以前我已經(jīng)寫過一次《利用FreeBSD組建安全的網(wǎng)關(guān)》，主要偏向于如何建立一個(gè)FreeBSD防火墻，而防火墻在很多時(shí)候主要是要看如何使用，現(xiàn)在我們看看如何使用建立好了的FreeBSD防火墻保護(hù)企業(yè)，關(guān)于FreeBSD的防火墻建設(shè)過程請(qǐng)參考我的《利用FreeBSD組建安全的網(wǎng)關(guān)》，首先假設(shè)某企業(yè)有以下服務(wù)器和工作站：

1、WEB服務(wù)器兩臺(tái)、一臺(tái)企業(yè)主頁(yè)，一臺(tái)做BBS，希望IP地址為xxx.xxx.xxx.001和xxx.xxx.xxx.002

2、DNS服務(wù)器一臺(tái)，并且兼帶企業(yè)E-mail服務(wù)，IP地址為xxx.xxx.xxx.003，把www.testdomain.com解析到xxx.xxx.xxx.001以及bbs.testdomain.com解析到xxx.xxx.xxx.002

3、企業(yè)內(nèi)部局域網(wǎng)絡(luò)，計(jì)算機(jī)N臺(tái)，IP地址為10.125.0.0到10.125.255.255

對(duì)于這樣的一個(gè)企業(yè)，我們首先要設(shè)計(jì)好網(wǎng)絡(luò)構(gòu)架，在設(shè)計(jì)的同時(shí)要考慮到各個(gè)服務(wù)器以及內(nèi)部網(wǎng)絡(luò)各放在什么位置，才能更有效的配合防火墻，使得防火墻對(duì)每個(gè)部分都能充分的保護(hù)。

我們首先來分析一下“黑客”入侵的手段和途徑，作為一個(gè)入侵者，他的第一步自然是先要找到目標(biāo)企業(yè)在網(wǎng)絡(luò)中的位置，假設(shè)他已經(jīng)知道該企業(yè)沒有使用主機(jī)托管服務(wù)，而是和企業(yè)的網(wǎng)絡(luò)放在了一起，那么他只須ping一下該企業(yè)的主頁(yè)就能了解到該企業(yè)的IP地址為xxx.xxx.xxx.001和xxx.xxx.xxx.002，而另外還有一臺(tái)DNS服務(wù)器，也可以使用nslookup這樣的工具，一下就能查到目標(biāo)企業(yè)的DNS服務(wù)器為地址xxx.xxx.xxx.003，并且他還會(huì)計(jì)劃，假設(shè)已經(jīng)進(jìn)入以上三臺(tái)服務(wù)器中的一臺(tái)，他就會(huì)馬上分析網(wǎng)絡(luò)結(jié)構(gòu)，并且進(jìn)入內(nèi)網(wǎng)，獲取內(nèi)部網(wǎng)絡(luò)員工資料，以及很多重要數(shù)據(jù)。從上面看得出來，要保護(hù)這個(gè)網(wǎng)絡(luò)，我們需要做很多東西，首先我們可以想辦法對(duì)服務(wù)器之間以及服務(wù)器和內(nèi)部網(wǎng)絡(luò)之間進(jìn)行隔離，但又能應(yīng)用到他們應(yīng)該有的功能，現(xiàn)在對(duì)該企業(yè)的網(wǎng)絡(luò)做如下策劃：

首先確定FreeBSD防火墻是作為企業(yè)連接到Internet服務(wù)器的唯一途徑，然后對(duì)FreeBSD進(jìn)行一定的設(shè)置，開啟它的ipfirewall以及NATD功能，上圖告訴了我們現(xiàn)在是把WWW、BBS、DNS等服務(wù)器都放在內(nèi)部進(jìn)行保護(hù)，所以在防火墻要開啟NATD的反向代理功能，首先我們把xxx.xxx.xxx.001，xxx.xxx.xxx.002，xxx.xxx.xxx.003，綁定在FreeBSD外部網(wǎng)卡上，假設(shè)外部網(wǎng)卡號(hào)為fxp0，在rc.conf里我們需要設(shè)置如下：

ifconfig_fxp0="inet xxx.xxx.xxx.001 netmask 255.255.255.0"

ifconfig_fxp0_alias0="inet xxx.xxx.xxx.002 netmask 255.255.255.0"

ifconfig_fxp0_alias1="inet xxx.xxx.xxx.003 netmask 255.255.255.0"

綁好之后我們現(xiàn)在就開始分析了，首先我們來看看內(nèi)部網(wǎng)絡(luò)，內(nèi)部要上Internet就必須要有一個(gè)網(wǎng)關(guān)，并且讓他們正常的使用網(wǎng)絡(luò)，假設(shè)FreeBSD內(nèi)部網(wǎng)卡編號(hào)為fxp1，那么我們還要在rc.conf里加入：

ifconfig_fxp1="inet 10.125.0.1 netmask 255.255.0.0"

然后在防火墻規(guī)則里加上：

divert 8668 ip from any to any via fxp0

這條規(guī)則，允許NATD服務(wù)，僅允許NATD服務(wù)還不行，還要設(shè)置內(nèi)部網(wǎng)絡(luò)能連接到Internet，我們?cè)偌由希?/p>

allow ip from any to 10.125.0.0/16

allow ip from 10.125.0.0/16 to any

內(nèi)部網(wǎng)絡(luò)設(shè)置Gateway為10.125.0.1，這樣企業(yè)的內(nèi)部網(wǎng)絡(luò)就能正常連接到Internet了。

然后我們來看看WWW服務(wù)器，這個(gè)服務(wù)器一般來說只要開放三個(gè)端口就夠了，第一個(gè)端口自然是HTTP端口不用說了，第二個(gè)端口那就是ftp端口以及ftp數(shù)據(jù)端口，其中HTTP端口自然是讓Internet上以及企業(yè)內(nèi)部訪問的端口，而FTP端口是用來更新主頁(yè)或做別的事的，并且只須要企業(yè)內(nèi)部人員訪問就足夠了，當(dāng)然有必要的話還要開telnet或ssh端口，這是方便企業(yè)內(nèi)部系統(tǒng)管理員遠(yuǎn)程管理的，這里我建議使用ssh，并且為了防止萬一入侵者進(jìn)來了，他可能要對(duì)其他機(jī)器進(jìn)行攻擊，我決定對(duì)WWW服務(wù)器進(jìn)行單獨(dú)分離，現(xiàn)在假設(shè)FreeBSD的內(nèi)部網(wǎng)卡編號(hào)為fxp1，我們編輯rc.conf文件，加上：

ifconfig_fxp1_alias0 ="inet 10.80.0.1 netmask 255.255.255.0"

然后我們把WWW的服務(wù)器設(shè)置成10.80這個(gè)網(wǎng)段，網(wǎng)關(guān)為10.80.0.1，這樣就把WWW服務(wù)器單獨(dú)劃在了一個(gè)特殊的區(qū)域里了，假設(shè)我們?cè)O(shè)置WWW的IP為10.80.0.80現(xiàn)在我們?cè)僭O(shè)置防火墻規(guī)則：

allow tcp from any to xxx.xxx.xxx.001 80 in

allow tcp from xxx.xxx.xxx.001 80 to any out //允許任意地方能訪問防火墻的80

allow tcp from 10.80.0.80 80 to any out

allow tcp from any to 10.80.0.80 80 in //允許任意地方訪問WWW服務(wù)器的80端口

allow tcp from 10.125.0.0/16 to 10.80.0.80 21 in

allow tcp from 10.125.0.0/16 to 10.80.0.80 20 in

allow tcp from 10.80.0.80 21 to 10.125.0.0/16 out

allow tcp from 10.80.0.80 20 to 10.125.0.0/16 out //允許內(nèi)部網(wǎng)絡(luò)使用FTP服務(wù)器連接WWW服務(wù)器

設(shè)置完成防火墻規(guī)則還不行還需要設(shè)置NATD，我們?cè)O(shè)置NATD為：

redirect_port tcp 10.80.0.80:80 xxx.xxx.xxx.001:80

這樣設(shè)置以后，WWW服務(wù)器就可以允許企業(yè)內(nèi)部人員順利的更新主頁(yè)和瀏覽主頁(yè)了，而Internet卻只能瀏覽WWW服務(wù)器上的主頁(yè)，就算萬一WWW服務(wù)器利用HTTP服務(wù)器入侵了該機(jī)器，由于該服務(wù)器的各種連接都被放火墻阻斷，而無法對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行入侵和破壞，達(dá)到充分保護(hù)WWW服務(wù)器以及內(nèi)部網(wǎng)絡(luò)的目的。

現(xiàn)在我們?cè)賮矸治鯠NS服務(wù)器，由于BBS服務(wù)器和WWW服務(wù)器實(shí)質(zhì)上都一樣這里就不討論了，DNS服務(wù)器自然要提供DNS服務(wù)器，也就是UDP53端口，由于同時(shí)還帶MAIL功能，所以還要開放SMTP端口以及POP3端口，而POP3服務(wù)器同樣只允許內(nèi)部企業(yè)訪問，所以我們給rc.conf加入：

ifconfig_fxp1_alias0="inet 10.80.2.1 netmask 255.255.255.0"

然后給DNS服務(wù)器設(shè)置IP為10.80.2.53，設(shè)置防火墻規(guī)則為：

allow udp from any to xxx.xxx.xxx.003 53 in

allow udp from xxx.xxx.xxx.003 53 to any out //允許任意地方能訪問防火墻的53端口

allow tcp from any to xxx.xxx.xxx.003 25 in

allow tcp from xxx.xxx.xxx.003 25 to any out //允許任意地方能訪問防火墻的smtp端口

allow udp from 10.80.2.53 53 to any out

allow udp from any to 10.80.2.53 53 in //允許任意地方訪問DNS服務(wù)器的53端口

allow tcp from any to 10.80.2.53 25 in

allow tcp from 10.80.2.53 25 to any out //允許任意地方訪問DNS的SMTP端口

allow tcp from 10.125.0.0/16 to 10.80.2.53 110 in

allow tcp from 10.80.2.53 110 to 10.125.0.0/16 out //允許企業(yè)內(nèi)部訪問DNS的POP3端口

NATD設(shè)置為：

redirect_port udp 10.80.2.53:53 xxx.xxx.xxx.003:53 //把10.80.2.53的53轉(zhuǎn)到xxx.xxx.xxx.003的53上，使用的UDP。

redirect_port tcp 10.80.2.53:25 xxx.xxx.xxx.003:25 //把10.80.2.53的25轉(zhuǎn)到xxx.xxx.xxx.003的25上，使用的TCP。

按照上面的規(guī)則設(shè)置好企業(yè)網(wǎng)絡(luò)后，使得企業(yè)網(wǎng)絡(luò)保護(hù)更加的嚴(yán)密，服務(wù)器和服務(wù)器之間以及服務(wù)器和企業(yè)內(nèi)部網(wǎng)絡(luò)之間進(jìn)行了嚴(yán)格控制。當(dāng)然這里沒有考慮內(nèi)部入侵，以及內(nèi)部IP盜用行為，這也就是FreeBSD防火墻的局限性。不過可以添加一塊網(wǎng)卡，把企業(yè)內(nèi)部人員的網(wǎng)絡(luò)單獨(dú)用一個(gè)網(wǎng)卡來進(jìn)行隔離，達(dá)到彌補(bǔ)的辦法。

好了，以上為我使用FreeBSD防火墻保護(hù)企業(yè)網(wǎng)絡(luò)的個(gè)人做法，希望能給一部分企業(yè)網(wǎng)管有所幫助。
 

【編輯推薦】

1. FreeBSD爆嚴(yán)重安全漏洞 疑是圣誕前的禮物
2. FreeBSD爆Root權(quán)限提升漏洞
3. FreeBSD安全連接方式SSL