科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道用Linux防火墙构建DMZ(2)

用Linux防火墙构建DMZ(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

防火墙通常放置在外网和需要保护的网络之间。最简单的情况是直接将防火墙放置在外网和企业网络之间,所有流入企业网络的数据流量都将通过防火墙,使企业的所有客户机及服务器都处于防火墙的保护下。

作者:51CTO.COM 2007年11月11日

关键字: 策略 防火墙 DMZ Linux

  • 评论
  • 分享微博
  • 分享邮件

  表1 网络间访问关系表

  内网 外网 DMZ

  内网 / Y Y

  外网 N / Y

  DMZ N N /

  根据表1,可以明确以下六条访问控制策略。

  1.内网可以访问外网

  内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。

  2.内网可以访问DMZ

  此策略是为了方便内网用户使用和管理DMZ中的服务器。

  3.外网不能访问内网

  很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。

  4.外网可以访问DMZ

  DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。

  5.DMZ不能访问内网

  很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。

  6.DMZ不能访问外网

  此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。

  DMZ的实现

  根据以上访问控制策略可以设定Linux防火墙的过滤规则。下面将在一个虚构的网络环境中,探讨如何根据以上六条访问控制策略建立相应的防火墙过滤规则。这里的讨论和具体应用会有所区别,不过这种讨论将有助于实际应用。用户在实际应用时可根据具体的情况进行设置。该虚拟环境的网络拓扑如图1。

  

  

  

  图1 DMZ网络拓扑图

  如图1所示,路由器连接Internet和防火墙。作为防火墙的Linux服务器使用三块网卡:网卡eth0与路由器相连,网卡 eth1与DMZ区的Hub相连,网卡eth2与内网Hub相连。作为一个抽象的例子,我们用“[内网地址]”来代表“192.168.1.0/24”之类的具体数值。同理还有“[外网地址]”和“[DMZ地址]”。

  对于防火墙,原则之一就是默认禁止所有数据通信,然后再打开必要的通信。所以在防火墙脚本的最初,需要清空系统原有的规则,然后将INPUT、OUTPUT、FORWARD的默认规则设置为丢弃所有数据包。

  对应的防火墙脚本片段如下: # Flush out the tables and delete all user-defined chains

  /sbin/iptables -F

  /sbin/iptables -X

  /sbin/iptables -t nat -F

  /sbin/iptables -t nat -X

  # Drop every packet

  /sbin/iptables -P INPUT DROP

  /sbin/iptables -P OUTPUT DROP

  /sbin/iptables -P FORWARD DROP

  六种策略的实现。

  1.内网可以访问外网

  对应的防火墙脚本片段如下:

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章