📄 firewall-howto.txt
字号:
防火墙和代理伺服器 - HOWTO 作者: Mark Grennan, markg@netplus.net译者: 赵平望 tchao@worldnet.att.net v0.4, 1996年11月8日 _________________________________________________________________ v0.4, 1996年11月8日,这篇文章主要在于说明防火墙系统的各种基本概念,并示 □在Linux为基础的个人电脑上安装作为过滤之用的防火墙和代理伺服器的详细步 骤。这份文件的HTML版本载 于http://okcforum.org/~markg/Firewall-HOWTO.html _________________________________________________________________ 1. 导言 * 1.1 读者回应 * 1.2 严正声明 * 1.3 版权宣告 (译注∶版权宣告不译) * 1.4 写这篇文章的动机 * 1.5 有待完成的工作 * 1.6 延伸读物 2. 什么是防火墙 * 2.1 防火墙的缺陷 * 2.2 防火墙的种类 3. 设置防火墙 * 3.1 硬件需求 4. 设置防火墙的软件 * 4.1 现有的套装软件 * 4.2 TIS Firewall Toolkit 和SOCKS间的差异 5. 设定Linux系统 * 5.1 编辑内核 * 5.2 设定两张网路卡 * 5.3 设定Network Addresses * 5.4 测试网路 * 5.5 加固防火墙 6. IP filtering 的设置(IPFWADM)7. 安装TIS代理伺服器 * 7.1 取得软件 * 7.2 编辑TIS FWTK * 7.3 安装TIS FWTK * 7.4 设置TIS FWTK 8. SOCKS代理伺服器 * 8.1 设定代理伺服器 * 8.2 设置代理伺服器 * 8.3 代理伺服器 * 8.4 代理伺服器的缺点 9. 高级设置 * 9.1 注重安全的大型网路 _________________________________________________________________ 1. 导言 最初的这篇“防火墙 - HOWTO”是David Rudderdrig@execpc.com的作品。他让我 在他的原稿上增订内容,对此我深表感谢。 最近这一阵子, 防火墙(Firewall) 成了网际网路的安全问题的热门话题。但像许多其他热门话题一样,这也同时造 成了许多人对它的误解。这篇HOWTO 将会探讨什麽是防火墙?如何安装?何谓代 理伺服器(Proxy Server)?如何设定代理伺服器?以及这些技术在安全领域以 外的应用。 1.1 读者回应 如果发现这篇文章中有任何错误, 请务必通知我。人非圣贤, 孰能无过! 任何错 误我都乐于更正。来信我都会设法回覆, 但我相当忙, 如果没有收到我的回信, 还请包涵。回信地址markg@netplus.net 如果发现任何误译之处,请立即通知本文译者:赵平望 (tchao@worldnet.att.net)。 1.2 严正声明 我不对任何依照本文所做行为造成的损害负任何责任(I AM NOT RESPONSIBLE FOR ANY DAMAGES INCURRED DUE TO ACTIONS TAKEN BASED ON THIS DOCUMENT) 。这篇文章只介绍防火墙和代理伺服器的作用。要知道,我不是电脑安全问题专 家,也从来没有装成这方面的专家。我只是个喜欢读书,而且爱电脑胜过爱人类 的家伙。我希望这篇文章能帮助你熟悉这个主题, 但不保证内容绝对无误。 1.3 版权宣告 (译注∶版权宣告不译) Unless otherwise stated, Linux HOWTO documents are copyrighted by their respective authors. Linux HOWTO documents may be reproduced and distributed in whole or in part, in any medium physical or electronic, as long as this copyright notice is retained on all copies. Commercial redistribution is allowed and encouraged; however, the author would like to be notified of any such distributions. All translations, derivative works, or aggregate works incorporating any Linux HOWTO documents must be covered under this copyright notice. That is, you may not produce a derivative work from a HOWTO and impose additional restrictions on its distribution. Exceptions to these rules may be granted under certain conditions; please contact the Linux HOWTO coordinator. In short, we wish to promote dissemination of this information through as many channels as possible. However, we do wish to retain copyright on the HOWTO documents, and would like to be notified of any plans to redistribute the HOWTOs. If you have any questions, please contact Mark Grennan at <markg@netplus.net>. 1.4 写这篇文章的动机 尽管去年在comp.os.linux上有许多关于防火墙问题的讨论,但我发现很难找到设 定防火墙所需的资料。这篇HOWTO的原先版本提供了一些帮助,但内容仍嫌不足。 我根据David Rudder编写的Firewall HOWTO作了增订,希望这篇文章提供了足够 的资料,使你能在几小时内就能设定一个可以运作的防火墙,而不再需要花几星 期之久。 我也认为我应该略尽绵力,回报爱好Linux的朋友。 1.5 有待完成的工作 * 指导如何设定客户机 * 寻找能与Linux搭配的UDP代理伺服器 1.6 延伸读物 * NET-2 HOWTO * Ethernet HOWTO * Multiple Ethernet Mini HOWTO * Linux的联网 * PPP HOWTO * O'Reilly and Associates出版的TCP/IP Network Administrator's Guide * TIS Firewall Toolkit的文件 在Trusted Information System (TIS) 网址上收集了许多有关防火墙的文件和相 关材料。http://www.tis.com/ 此外,我也正在从事一项称为Linux安全(Secure Linux)的项目。在Secure Linux网址上,我收集了所有使Linux安全可靠的资料、文件和程式。如果你需要 这方面的资料,请来信索取。 2. 什么是防火墙 防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以 便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制 引擎。 在电脑中,防火墙是一种装置,可使个别网路不受公共部分(整个网际网 路)的影响。 此後,文中将防火墙电脑称为“防火墙”,它能同时连接受到保护 的网路和网际网路两端。但受到保护的网路无法接到网际网路,网际网路也无法 接到受到保护的网路。 如果要从受到保护的网路内部接到网际网路,就 得telnet到防火墙,然後从防火墙联上网际网路。 最简单的防火墙是dual homed系统(具有两个网路联结的系统)。如果你能相信所有你的用户,那你只要 装设一台Linux(设定时将 IP forwarding/gatewaying 设为 OFF),并让每人设 一帐户。他们随後能登录这一系统,使用telnet、FTP,阅读电子函件和使用所有 你提供的任何其他服务。根据这项设置,这一网路中唯一能与外界联系的电脑便 是这个防火墙。在这个网路中的其他电脑甚至不需要一条公用的路径。 需要再次 说明∶要使上述防火墙发挥作用,就必须相信所有用户!不过,我可不敢这么建 议。 2.1 防火墙的缺陷 用于过滤之用的防火墙的问题是这种防火墙不让网际网路进入你的网路。只有通 过过滤防火墙才能取用功能。在有代理伺服器的情况下,用户可登录到防火墙, 然後进入私有网路内的任何系统。 此外,目前几乎每天都有新型客户机和伺服器 上市。因此,得要有新的方法进入网路才能调用这些功能。 2.2 防火墙的种类 防火墙有两种。 1. IP过滤防火墙 - 除一些网路功能外阻挡一切联网功能。 2. 代理伺服器 - 替你进行网路联结。 IP过滤防火墙 IP过滤防火墙在数据包一层工作。它依据起点、终点、埠号和每一数据包中所含 的数据包种类信息控制数据包的流动。 这种防火墙非常安全,但是缺少有用的登 录记录。它阻挡别人进入个别网路,但也不告诉你何人进入你的公共系统,或何 人从内部进入网际网路。 过滤防火墙是绝对性的过滤系统。即使你要让外界的一 些人进入你的私有伺服器,你也无法让每一个人进入伺服器。 Linux从1.3.x版开 始就在内核中包含了数据包过滤软件。 代理伺服器 代理伺服器允许通过防火墙间接进入网际网路。最好的例子是先telnet系统,然 後从该处再telnet另一个系统。在有代理伺服器的系统中,这项工作就完全自动 。利用客户端软件连接代理伺服器後,代理伺服器启动它的客户端软件(代理) ,然後传回数据。 由于代理伺服器重复所有通讯,因此能够记录所有进行的工作 。 只要配置正确,代理伺服器就绝对安全,这最它最可取之处。它阻挡任何人进 入,因为没有直接的IP通路。 3. 设置防火墙3.1 硬件需求 在□例中,所用的电脑配置是一块486-DX66芯片,16M内存和500M Linux分割。系 统内还装了两张网路卡,一张连到私有网路,另一张接到一个称为“非军事区” 的网路(译注:指公用网路),而在这个非军事区的网路上,有一个接到网际网 路的路由器(router)。 这种配置极为常见,甚至还可用一张网卡和一台数据机 通过PPP接到网际网路,但关键之处是防火墙上必须有两个IP号码。 不少人家中 都有小网路,把两、三台电脑接在一起。不妨试试把所有数据机都接在跑Linux的 电脑上(老旧的386机),然後利用负载平衡的方式把数据机都接到网际网路。利 用这种装置,如果要传输数据,两部数据机同时工作,可加倍传输的速度。 4. 设置防火墙的软件4.1 现有的套装软件 如果只要设置一个过滤防火墙,那只要Linux和基本网路软件就够了。有一套软件 可能不在你使用的Linux版本中,称为 IP Firewall Administration工具。 (IPFWADM) 可从 http://www.xos.nl/linux/ipfwadm/取得。 如果要设置代理伺 服器,就需要一个这种套装软件。 1. SOCKS 2. TIS Firewall Toolkit (FWTK) 4.2 TIS Firewall Toolkit 和SOCKS间的差异 Trusted Information System (http://www.tis.com)提供了一系列软件,用以简 化安装防火墙的工作。 这些软件基本上同SOCKS的软件相同,但设计策略不同 。SOCKS利用一套软件执行所有与Internet有关的工作,而TIS对每一个希望使用 防火墙的utility都提供一个软件。 为了说明两者之间的不同,就以world wide web和Telnet为例吧!在SOCKS中,设定一个设置(configuration)档和一 个daemon後,telnet和WWW都能开始工作,同时其他没有关闭的功能也都能够运作 。 但在TIS中,为WWW和telnet都得设定各自的configuration档和daemon。经此 设定後,其他internet的功能仍无法运用,除非对这些功能也作出相关的设定。 如果某一功能(例如talk)没有daemon,虽然有"plug-in" daemon可用,但它不 像其他工具那样灵活,而且也不易设定。 这似乎是小事,但且大有差别。设 置SOCKS时比较可以随意。如果SOCKS伺服器的设置不太完美,从网路内部可以调 用原先并不打算提供的internet功能。如使用TIS,从网路内部只能调用系统管理 者规定的功能。 SOCKS易于设定、易于编辑,并且灵活性较高。如要管制受到保 护的网路内的使用者,则TIS的安全性较高。不过两者都提供了绝对保护,外界无 法进入。 我会说明两者的安装和设定方法。 5. 设定Linux系统5.1 编辑内核 首先利用Linux版本重新安装Linux系统(我用RedHat 3.0.3,此後实例均以这一⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -