打造企业坚固城门 之
为隔断防火墙构造iptables 新科展 王世宏
当今的企业网络安全已经成为整个网络工程中非常重要的一环,城门一旦失手将会造成所有资源的损伤。今天我们就来带领大家一齐设计与打造这个坚固的堡垒。
首先我们应该熟悉一下企业级应用中的防火墙通常是如何的构造。了解了结构我们才能进一步的施展我们的才能。
网关防火墙:企业最边缘的防火墙种类,一端接外部INTERNET,一端接DMZ区域。其上不运行任何服务(如DNS cache-only,squid,dhcp等)。只是运行一些安全IPTABLES选项。
隔断防火墙:一端也联接到企业的DMZ区域,将内部专用网络同网络防御带(DMZ)中的准公用服务器机器隔开,与网关不同的是其上可以运行基本的服务,如以上提到的各种服务,包括NAT。
DMZ:两个防火墙中间的网络防御带被称为非军事化区域(DMZ是一个军事用语,即交战双方共享的一片领地)在网络中即内网和外网都可以访问的服务器均放在此区间内。此区域内运行的是公用服务器,并将这个区域同内网相隔离,一旦DMZ中的区域服务器被入侵了,也不至于伤到内网。本区域内的服务器通常本身也有自身的防护,叫做堡垒防护(即只有INPUT和OUTPUT的设置的防火墙),并在网关防火墙的保护之内。
以上拓扑图的使用避免了独立网关防火墙所造成的要么什么都挡住,要么什么也挡不住的局面。因为在单防火墙的环境中,一旦防火墙被拿下了,那么到ROOT权限的让权就不远了。下面的脚本,用在网关上与用在隔断防火墙上都可以。另外需要注意的是网关与隔断防火墙的功能性就差在网关不能运行任何程序,而隔断防火墙可为内网提供一定服务,如NAT,DHCP,SQUID等
