📄 防火墙简介.htm
字号:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0050)http://www.linuxbyte.net/view.php?skin=art&ID=1931 -->
<HTML><HEAD><TITLE>linuxbyte</TITLE>
<META http-equiv=Content-Language content=zh-cn>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<STYLE type=text/css>A:link {
COLOR: #000000; TEXT-DECORATION: none
}
A:visited {
COLOR: #000000; TEXT-DECORATION: none
}
A:hover {
TEXT-DECORATION: underline
}
BODY {
FONT-SIZE: 12px; SCROLLBAR-ARROW-COLOR: #395d81; BACKGROUND-COLOR: #ffffff
}
TABLE {
BORDER-RIGHT: #889093 1px solid; BORDER-TOP: #889093 1px solid; FONT-SIZE: 9pt; BORDER-LEFT: #889093 1px solid; COLOR: #000000; BORDER-BOTTOM: #889093 1px solid
}
TEXTAREA {
BORDER-RIGHT: #666666 1px solid; BORDER-TOP: #666666 1px solid; FONT-WEIGHT: normal; FONT-SIZE: 12px; BORDER-LEFT: #666666 1px solid; COLOR: #000000; BORDER-BOTTOM: #666666 1px solid; FONT-FAMILY: Verdana, Tahoma, Arial; BACKGROUND-COLOR: #f8f8f8
}
INPUT {
BORDER-RIGHT: #666666 1px solid; BORDER-TOP: #666666 1px solid; FONT-WEIGHT: normal; FONT-SIZE: 12px; BORDER-LEFT: #666666 1px solid; COLOR: #000000; BORDER-BOTTOM: #666666 1px solid; FONT-FAMILY: Verdana, Tahoma, Arial; BACKGROUND-COLOR: #f8f8f8
}
SELECT {
FONT-WEIGHT: normal; FONT-SIZE: 12px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana; BACKGROUND-COLOR: #f8f8f8
}
.nav {
FONT-WEIGHT: bold; FONT-SIZE: 12px; FONT-FAMILY: Tahoma, Verdana
}
.header {
FONT-WEIGHT: bold; FONT-SIZE: 11px; COLOR: #ffffff; FONT-FAMILY: Tahoma, Verdana; BACKGROUND-COLOR: #698cc3
}
.category {
FONT-SIZE: 11px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana; BACKGROUND-COLOR: #efefef
}
.multi {
FONT-SIZE: 11px; COLOR: #003366; FONT-FAMILY: Tahoma, Verdana
}
.smalltxt {
FONT-SIZE: 11px; FONT-FAMILY: Tahoma, Verdana
}
.mediumtxt {
FONT-SIZE: 12px; COLOR: #000000; FONT-FAMILY: Tahoma, Verdana
}
.bold {
FONT-WEIGHT: bold
}
</STYLE>
</STYLE>
<META content="MSHTML 6.00.2800.1400" name=GENERATOR></HEAD>
<BODY leftMargin=0 background=防火墙简介.files/bg.gif topMargin=0 rightMargin=0>
<TABLE
style="BORDER-RIGHT: #656b6d 1px solid; TABLE-LAYOUT: fixed; BORDER-TOP: #656b6d 1px solid; BORDER-LEFT: #656b6d 1px solid; BORDER-BOTTOM: #656b6d 1px solid; WORD-WRAP: break-word"
cellSpacing=0 cellPadding=0 width="98%" align=center bgColor=#ffffff border=0>
<TBODY>
<TR height=0>
<TD width="25%"></TD>
<TD width="65%"></TD>
<TD width="10%"></TD></TR>
<TR height=26>
<TD vAlign=center align=right width="100%" background=防火墙简介.files/topbg.jpg
colSpan=3>
<FORM action=search.php method=post><SELECT name=radiobutton> <OPTION
value=news selected>-- 新闻搜索 --</OPTION> <OPTION value=articles>-- 文章搜索
--</OPTION> <OPTION value=software>-- 软件搜索 --</OPTION></SELECT><INPUT
size=15 name=Search> <INPUT type=image src="防火墙简介.files/go.gif"
border=0> </FORM></TD></TR>
<TR>
<TD align=left width="20%"><IMG src="防火墙简介.files/logo.jpg" border=0></TD>
<TD align=middle width="60%"><IMG src="防火墙简介.files/logo2.jpg" border=1></TD>
<TD align=middle width="20%">::<A
href="http://www.linuxbyte.net/news.php">网站新闻</A>::<BR>::<A
href="http://www.linuxbyte.net/articles.php">技术文献</A>::<BR>::<A
href="http://www.linuxbyte.net/softs.php">软件中心</A>::<BR>::<A
href="http://www.linuxbyte.net/bbs/index.php" target=_blank>讨论区</A>::
</TD></TR>
<TR>
<TD background=防火墙简介.files/tabledi.jpg colSpan=3 height=6></TD></TR>
<TR>
<TD background=防火墙简介.files/titlebg.jpg colSpan=3 height=22>
<CENTER> <B><A href="http://www.linuxbyte.net/index.php">首页</A></B>
|| <B><A href="http://www.linuxbyte.net/bbs/index.php"
target=new>讨论区</A></B> || <B><A
href="http://www.linuxbyte.net/news.php">新闻中心</A></B> || <B><A
href="http://www.linuxbyte.net/articles.php">技术文献</A></B> || <B><A
href="http://www.linuxbyte.net/softs.php">软件中心</A></B> || <B><A
href="http://www.linuxbyte.net/about.php">关于本站</A></B> || <B><A
href="mailto:oneteam@mail.linuxbyte.net">联系本站</A></B>||</CENTER></TD></TR></TBODY></TABLE>
<TABLE
style="TABLE-LAYOUT: fixed; BORDER-COLLAPSE: collapse; WORD-WRAP: break-word"
cellSpacing=0 cellPadding=0 width="98%" align=center bgColor=#ffffff border=1>
<TBODY>
<TR><!--第二列-->
<TD vAlign=top align=left width="75%"><BR> <A
href="http://www.linuxbyte.net/index.php">首页</A><< <A
href="http://www.linuxbyte.net/articles.php">技术文献</A><< <B>防火墙简介</B><BR><BR>
<UL> <BR><BR><BR>jiaming123
<BR><BR>-----------------------------------------------------------
<BR><BR>1. 什么是防火墙
<BR>防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。在电脑中,防火墙是一种装置,可使个别网路不受公共部分(整个网际网路)的影响。此後,文中将防火墙电脑称为“防火墙”,它能同时连接受到保护的网路和网际网路两端。但受到保护的网路无法接到网际网路,网际网路也无法接到受到保护的网路。如果要从受到保护的网路内部接到网际网路,就得telnet到防火墙,然後从防火墙联上网际网路。最简单的防火墙是dual
homed系统(具有两个网路联结的系统)。如果你能相信所有你的用户,那你只要装设一台Linux(设定时将 IP
forwarding/gatewaying 设为
OFF),并让每人设一帐户。他们随後能登录这一系统,使用telnet、FTP,阅读电子函件和使用所有你提供的任何其他服务。根据这项设置,这一网路中唯一能与外界联系的电脑便是这个防火墙。在这个网路中的其他电脑甚至不需要一条公用的路径。需要再次说明∶要使上述防火墙发挥作用,就必须相信所有用户!不过,我可不敢这么建议。
<BR><BR><BR>1.1 防火墙的缺陷
<BR>用于过滤之用的防火墙的问题是这种防火墙不让网际网路进入你的网路。只有通过过滤防火墙才能取用功能。在有代理伺服器的情况下,用户可登录到防火墙,然後进入私有网路内的任何系统。此外,目前几乎每天都有新型客户机和伺服器上市。因此,得要有新的方法进入网路才能调用这些功能。
<BR><BR><BR>1.2 防火墙的种类 <BR>防火墙有两种。 <BR><BR><BR>IP过滤防火墙 -
除一些网路功能外阻挡一切联网功能。 <BR>代理伺服器 - 替你进行网路联结。 <BR><BR>IP过滤防火墙
<BR>IP过滤防火墙在数据包一层工作。它依据起点、终点、埠号和每一数据包中所含的数据包种类信息控制数据包的流动。这种防火墙非常安全,但是缺少有用的登录记录。它阻挡别人进入个别网路,但也不告诉你何人进入你的公共系统,或何人从内部进入网际网路。过滤防火墙是绝对性的过滤系统。即使你要让外界的一些人进入你的私有伺服器,你也无法让每一个人进入伺服器。
Linux从1.3.x版开始就在内核中包含了数据包过滤软件。 <BR><BR><BR>代理伺服器
<BR>代理伺服器允许通过防火墙间接进入网际网路。最好的例子是先telnet系统,然後从该处再telnet另一个系统。在有代理伺服器的系统中,这项工作就完全自动。利用客户端软件连接代理伺服器後,代理伺服器启动它的客户端软件(代理),然後传回数据。由于代理伺服器重复所有通讯,因此能够记录所有进行的工作。只要配置正确,代理伺服器就绝对安全,这最它最可取之处。它阻挡任何人进入,因为没有直接的IP通路。
<BR><BR><BR>--------------------------------------------------------------------------------
<BR><BR>2. 设置防火墙 <BR>2.1 硬件需求 <BR>在□例中,所用的电脑配置是一块486-DX66芯片,16M内存和500M
Linux分割。系统内还装了两张网路卡,一张连到私有网路,另一张接到一个称为“非军事区”的网路(译注:指公用网路),而在这个非军事区的网路上,有一个接到网际网路的路由器(router)。这种配置极为常见,甚至还可用一张网卡和一台数据机通过PPP接到网际网路,但关键之处是防火墙上必须有两个IP号码。不少人家中都有小网路,把两、三台电脑接在一起。不妨试试把所有数据机都接在跑Linux的电脑上(老旧的386机),然後利用负载平衡的方式把数据机都接到网际网路。利用这种装置,如果要传输数据,两部数据机同时工作,可加倍传输的速度。
<BR><BR><BR>--------------------------------------------------------------------------------
<BR><BR>3. 设置防火墙的软件 <BR>3.1 现有的套装软件
<BR>如果只要设置一个过滤防火墙,那只要Linux和基本网路软件就够了。有一套软件可能不在你使用的Linux版本中,称为 IP
Firewall Administration工具。 (IPFWADM) 可从 <A
href="http://www.xos.nl/linux/ipfwadm/"
target=_blank>http://www.xos.nl/linux/ipfwadm/</A>取得。如果要设置代理伺服器,就需要一个这种套装软件。
<BR><BR>SOCKS <BR>TIS Firewall Toolkit (FWTK) <BR><BR>3.2 TIS Firewall
Toolkit 和SOCKS间的差异 <BR>Trusted Information System (<A
href="http://www.tis.com)/"
target=_blank>http://www.tis.com)/</A>提供了一系列软件,用以简化安装防火墙的工作。这些软件基本上同SOCKS的软件相同,但设计策略不同。SOCKS利用一套软件执行所有与Internet有关的工作,而TIS对每一个希望使用防火墙的utility都提供一个软件。为了说明两者之间的不同,就以world
wide
web和Telnet为例吧!在SOCKS中,设定一个设置(configuration)档和一个daemon後,telnet和WWW都能开始工作,同时其他没有关闭的功能也都能够运作。但在TIS中,为WWW和telnet都得设定各自的configuration档和daemon。经此设定後,其他internet的功能仍无法运用,除非对这些功能也作出相关的设定。如果某一功能(例如talk)没有daemon,虽然有"plug-in"
daemon可用,但它不像其他工具那样灵活,而且也不易设定。这似乎是小事,但且大有差别。设置SOCKS时比较可以随意。如果SOCKS伺服器的设置不太完美,从网路内部可以调用原先并不打算提供的internet功能。如使用TIS,从网路内部只能调用系统管理者规定的功能。
SOCKS易于设定、易于编辑,并且灵活性较高。如要管制受到保护的网路内的使用者,则TIS的安全性较高。不过两者都提供了绝对保护,外界无法进入。我会说明两者的安装和设定方法。
<BR><BR><BR><BR><BR>4. 设定Linux系统 <BR>4.1 编辑内核
<BR>首先利用Linux版本重新安装Linux系统(我用RedHat
3.0.3,此後实例均以这一版本为准)。系统中安装的软件越少,毛病和漏洞也越少,因为这些毛病和漏洞对系统的安全都会产生问题,所以只要安装够用的最少量软件即可。选用一个稳定的内核。我的系统用了Linux
2.0.14的内核。 因此,这份文件以这种内核设置为基础。根据适当的选项(options)重新编辑内核。 如果以前没有读过Kernel
HOWTO、 Ethernet HOWTO和NET-2 HOWTO,此时不妨利用这个机会读一读这些HOWTO。 以下是在‘make
config’内与网路有关的设定。 <BR><BR>在General setup中 <BR>设Networking Support 为ON
<BR>在Networking Options中 <BR>设Network firewalls为 ON <BR>设TCP/IP
Networking为 ON <BR>设IP forwarding/gatewaying为 OFF (除非要用IP过滤) <BR>设IP
Firewalling为ON <BR>设IP firewall packet loggin为 ON(不是必需,设了更好) <BR>设IP:
masquerading 为OFF(不属本文范围) <BR>设IP: accounting 为ON <BR>设IP: tunneling
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -