《网络安全与防护教学课件作者迟恩宇实训指导3.2-4软件防火墙配置保护主机与内部网络SmoothWall》由会员分享,可在线阅读,更多相关《网络安全与防护教学课件作者迟恩宇实训指导3.2-4软件防火墙配置保护主机与内部网络SmoothWall(103页珍藏版)》请在金锄头文库上搜索。
1、,国家高等职业教育 网络技术专业教学资源库,计算机网络安全技术与实施,学习情境3:实训任务3.2补充,配置SmoothWall防火墙,Smoothwall是欧洲的一个GPL项目,LINUX的一个发行版本,由Lawerence Manning和Richard Morrell于2000年的夏天成立。最初,他们的目标仅仅是想把一台过时了的PC机变成成一台功能强大,稳定的防火墙路由器。在其他人的帮助下,smoothwall于2000年的八月底在世界最大的开源代码sourceforge net发布了第一个防火墙版本。由于其有益的性能及易操作性,经过短暂的时间就迅速传播开来。越来越多的志愿者加入开发项目,
2、版本几乎是每个星期更新一次,同时许多新的功能也在不断地加入。现在smoothwall在网络防火墙方面得到广泛地使用。,作为一个代理服务器,你可以设置一些高级选项,比如用户端认证和延迟池等等。这些功能对小公司或者家庭用户来说还是很有用的,但是对于大型企业来说,他们都是有自己特定的代理服务器。您可以为你的DHCP服务器配置地址范围、WINS服务器和静态IP地址。你也可以选择动态DNS,提供为远处链接服务的SHH程序和时间服务器。SmoothWall甚至可以支持SNORT,一个流行的开源入侵检测系统。他已被超过300,000个用户,21个国家使用!SmoothWall同时支持ISDN, ASDL/C
3、able和多网卡等网络设备,最令人不可思议的是任何这些都能够在5分钟之内配置完成!基于Web的管理和支持SSH,DHCP,完整的防火墙工具在其商业版本中会有提供。,如果是学习smoothwall软件的安装与配置,可以在虚拟机下完成安装与配置,如果是应用于本任务中的防火墙方案中,则要选择一台一般配置的计算机即可,建议安装3块网卡,有光驱。实际安装与在虚拟机下的基本样同,但是在虚拟机下安装与学习会更方便,下面设计在虚拟机中实现。 虚拟机的建立如上图所示,有三个网卡。分别对应内网接口、外网接口和DMZ接口,如下图所示。选择新建虚拟机,完成建立向导后在编辑虚拟机设置中再填加两块网卡。,1、基于主机防火
4、墙软件Smoothwall的安装 设置已经建立虚拟机中的CD-ROM使用ISO镜像文件,如下图所示,然后启动此虚拟机。 安装过程非常简单,安装界面与Linux相似,在出现欢迎安装后会要求输入产品序列号,正确输入后如是计算机或虚拟机用的是SCSI硬盘要驱动,这里选择自动搜索。接下来出现安装方式的选择,这里选择CD-ROM。在安装过程中SmoothWall将硬盘分区并格式化,要确保硬盘没有有用的数据。,在接下来的安装过程中,会提示配置网络,选择搜索即可,如果计算机或虚拟机已经安装了三块网卡,会依次对三个网卡进行搜索与配置,分别为Green、Orange、Red接口,如下图是第一块网卡被定义为Gre
5、en-interface(这里配置其IP地址为10.1.22.110),配置一个与内网主机同网段的IP地址及掩码。接下来会提示键盘设置等,完成后出现配置菜单,这里选择网络(Networking)。,系统会要求选择网络接口类型以太网、ISDN或者是ADSL。这里选择了以太网,然后选择防火墙类型,主要可以分为两种类型,一种是Green+Red类型,在这种模式中,一个网络接口是连向internet(Red),一个是连向LAN(green);还有一种模式就是Green+Orange+Red,Red和Green接口类型和前一种相同,但是多了个Orange接口,这是专门为那些需要特殊服务的服务器程序准备的
6、,在这个区域的资源可以被来自internet和LAN的链接所控制,这就是有名的DMZ(demilitarized zone非军事区)。 选择了Green+Orange+Red模式,并为网卡设置IP地址,下一步就是配置DHCP服务器,然后设置了三个密码,分别是admin、root和setup用户。重要的用户就是admin用户,用来设置基于web的管理界面,root用户用于登录到SmoothWall系统内后linux命令进行配置与管理,以的setup用户用来更改一些防火墙配置,如将Green-Red改为Green+Orange+Red。安装完成后要求重新启动。默认情况下,防火墙配置为禁止所有的来自
7、红色区域的连接请求。这就意味着任何来自internet的链接默认情况下都是被拒绝的,除非有来自绿色区域的链接要求。,2、配置防火墙软件smoothwall 对smoothwall软件的配置主要有三种方式,一种是基于命令行,另一种是基于采单式,最后一种是基于WEB方式。基于WEB方式与配置硬件防火墙类似,下面介绍基于WEB的配置。可以通过键入http:/IP:81和https:/IP:441来进行基于web的管理。基于web界面的SmoothWall防火墙软件有着非常丰富的选项。可以将它配置成一个代理服务器,或者DHCP服务器,或者为绿色区域服务的某些特别端口的包转发服务器等等。作为一个代理服务
8、器,可以设置一些高级选项,如用户端认证和延迟等等。这些功能对小公司或者家庭用户来说是很有用的,但是对于大型企业来说,他们都是有自己特定的代理服务器。可以为DHCP服务器配置地址范围、WINS服务器和静态IP地址。也可以选择动态DNS,提供为远处链接服务的SHH程序和时间服务器。SmoothWall甚至可以支持SNORT,来实现入侵检测系统的功能。通过Green接口所配置的IP地址进行连接。,3、配置防火墙简单的包过滤规则 登录web界面后会,选择networking,这时会要求用户认证,输入admin用户名及安装过程对应的密码即可进行配置。如图所示是对192.168.3.0网段进行IP blo
9、ck即IP包的拦截设置。 SmoothWall通过使用Linux2.4内核和netfilter(netfilter/iptables是与2.4.x版本Linux内核集成的IP信息包过滤系统。如果 Linux 系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置)来进行包检测。它有一个内建的VPN网络,这样就尽可能安全的通过互联网在外部和内部网络之间建立起一个私有网络。选择服务项可以配置IDS等功能。如下图所示,SmoothWall集成了SNORT软件的IDS功能,可以将IDS规则文件进行上载到SmoothWall
10、中去实现IDS功能,关于IDS将在后续内容中学习。,SmoothWall提供也在线升级功能,基本WEB方式升级为管理带来了方便。另外SmoothWall提供快速开始、安装向导和管理指南手册,对于学习SmoothWall及防火墙技术很有帮助。当然,SmoothWall这个软件是为小企业用户设计的,这不是一个全功能的防火墙产品,有些功能还有待完善,没有办法满足那些大型的商业需要。但是对于要求不高的小型企业来说是一个不错的选择。对于学习者可以在VMWare下实现对SmoothWall的安装与配置实验,对于掌握防火墙技术有很大的帮助。 4、具体配置SmoothWall防火墙功能 下面通过两种方式配置S
11、moothWall,实现通过SmoothWall防火墙功能: (1)命令行方式实现屏蔽Telnet访问,即禁止对TCP协议的23端口数据转发。 通过root用户登录系统,并执行如下命令(与Linux一样的命令与格式,也要区分大小写的),在特权模式下执行完命令后,需要重新启动。 rootsw3 root# iptables -A FORWARD -p tcp -dport 23 -j DROP,(2)基于WEB方式配置禁Ping命令。 登录web界面后会,选择networking后,选择advanced项,勾选Block ICMP ping即可。最后选择Save保存设置。,如果要测试Smooth
12、Wall可以开启相应的日志或IDS功能,在服务Services项下选择intrusion detection system项,选择Enable Snort来启用SNORT入侵检测,防火墙的日志和IDS日志中都留下了记录,包括攻击的类型、攻击者的IP和时间日期。 对上面的Telnet与ping命令测试,如下右图所示,Telnet已经无法登录,ping在配置之前是通的,但设置高级中的Block ICMP ping之后就不通了。 SmoothWall内部提供了防火墙的策略模块,并已经安装,也可以更新,可以在maintenance项目下的modules可以进行配置。,Red-外网接口: 10.41.3.100 255.255.255.0,Orange-DMZ接口: 172.16.1.1 255.255.255.0,Green-内网接口: 192.168.1.1 255.255.255.0,网关: 10.41.3.254,接口: 192.168.1.2 255.255.255.0,外网接口: 218.62.14.86 255.255.255.252,DMZ接口: 218.62.14.87 255.255.255.252,内网接口: 192.168.0.1 255.255.255.0,
