国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　像世界上其它的東西一樣，良好的安全建設(shè)需要一筆不菲的價格。道理其實(shí)很簡單，因?yàn)楝F(xiàn)在沒有那么多的技術(shù)高超的安全專家來照顧我們不堪一擊的網(wǎng)絡(luò)。人才短缺所造成的一個不幸的結(jié)果就是高的令人難以承受的專家傭金。這個問題將一些小型的網(wǎng)絡(luò)交給到了一群沒有多大經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員的手中，這些管理員也許不知道如何去設(shè)計(jì)、配置和監(jiān)視網(wǎng)絡(luò)中的主機(jī)，使這些有缺陷的主機(jī)時時受到網(wǎng)絡(luò)上那些試圖尋找內(nèi)部信息、免費(fèi)儲存空間或者用于DDoS的肉雞的者的威脅。

　　幸運(yùn)的是，網(wǎng)絡(luò)上不少好心的(褒義)制作出了不少非常出色的安全產(chǎn)品供網(wǎng)管們免費(fèi)使用。這篇文章就是概述如何使用一個分隔的專用網(wǎng)絡(luò)/DMZ的設(shè)計(jì)來設(shè)計(jì)并運(yùn)行一個小型網(wǎng)絡(luò)，這將允許管理員在使其用戶享受高水平保護(hù)的同時向外部網(wǎng)絡(luò)提供一些服務(wù)。這個設(shè)計(jì)的執(zhí)行和管理都相當(dāng)?shù)娜菀祝退愠鯇W(xué)者都可以很輕松的掌握，而且它還可以作為安全公司給客戶的一個基礎(chǔ)安全配置。

　　I.　　　設(shè)計(jì)部分

　　我們的目標(biāo)就是達(dá)到對外部發(fā)起的攻擊做到最大的保護(hù)。同時，我們不希望花費(fèi)很多錢，這樣我們所使用的軟件就只能限于開放源代碼的軟件或者免費(fèi)軟件。這并不像聽起來那么壞，因?yàn)榇蟛糠置赓M(fèi)的幾乎都自帶有一套能達(dá)到一個小型標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全軟件。同時，很多免費(fèi)的安全解決都可以在一些商業(yè)產(chǎn)品里找到。

　　為了使事情變的更簡單，我們先假設(shè)我們將要建造的這個網(wǎng)絡(luò)只有一個對Internet的連接，并且它只有大概十幾個內(nèi)部用戶。當(dāng)然，你總是可以按你自己的意愿將它的規(guī)模變小或變大。這只在于添加更快的硬件，將網(wǎng)絡(luò)規(guī)劃成許多更小的網(wǎng)絡(luò)來消除瓶頸現(xiàn)象，甚至增加更多的對外連接等。

　　最簡單的設(shè)計(jì)莫過于使用保護(hù)內(nèi)部專用網(wǎng)絡(luò)的來建設(shè)并維護(hù)這個網(wǎng)絡(luò)，這樣的話就不會有任何外來的連接，這種網(wǎng)絡(luò)被稱為非軍事區(qū)(demilitarized zone，簡稱DMZ)，我們需要將它建設(shè)成以有一些對外開放的服務(wù)，同時使用相同的防火墻來進(jìn)行保護(hù)的分隔網(wǎng)絡(luò)的形式。這些服務(wù)可以是DNS, WWW, mail,, 或者news，不過你完全有自由去限制或增加任何其它服務(wù)。DMZ可以包含一臺主機(jī)或者很多主機(jī)，這都在于你想要這個網(wǎng)絡(luò)的復(fù)雜性而定的。

　　所有到我們網(wǎng)絡(luò)中的數(shù)據(jù)流都會被防火墻檢查和過濾，在幾個分別的主機(jī)上需要運(yùn)行這三個網(wǎng)絡(luò)接口：

　　·　　　　 接口A連接防火墻到Internet上。接口的IP地址將由分配 (本文中將會使用x.x.x.x).

　　·　　　　 接口B連接防火墻到內(nèi)部專用網(wǎng)絡(luò)上。本文中這個接口的IP地址將會是 192.168.1.1。

　　·　　　　 接口C 連接防火墻到DMZ網(wǎng)絡(luò)上。本文中這個接口的IP地址將會是 192.168.2.1。

　　我們所設(shè)計(jì)的網(wǎng)絡(luò)的大概輪廓顯示在圖一中：

　　防火墻將使用下面的規(guī)則來控制數(shù)據(jù)流：

　　1.　　　所有從內(nèi)部專用網(wǎng)絡(luò)發(fā)送到所有合法地址上的數(shù)據(jù)包都可以沒有任何限制的通過防火墻。 (如有必要，這個規(guī)則可以做更大的限制)

　　2.　　　所有從Internet發(fā)到專用網(wǎng)絡(luò)的數(shù)據(jù)包都應(yīng)該被過濾，并且只有那些最初從內(nèi)部專用網(wǎng)發(fā)送的請求包的有效回應(yīng)包才應(yīng)該被容許進(jìn)入專用網(wǎng)絡(luò)。

　　3.　　　所有從Internet發(fā)送到DMZ的數(shù)據(jù)包都應(yīng)該被過濾，只給有那些發(fā)送到我們對Internet所開放的服務(wù)的數(shù)據(jù)包才能通過防火墻。 此外，最初從DMZ 發(fā)送的請求包的有效的回應(yīng)包也容許進(jìn)入DMZ。 (如有必要，這個規(guī)則可以做更大的限制 )

　　4.　　　最初從內(nèi)部專用網(wǎng)絡(luò) 發(fā)送到DMZ上的請求包的有效的回應(yīng)包應(yīng)容許進(jìn)入專用網(wǎng)絡(luò)。

　　5.　　　所有從DMZ 發(fā)送到Internet上(這不包括發(fā)送到DMZ上的)的數(shù)據(jù)包，應(yīng)在沒有任何限制的情況下通過防火墻。 (如有必要，這個規(guī)則可以做更大的限制)

　　6.　　　所有其它的數(shù)據(jù)流應(yīng)該被丟棄。

　　除了我們上面說的這些數(shù)據(jù)包過濾規(guī)則以外，我們同時需要一個方法來讓我們所提供給外部網(wǎng)絡(luò)的服務(wù)在DMZ中的主機(jī)上運(yùn)行。我們完全可以在裝載防火墻的主機(jī)上運(yùn)行這些服務(wù)，但是那么做的話就會出現(xiàn)很多麻煩，因?yàn)槲覀冊诜阑饓ι涎b載的服務(wù)越多，這個防火墻就會變的更弱。我們會通過重定位數(shù)據(jù)流到DMZ上，這樣我們其實(shí)就把潛在的攻擊目標(biāo)從防火墻移到了DMZ上。這樣的話，如果攻擊者對我們的網(wǎng)絡(luò)進(jìn)行攻擊，他們就是在攻擊DMZ里的主機(jī)，而他們想攻擊整個內(nèi)部網(wǎng)絡(luò)，則還要入侵防火墻和剩下的網(wǎng)絡(luò)，這樣會緩慢入侵者速度，從而讓整個網(wǎng)絡(luò)更安全了一些。(負(fù)責(zé)重定向數(shù)據(jù)包的主機(jī)有時被稱為端口轉(zhuǎn)發(fā)(port forwarding))。

　　因?yàn)橐话愕男⌒途W(wǎng)絡(luò)通常只有它們ISP所分配的一個單獨(dú)的IP地址，所以防火墻同時需要運(yùn)行一些“偽裝”軟件，這些軟件使所有從內(nèi)部網(wǎng)和DMZ那里發(fā)出的數(shù)據(jù)流好像是從一臺主機(jī)上發(fā)出的一樣。這是使我們的網(wǎng)絡(luò)更難被攻破的另一個安全手段，因?yàn)樵诜阑饓竺娴臋C(jī)器的IP 地址永遠(yuǎn)不會被顯示給外面的網(wǎng)絡(luò)。

　　可以過濾數(shù)據(jù)包，重定向數(shù)據(jù)流到其它的地址和實(shí)現(xiàn)IP地址偽裝的免費(fèi)的防火墻產(chǎn)品有ipfilter, ipfw, ipchains, 和iptables。前面的兩個軟件包是使用于BSD家庭的，后兩個則廣泛用于Linux操作系統(tǒng)中。

　　II.　　　選擇硬件及軟件

　　我在本文中選擇使用的防火墻軟件是在OpenBSD 2.8上運(yùn)行的Daren Reed的ipfilter，ipfilter 同時有NetBSD, Solaris, SunOS, BSD/, IRIX,-UX,和QNX版本。如果你是使用其它的防火墻軟件，你要記得把我們后面要講到的防火墻規(guī)則翻譯成你所使用的防火墻的規(guī)則語言。(通用的設(shè)計(jì)原理在任何案例里都將是相同的。) 我選擇ipfilter 主要有四個原因。第一，我對它非常了解。第二，它是被千萬程序員反復(fù)測試過的。第三，它是OpenBSD的默認(rèn)防火墻。第四，我喜歡它簡單的語法。Ipfilter 相當(dāng)?shù)娜菀撞僮鳎梢哉韮?nèi)部用戶所發(fā)送的請求包及它們的回復(fù)包，并且讓它們通過防火墻，而不需要我們寫一些復(fù)雜的防火墻規(guī)則。它并且?guī)в泻唵蔚臄?shù)據(jù)包重定向和地址偽裝，ipnat。

　　至于硬件，運(yùn)行ipfilter 防火墻軟件的機(jī)器可以是任何支持OpenBSD或其它有ipfilter 支持版本的操作系統(tǒng)，例如NetBSD，只要它能提供至少三個網(wǎng)絡(luò)接口 ( 一個連接Internet,一個連接內(nèi)部專用網(wǎng)絡(luò)和另外一個連接DMZ )。我的選擇是一臺普通的低檔奔騰電腦，裝備有串行端口和三個主板上空閑的擴(kuò)充插槽。不過它可以只是一臺Alpha, Sun, VAX或者任何一臺滿足我們上面所說的需求的主機(jī)。不過，防火墻所在的那臺主機(jī)的硬盤至少要有540MB。你可以使用IDE而不是SCSI，只要系統(tǒng)不裝太多東西，只要主機(jī)有起碼24MB的內(nèi)存。

　　另外一個重要的組成部分是網(wǎng)絡(luò)接口卡。連接內(nèi)部網(wǎng)絡(luò)和DMZ到防火墻上用的接口卡，我推薦帶有用于雙絞線的10BASE-T插槽的10/100Mb/一秒的網(wǎng)卡和RJ-45插槽，這些東西不管是全新的還是二手貨都很便宜。其它一些必要的連接設(shè)備包括雙絞線和帶有10BASE-T插槽的10/100Mb/一秒的hub。(如果整個DMZ都是在一個機(jī)器上的話，可以購買兩個hub，一個用于內(nèi)部專用網(wǎng)絡(luò)，另一個用于交叉雙絞線。)

　　我之所以建議你不要使用共軸的10BASE2電纜，而使用雙絞線(還有帶RJ-45插槽的網(wǎng)卡及hub)，是因?yàn)殡p絞線裝置更可靠一些，盡管它們需要一個hub才能工作。(在共軸線上，一個錯誤就會導(dǎo)致所有的電腦都連接到一個無法訪問網(wǎng)絡(luò)的電纜上，而如果一個錯誤發(fā)生在雙絞線上，只有一臺機(jī)器會被斷開連接，其它的機(jī)器還都可以正常的訪問網(wǎng)絡(luò))。

　　還有要注意的是，在你去eBay或者本地的舊電腦銷售店里采購二手硬件之前，我建議你最好先去OpenBSD的網(wǎng)站及軟件所副的安裝說明書上查找自己要買的硬件的品牌是否在OpenBSD的支持硬件表里。這個步驟會為你省去很多的麻煩。

　　你同時要去你所使用的硬件的網(wǎng)站里去找你硬件的驅(qū)動程序。有些硬件不能被它廠商自己的驅(qū)動程序驅(qū)動，但可以用這個硬件所使用的的驅(qū)動程序驅(qū)動。

　　最后一個重要的東西就是DOS盤或者Windows 95/98的救援盤。因?yàn)槲也皇翘宄κ褂肈OS或者Windows啟動盤來裝另外一個操作系統(tǒng)是怎么想的，所以我建議你最好是找一個合法的DOS或者M(jìn)S Windows光盤來最備用，或者直接去買一個IBM的DOS，最好是去下載 FreeDOS，一個免費(fèi)的DOS克隆版本。一但你有了一個DOS盤，創(chuàng)建一個啟動盤，把里面不需要的程序刪除掉，然后把需要的驅(qū)動程序裝進(jìn)去。

　　(請注意，你并不需要DOS或者Windows來裝OpenBSD，我說的這種情況是當(dāng)Windows已經(jīng)是你電腦中的操作系統(tǒng)時的情況。)

　　III.　　　安裝

　　OpenBSD的安裝過程相當(dāng)簡單，你可以在OpenBSD FAQ 的第4部分中找到詳細(xì)的安裝說明。這樣以來，我不會對設(shè)置進(jìn)行詳細(xì)的講解，不過我會主要說明一些會讓第一次使用OpenBSD的用戶感到困惑的問題：

　　swap的最小空間(Minimum amount of swap space)：使用大概你RAM內(nèi)存的兩倍就足夠了。如果你不確定的話，可以使用OpenBSD FAQ 第四部分中列出的分割大小列表。

　　對大硬盤的支持(Large disk support)： 當(dāng)硬盤無法啟動的時候，就算系統(tǒng)安裝完全順利，你也需要用硬盤或者電腦廠商的程序來讓硬盤變的可啟動。有些時候，特別是當(dāng)電腦有一個很老的BIOS時，你的系統(tǒng)可能無法識別硬盤的大小。這種問題應(yīng)該不會影響到OpenBSD的安裝，但當(dāng)安裝結(jié)束以后，你必須去你電腦或者硬盤的廠商的網(wǎng)站上去下載驅(qū)動或者配置程序來讓系統(tǒng)工作。如果你還有問題，閱讀安裝文檔，那里非常詳細(xì)的斤記錄了一些不同的方法來解決大硬盤的問題。