安裝Linux防火墻保證網絡安全
網絡安全現在越來越受到中小企業的關注,在中小企業應用的Linux系統中,怎樣才能保證網絡安全呢?主要的就是需要Linux防火墻。怎樣才能安裝Linux防火墻呢?本文為你講解安裝Linux防火墻。
假設有一個局域網要連接到Internet上,公共網絡地址為202.101.2.25。內部網的私有地址根據RFC1597中的規定,采用C類地址192.168.0.0~192.168.255.0。為了說明方便,我們以3臺計算機為例。實際上,最多可擴充到254臺計算機。
具體操作步驟如下。
在一臺Linux主機上安裝2塊網卡ech0和ech1,給ech0網卡分配一個內部網的私有地址191.168.100.0,用來與Intranet相連; 給ech1網卡分配一個公共網絡地址202.101.2.25,用來與Internet相連。
Linux主機上設置進入、轉發、外出和用戶自定義鏈。本文采用先允許所有信息可流入和流出,還允許轉發包,但禁止一些危險包,如IP欺騙包、廣播包和ICMP服務類型攻擊包等的設置策略。
具體設置如下。
(1)刷新所有規則
- /sbin/ipchains -F forward
- /sbin/ipchains -F input
- /sbin/ipchains -F output
(2)設置初始規則
- /sbin/ipchains -A input -j ACCEPT
- /sbin/ipchains -A output -j ACCEPT
- /sbin/ipchains -A forward -j ACCEPT
(3)設置本地環路規則
- /sbin/ipchains -A input -j ACCEPT - i lo
- /sbin/ipchains -A output -j ACCEPT - i lo
本地進程之間的包允許通過。
(4)禁止IP欺騙
- /sbin/ipchains -A input -j DENY
- - i ech1 - s 192.168.100.0/24
- /sbin/ipchains -A input -j DENY
- - i ech1 - d 192.168.100.0/24
- /sbin/ipchains -A output -j DENY
- - i ech1 - s 192.168.100.0/24
- /sbin/ipchains -A output -j DENY
- - i ech1 - d 192.168.100.0/24
- /sbin/ipchains -A input -j DENY
- - i ech1 -s 202.101.2.25/32
- /sbin/ipchains -A output -j DENY
- - i ech1 -d 202.101.2.25/32
(5)禁止廣播包
- /sbin/ipchains -A input -j DENY
- - i ech0 - s 255.255.255.255
- /sbin/ipchains -A input -j DENY
- - i ech0 - d 0.0..0.0
- /sbin/ipchains -A output -j DENY
- - i ech0 - s 240.0.0.0/3
(6)設置ech0轉發規則
- /sbin/ipchains -A forword -j MASQ
- - i ech0- s 192.168.100.0/24
(7)設置ech1轉發規則
- /sbin/ipchains -A forword -j ACCEPT
- - i ech1- s 192.168.100.0/24
- /sbin/ipchains -A forword -j ACCEPT
- - i ech1- d 192.168.100.0/24
將規則保存到/etc/rc.firewallrules文件中,用chmod賦予該文件執行權限,在/etc/rc.d.rc.local中加入一行/etc/rc.firewallrules,這樣當系統啟動時,這些規則就生效了。
通過以上各步驟的配置,我們可以建立一個基于Linux操作系統的包過濾防火墻。它具有配置簡單、安全性高和抵御能力強等優點,特別是可利用閑置的計算機和免費的Linux操作系統實現投入最小化、產出最大化的防火墻的構建。
安裝Linux防火墻,保證中小企業網絡安全。
【編輯推薦】
