📄 防火墙简介.htm
字号:
<BR><BR>设定IP地址和modifier域的方法和其他例子相同。 <BR><BR><BR>防火墙後的DNS 从防火墙後设定Domain
Name Service是件简单不过的事。只要在作为防火墙的电脑上设定DNS即可。然後在防火墙後的电脑上设定使用这个DNS。 <BR>7.3
代理伺服器 <BR>Unix
<BR>要使应用程序利用代理伺服器,这些应用程序需要"sockified"。在这里需要两个telnet,一个进行直接通讯,一个通过代理伺服器进行通讯。SOCKS软件中有说明sock一个程式的方法,也附有几个已经sock好的程式。如果要直接使用sock好的程式,SOCKS软件会直接设定。因此,应该将保护网路内的所有程式改名,然後再改用已经sock好的程式。例如,"Finger"变为"finger.orig","telnet"变为"telnet.orig"。
必须通过include/socks.h档告诉SOCKS这种设定。有些程式能自行处理routing和sockifying的问题。Netscape就使其中之一。例如在Netscape下要用用代理伺服器,只要在Proxies下SOCK栏内填入伺服器的地址即可(在此为192.168.2.1)。当然,每种应用程式都得作些小变动,不论其处理代理伺服器的方法为何。
<BR><BR><BR>微软视窗与Trumpet Winsock <BR>Trumpet
Winsock中有自带的代理伺服器功能。在"setup"选单中填入伺服器的IP地址和所有直接可联的电脑的地址。然後,Trumpet就会处理所有外送的数据包。
<BR><BR><BR>使代理伺服器配合UDP数据包 <BR>SOCKS软件只处理TCP数据包,而不处理
UDP。这多少减少了它的用处,因为,许多有用的程式,例如talk和Archie,都利用UDP。有一套软件,称为UDPrelay,由Tom
Fitzgerald设计<<A
href="mailto:fitz@wang.com">fitz@wang.com</A>>,主要作为UDP数据包的代理伺服器使用。不过在编写本文时,这套软件不能用于Linux.
<BR><BR>7.4 代理伺服器的缺点
<BR>归根结底,代理伺服器是一个安全装置。在有限的IP地址的情况下,用它使许多用户进入网际网路有许多缺点。代理伺服器可使保护网路内的用户联到网路之外,但使网路之外的用户完全无法同网路之内的用户联系。这表示无法同网路之内的电脑进行talk或archie联网,也无法发送电子邮件。这些缺点看来并不严重,但是如果∶
<BR><BR>你有一份没有完成的报告留在保护网路防火墙内的电脑上。回家後,你又想看看这份报告。但是没有办法。因为电脑在防火墙後,无法联网。如果首先login
防火墙,但由于每一个人都可进入代理伺服器,因此你在这个伺服器上并没有个别帐户。
<BR><BR>你女儿去了大学。你想写封电子邮件给她。你想谈些私事,因此最好能把电子邮件直接放到自己的电脑上。你当然信得过你的系统管理员,但这倒底与公务无关,是个人的信件。
<BR><BR>不能使用UDP是代理伺服器的一个大缺陷。我想不久之後就会有UDP的功能。
<BR>FTP是代理伺服器的另一个问题。在取得或使用ls时,FTP伺服器在客户机上打开一个socket,并通过它传送信息。代理伺服器不允许进行这项工作,因此FTP无法使用。此外,代理伺服器运行缓慢。由于需要额外资源较多,几乎任何其他能达成这项作用的伺服器都要比它快。一般而言,如果有IP地址联网,而又不必特别顾虑安全问题,那就不要使用防火墙和(或)代理伺服器。如果没有IP地址联网,但也不顾虑安全问题,那就不妨使用IP模拟器,象Term,Slirp或TIA。Term可从<A
href="ftp://sunsite.unc.edu/"
target=_blank>ftp://sunsite.unc.edu/</A>取得,Slirp可从<A
href="ftp://blitzen.canberra.edu.au/pub/slirp"
target=_blank>ftp://blitzen.canberra.edu.au/pub/slirp</A>取得,TIA可从marketplace.com取得。使用代理伺服器的理想网路是有许多用户需要联网,那只要做一次设定之後就不必再做太多其他的工作。
<BR><BR><BR><BR><BR>8. 高级设置
<BR>在结束此文时,不妨再举一个例子,来说明设置的方法。前面的例子适合多数使用情况。下面再以一个高级设置为例,以便能说明一些问题。如果前面的例子不能解答你的问题,或者还想了解代理伺服器和防火墙的其他特性,请注意下面的例子。
<BR><BR><BR>8.1 注重安全的大型网路
<BR>假设一个民团首脑要设置网路,其中共有50台电脑和有一个32个IP地址的次级网。由于随从的级别不同,民团首脑想在网路上设置不同级别的使用权。因此,网路的一部分不能与另一部分互通。各种级别有∶
<BR><BR><BR>外围。这是人人都可到达的层面。这是吸引新成员的层面。
<BR>部队人员这一层面的人物已经超过外围。这个层面的人可以知道一些计谋和制造武器的方法。 <BR>外籍军团这是真正完成计划之处。
<BR><BR>网路的设定 <BR>IP号码的设定方法如下∶
<BR><BR><BR><BR>一个地址为192.168.2.255,这是broadcast的地址,不可使用。 <BR>32
IP地址中23个地址分配给23台机器,这些机器可同网际网路联结。 <BR>一个IP地址用于网路上的linux机。
<BR>一个IP地址用于网路上的另一个linux机。 <BR>两个IP #s用于router
<BR>剩下的四个地址随便定四个名字,使人捉摸不定真正的用户。 <BR>保护网路的地址为192.168.2.xxx
<BR>这样就建立了两个不同的网路。这两个网路通过红外线Ethernet联网,外界完全看不到它们的存在。红外线Ethernet的作用和一般Ethernet的作用相同。这两个网路各自连到有IP地址运行linux的电脑。同时有一个文档伺服器接连到这两个保护网路,因为征服世界的计划中需要一些训练精良的部队。文档伺服器中有部队网路的IP地址192.168.2.17和外籍军团网路的IP地址192.168.2.23。有不同IP地址的原因是因为有不同Ethernet卡的缘故。网路上IP
Forwarding的功能关闭停用。两台Linux机上IP
Forwarding的功能也都停用。除非有明确规定,否则router不会转送送往192.168.2.xxx的数据包,因此网路无由进入。关闭IP
Forwarding功能的原因是部队网路发出的数据包不让到达外籍军团网路,外籍军团网路的数据包也不让到达部队网路。可以设定NFS伺服器的设置,使其把不同文档送往不同网路。这种方法颇为好用,在symblic
links上做番手脚可使文档让大家共享。利用这种设置和加一张ethernet卡可使一台文档伺服器用于所有三个网路。 <BR>代理伺服器的设置
<BR>由于三批人马都需要了解网上的情况,因此他们都需要上网。外部网路直接连到网际网路,因此在代理伺服器上不需要作出任何更动。外籍军团网路和部队网路在防火墙之後,因此需要在代理伺服器上作出一些设置。两个网路的设置非常类似。它们仍旧使用分配给它们的IP地址。不过在这里得设定一些参数。
<BR><BR>任何人都不得使用文档伺服器上网,否则文档伺服器可能会遭到病毒或其他坏东西得入侵。这种问题至为严重,因此不得使用文档伺服器。
<BR>不让部队人员上网。他们正在接受训练,如果让他们拥有这种检索资讯的能力可能对他们有害。
<BR>因此,在部队网路的linux机上sockd.conf档内应有下列一行∶ <BR>deny 192.168.2.17
255.255.255.255 <BR>并且在外籍军团机内的设定是∶ <BR>deny 192.168.2.23 255.255.255.255
<BR>同时,部队网路的linux机内设定∶ <BR>deny 0.0.0.0 0.0.0.0 eq 80
<BR>这行的意义是不让任何机器使用埠号80,既http埠。不过这些机器仍然可用所有其他功能,只是不让上网。然後在两台机器的sockd.conf档内都添加∶
<BR><BR>permit 192.168.2.0 255.255.255.0
<BR>使所有在192.168.2.xxx网上的电脑都使用这台代理伺服器,但不让使用的电脑除外(既从部队网路进入文档伺服器和网际网路)。
<BR>部队网路的sockd.conf档的内容如下∶ <BR><BR>deny 192.168.2.17 255.255.255.255
<BR>deny 0.0.0.0 0.0.0.0 eq 80 <BR>permit 192.168.2.0 255.255.255.0
<BR>外籍军团网路的sockd.conf档的内容如下∶ <BR>deny 192.168.2.23 255.255.255.255
<BR>permit 192.168.2.0 255.255.255.0
<BR>这样的配置应该没有问题。每一个网路都能单独作业,并有适当的相互关系。人人都应该心满意足才对。现在就可征服世界了! <BR><BR>
<DIV align=right>发布人:netbull 来自:LinuxAid </DIV><BR></UL><IMG
src="防火墙简介.files/line.jpg"><BR>
<FORM action=post.php?skin=reart&ID=1931 method=post>
<UL>-- 发表评论 --<BR> 昵称:<INPUT name=name> Email:<INPUT
name=email><BR> 内容:<BR><TEXTAREA name=content rows=5 cols=56></TEXTAREA><BR> <INPUT type=submit value=确定回复> <INPUT type=reset value=清除></UL></FORM><IMG
src="防火墙简介.files/line.jpg"><BR>
<UL>
<LI>以下是对此文的评论:<BR><BR></LI></UL></TD><!--第三列-->
<TD vAlign=top align=left width="25%"> <IMG
src="防火墙简介.files/online.jpg" border=0>
<UL>
<LI><A href="http://www.linuxbyte.net/addnews.php"
target=_blank>新闻发布</A><BR><BR>
<LI><A href="http://www.linuxbyte.net/addart.php"
target=_blank>文献发布</A><BR><BR>
<LI><A href="http://www.linuxbyte.net/addsoft.php"
target=_blank>软件发布</A><BR><BR>
<LI><A href="http://www.linuxbyte.net/manger.php"
target=_blank>软件管理</A><BR></LI></UL><IMG height=5
src="防火墙简介.files/tabledi2.jpg" width="100%"><!--下载排行--> <IMG
src="防火墙简介.files/download.jpg" border=0> <BR> <A
href="http://www.linuxbyte.net/view.php?skin=soft&id=676">Red Hat
Linux</A> (81310)<BR> <A
href="http://www.linuxbyte.net/view.php?skin=soft&id=219">Oracle9i
Enterprise</A> (40539)<BR> <A
href="http://www.linuxbyte.net/view.php?skin=soft&id=93">星际译王1.31版</A> (37768)<BR> <A
href="http://www.linuxbyte.net/view.php?skin=soft&id=785">kylix</A> (36517)<BR> <A
href="http://www.linuxbyte.net/view.php?skin=soft&id=1642">Lindows OS
4.5</A> (29611)<BR> <A
href="http://www.linuxbyte.net/view.php?skin=soft&id=287">AOL
server</A> (27385)<BR> <A
href="http://www.linuxbyte.net/view.php?skin=soft&id=969">RedHat
中文环境</A> (26129)<BR> <A
href="http://www.linuxbyte.net/view.php?skin=soft&id=647">Chinput</A> (24366)<BR> <A
href="http://www.linuxbyte.net/view.php?skin=soft&id=1041">中软Linux</A> (21924)<BR> <A
href="http://www.linuxbyte.net/view.php?skin=soft&id=946">RedHat Linux
7.1正式</A> (21608)<BR><IMG height=5 src="防火墙简介.files/tabledi2.jpg"
width="100%"> <!--文摘分类--> <IMG src="防火墙简介.files/artstyle.jpg"
border=0> <BR> <A
href="http://www.linuxbyte.net/arttype.php?dno=1">内核分析</A><BR> <A
href="http://www.linuxbyte.net/arttype.php?dno=2">网络技术及应用</A><BR> <A
href="http://www.linuxbyte.net/arttype.php?dno=3">应用编程</A><BR> <A
href="http://www.linuxbyte.net/arttype.php?dno=4">硬件应用</A><BR> <A
href="http://www.linuxbyte.net/arttype.php?dno=5">软件应用</A><BR> <A
href="http://www.linuxbyte.net/arttype.php?dno=6">系统管理</A><BR> <A
href="http://www.linuxbyte.net/arttype.php?dno=7">数据库应用</A><BR> <A
href="http://www.linuxbyte.net/arttype.php?dno=8">系统安全</A><BR> <A
href="http://www.linuxbyte.net/arttype.php?dno=9">Linux中文化</A><BR> <A
href="http://www.linuxbyte.net/arttype.php?dno=10">市场与观点</A><BR><IMG
height=5 src="防火墙简介.files/tabledi2.jpg" width="100%">
<BR><!--合作伙伴--> <IMG src="防火墙简介.files/friends.jpg" border=0>
<BR> <A href="http://www.5ilinux.com/"
target=_blank>我爱linux</A><BR> <A
href="http://www.heblinux.org/"
target=_blank>河北LINUX协会</A><BR> <A
href="http://www.xteamlinux.com.cn/"
target=_blank>冲浪软件下载中心</A><BR> <A
href="http://cosoft.org.cn/html/"
target=_blank>共创联盟</A><BR> <A
href="http://www.coventive.com.cn/"
target=_blank>XLinux</A><BR> <A
href="http://www.it365.net/"
target=_blank>诺金软件电脑网络</A><BR> <A
href="http://www.ch2000.com.cn/"
target=_blank>中文2000软件</A><BR> <A
href="http://www.csuu.com/"
target=_blank>中国Unix联盟</A><BR> <A
href="http://freewares.cn/"
target=_blank>自由软件在中国</A><BR> <A
href="http://www.pconline.com.cn/pcedu"
target=_blank>太平洋电脑信息网</A><BR> <A
href="http://www.linuxaid.com.cn/"
target=_blank>LinuxAid</A><BR> <A
href="http://www.cosoft.org.cn/"
target=_blank>共创软件联盟</A><BR> <A
href="http://wsdn.org/"
target=_blank>WEB程序开发网络</A><BR> <A
href="http://linux.softhouse.com.cn/"
target=_blank>软件屋Linux之家</A><BR> <A
href="http://ljb.vpnet.cn/"
target=_blank>随意网络</A><BR> <A
href="http://linux.ccidnet.com/"
target=_blank>赛迪网Linux专区</A><BR></TD></TR></TBODY></TABLE>
<CENTER>Completed in 0.279578924179 seconds</CENTER>
<CENTER>COPYRIGHT 2002-2003 <FONT color=#9b2626>LinuxByte.net</FONT> <A
href="mailto:oneteam@mail.linuxbyte.net">联系本站</A></CENTER></BODY></HTML>
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -