240.html

本文详细介绍了学习FREEBSD的一些命令

<p>　　为了避免在向外提供服务的服务器被侵入之后，影响内部网络的安全性，就需要将对外提供服务的服务器和只访问外
部网络的客户计算机分隔到不同的网络上。可以采用上面的方式，防火墙使用三个网络界面，分别用于外部网络、内部网络和
提供服务的服务器。</p>

<P align=center><img SRC="FreeBSD_58.gif" tppabs="http://www.newok.com/bsd/62/FreeBSD_58.gif" WIDTH=466 HEIGHT=302></P>

<p>　　使用单个防火墙的网络，网络安全被一台防火墙的安全所限制，更复杂的情况是同时使用多个防火墙系统。例如使用
两个防火墙，第一层防火墙与第二层防火墙之间可以放置允许外部访问的服务器，这个区域被称为停火区，即使入侵者进入这
个区域，还需要近一步攻击内部防火墙才能接触内部网络。</p>

<p>　　如果这两个防火墙使用不同的技术，如外部防火墙为网络地址转换方式，而内部防火墙为代理服务器方式，这样即使
入侵者侵入一个防火墙，但另一个防火墙使用的是完全不同的技术，就给入侵者带来更大的阻碍，提高整个网络的安全性。</p>

<p>　　利用这些工具，网络可以设置的非常安全。事实上当前大部分安全问题仍然来源于人的因素，如管理不善造成的口令
泄露等。这就使得正常的安全措施无法正常应用，而带来不可避免的安全问题。</p>

<ul><h2><P><LI>PicoBSD</LI></P></h2></ul>

<p>　　软件方式的防火墙系统的一大问题就是由于系统本身能够安装丰富的软件，因此常常同时被用作其他用途，当用作其
他用途时就有可能对本身的安全性造成影响。而硬件防火墙使用专有操作系统，只用作网络服务，这保证了它不会受到其他方
面的影响。对于用作防火墙的计算机，通常应该专用而不要兼作其他用途。因为防火墙的安全性非常重要，内部网络安全要依
赖防火墙的安全来保障，一旦防火墙被入侵，网络安全也就无法保证了。</p>

<p>　　通常安装的FreeBSD系统都具备硬盘，当具备硬盘的FreeBSD用做防火墙系统时，一方面免不了想提供
多种复杂的服务，这样系统可能会具备潜在的安全漏洞，另一方面入侵者入侵这个系统之后，可以在系统硬盘上隐藏入侵程序
以进一步入侵网络内部。因此对于用作防火墙的FreeBSD系统，最好直接修改系统的rc文件，屏蔽所有的网络服务。
另一种方法是可以尝试使用软盘上的FreeBSD系统，这样计算机本身不具备硬盘，可以从管理上杜绝它用作其他使用的
机会，同时也节约了资源。此时FreeBSD系统可以不使用硬盘、显示器、键盘，通过串口进行设置，这样的系统可以安
装在网络设备的机架上，专门用作防火墙提供安全服务。</p>

<p>　　PicoBSD就是这样的一个小型FreeBSD系统，能够安装在一张软盘上。PicoBSD提供了四个不同
的版本：dial、isp、net和router，dial为拨号访问Internet的版本，isp为接受拨号访问
的版本，net和router是用于网关和路由器的版本，它们都能够在386处理器和10M内存下运行（dial版本
仅仅需要8MB内存）。虽然从FreeBSD的主页上，可以得到预定制好的多种PicoBSD的磁盘镜像，然而由于计
算机使用的硬件差异很大，定制好的磁盘镜像不一定适合使用者的计算机硬件，由于软盘容量很小，不能容纳尽可能多的硬件
驱动，每个磁盘镜像也不能支持太多的硬件设备，因此就需要根据自己计算机的具体硬件环境定制PicoBSD。</p>

<p>　　要定制PicoBSD，就需要一个安装了全部源代码的FreeBSD系统，并且这个FreeBSD系统的内核
要支持伪设备vn及具备对应的设备文件，以便PicoBSD的设置程序能完成磁盘镜像文件的创建工作。PicoBSD
的源代码位于系统的/usr/src/release/picobsd目录下，这个目录中包含编译、配置PicoBSD
的说明，以及不同PicoBSD版本的配置。</p>

<p>　　定制PicoBSD系统要使用的该目录的子目录build中的build脚本，为了制作一个PicoBSD的
磁盘镜像，就需要在这个目录下启动build命令。</p>

<table bgcolor=cccccc width=100%><tr><td>
<pre># cd /usr/src/release/picobsd
# cd build
# ./build</td></pre></tr></table>

<p>　　build命令使用菜单将让使用者选择不同的PicoBSD的基本版本，如dial、isp、net和router
，根据不同的目的进行选择，此后选择n（no change）就能继续进行制作镜像文件的处理。当这个执行过程
结束之后，build子目录下就产生了一个1.44MB的磁盘镜像文件picobsd.bin。此后可以在FreeBSD
下，或者在DOS下将镜像文件写入软盘，则一个单软盘的PicoBSD系统就制作完毕了。</p>

<p>　　build进程将使用/mnt来装载vn0设备，因此必须保证/mnt没有装载其他文件系统，而且vn0设备
没有被占用。否则就会遇到错误。</p>

<p>　　然而这样制作的PicoBSD使用的还是缺省的设置，如果要定制PicoBSD系统，就需要更改缺省设置。首
先应该根据具体的需要，选择功能相近版本的PicoBSD，再进一步更改硬件设置。每一个PicoBSD版本的设置都
位于具有相同名字的子目录下，例如net版本PicoBSD的目录为/usr/src/release/picobsd/net/
，在这个目录之下的conf子目录为PicoBSD内核的定制目录，而crunch1目录中为最后复制到
PicoBSD系统中的应用程序的名字列表。</p>

<p>　　当需要针对运行防火墙的计算机更改硬件设置时，需要更改conf子目录中的内核设置文件PICOBSD，这个
文件就是PicoBSD的内核设置文件，可以删除或增加设置选项，改变对不同硬件设置的支持。如果要更改复制到软盘镜
象中的执行程序的数量，就需要更改同样位于该版本目录下的crunch1子目录中的文件。只是注意软盘空间有限，因此
只能装载有限的程序。</p>

<p>　　更改完这些设置之后，就可以转回build子目录重新定制PicoBSD，这样产生的镜象文件就为与硬件设置
相符合的设置。将镜象文件写入软盘之后，就可以使用这个软盘启动防火墙系统，然后再使用命令行进行手工设置。需要注意
的是，此时更改的只是写在内存文件系统MFS中的文件，而不是在软盘中文件，因此一旦系统重新启动，配置就不会保留下
来。必须使用update命令将更改后的文件写回磁盘中之后，设置才能保留回磁盘中。</p>

<p align=right>未完，待续。。。　　</p></font></td></tr>
<tr><td>&nbsp;</td></tr>
<tr><td align=right><i>来源:</i><a href="javascript:if(confirm('http://freebsd.online.ha.cn/  \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address.  \n\nDo you want to open it from the server?'))window.location='http://freebsd.online.ha.cn/'" tppabs="http://freebsd.online.ha.cn/">http://freebsd.online.ha.cn/</a></td></tr>
</table>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p>&nbsp;</p>
声明：本站的文章和软件是本人从网上收集整理的（除本人的作品之外），所有版权属于作者，<br>
如有侵犯您的权益，请指出，本站将立即改正，谢谢.
<hr  width=500>
<br>
<font color=#ffffff>Copyright 2000 <a href="javascript:if(confirm('http://www.newok.com/  \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address.  \n\nDo you want to open it from the server?'))window.location='http://www.newok.com/'" tppabs="http://www.newok.com/" class=t1>www.newok.com</a></font>
</div>
</body>
</html>