第第頁shorewall企業(yè)防火墻的完美實(shí)現(xiàn)shorewall企業(yè)防火墻的完美實(shí)現(xiàn)

發(fā)表于：2023-06-23來源：：點(diǎn)擊數(shù)：標(biāo)簽：

目錄第一篇：網(wǎng)絡(luò)接入情況；1.1、你得IP地址范圍；1.2、用戶端接入IP，以及局端IP；1.3、從上圖中我們可以看出；1.31、ISP分配給你得是一個(gè)C類公網(wǎng)地址；1.32、用戶端得接入IP是，局端IP是第二篇：網(wǎng)絡(luò)結(jié)構(gòu)得設(shè)計(jì)2.1、方

目錄

第一篇：網(wǎng)絡(luò)接入情況；

1.1、你得IP地址范圍；

1.2、用戶端接入IP，以及局端IP；

1.3、從上圖中我們可以看出；

1.31、ISP分配給你得是一個(gè)C類公網(wǎng)地址；

1.32、用戶端得接入IP是，局端IP是

第二篇：網(wǎng)絡(luò)結(jié)構(gòu)得設(shè)計(jì)

2.1、方案一：就是不對(duì)C類網(wǎng)段分段，還是用一個(gè)網(wǎng)段；

2.2、方案二：就是對(duì)C類網(wǎng)段分段，分成兩個(gè)公網(wǎng)IP網(wǎng)段，有兩個(gè)防火墻如圖；

第三篇:防火墻得實(shí)現(xiàn)

3.1、安裝；

3.2、配置；

關(guān)于本文

相關(guān)文檔

相信大家一定很想自己做一個(gè)企業(yè)級(jí)應(yīng)用得防火墻，看到大家在論壇上常常問到類似得問題，現(xiàn)在我將我自己身邊得一個(gè)防火墻企業(yè)級(jí)應(yīng)用實(shí)例共享出來，希望能幫到需要幫助得朋友。

第一篇：網(wǎng)絡(luò)接入情況；

現(xiàn)在很多企業(yè)有的是用專線接入，有的是用ADSL接入，但最終結(jié)果都是一樣，就是在互聯(lián)網(wǎng)上有一個(gè)公網(wǎng)IP（或者一個(gè)網(wǎng)段）得Route到你得網(wǎng)關(guān)服務(wù)器上或者接入路由器上。好了，知道了這點(diǎn)我就來說一下互聯(lián)網(wǎng)得接入這一部分，我以專線接入為例子：

如圖：

RouteA

(InternetorISP)

/(/52)

/

/\/

/

/(IP:/52)

(RouteB)

|(IP/)

|

|_____(局域網(wǎng))

當(dāng)你是專線接入得時(shí)候，一般都會(huì)有一個(gè)專線接入單，上面會(huì)有如下相關(guān)信息：

1.1、你得IP地址范圍

1.2、用戶端接入IP，以及局端IP

1.3、從上圖中我們可以看出：

1.31、ISP分配給你得是一個(gè)C類公網(wǎng)地址

1.32、用戶端得接入IP是，局端IP是

好了，下面是我要重點(diǎn)說得了，很多人以為在一個(gè)防火墻得外網(wǎng)接口上一定得綁定公網(wǎng)IP，其實(shí)這是一個(gè)錯(cuò)誤得認(rèn)識(shí)，其實(shí)只要有Route信息，你就可以上互聯(lián)網(wǎng)。怎么以上面得圖為例子，在ISP商得路由器那頭，就是綁定那個(gè)路由器一定有一個(gè)Route信息是這樣得：

iproute/24via

通常得做法就是像如圖一樣在RouteB得以太網(wǎng)口處幫定一個(gè)公網(wǎng)IP，然后大家以這個(gè)為網(wǎng)關(guān)上網(wǎng)，通常會(huì)先接入防火墻，然后后面接局域網(wǎng)用戶，如圖：

RouteA

(InternetorISP)

/(/52)

/

/\/

/

/(IP:/52)

(RouteB)

|(IP/)

|

|

|(/24)

||

|Firewall|

||

(/24)/\(/24)

/\

/\

/\

(局域網(wǎng)A)____/\_____(局域網(wǎng)B)

解說：

這是一個(gè)很典型得企業(yè)應(yīng)用，我想我說得沒錯(cuò)吧，但是我覺得這里面有幾個(gè)不好得地方：

1）就是公網(wǎng)IP不能很好得管理，在Firewall和RouteB之間是通過公網(wǎng)IP連接得，比如通過交換機(jī)連接，這樣如果有人在交換機(jī)上接一個(gè)計(jì)算機(jī)自己隨意綁定公網(wǎng)IP就可以上網(wǎng)了。

2）這是一個(gè)C類得IP，在Firewall上需要綁定很多公網(wǎng)IP，才能使用這些IP，這樣管理有很多弊端。

好了，說了這么多，下面引入正題，就是分享一下我得防火墻得實(shí)際解決方案。（續(xù)看第二篇）

第二篇：網(wǎng)絡(luò)結(jié)構(gòu)得設(shè)計(jì)

對(duì)于一個(gè)C類得公網(wǎng)IP我們可以重新設(shè)計(jì)一個(gè)網(wǎng)絡(luò)拓?fù)洌?/p>

2.1、方案一：就是不對(duì)C類網(wǎng)段分段，還是用一個(gè)網(wǎng)段；

RouteA

(InternetorISP)

/(/52)

/

/\/

/

/(IP:/52)

(RouteB)

|(IP/52)

|

|

|(/52)

||

|Firewall|

||

(/24)/\(/24)

/\

/\

/\

(局域網(wǎng)A)____/\_____(局域網(wǎng)BDMZ服務(wù)器區(qū))

注意：在RouteB上需要添加一個(gè)靜態(tài)路由,iproute

好了，這樣Firewall就可以完全控制和分配這254個(gè)公網(wǎng)IP了

2.2、方案二：就是對(duì)C類網(wǎng)段分段，分成兩個(gè)公網(wǎng)IP網(wǎng)段，有兩個(gè)防火墻如圖；

RouteA

(InternetorISP)

/(/52)

/

/\/

/

/(IP:/52)

||

|RouteB|

||

|(IP/48)

|

/\

(IP/48)/\(IP/48)

||||

|FirewallA||FirewallB|

||||

/\

(局域網(wǎng)A)____/\_____(局域網(wǎng)B)

在RouteB上添加兩條靜態(tài)路由：

iproute28

iproute2828

這樣一來，我們就將一個(gè)C類得公網(wǎng)IP拆分成了兩個(gè)：

FirewallA得IP范圍是-127

FirewallB得IP范圍是29-254

好了，網(wǎng)絡(luò)設(shè)計(jì)好了，下面我就以方案一我來講如何配置防火墻(續(xù)看第三篇)

第三篇:防火墻得實(shí)現(xiàn)

我選用的平臺(tái)是：

Redhat8.0+Shorewall1.4.8(其實(shí)就是基于iptables)，有三塊網(wǎng)卡，以方案一為例。

可能很多朋友都不太清楚shorewall（），我先介紹一下shorewall，其實(shí)他是一個(gè)基于iptables得一個(gè)防火墻，他得優(yōu)點(diǎn)在于配置方便，便于管理，用它很容易就能配出一個(gè)企業(yè)級(jí)得防火墻策略。

這里我說一下我個(gè)人觀點(diǎn)，iptables得命令過于復(fù)雜和麻煩，在管理方面和可讀性方面比較差，我個(gè)人認(rèn)為我們作為一個(gè)網(wǎng)管得精力應(yīng)該放在如何設(shè)計(jì)防火墻策略，而不要陷身于一個(gè)命令得寫法上。好了，廢話不說了。

安裝好Redhat8.0,并裝好三塊網(wǎng)卡后，下載shorewall的rpm包shorewall-1.4.8-1.noarch.rpm（或者tar包都可以）

3.1、安裝；

#rpm-ivhshorewall-1.4.8-1.noarch.rpm

3.2、配置；

shorewall得所有配置文件都在/etc/shorewall下面，好了我將詳細(xì)得講解如何配置shorewall

這里我們假設(shè)DMZ區(qū)域有如下一些的服務(wù)器：

mailserver:/24公網(wǎng)地址：

pptpvpnserver:/24公網(wǎng)地址：

dnsserver：/24公網(wǎng)地址：

httpserver:/24公網(wǎng)地址：

在/etc/shorewall可以看到有很多配置文件，我只講我們要用到的配置文件，其它得很少用到；大家可以自己去看幫助，很好理解得

zones(定義防火墻得區(qū)域)

interfaces（定義接口）

masq(定義偽裝IP)

policy（定義默認(rèn)策略）

rules（定義防火墻規(guī)則）

下面是各個(gè)配置文件的內(nèi)容：

#cat/etc/shorewall/zones:

wanInternetInternet

dmzDMZDmz

lanLanLan

#cat/etc/shorewall/interfaces

waneth0detect

laneth1detect

dmzeth2detect

#cat/etc/shorewall/masq

eth0/32#FirwallToInternet

eth0/24#LanAToInternet

eth0/32#mailserverToInternet

eth0/32#pptpserverToInternet

eth0/32#dnsserverToInternet

eth0/32#httpserverToInternet

#cat/etc/shorewall/policy

fwallACCEPT#Firewall可以任意訪問所有區(qū)域，包括互聯(lián)網(wǎng)

lanwanACCEPT#LanA可以任意訪問互聯(lián)網(wǎng)

dmzwanACCEPT#DMZ服務(wù)器可以任意訪問互聯(lián)網(wǎng)

landmzACCEPT#LanA可以任意訪問和管理DMZ服務(wù)器區(qū)

wanallDROP#互聯(lián)網(wǎng)不能隨意訪問內(nèi)部網(wǎng)絡(luò)和DMZ

allallREJECT

#cat/etc/shorewall/rules

#InternetTomailServer

DNATwandmz:tcpsmtp-

DNATwandmz:tcpPOP3-

#InternetToPPTPServer

DNATwandmz:tcp1723-

DNATwandm