萬一入侵者進來了，他可能要對其他機器進行攻擊，我決定對WWW伺服器進行單獨分離，現在假設FreeBSD的內部網路卡編號為fxp1，我們編輯rc.conf文件，加上： ifconfig_fxp1_alias0 ="inet 10.80.0.1 netmask 255.255.255.0" 然後我們把WWW的伺服器設定成10.80這個網段，網關為10.80.0.1，這樣就把WWW伺服器單獨劃在了一個特殊的區域裡了，假設我們設定WWW的IP為10.80.0.80現在我們再設定防火牆規則： allow tcp from any to xxx.xxx.xxx.001 80 in allow tcp from xxx.xxx.xxx.001 80 to any out //允許任意地方能訪問防火牆的80 allow tcp from 10.80.0.80 80 to any out allow tcp from any to 10.80.0.80 80 in //允許任意地方訪問WWW伺服器的80連接埠 allow tcp from 10.125.0.0/16 to 10.80.0.80 21 in allow tcp from 10.125.0.0/16 to 10.80.0.80 20 in allow tcp from 10.80.0.80 21 to 10.125.0.0/16 out allow tcp from 10.80.0.80 20 to 10.125.0.0/16 out //允許內部網路使用FTP伺服器連接WWW伺服器設定完成防火牆規則還不行還需要設定NATD，我們設定NATD為： redirect_port tcp 10.80.0.80:80 xxx.xxx.xxx.001:80 這樣設定以後，WWW伺服器就可以允許企業內部人員順利的更新主頁和瀏覽主頁了，而Internet卻只能瀏覽WWW伺服器上的主頁，就算萬一WWW伺服器利用HTTP伺服器入侵了該機器，由於該伺服器的各種連接都被放火牆阻斷，而無法對企業內部網路進行入侵和破壞，達到充分保護WWW伺服器以及內部網路的目的。現在我們再來分析DNS伺服器，由於BBS伺服器和WWW伺服器實質上都一樣這裡就不討論了，DNS伺服器自然要提供DNS伺服器，也就是UDP53連接埠，由於同時還帶MAIL功能，所以還要開放SMTP連接埠以及POP3連接埠，而POP3伺服器同樣只允許內部企業訪問，所以我們給rc.conf加入： ifconfig_fxp1_alias0="inet 10.80.2.1 netmask 255.255.255.0" 然後給DNS伺服器設定IP為10.80.2.53，設定防火牆規則為： allow udp from any to xxx.xxx.xxx.003 53 in allow udp from xxx.xxx.xxx.003 53 to any out //允許任意地方能訪問防火牆的53連接埠 allow tcp from any to xxx.xxx.xxx.003 25 in allow tcp from xxx.xxx.xxx.003 25 to any out //允許任意地方能訪問防火牆的smtp連接埠 allow udp from 10.80.2.53 53 to any outallow tcp from any to 10.80.2.53 25 in allow udp from any to 10.80.2.53 53 in //允許任意地方訪問DNS伺服器的53連接埠 allow tcp from 10.80.2.53 25 to any out //允許任意地方訪問DNS的SMTP連接埠 allow tcp from 10.125.0.0/16 to 10.80.2.53 110 in allow tcp from 10.80.2.53 110 to 10.125.0.0/16 out //允許企業內部訪問DNS的POP3連接埠 NATD設定為： redirect_port udp 10.80.2.53:53 xxx.xxx.xxx.003:53 //把10.80.2.53的53轉到xxx.xxx.xxx.003的53上，使用的UDP。 redirect_port tcp 10.80.2.53:25 xxx.xxx.xxx.003:25 //把10.80.2.53的25轉到xxx.xxx.xxx.003的25上，使用的TCP。按照上面的規則設定好企業網路後，使得企業網路保護更加的嚴密，伺服器和伺服器之間以及伺服器和企業內部網路之間進行了嚴格控制。當然這裡沒有考慮內部入侵，以及內部IP盜用行為，這也就是FreeBSD防火牆的局限性。不過可以增加一塊網路卡，把企業內部人員的網路單獨用一個網路卡來進行隔離，達到彌補的辦法。好了，以上為我使用FreeBSD防火牆保護企業網路的個人做法，希望能給一部分企業網管有所說明。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

Google 提供的廣告