首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

操作系统

Windows 9X | Linux&Uinx | Windows Server | 其它操作系统 | Vista | FreeBSD | Windows 7 |
首页 > 操作系统 > Linux&Uinx > shorewall 企业防火墙的完美实现 > 正文

shorewall 企业防火墙的完美实现

出处:5DMail.NET收集整理 作者:请作者联系 时间:2006-1-23 11:38:00

目录

第一篇:网络接入情况;

    1.1、你得IP地址范围;
    1.2、用户端接入IP,以及局端IP;
    1.3、从上图中我们可以看出;

      1.31、ISP分配给你得是一个C类公网地址;
      1.32、用户端得接入IP 是 192.168.5.1,局端IP 是 192.168.5.2

第二篇:网络结构得设计

    2.1、方案一:就是不对C类网段分段,还是用一个网段;
    2.2、方案二:就是对C类网段分段,分成两个公网IP网段,有两个防火墙如图;

第三篇: 防火墙得实现

    3.1、安装;
    3.2、配置;

关于本文

相关文档

相信大家一定很想自己做一个企业级应用得防火墙,看到大家在论坛上常常问到类似得问题,现在我将我自己身边得一个防火墙企业级应用实例共享出来,希望能帮到需要帮助得朋友。

第一篇:网络接入情况;

现在很多企业有的是用专线接入,有的是用ADSL 接入,但最终结果都是一样,就是在互联网上有一个公网IP(或者一个网段)得Route 到你得网关服务器上或者接入路由器上。 好了,知道了这点我就来说一下互联网得接入这一部分,我以专线接入为例子:

如图:

                                         Route A
                                      ( Internet or ISP  )
                                          /(192.168.5.2/255.255.255.252)
                                         /
                                      /\/
                                     /  
                                    / (IP:192.168.5.1/255.255.255.252)
                                 (Route B)
                                    | (IP 211.111.111.1/255.255.255.0)
                                    |
                                    |_____ (局域网) 

当你是专线接入得时候,一般都会有一个专线接入单,上面会有如下相关信息:

1.1、你得IP地址范围
1.2、用户端接入IP,以及局端IP

1.3、从上图中我们可以看出:

1.31、ISP分配给你得是一个C类公网地址

1.32、用户端得接入IP 是 192.168.5.1,局端IP 是 192.168.5.2

好了,下面是我要重点说得了,很多人以为在一个防火墙得外网接口上一定得绑定公网IP,其实这是一个错误得认识,其实只要有 Route 信息,你就可以上互联网。怎么以上面得图为例子,在 ISP 商得路由器那头,就是绑定 192.168.5.2 那个路由器一定有一个 Route 信息是这样得:

ip route 211.111.111.0/24 via 192.168.5.1

通常得做法就是像如图一样在Route B 得以太网口处帮定一个公网IP 211.111.111.1 ,然后大家以这个为网关上网,通常会先接入防火墙,然后后面接局域网用户,如图:

                                          Route A
                                      ( Internet or ISP )
                                          /(192.168.5.2/255.255.255.252)
                                         /
                                      /\/
                                     /
                                    / (IP:192.168.5.1/255.255.255.252)
                                 (Route B)
                                    | (IP 211.111.111.1/255.255.255.0)
                                    |
                                    |
                                    | (211.111.111.2/24)
                               |----------|
                               | Firewall |
                               |----------|
                   (10.1.2.0/24)/ \(10.1.1.0/24)
                               / \
                              / \
                             / \
             (局域网 A) ____/ \_____ (局域网 B)

解说:

这是一个很典型得企业应用,我想我说得没错吧,但是我觉得这里面有几个不好得地方:

1)就是公网IP不能很好得管理,在 Firewall 和 Route B 之间是通过公网IP 连接得,比如通过交换机连接,这样如果有人在交换机上接一个计算机自己随意绑定公网IP 就可以上网了。
2)这是一个C类得IP ,在Firewall 上需要绑定很多公网IP ,才能使用这些IP ,这样管理有很多弊端。

好了,说了这么多,下面引入正题,就是分享一下我得防火墙得实际解决方案。(续看第二篇)

第二篇:网络结构得设计

对于一个C类得公网IP 我们可以重新设计一个网络拓扑:

2.1、方案一:就是不对C类网段分段,还是用一个网段;

                                          Route A
                                      ( Internet or ISP  )
                                          /(192.168.5.2/255.255.255.252)
                                         /
                                      /\/
                                     /  
                                    / (IP:192.168.5.1/255.255.255.252)
                                 (Route B)
                                    | (IP 192.168.1.1/255.255.255.252)
                                    |
                                    |                                        
                                    | (192.168.1.2/255.255.255.252)
                               |----------|
                               | Firewall |
                               |----------|
                   (10.1.1.1/24)/        \(10.1.2.1/24)
                               /          \
                              /            \
                             /              \  
             (局域网 A) ____/                \_____ (局域网 B  DMZ 服务器区)      

注意: 在 Route B 上需要添加一个静态路由, ip route 211.111.111.0 255.255.255.0 192.168.1.2

好了,这样 Firewall 就可以完全控制和分配这 254 个公网IP 了

2.2、方案二:就是对C类网段分段,分成两个公网IP网段,有两个防火墙如图;

                                              Route A
                                         ( Internet or ISP  )
                                             /(192.168.5.2/255.255.255.252)
                                            /
                                         /\/
                                        /  
                                       / (IP:192.168.5.1/255.255.255.252)
                                  |----------|
                                  | Route B  |
                                  |----------|
                                       |(IP 192.168.1.1/255.255.255.248)
                                       |
                                 /------------\
(IP 192.168.1.2/255.255.255.248)/              \ (IP 192.168.1.3/255.255.255.248) 
                    |-----------|          |-----------|
                    | Firewall A|          | Firewall B|
                    |-----------|          |-----------|                         
                      /                              \  
      (局域网 A) ____/                                \_____ (局域网 B)               
      在 Route B 上添加两条静态路由:
        ip route 211.111.111.0   255.255.255.128 192.168.1.2
        ip route 211.111.111.128 255.255.255.128 192.168.1.3

这样一来,我们就将一个 C类得公网IP 拆分成了两个:

Firewall A 得IP 范围是211.111.111.1-127
Firewall B 得IP 范围是211.111.111.129-254

好了,网络设计好了,下面我就以 方案一 我来讲如何配置防火墙 (续看第三篇)

第三篇: 防火墙得实现

我选用的平台是:

Redhat 8.0 + Shorewall 1.4.8 (其实就是基于iptables), 有三块网卡,以方案一为例。

可能很多朋友都不太清楚 shorewall (http://www.shorewall.net),我先介绍一下 shorewall ,其实他是一个基于 iptables 得一个防火墙,他得优点在于配置方便,便于管理,用它很容易就能配出一个企业级得防火墙策略。

这里我说一下我个人观点,iptables 得命令过于复杂和麻烦,在管理方面和可读性方面比较差,我个人认为我们作为一个网管得精力应该放在如何设计防火墙策略,而不要陷身于一个命令得写法上。好了,废话不说了。

安装好 Redhat 8.0 ,并装好三块网卡后,下载 shorewall 的rpm 包shorewall-1.4.8-1.noarch.rpm(或者 tar 包都可以)

3.1、安装;

#rpm -ivh shorewall-1.4.8-1.noarch.rpm


 

3.2、配置;

shorewall 得所有配置文件都在 /etc/shorewall 下面,好了我将详细得讲解如何配置 shorewall

这里我们假设 DMZ区域有如下一些的服务器:

mail server: 10.1.2.2/24 公网地址:211.111.111.2
pptp vpn server: 10.1.2.3/24 公网地址:211.111.111.3
dns server:  10.1.2.4/24 公网地址:211.111.111.4
http server: 10.1.2.5/24 公网地址:211.111.111.5

在 /etc/shorewall 可以看到有很多配置文件,我只讲我们要用到的配置文件,其它得很少用到;大家可以自己去看帮助,很好理解得

zones (定义防火墙得区域)
interfaces (定义接口)
masq (定义伪装IP)
policy (定义默认策略)
rules (定义防火墙规则)

下面是各个配置文件的内容:

#cat /etc/shorewall/zones:
wan Internet Internet
dmz DMZ Dmz
lan Lan Lan


 

#cat /etc/shorewall/interfaces
wan eth0 detect
lan eth1 detect
dmz eth2 detect


 

#cat /etc/shorewall/masq
eth0 192.168.1.2/32 211.111.111.1 #----- Firwall To Internet
eth0 10.1.1.0/24 211.111.111.1 #----- Lan A To Internet
eth0 10.1.2.2/32 211.111.111.2 #----- mail server To Internet
eth0 10.1.2.3/32 211.111.111.3 #----- pptp server To Internet
eth0 10.1.2.4/32 211.111.111.4 #----- dns server To Internet
eth0 10.1.2.5/32 211.111.111.5 #----- http server To Internet


 

#cat /etc/shorewall/policy
fw all ACCEPT # Firewall 可以任意访问所有区域,包括互联网
lan wan ACCEPT # Lan A 可以任意访问互联网
dmz wan ACCEPT # DMZ 服务器可以任意访问互联网
lan dmz ACCEPT # Lan A 可以任意访问和管理DMZ服务器区
wan all DROP # 互联网不能随意访问内部网络和DMZ
all all REJECT


 

#cat /etc/shorewall/rules
#---------------------- Internet To mail Server -------------------------------
DNAT wan dmz:10.1.2.2 tcp smtp - 211.111.111.2
DNAT wan dmz:10.1.2.2 tcp POP3 - 211.111.111.2
#---------------------- Internet To PPTP Server -------------------------------
DNAT wan dmz:10.1.2.3 tcp 1723 - 211.111.111.3
DNAT wan dmz:10.1.2.3 47 - - 211.111.111.3
#---------------------- Internet To DNS Server -------------------------------
DNAT wan dmz:10.1.2.4 tcp 53 - 211.111.111.4
DNAT wan dmz:10.1.2.4 udp 53 - 211.111.111.4
#---------------------- Internet To http Server -------------------------------
DNAT wan dmz:10.1.2.5 tcp http - 211.111.111.5

好了,防火墙都配置好了,现在防火墙的结果如下:

Lan A 的用户 10.1.1.0/24 的用户全部伪装成 211.111.111.1 去访问互联网
mail server: 10.1.2.2/32 以公网地址:211.111.111.2 访问互联网
pptp vpn server: 10.1.2.3/32 以公网地址:211.111.111.3 访问互联网
dns server:  10.1.2.4/32 以公网地址:211.111.111.4 访问互联网
http server: 10.1.2.5/32 以公网地址:211.111.111.5 访问互联网
Firewall 可以任意访问所有区域,包括互联网
Lan A 可以任意访问互联网
DMZ 服务器可以任意访问互联网
Lan A 可以任意访问和管理DMZ服务器区
互联网不能随意访问内部网络和DMZ


 

好了,到这所有配置文件都已经配好了,然后删除 /etc/shorewall/startup_disable 文件,用 shorewall restart 就可以启动防火墙了。

关于本文

相信到现在,大家对 shorewall 的配置文档有了一定的了解了,大家可以看出shorewall 的配置是很通俗易懂的,很容易的就可以配置好,希望我写的这个文章能给大家一点帮助。

相关文章 热门文章
  • 垃圾邮件防火墙在运营商环境中的应用
  • 普通用户选用防火墙的方方面面
  • 公司防火墙应该做好的10件事
  • 安全知识:公司防火墙应做的10 件事
  • 梭子鱼应用防火墙在纳斯达克(NASDAQ)的实施案例
  • 一夫当关!谈垃圾邮件防火墙产品(图)
  • 解决ORF在FortiGate (飞塔)防火墙后过滤失效一例
  • Barracuda垃圾邮件防火墙SQL注入和跨站脚本漏洞
  • 自己动手打造免费的高性能宽带路由防火墙
  • 梭子鱼WEB防火墙应用案例 中海油网站整体安全方案
  • MDaemon使用技巧大全--如何配置windows的防火墙
  • 政府网站WEB应用防火墙网站防黑防篡改解决方案
  • linux的基本操作(上)
  • Linux系统下应用知识大荟萃
  • GNU GRUB启动管理器
  • 制作基于软盘的Linux系统
  • 网络配置文件快速解读
  • linux的基本操作(下)
  • 剖析Linux系统启动过程
  • DameWare让局域网管理不再繁琐
  • 在Redhat 9下实现双机热备和集群功能
  • LINUX守护进程介绍
  • Redhat advance server 2.1集群的安装与管理
  • Linux必须学会的60个命令-文件处理
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号