240.html

本文详细介绍了学习FREEBSD的一些命令

<!doctype html public "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<head>
<title>www.newok.com::FreeBSD使用大全</title>
<link rel=stylesheet href="newok.css" tppabs="http://www.newok.com/include/newok.css">
</head>

<body>

<div align=center>
<p>&nbsp;</p>
<table width=720>
<tr><td>
<strong>当前所在位置:</strong><a href="javascript:if(confirm('http://www.at.china.com/bsd/index.html  \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address.  \n\nDo you want to open it from the server?'))window.location='http://www.at.china.com/bsd/index.html'" tppabs="http://www.at.china.com/bsd/index.html" class=t1>FreeBSD使用大全>></a>
</td></tr>
</table>
<table width=700>
<tr><th><font color=white>FreeBSD连载(80)：构建防火墙  </font></th></tr>
<tr><td>&nbsp;</td></tr>
<tr><td align=left><i>作者:</i>王波</td></tr>
<tr><td>&nbsp;</td></tr>
<tr><td><font color=white><p>　　防火墙的主要目标是控制内部网络和外部Internet之间的连接，有限制的允许内部网络中的计算机访问Internet
上的服务，但限制外部网络访问内部计算机。为了实现这个目的，至少需要一个具有两个（或更多）网络界面的
计算机，它的一个网络界面连接外部网络，另一个网络界面连接内部网络。然而如何实现限制网络访问的方法却有所不同，主
要就可以分为基于IP数据包过滤的防火墙和基于代理的防火墙。ipfw/natd和ipfilter都是基于包过滤和
网络地址转换的软件工具，而代理服务器通常通过代理服务器软件来实现。</p>

<p>　　FreeBSD下用于防火墙的最重要的代理软件是fwtk，它提供了多种代理服务器和统一的认证方式。FreeBSD
上也能运行其他的代理服务器，然而那些代理服务器主要用于代理单个协议，不能单独用于构建全面功能的防火墙系
统，而fwtk则提供了多种代理服务器，为构建一个完整的防火墙系统提供了基础。然而fwtk不是一个设置完好的防火
墙系统，而只是一组构建防火墙的组件。因此要使用fwtk来设定防火墙，仍然是一个复杂的任务。虽然在FreeBSD
下可以使用Ports Collection很方便的编译安装fwtk，但问题的关键是针对具体的服务进行设置。</p>

<p>　　fwtk能在多种Unix系统上运行，很多资料和书籍都已经介绍了其使用和设置方法，这里就不再介绍fwtk
的使用和设置。这里主要介绍基于包过滤和NAT的防火墙系统。</p>

<ul><h2><P><LI>选择防火墙的类型</LI></P></h2></ul>

<p>　　早期的包过滤防火墙只是建立在路由器的基础上，只支持有限的过滤规则，并且不能保持网络连接状态。更关键的问
题是，基于路由器的防火墙不能隐藏内部网络的拓扑结构，这样入侵者就比较容易利用包括IP欺骗在内的方式对内部计算机
进行攻击。然而，网络地址转换技术可以改变这种情况，使用ipfw/natd或ipfilter可以建立更安全、更高
性能的防火墙系统。</p>

<p>　　由于NAT改变了内部计算机的IP地址，因此这种方式也可以称作网络层代理。而其他直接支持应用程序的代理服
务器，如squid，fwtk等，被称为应用层代理，应用层代理的好处是可以定义更复杂的访问控制形式，例如针对用户
进行认证等，并能提供较详细的日志记录。然而应用层代理的缺点是不方便用户使用，需要对客户端软件进行其他设置，并且
不一定会具有所有种类的应用程序的代理程序。</p>

<p>　　代理型防火墙的另一个问题是，无法向外部提供网络服务。这也可以算一个优点，因为向外提供网络服务就必然降低
网络安全性，然而实际上网络使用者也希望通过自己的网络向外发布信息，而不只是简单的浏览Internet。当然在提
供服务的同时也要保证发布信息服务器的安全，因此希望将其放入防火墙内部。对于需要发布信息的要求，NAT通过映射端
口（或地址）就能满足要求，但代理服务器不能。</p>

<p>　　然而，也能设计这样一种代理服务器，它接收Internet上任意（或受限）主机的访问，而将代理这些访问请
求访问内部的服务器，这种代理服务器称为反向代理服务器。</p>

<p>　　在不同类型的防火墙之间进行选择主要依赖于不同的需要，一般的情况下，内部网络的使用希望防御外部网络上的入
侵者，但又希望能够最大可能的使用各种网络应用程序来访问Internet，而同时也希望系统配置比较简单，这样直接
利用FreeBSD提供的ipfw/natd或ipfilter均能满足这种要求，网络地址转换类型的防火墙配置简洁
、性能更高，并且对应用程序的支持相当强。</p>

<p>　　有些网络内部计算机的使用比较混乱，因此希望针对用户进行认证控制，此后才允许用户能访问Internet，
并还希望能限制用户使用访问Internet的应用种类，进行更复杂的日志记录，这些情况下就应该选用应用层代理服务
器fwtk。极端的情况下，只打算对内部用户提供有限种类的Internet服务，那么设置一个专用的应用代理服务器
也就满足要求了，例如设置squid代理WWW访问。</p>

<p>　　然而，在FreeBSD上构建防火墙系统是通过系统提供的各种组件进行组合得到的，采取多种组件进行组合，就
能构建更复杂的系统。可以根据不同需要，同时利用包过滤、网络地址转换及各种不同应用层代理等多种形式，设置不同复杂
程度的防火墙系统，这就是FreeBSD系统的优势。但在这些情况下，由于FreeBSD提供的这些组件并不是单一软
件，而是相互独立的多个软件，因此要设置一个完整的防火墙系统，还需要使用者进行复杂的设置。或者还需要管理员使用一
些简单的脚本程序以辅助分析系统日志，发送警报，甚至对网络状态进行实时监控，通过迅速改变防火墙设置来保护内部网络
系统。</p>

<p>　　通过分析防火墙的日志记录，甚至监控通过防火墙的数据流模式，就可以寻找发生过或正在进行的系统入侵行为（通
常可能是服务阻塞、暴力攻击甚至更复杂的特定攻击模式），进而反馈回防火墙系统，以重新调整设置，增强系统安全性。</p>

<ul><h2><P><LI>防火墙的拓扑结构</LI></P></h2></ul>

<p>　　当构建防火墙系统时，首先就要考虑网络的拓扑结构，这将对防火墙的设置产生影响。简单的网络可能只需要一台防
火墙设备，而复杂的网络会需要更多的网络设备，包括多个防火墙系统。以下给出了最常使用的几种使用防火墙的网络拓扑，
基本上这些拓扑将适合大多数的情况，可以使用这些拓扑来作为建立自己内部网络的参考。</p>

<P align=center><img SRC="FreeBSD_56.gif" tppabs="http://www.newok.com/bsd/62/FreeBSD_56.gif" WIDTH=409 HEIGHT=215></P>

<p>　　最简单的情况为使用具备两个网络界面的一个防火墙来分隔内部与外部网络。这种形式简单易行，适合大部分只需要
访问Internet，而不需要对外发布信息的网络。一旦要向外发布信息，那么所提供的服务就会降低网络的安全性，造
成相应的安全问题。</p>

<P align=center><img SRC="FreeBSD_57.gif" tppabs="http://www.newok.com/bsd/62/FreeBSD_57.gif" WIDTH=466 HEIGHT=243></P>