科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道shorewall企业防火墙的完美实现(1)

shorewall企业防火墙的完美实现(1)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

相信大家一定很想自己做一个企业级应用得防火墙,看到大家在论坛上常常问到类似得问题,本文将介绍一个防火墙企业级应用实例,希望能帮到需要帮助得朋友。

作者:51CTO.COM 来源:LinuxSir 2007年10月23日

关键字: 防火墙 iptables Shorewall

  • 评论
  • 分享微博
  • 分享邮件

  相信大家一定很想自己做一个企业级应用得防火墙,看到大家在论坛上常常问到类似得问题,现在我将我自己身边得一个防火墙企业级应用实例共享出来,希望能帮到需要帮助得朋友。

  第一篇:网络接入情况

  现在很多企业有的是用专线接入,有的是用ADSL 接入,但最终结果都是一样,就是在互联网上有一个公网IP(或者一个网段)得Route 到你得网关服务器上或者接入路由器上。 好了,知道了这点我就来说一下互联网得接入这一部分,我以专线接入为例子:

  当你是专线接入得时候,一般都会有一个专线接入单,上面会有如下相关信息:

  1.1、你得IP地址范围

  1.2、用户端接入IP,以及局端IP

  1.3、从上图中我们可以看出:

  1.31、ISP分配给你得是一个C类公网地址

  1.32、用户端得接入IP 是 192.168.5.1,局端IP 是 192.168.5.2

  好了,下面是我要重点说得了,很多人以为在一个防火墙得外网接口上一定得绑定公网IP,其实这是一个错误得认识,其实只要有 Route 信息,你就可以上互联网。怎么以上面得图为例子,在 ISP 商得路由器那头,就是绑定 192.168.5.2 那个路由器一定有一个 Route 信息是这样得:

  ip route 211.111.111.0/24 via 192.168.5.1

  

  通常得做法就是像如图一样在Route B 得以太网口处帮定一个公网IP 211.111.111.1 ,然后大家以这个为网关上网,通常会先接入防火墙,然后后面接局域网用户。

  解说:

  这是一个很典型得企业应用,我想我说得没错吧,但是我觉得这里面有几个不好得地方:

  1)就是公网IP不能很好得管理,在 Firewall 和 Route B 之间是通过公网IP 连接得,比如通过交换机连接,这样如果有人在交换机上接一个计算机自己随意绑定公网IP 就可以上网了。

  2)这是一个C类得IP ,在Firewall 上需要绑定很多公网IP ,才能使用这些IP ,这样管理有很多弊端。

  好了,说了这么多,下面引入正题,就是分享一下我得防火墙得实际解决方案。(续看第二篇)

  第二篇:网络结构得设计

  对于一个C类得公网IP 我们可以重新设计一个网络拓扑:

  2.1、方案一:就是不对C类网段分段,还是用一个网段

  在 Route B 上添加两条静态路由:

  ip route 211.111.111.0 255.255.255.128 192.168.1.2

  ip route 211.111.111.128 255.255.255.128 192.168.1.3

  这样一来,我们就将一个 C类得公网IP 拆分成了两个:

  Firewall A 得IP 范围是211.111.111.1-127

  Firewall B 得IP 范围是211.111.111.129-254

  好了,网络设计好了,下面我就以 方案一 我来讲如何配置防火墙 (续看第三篇)

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章