Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1734849
  • 博文数量: 391
  • 博客积分: 8464
  • 博客等级: 中将
  • 技术积分: 4589
  • 用 户 组: 普通用户
  • 注册时间: 2008-12-13 15:12
个人简介

狮子的雄心,骆驼的耐力,孩子的执著!

文章分类

全部博文(391)

文章存档

2023年(4)

2018年(9)

2017年(13)

2016年(18)

2014年(7)

2013年(29)

2012年(61)

2011年(49)

2010年(84)

2009年(95)

2008年(22)

分类: 网络与安全

2011-10-05 16:57:28

策略需求:
    定义一个有效的防火墙配置需求,该配置针对的是几个由客户端机器和两个服务器构成的网络。服务器(一个web服务器和一个DNS服务器)必须可以从外部网络访问。内部网络的系统可通过防火墙向外部服务器发起下列类型的通信:
  • 域名系统(DNS)查询
  • 文件传输协议(FTP)传输
  • 网络时间协议(NTP)查询
  • 安全Shell(SSH)会话
  • 简单邮件传输协议(SMTP)会话
  • 通过HTTP/HTTPS/进行Web会话
  • whois查询
   除了允许访问上面列出的服务以外,所有其他通信都应被阻止。从内部网络或直接从防火墙上发起的会话都应该被iptables进行状态跟踪(那些不符合有效状态定义的数据包应迟早被记录并丢弃),防火墙还应提供NAT服务。
   此外,防火墙还应对从内部网络转发给任一外部IP地址的伪造数据库进行控制。
  • 防火墙本身必须允许内部网络的用户通过SSH进行访问,但不允许用户从任何其他地方访问,除非防火墙上运行一个用于验证的fwknop(端口碰撞)。SSH应该是防火墙上运行的唯一一个服务器进程。
  • 防火墙应接受来自内部和外部网络的ICMP回应请求,但来自任何源IP地址的非回应请求的其它ICMP数据包应被丢弃。
  • 最后,防火墙应配置一个默认的日志记录和丢弃规则,以使任何离群的数据包,端口扫描或其他没有明确允许的连接企图被记录并丢弃。
   为了简化建立iptables策略的任务,假设只有一个内部网络,并且它使用的是一个不可路由的网络地址192.168.10.0,具有C类子网掩码255.255.255.0(或使用CIDR表示法/24)。
   防火墙上的内部网络接口(见下图)是eth1,IP地址为192.168.10.1,所有内部主机都以这个地址为它们的默认网关。这使得内部系统发往192.168.10.0/24子网以外系统的所有数据包都必须路由经过防火墙。防火墙上的外部接口是eth0,为保持网络的不可知性,指定这个外部接口的IP地址为71.157.X.X。
   下图中列出了两个恶意系统,一个在内部网络中(192.168.10.200,主机名int_scanner),另一个在外部网络中(144.202.X.X,主机名ext_scanner)。
OS: CentOS 5.4   
Kernel: 2.6.18-164.el5
Iptables : 1.3.5 - 1.3.7
阅读(987) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~