澳门新浦京娱乐场网站-www.146.net-新浦京娱乐场官网
做最好的网站

澳门新浦京娱乐场网站:虚拟服务器,iptables实战

第一、物理安全

1.物理安全

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种,硬件防火墙和软件防火墙,他们都能起到保护作用并筛选出网络上的攻击者。在这里主要给大家介绍一下我们在企业网络安全实际运用中所常见的硬件防火墙。

1、 DMZ原理

1)端口映射

除了要保证要有电脑锁之外,我们更多的要注意防火,要将电线和网络放在比较隐蔽的地方。我们还要准备UPS,以确保网络能够以持续的电压运行,在电子学中,峰值电压是一个非常重要的概念,峰值电压高的时候可以烧坏电器,迫使网络瘫痪,峰值电压最小的时候,网络根本不能运行。使用UPS可以排除这些意外。另外我们要做好防老鼠咬坏网线。

(1)除了要保证要有电脑锁之外,更多的要注意防火,要将电线和网络放在比较隐蔽的地方。

  一、防火墙基础原理

DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。网络结构如图1所示。网络设备开发商利用这一技术,开发出了相应的防火墙解决方案。DMZ通常是一个过滤的子网,DMZ在内部网络和外部网络之间构造了一个安全地带。

 

第二、系统安全口令安全)

(2)还要准备UPS,以确保网络能够以持续的电压运行。在电子学中,峰值电压是一个非常重要的概念,峰值电压高的时候甚至可以烧坏电器,迫使网络瘫痪;峰值电压最小的时候,网络根本不能运行。使用UPS可以帮助我们排除这些意外。

  1、防火墙技术

澳门新浦京娱乐场网站 1
图1  DMZ示意图

在网络技术中,端口(Port)有好几种意思。集线器、交换机、路由器的端口指的是连接其他网络设备的接口,如RJ-45端口、Serial端口等。我们这里所说的端口,不是计算机硬件的I/O端口,而是软件形式上的概念。服务器可以向外提供多种服务,比如,一台服务器可以同时是WEB服务器,也可以是FTP服务器,同时,它也可以是邮件服务器。为什么一台服务器可以同时提供那么多的服务呢?其中一个很主要的方面,就是各种服务采用不同的端口分别提供不同的服务,比如:WEB采用80端口,FTP采用21端口等。这样,通过不同端口,计算机与外界进行互不干扰的通信。我们这里所指的端口不是指物理意义上的端口,而是特指TCP/IP协议中的端口,是逻辑意义上的端口。

我们要尽量使用大小写字母和数字以及特殊符号混合的密码,但是自己要记住,我也见过很多这样的网管,他的密码设置的的确是复杂也安全,但是经常自己都记不来,每次都要翻看笔记本。另外我们最好不要使用空口令或者是带有空格的,这样很容易被一些黑客识破。

(3)另外,我们防止网线、电线被老鼠、蟑螂等生物咬坏。

  防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。下面,我们将介绍这些手段的工作机理及特点,并介绍一些防火墙的主流产品。

DMZ防火墙方案为要保护的内部网络增加了一道安全防线,通常认为是非常安全的。同时它提供了一个区域放置公共服务器,从而又能有效地避免一些互联应用需要公开,而与内部安全策略相矛盾的情况发生。在DMZ区域中通常包括堡垒主机、Modem池,以及所有的公共服务器,但要注意的是电子商务服务器只能用作用户连接,真正的电子商务后台数据需要放在内部网络中。在这个防火墙方案中,包括两个防火墙,外部防火墙抵挡外部网络的攻击,并管理所有内部网络对DMZ的访问。内部防火墙管理DMZ对于内部网络的访问。内部防火墙是内部网络的第三道安全防线(前面有了外部防火墙和堡垒主机),当外部防火墙失效的时候,它还可以起到保护内部网络的功能。而局域网内部,对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里,一个黑客必须通过三个独立的区域(外部防火墙、内部防火墙和堡垒主机)才能够到达局域网。攻击难度大大加强,相应内部网络的安全性也就大大加强,但投资成本也是最高的。

 

我们也可以在屏保、重要的应用程序上添加密码,以确保双重安全。

2.系统安全(口令安全)

  包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。包过滤的最大优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。

2、构建DMZ

2)端口映射应用场景:

第三、打补丁

要尽量使用大小写字母和数字以及特殊符号混合的密码,但是自己要记住。虽然密码设置是复杂且安全,但是也要防止忘记。另外,最好不要使用空口令或者是带有空格的,很容易被一些黑客识破。我们也可以在屏保、重要的应用程序上添加密码,以确保双重安全。

  状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。

1.构建原则

 

我们要及时的对系统补丁进行更新,大多数病毒和黑客都是通过系统漏洞进来的,例如今年五一风靡全球臭名昭著的振荡波就是利用了微软的漏洞ms04-011进来的。还有一直杀不掉的SQLSERVER上的病毒slammer也是通过SQL的漏洞进来的。所以我们要及时对系统和应用程序打上最新的补丁,例如IE、OUTLOOK、SQL、OFFICE等应用程序。

3.更新系统补丁

  2、防火墙工作原理

Linux从2.4内核开始,正式使用iptables来代替以前的ipfwadm和ipchains,实现管理Linux的包过滤功能。Linux的包过滤通过一个叫netfilter的内核部件来实现。netfilter内建了三个表,其中默认表Filter中又包括3个规则链,分别是负责外界流入网络接口的数据过滤的INPUT链、负责对网络接口输出的数据进行过滤的OUTPUT链,以及负责在网络接口之间转发数据过滤的FORWARD链。

内网的一台电脑要上因特网,就需要端口映射。

另外我们要把那些不需要的服务关闭,例如TELNET,还有关闭Guset帐号等。

要及时更新系统补丁,大多数病毒和黑客都是通过系统漏洞进来的。

  (1)包过滤防火墙

要在Linux系统中构建一个带DMZ的防火墙,需要利用对这些链的设定完成。首先要对从连接外部网络的网卡(eth0)上流入的数据进行判断,这是在INPUT链上完成。如果数据的目标地址属于DMZ网段,就要将数据转发到连接DMZ网络的网卡(eth1)上;如果是内部网络的地址,就要将数据转发到连接内部网络的网卡(eth2)上。表1显示了各个网络之间的访问许可关系:

内网的一台电脑要给因特网启动服务,也更需要端口映射。

第四、安装防病毒软件

例如:“假补丁”变种是利用微软MS04-011漏洞进行传播的木马病毒,自动开机自起,窃取用户计算机上的用户名和密码,并自动下载并执行蠕虫副本,利用微软MS04-011漏洞进行传播。这个变种还可以利用被感染计算机转发垃圾邮件。“代理木马”变种是一种利用网络共享传播的木马下载器,中止安全程序,感染安全设备,利用密码字典破解弱密码,感染共享文件。

  包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。

澳门新浦京娱乐场网站 2
表1  DMZ和内外网的访问关系

 

病毒扫描就是对机器中的所有文件和邮件内容以及带有。exe的可执行文件进行扫描,扫描的结果包括清除病毒,删除被感染文件,或将被感染文件和病毒放在一台隔离文件夹里面。所以我们要对全网的机器从网站服务器到邮件服务器到文件服务器知道客户机都要安装杀毒软件,并保持最新的病毒定义码。我们知道病毒一旦进入电脑,他会疯狂的自我复制,遍布全网,造成的危害巨大,甚至可以使得系统崩溃,丢失所有的重要资料。所以我们要至少每周一次对全网的电脑进行集中杀毒,并定期的清除隔离病毒的文件夹。

另外,我们要把那些不需要的服务关闭,例如TELNET、Guset帐号等。

澳门新浦京娱乐场网站 3
图1:包过滤防火墙工作原理图

根据表,可以明确以下六条访问控制策略:

3)端口映射分类

第五、应用程序

4.安装防病毒软件

  (2)应用网关防火墙

◆内网可以访问外网:内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。

 

我们都知道病毒有超过一半都是通过电子邮件进来的,所以除了在邮件服务器上安装防病毒软件之外,还要对PC机上的outlook防护,我们要提高警惕性,当收到那些无标题的邮件,或是你不认识的人发过来的,或是全是英语例如什么happy99,money,然后又带有一个附件的邮件,建议您最好直接删除,不要去点击附件,因为百分之九十以上是病毒。我前段时间就在一个政府部门碰到这样的情况,他们单位有三个人一直收到邮件,一个小时竟然奇迹般的收到了2000多封邮件,致使最后邮箱爆破,起初他们怀疑是黑客进入了他们的网络,最后当问到这几个人他们都说收到了一封邮件,一个附件,当去打开附件的时候,便不断的收到邮件了,直至最后邮箱撑破。最后查出还是病毒惹的祸。

病毒扫描就是对机器中的所有文件和邮件内容以及带有.exe的可执行文件进行扫描,扫描的结果包括清除病毒,删除被感染文件,或将被感染文件和病毒放在一台隔离文件夹里面。针对全网的机器,在网站服务器、邮件服务器、文件服务器都要安装杀毒软件,并保持最新的病毒定义码。

  应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点。(图2)

◆内网可以访问DMZ:此策略是为了方便内网用户使用和管理DMZ中的服务器。

(a)  动态端口映射

除了不去查看这些邮件之外,我们还要利用一下outlook中带有的黑名单功能和邮件过虑的功能。

众所周知,病毒一旦进入电脑,它会疯狂的自我复制、遍布全网,造成的危害巨大,甚至可以让系统崩溃,丢失重要资料,所以至少每周一次对全网的电脑进行集中杀毒,并定期的清除隔离病毒的文件夹。

澳门新浦京娱乐场网站 4
图2:应用网关防火墙工作原理图

◆外网不能访问内网:内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。

 

很多黑客都是通过你访问网页的时候进来的,你是否经常碰到这种情况,当你打开一个网页的时候,会不断的跳出非常多窗口,你关都关不掉,这就是黑客已经进入了你的电脑,并试图控制你的电脑。

5.应用程序

  (3)状态检测防火墙

◆外网可以访问DMZ:DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。

内网中的一台电脑要访问新浪网,会向NAT网关发送数据包,包头中包括对方(就是新浪网)IP、端口和本机IP、端口,NAT网关会把本机IP、端口替换成自己的公网IP、一个未使用的端口,并且会记下这个映射关系,为以后转发数据包使用。然后再把数据发给新浪网,新浪网收到数据后做出反应,发送数据到NAT网关的那个未使用的端口,然后NAT网关将数据转发给内网中的那台电脑,实现内网和公网的通讯.当连接关闭时,NAT网关会释放分配给这条连接的端口,以便以后的连接可以继续使用。动态端口映射其实也就是NAT网关的工作方式。其实我们不配置端口映射的时候,也时时刻刻在使用动态端口映射。说白了这个功能并不是真正的端口被映射了,而是网关记住了这个地址该发往哪里。

所以我们要将IE的安全性调高一点,经常删除一些cookies和脱机文件,还有就是禁用那些ActiveX的控件。

有50%以上的病毒是通过电子邮件进行传播,除了在邮件服务器上安装防病毒软件之外,还要对PC的outlook进行防护。当收到那些无标题的邮件;或者是你不认识的人发过来的;或者全是英语,例如:happy66、money等等,邮件中还带有一个附件;建议最好直接删除,不要去点击附件,因为附件有90%以上几率是危险文件或病毒。

  状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。(图3)

◆DMZ不能访问内网:很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。

 

第六、代理服务器

有时候还要利用一下outlook、foxmail中的黑名单功能和邮件过滤功能,避免不去查看危险邮件。

澳门新浦京娱乐场网站 5
图3:状态检测防火墙工作原理图  

◆DMZ不能访问外网:此条策略在有的情况下可能会有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。

(b)  静态端口映射

代理服务器最先被利用的目的是可以加速访问我们经常看的网站,因为代理服务器都有缓冲的功能,在这里可以保留一些网站与IP地址的对应关系。

6.代理服务器

  4)复合型防火墙

2.DMZ的具体实现

 

要想了解代理服务器,首先要了解它的工作原理:

代理服务器,有缓冲的功能,可以加速访问我们经常看的网站,还可以保留一些网站与IP地址的对应关系。

  复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。(图4)

根据以上访问控制策略可以设定Linux防火墙的过滤规则。下面将在一个虚构的网络环境中,探讨如何根据以上六条访问控制策略建立相应的防火墙过滤规则。这里的讨论和具体应用会有所区别,不过这种讨论将有助于实际应用。用户在实际应用时可根据具体的情况进行设置。该虚拟环境的网络拓扑如图2所示。

就是在NAT网关上开放一个固定的端口,然后设定此端口收到的数据要转发给内网哪个I和端口,不管有没有连接,这个映射关系都会一直存在。就可以让公网主动访问内网的一个电脑。静态端口映射完以后永久生效。

环境:局域网里面有一台机器装有双网卡,充当代理服务器,其余电脑通过它来访问网络。

代理服务器的优点:可以隐藏内网的机器,可以防止黑客的直接攻击,还可以节省公网IP。

澳门新浦京娱乐场网站 6
图4:复合型防火墙工作原理图

澳门新浦京娱乐场网站 7
图2  DMZ网络拓扑图

澳门新浦京娱乐场网站 8

1、内网一台机器要访问新浪,于是将请求发送给代理服务器。

代理服务器的缺点:每次访问都要经过服务器,访问速度会变慢。如果代理服务器被攻击或者损坏,其余电脑将不能访问网络。

  3、四类防火墙的对比

如图2所示,路由器连接Internet和防火墙。作为防火墙的Linux服务器使用三块网卡:网卡eth0与路由器相连,网卡eth1与DMZ区的Hub相连,网卡eth2与内网Hub相连。作为一个抽象的例子,我们用“[内网地址]”来代表“192.168.1.0/24”之类的具体数值。同理还有“[外网地址]”和“[DMZ地址]”。 

 

2、代理服务器对发来的请求进行检查,包括题头和内容,然后去掉不必要的或违反约定的内容。

7.防火墙

  包过滤防火墙:包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。

对于防火墙,原则之一就是默认禁止所有数据通信,然后再打开必要的通信。所以在防火墙脚本的最初,需要清空系统原有的规则,然后将INPUT、OUTPUT、FORWARD的默认规则设置为丢弃所有数据包。

(c)  UPnP(个人理解:也算端口映射的一种吧)

3、代理服务器重新整合数据包,然后将请求发送给下一级网关。

防火墙的基本工作原理就是数据包过滤,通过查看题头的数据包是否含有非法的数据,防火墙会自动将此屏蔽。

  应用网关防火墙:不检查IP、TCP报头,不建立连接状态表,网络层保护比较弱。

1)防火墙基本设置

 

4、新浪网回复请求,找到对应的IP地址。

  状态检测防火墙:不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。

对应的防火墙脚本片段如下:

UPnP(Universal Plug and Play),通用即插即用,是一组协议的统称(具体情况请参考微软文档:UPnP NAT Traversal 常见问题),不能简单理解为UPnP=“自动端口映射”。在BitComet下载中,UPnP包含了2层意思:

5、代理服务器依然检查题头和内容是否合法,去掉不适当的内容。

  复合型防火墙:可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。

# Flush out the tables and delete alluser-definedchains
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat –X

# Drop every packet
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

    1. 对于一台内网电脑,BitComet的UPnP功能可以使网关或路由器的NAT模块做自动端口映射,将BitComet监听的端口从网关或路由器映射到内网电脑上。

6、重新整合请求,然后将结果发送给内网的那台机器。

  4、防火墙术语

2)六种策略的具体实现

    2. 网关或路由器的网络防火墙模块开始对Internet上其他电脑开放这个端口。

由此可以看出,代理服务器的优点是可以隐藏内网的机器,这样可以防止黑客的直接攻击,另外可以节省公网IP。缺点就是每次都要经由服务器,这样访问速度会变慢。另外当代理服务器被攻击或者是损坏的时候,其余电脑将不能访问网络。

  网关:在两个设备之间提供转发服务的系统。网关是互联网应用程序在两台主机之间处理流量的防火墙。这个术语是非常常见的。

1)内网可以访问外网

 

第七、防火墙

  DMZ非军事化区:为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,internet和DMZ。

对应的防火墙脚本片段如下:

 

提到防火墙,顾名思义,就是防火的一道墙。防火墙的最根本工作原理就是数据包过滤。实际上在数据包过滤的提出之前,都已经出现了防火墙。

  吞吐量:网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。

/sbin/iptables -t nat -A POSTROUTING -s [内网地址] -d [外网地址] -oeth0-j SNAT --to [NAT的真实IP]

BitComet支持UPnP。但能否成功UPnP,不仅在于BitComet,还包括:

数据包过滤,就是通过查看题头的数据包是否含有非法的数据,我们将此屏蔽。

  最大连接数:和吞吐量一样,数字越大越好。但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。

当数据从连接外网的eth0流出时,要将来自内网的数据包的源地址改成Internet上的真实IP,这样才能和外网的主机进行通信。“[NAT的真实IP]”表示分配给NAT用户的真实IP,有几个就写几个,以空格分开,但至少要写一个。

网关或路由器是否支持UPnP,且管理员打开了网关或路由器的UPnP功能;

举个简单的例子,假如体育中心有一场刘德华演唱会,检票员坐镇门口,他首先检查你的票是否对应,是否今天的,然后撕下右边的一条,将剩余的给你,然后告诉你演唱会现场在哪里,告诉你怎么走。这个基本上就是数据包过滤的工作流程吧。

  数据包转发率:是指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。

2)内网可以访问DMZ

你的电脑的操作系统是否支持UPnP。

你也许经常听到你们老板说:要增加一台机器它可以禁止我们不想要的网站,可以禁止一些邮件它经常给我们发送垃圾邮件和病毒等,但是没有一个老板会说:要增加一台机器它可以禁止我们不愿意访问的数据包。实际意思就是这样。接下来我们推荐几个常用的数据包过滤工具。

  SSL:SSL(Secure Sockets Layer)是由Netscape公司开发的一套Internet数据安全协议,当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。

对应的防火墙脚本片段如下:

 

最常见的数据包过滤工具是路由器。

  网络地址转换:网络地址转换(NAT)是一种将一个IP地址域映射到另一个IP地址域技术,从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。NAT 常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。如果反向NAT提供动态网络地址及端口转换功能,还可以实现负载均衡等功能。

/sbin/iptables -A FORWARD -s [内网地址] -d [DMZ地址] -i eth2-jACCEPT

UPnP映射失败的原因很多,比如:

另外系统中带有数据包过滤工具,例如LinuxTCP/IP中带有的ipchain等windows2000带有的TCP/IPFiltering筛选器等,通过这些我们就可以过滤掉我们不想要的数据包。

  堡垒主机:一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。

以上命令允许所有来自内网、目的地为DMZ的数据包通过。

1.系统服务中禁止了SSDP服务(用于寻找upnp设备)

防火墙也许是使用最多的数据包过滤工具了,现在的软件防火墙和硬件防火墙都有数据包过滤的功能。接下来我们会重点介绍防火墙的。

  二、市场上常见的硬件防火墙

3)外网不能访问内网

2.开启了XP下的SP1的ICF(网络连接防火墙)。(XP的ICF与UPnP设备发现有冲突,SP2修复了这个问题,但是仍然需要在防火墙设置中允许例外:UPnP 框架。)

防火墙通过一下方面来加强网络的安全:

  (1)NetScreen 208 Firewall

对应的防火墙脚本片段如下:

3.路由器不支持UPnP,请向制造商询问。

1、策略的设置

  NetScreen科技公司推出的NetScreen防火墙产品是一种新型的网络安全硬件产品。NetScreen采用内置的ASIC技术,其安全设备具有低延时、高效的IPSec加密和防火墙功能,可以无缝地部署到任何网络。设备安装和操控也是非常容易,可以通过多种管理界面包括内置的WebUI界面、命令行界面或NetScreen中央管理方案进行管理。NetScreen将所有功能集成于单一硬件产品中,它不仅易于安装和管理,而且能够提供更高可靠性和安全性。由于NetScreen设备没有其它品牌产品对硬盘驱动器所存在的稳定性问题,所以它是对在线时间要求极高的用户的最佳方案。采用NetScreen设备,只需要对防火墙、VPN和流量管理功能进行配置和管理,减省了配置另外的硬件和复杂性操作系统的需要。这个做法缩短了安装和管理的时间,并在防范安全漏洞的工作上,省略设置的步骤。NetScreen-100 Firewall比适合中型企业的网络安全需求。

/sbin/iptables -t nat -A PREROUTING -s [外网地址] -d [内网地址] -i eth0-jDROP

 

策略的设置包括允许与禁止。允许例如允许我们的客户机收发电子邮件,允许他们访问一些必要的网站等。例如防火墙经常这么设置,允许内网的机器访问网站、收发电子邮件、从FTP下载资料等。这样我们就要打开80、25、110、21端口,开HTTP、SMTP、POP3、FTP等。

 

以上命令将来自外网、去往内网的数据包全部丢弃。

说白了,UPnp的意思是,让程序自动开启网关上的端口映射。并且组织其他程序再开启这个端口的映射。

禁止就是禁止我们的客户机去访问哪些服务。例如我们禁止邮件客户来访问网站,于是我们就给他打开25、110,关闭80。

  (2)Cisco Secure PIX 515-E Firewall

4)外网可以访问DMZ

 

2、NAT

  Cisco Secure PIX防火墙是Cisco防火墙家族中的专用防火墙设施。Cisco Secure PIX 515-E防火墙系通过端到端安全服务的有机组合,提供了很高的安全性。适合那些仅需要与自己企业网进行双向通信的远程站点,或由企业网在自己的企业防火墙上提供所有的Web服务的情况。Cisco Secure PIX 515-E与普通的CPU密集型专用代理服务器(对应用级的每一个数据包都要进行大量处理)不同,Cisco Secure PIX 515-E防火墙采用非UNIX、安全、实时的内置系统。可提供扩展和重新配置IP网络的特性,同时不会引起IP地址短缺问题。NAT既可利用现有IP地址,也可利用Internet指定号码机构[IANA]预留池[RFC.1918]规定的地址来实现这一特性。Cisco Secure PIX 515-E还可根据需要有选择性地允许地址是否进行转化。CISCO保证NAT将同所有其它的PIX防火墙特性(如多媒体应用支持)共同工作。Cisco Secure PIX 515-E Firewall比适合中小型企业的网络安全需求。

为了保护DMZ中的服务器,外网对DMZ的访问也要加以限制。通常的思路是,只允许外网访问DMZ中服务器所提供的特定服务,比如HTTP。

4)什么是DMZ

NAT,即网络地址转换,当我们内网的机器在没有公网IP地址的情况下要访问网站,这就要用到NAT。工作过程就是这样,内网一台机器 192.168.0.10要访问新浪,当到达防火墙时,防火墙给它转变成一个公网IP地址出去。一般我们为每个工作站分配一个公网IP地址。

  (3)天融信网络卫士NGFW4000-S防火墙

对应的防火墙脚本片段如下:

 

防火墙中要用到以上提到的数据包过滤和代理服务器,两者各有优缺点,数据包过滤仅仅检查题头的内容,而代理服务器除了检查标题之外还要检查内容。当数据包过滤工具瘫痪的时候,数据包就都会进入内网,而当代理服务器瘫痪的时候内网的机器将不能访问网络。

  北京天融信公司的网络卫士是我国第一套自主版权的防火墙系统,目前在我国电信、电子、教育、科研等单位广泛使用。它由防火墙和管理器组成。网络卫士NGFW4000-S防火墙是我国首创的核检测防火墙,更加安全更加稳定。网络卫士 NGFW4000-S防火墙系统集中了包过滤防火墙、应用代理、网络地址转换(NAT)、用户身份鉴别、虚拟专用网、Web页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能,可以为不同类型的Internet接入网络提供全方位的网络安全服务。网络卫士防火墙系统是中国人自己设计的,因此管理界面完全是中文化的,使管理工作更加方便,网络卫士NGFW4000-S防火墙的管理界面是所有防火墙中最直观的。网络卫士NGFW4000-S防火墙比适合中型企业的网络安全需求。

/sbin/iptables -t nat -A PREROUTING -p tcp --dport 80-d[分配给HTTP服务器的Internet上的真实IP] -s [外网地址] -i eth0 -j DNAT--to[HTTP服务器的实际IP]
/sbin/iptables -A FORWARD -p tcp -s [外网地址] -d [HTTP服务器的实际IP]-ieth0 --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -d [外网地址] -s [HTTP服务器的实际IP]-ieth1 --sport 80 ! --syn -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -s [外网地址] -d [DMZ地址] -ieth0-j DROP

DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。

另外,防火墙还提供了加密、身份验证等功能。还可以提供对外部用户VPN的功能。

  (4)东软NetEye 4032防火墙

该防火墙脚本片段将开放HTTP服务,使得只有访问DMZ中HTTP服务的数据包才能通过防火墙。

澳门新浦京娱乐场网站 9

第八、DMZ

  NetEye 4032防火墙是NetEye防火墙系列中的最新版本,该系统在性能,可靠性,管理性等方面大大提高。其基于状态包过滤的流过滤体系结构,保证从数据链路层到应用层的完全高性能过滤,可以进行应用级插件的及时升级,攻击方式的及时响应,实现动态的保障网络安全。NetEye防火墙4032对流过滤引擎进行了优化,进一步提高了性能和稳定性,同时丰富了应用级插件、安全防御插件,并且提升了开发相应插件的速度。网络安全本身是一个动态的,其变化非常迅速,每天都有可能有新的攻击方式产生。安全策略必须能够随着攻击方式的产生而进行动态的调整,这样才能够动态的保护网络的安全。基于状态包过滤的流过滤体系结构,具有动态保护网络安全的特性,使NetEye防火墙能够有效的抵御各种新的攻击,动态保障网络安全。东软NetEye 4032防火墙比适合中小型企业的网络安全需求。

5)DMZ不能访问内网

5)端口映射和DMZ的区别

DMZ本来是朝鲜的南北大战的时候,提出的停火带。但是在我们网络安全里面,DMZ来放置例如网站服务器、邮件服务器、DNS服务器、FTP服务器等。

  三、防火墙的基本配置

对应的防火墙脚本片段如下:

 

我们可以通过DMZ出去,这样就为黑客进来提供了通道,所以我们有必要添加第二台防火墙,来加强我们的网络安全。

  下面我以国内防火墙第一品牌天融信NGFW 4000为例给各位讲解一下在一个典型的网络环境中应该如何来配置防火墙。

/sbin/iptables -A FORWARD -s [DMZ地址] -d [内网地址] -i eth1 -jDROP

端口映射只是映射指定的端口,DMZ相当于映射所有的端口,并且直接把主机暴露在网关中,比端口映射方便但是不安全。

这样带来的麻烦就是从网上下载,首先要来验证安全性,下载的时候要等一会。

澳门新浦京娱乐场网站 10
图5:网络拓扑结构

以上命令将丢弃所有从DMZ到内网的数据包。

 

第九、IDS

  NGFW4000有3个标准端口,其中一个接外网(Internet网),一个接内网,一个接DMZ区,在DMZ区中有网络服务器。安装防火墙所要达到的效果是:内网区的电脑可以任意访问外网,可以访问DMZ中指定的网络服务器, Internet网和DMZ的电脑不能访问内网;Internet网可以访问DMZ中的服务器。

6)DMZ不能访问外网

DMZ后,路由的所有端口都转发到指定的内网机器,开了DMZ后,不用再做端口转发。端口转发一条规则只能转一个端口。

我们使用了防火墙和防病毒之后,使用IDS来预防黑客攻击。

  1、配置管理端口

对应的防火墙脚本片段如下:

 

IDS,就是分析攻击事件以及攻击的目标与攻击源,我们利用这些可以来抵御攻击,以将损坏降低到最低限度。

  天融信网络卫士NGFW4000防火墙是由防火墙和管理器组成的,管理防火墙都是通过网络中的一台电脑来实现的。防火墙默认情况下,3个口都不是管理端口,所以我们先要通过串口把天融信网络卫士NGFW4000防火墙与我们的电脑连接起来,给防火墙指定一个管理端口,以后对防火墙的设置就可以通过远程来实现了。

/sbin/iptables -t nat -A POSTROUTING -p tcp --dport 25 -d[外网地址]-s [邮件服务器的IP] -o eth0 -j SNAT --to[分配给SMTP服务器的Internet上的真实IP]
/sbin/iptables -A FORWARD -p tcp -s [邮件服务器的IP] -d [外网地址] -ieth1--dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -d [邮件服务器的IP] -s [外网地址]-ieth0--sport 25 ! --syn -j ACCEPT

澳门新浦京娱乐场网站:虚拟服务器,iptables实战系列。 

目前IDS还没有象防火墙那样用的普遍,但是这个也将是未来几年的趋势,现在一些政府已经开始使用。

  使用一条串口线把电脑的串口(COM1)与NGFW4000防火墙的console 口连接起来,启动电脑的"超级终端",端口选择COM1,通信参数设置为每秒位数9600,数据位8,奇偶校验无,停止位1,数据流控制无。进入超级终端的界面,输入防火墙的密码进入命令行格式。

以上命令先允许DMZ中邮件服务器连接外网的SMTP服务端口(25),然后禁止其它从DMZ发往外网的数据包。

国内著名的IDS厂家例如金诺网安、中联绿盟、启明星辰。

  定义管理口:if eth1 XXX.XXX.XXX.XXX 255.255.255.0

针对以上基本策略例举了实现它们的基本规则。在实际应用中,需要根据具体情况进行设置。只要设置得当,Linux也能成为很好的防火墙。需要补充的是,无论何种防火墙都只能提供有限的保护。设置好防火墙不等于网络就是安全的,关键在于综合运用各种安全手段。 

第十、VPN

  修改管理口的GUI登录权限: fire client add topsec -t gui -a 外网 -i 0.0.0.0-255.255.255.255

DMZ原理 DMZ是英文demilitarized zone的缩写,中文名称为隔离区,也称非军事化区。它是为了解决安装防火墙后外部网络不能访问内部网络服...

以前我们都是通过电话和邮件来和外地的分公司联系。分公司从总公司找一些文件都是通过拨号上网,即使用点对点协议,这样安全,但是花费很高。VPN可以解决这一点。

 

第十一、分析时间日志与记录

  2、使用GUI管理软件配置防火墙

我们要经常的来查看防火墙日志、入侵检测的日志以及查看防病毒软件的更新组件是否最新等。

  安装天融信防火墙GUI管理软件"TOPSEC集中管理器",并建立NGFW4000管理项目,输入防火墙管理端口的IP地址与说明。然后登录进入管理界面。

第十二、网管软件

  (1)定义网络区域

千防万防,家贼难防!所以说现在还要需要一款局域网网络管理的软件,一来可以更好的把网络资源充分的利用起来,二是可以通过管理员工的上网行为来防止公司重要信息外泄,同时也能降到公司网络中病毒的可能性。三是,可以记录员工的网络行为,如果出事了可以找到元凶!

  Internet(外网):接在eth0上,缺省访问策略为any(即缺省可读、可写),日志选项为空,禁止ping、GUI、telnet。

除了要保证要有电脑锁之外,我们更多的要注意防火,要将电线和网络放在比较隐蔽的地方。我们还要准备UPS,以确保网络...

  Intranet(内网):接在eth1上,缺省访问策略为none(不可读、不可写),日志选项为记录用户命令,允许ping、GUI、telnet。

  DMZ区:接在eth2上, 缺省访问策略为none(不可读、不可写),日志选项为记录用户命令,禁止ping、GUI、telnet。

  (2)定义网络对象

  一个网络节点表示某个区域中的一台物理机器。它可以作为访问策略中的源和目的,也可以作为通信策略中的源和目的。网络节点同时可以作为地址映射的地址池使用,表示地址映射的实际机器,详细描述见通信策略。

澳门新浦京娱乐场网站 11
图6

  子网表示一段连续的IP地址。可以作为策略的源或目的,还可以作为NAT的地址池使用。如果子网段中有已经被其他部门使用的IP,为了避免使用三个子网来描述技术部使用的IP地址,可以将这两个被其他部门占用的地址在例外地址中说明。

澳门新浦京娱乐场网站 12
图7

  为了配置访问策略,先定义特殊的节点与子网:

  FTP_SERVER:代表FTP服务器,区域=DMZ,IP地址= XXX.XXX.XXX.XXX。

  HTTP_SERVER:代表HTTP服务器,区域=DMZ,IP地址= XXX.XXX.XXX.XXX。

  MAIL_SERVER:代表邮件服务器,区域=DMZ,IP地址= XXX.XXX.XXX.XXX。

  V_SERVER:代表外网访问的虚拟服务器,区域=Internet,IP=防火墙IP地址。

  inside:表示内网上的所有机器,区域=Intranet,起始地址=0.0.0.0,结束地址=255.255.255.255。

  outside:表示外网上的所有机器,区域=Internet,起始地址=0.0.0.0,结束地址=255.255.255.255。

 

  (3)配置访问策略

  在DMZ区域中增加三条访问策略:

  A、访问目的=FTP_SERVER,目的端口=TCP 21。源=inside,访问权限=读、写。源=outside,访问权限=读。这条配置表示内网的用户可以读、写FTP服务器上的文件,而外网的用户只能读文件,不能写文件。

  B、访问目的=HTTP_SERVER,目的端口=TCP 80。源=inside outside,访问权限=读、写。这条配置表示内网、外网的用户都可以访问HTTP服务器。

  C、访问目的=MAIL_SERVER,目的端口=TCP 25,TCP 110。源=inside outside,访问权限=读、写。这条配置表示内网、外网的用户都可以访问MAIL服务器。

  (4)通信策略

  由于内网的机器没有合法的IP地址,它们访问外网需要进行地址转换。当内部机器访问外部机器时,可以将其地址转换为防火墙的地址,也可以转换成某个地址池中的地址。增加一条通信策略,目的=outside,源=inside,方式= NAT,目的端口=所有端口。如果需要转换成某个地址池中的地址,则必须先在Internet中定义一个子网,地址范围就是地址池的范围,然后在通信策略中选择NAT方式,在地址池类型中选择刚才定义的地址池。

  服务器也没有合法的IP地址,必须依靠防火墙做地址映射来提供对外服务。增加通信策略。

  A、目的=V_SERVER,源=outside,通信方式=MAP,指定协议=TCP,端口映射21->21,目标机器=FTP_SERVER。

  B、目的=V_SERVER,源=outside,通信方式=MAP,指定协议=TCP,端口映射80->80,目标机器=HTTP_SERVER。

  C、目的=V_澳门新浦京娱乐场网站,SERVER,源=outside,通信方式=MAP,指定协议=TCP,端口映射25->25,目标机器=MAIL_SERVER。

  D、目的=V_SERVER,源=outside,通信方式=MAP,指定协议=TCP,端口映射110->110,目标机器=MAIL_SERVER。

  (5)特殊端口

  在防火墙默认的端口定义中没有我们所要用到的特殊端口,就需要我们手工的添加这些特殊端口了。在防火墙集中管理器中选择"高级管理">"特殊对象">"特殊端口",将弹出特殊端口的定义界面,点"定义新对象",输入特殊端口号与定义区域即可。

  (6)其他配置

  最后进入"工具"选项,定义防火墙的管理员、权限以及与IDS的联动等。(图8)

澳门新浦京娱乐场网站 13
图8

  四、防火墙对比

  在了解了防火墙的工作原理及基本配置之后,下面给大家介绍一下NetScreen 208、Cisco PIX 515E、NGFW 4000-S、NetEye 4032这四款市场上最常见的硬件防火墙在基本性能、操作管理与市场价格上的比较。

  

防火墙 NetScreen208 CiscoPIX515E NGFW4000-S NetEye4032
核心技术 状态检测 状态检测 核检测 状态检测
产品类型 ASIC硬件 硬件设备 硬件设备 硬件设备
工作模式(路由模式、桥模式、混合模式) 路由模式、桥模式 路由模式、桥模式 路由模式、桥模式、混合模式 路由模式、桥模式
并发连接数 130000 130000 600000 300000
网络吞吐量 550M 170M 100M 200M
最大支持网络接口 8 6 12 8
操作系统 ScreenOS 专用操作系统 专用操作系统 专用操作系统
管理方式 串口、CLITelnetWebGUI 串口、TelnetWebGUI 串口、TelnetWebGUI 串口、TelnetGUI
市场报价 142,000RMB 80,000RMB 138,000RMB

  148,000RMB

本文由澳门新浦京娱乐场网站发布于服务器,转载请注明出处:澳门新浦京娱乐场网站:虚拟服务器,iptables实战