RED HAT LINUX 6管理工具 004.pdf

下载 下载 第4章 防 火 墙 对重要的计算机网络和数据进行保护是 L i n u x系统的一种十分普通的使用方式。 T C P / I P协 议的强大功能在于它的开放性和普遍性；但是这些优点在恶意的入侵者攻击计算机网络时便 成为了极大的隐患。 当一台计算机的主要功能是实现对 T C P / I P 网络的保护时，这台计算机就称为 I n t e r n e t 防火 墙，有时也称为城堡主机（ bastion host ）。在利用L i n u x实现防火墙时，主要有以下两种技术： 一种是代理（p r o x y ）访问，在这种方法下，用户要访问局域网外的资源必须通过某一台特殊 的起中介（或代理）作用的主机来实现；另一种是使用 L i n u x 系统内核来作为过滤路由器 （filtering router ），在这种方法下，L i n u x系统内核将根据系统管理员定义的规则来简单地转发、 修改或抛弃网络数据。 当L i n u x作为过滤路由器时，维护内部主机是相当容易的；使用代理则使内部主机的配置 变得相当复杂。当然这两种技术在一定程度上可以混合在一起，但是代理总是要引入复杂的 附加层。 本章假定读者已经正确地配置了一个或多个网络接口，并且已经定义了到达这些接口的 路由。代理防火墙可能被设计成使用一个网络接口来连接阻塞的路由器，但是依赖于 I P 转发 或伪装（m a s q u e r a d i n g ）的防火墙要求至少有两个网络接口。有关网络配置的信息在本书的 其他地方可以找到。 因为安全有效的L i n u x 防火墙可以配置在最先进的计算机（可能使用的是基于 8 0 3 8 6 的机 器）上，因此高利用率的环境可以从强大的硬件中获得不少益处。在这种情况下，不应该再 使用基于I S A 的网卡，同样，也不要再使用任何基于 N E 2 0 0 0 芯片的网卡。目前，两种非常流 行的P C I 以太网设计是Tu l i p芯片（例如D E C 设计的2 1 0 4 0和2 11 4 0 以太网芯片）和3Com 905 系 列。一些基于 2 11 4 0 的Tu l i p芯片设计的网卡不是十分昂贵，而且可以实现 1 0 0 B a s e T的快速以 太网。这两种设计都是很容易配置的。 动态主机配置协议（Dynamic Host Configuration Protocol ，D H C P ）在受保护的网络中起 着特别重要的作用。由于某些合理的因素，在防火墙的设计中可以不考虑 D H C P ，因为扩展成 集中管理的益处在于可以动态地降低网络的复杂性。 U N I X 的安全问题在极大程度上依赖于正确地设计防火墙。用户应该密切关注 i n e t d— I n t e r n e t超级服务器（Internet super server ）驻留程序。应该对该进程的配置文件/ e t c / i n e t d . c o n f 进行细致的检查，不需要的服务应该被删除。特别应该去除 s h e l l和l o g i n服务，除非它们的存 在是必需的。更进一步的考虑是去除 t e l n e t和f t p服务，尤其是如果要使用 s s h ，更是如此。所 有其他的服务在可能的情况下，都可以考虑删除。 4.1 虚拟IP地址 为内部网络上的某一台主机虚构 I P 地址显然是非常必要的 —尤其在越来越难以获得 Internet IP 地址的今天。如果必须这样做的话，那么“人造”的虚拟 I P地址可以从表4 - 1所示的 第4章 防 火 墙 61 下载 地址中选择。 表4-1 私有I P地址范围 网 络 类 型 网 络 A