返回
用linux防火墙构建dmz

用linux防火墙构建dmz

ID:11066876

大小:54.00 KB

页数:4页

时间:2018-07-09

用linux防火墙构建dmz_第1页
用linux防火墙构建dmz_第2页
用linux防火墙构建dmz_第3页
用linux防火墙构建dmz_第4页
资源描述:

《用linux防火墙构建dmz》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、用Linux防火墙构建DMZ~教育资源库  防守在网络安全中的重要性不必多说。保护网络最常见的方法就是使用防火墙。防火墙作为网络的第一道防线,通常放置在外网和需要保护的网络之间。最简单的情况是直接将防火墙放置在外网和企业网络之间,所有流入企业网络的数据流量都将通过防火墙,使企业的所有客户机及服务器都处于防火墙的保护下。这对于一些中小企业来说是简单易行的,而且这种解决方法在某些情况下也表现不错。然而这种结构毕竟比较简单。企业中有许多服务器、客户机等资源需要保护,不同的资源对安全强度的要求也不同。不能用对待客户机的安全级别来对待服务器,这样服务器将会很危险;同

2、样,也不能用对待服务器的安全级别来对待客户机,这样用户会感觉很不方便。  针对不同资源提供不同安全级别的保护,可以考虑构建一个叫做DemilitarizedZone(DMZ)的区域。DMZ可以理解为一个不同于外网或内网的特殊网络区域。DMZ内通常放置一些不含机密信息的公用服务器,比如ail、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等。即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。  许多防火墙产品都提供了DMZ的接口。硬件防火墙由于使用专门的硬件芯片,所以在性能和流量上有绝对的优势

3、。软件防火墙的性价比非常好,一般企业使用起来效果不错。如果使用Linux防火墙,其成本将更低。因此这里将要介绍的是在Linux防火墙上划分DMZ区域的方法。  构建DMZ的策略  Linux从2.4内核开始,正式使用iptables来代替以前的ipf和ipchains,实现管理Linux的包过滤功能。Linux的包过滤通过一个叫filter的内核部件来实现。filter内建了三个表,其中默认表Filter中又包括3个规则链,分别是负责外界流入网络接口的数据过滤的INPUT链、负责对网络接口输出的数据进行过滤的OUTPUT链,以及负责在网络接口之间转发数据过

4、滤的FORZ的防火墙,需要利用对这些链的设定完成。首先要对从连接外部网络的网卡(eth0)上流入的数据进行判断,这是在INPUT链上完成。如果数据的目标地址属于DMZ网段,就要将数据转发到连接DMZ网络的网卡(eth1)上;如果是内部网络的地址,就要将数据转发到连接内部网络的网卡(eth2)上。表1显示了各个网络之间的访问关系。  表1网络间访问关系表  内网外网DMZ  内网/YY  外网N/Y  DMZNN/  根据表1,可以明确以下六条访问控制策略。  1.内网可以访问外网  内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。

5、  2.内网可以访问DMZ  此策略是为了方便内网用户使用和管理DMZ中的服务器。  3.外网不能访问内网  很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。  4.外网可以访问DMZ  DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。  5.DMZ不能访问内网  很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。  6.DMZ不能访问外网  此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将

6、不能正常工作。  DMZ的实现  根据以上访问控制策略可以设定Linux防火墙的过滤规则。下面将在一个虚构的网络环境中,探讨如何根据以上六条访问控制策略建立相应的防火墙过滤规则。这里的讨论和具体应用会有所区别,不过这种讨论将有助于实际应用。用户在实际应用时可根据具体的情况进行设置。该虚拟环境的网络拓扑如图1。  图1DMZ网络拓扑图  如图1所示,路由器连接Inter和防火墙。作为防火墙的Linux服务器使用三块网卡:网卡eth0与路由器相连,网卡eth1与DMZ区的Hub相连,网卡eth2与内网Hub相连。作为一个抽象的例子,我们用[内网地址]来代表19

7、2.168.1.0/24之类的具体数值。同理还有[外网地址]和[DMZ地址]。  对于防火墙,原则之一就是默认禁止所有数据通信,然后再打开必要的通信。所以在防火墙脚本的最初,需要清空系统原有的规则,然后将INPUT、OUTPUT、FORZ  对应的防火墙脚本片段如下:  /sbi12下一页友情提醒:,特别!n/iptables-AFORZ地址]-ieth2-jACCEPT  以上命令允许所有来自内网、目的地为DMZ的数据包通过。  3.外网不能访问内网  对应的防火墙脚本片段如下:  /sbin/iptables-tnat-APREROUTING-s[外网

8、地址]-d[内网地址]-ieth0-jDROP  以上命令将来自外

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。