企业应用开源防火墙安全保障实战演练:PartI

图 4.防火墙部署实例示意图

　　本应用的主要目的是对企业网提供各种服务的服务器提供保护，以使他们免受来自于外网 Internet 恶意用户和流量的攻击和危害。在配置过程中，需要根据本文前面部分介绍的知识进行规则编写等工作，具体的步骤如下：

（1）建立有关的脚本文件：在 /etc/rc.d/ 目录下用 touch 命令建立空的脚本文件，执行 chmod 命令添加可执行权限。

 # touch /etc/rc.d/firewall-for-networkservice  # chmod u+x /etc/rc.d/firewall-for-networkservice 

（2）编辑 /etc/rc.d/rc.local 文件，在末尾加上 /etc/rc.d/firewall-for-networkservice 以确保开机时能自动执行该脚本，运行如下命令：

 # echo “/etc/rc.d/firewall-for-networkservice” >>/etc/rc.d/rc.local 

（3）使用 Vi 或者 Gedit 等编辑器编辑 /etc/rc.d/firewall-for-networkservice 文件，插入如下内容：

1）添加相关脚本信息，注意：脚本中的注释是采用“#”表示，而不是通常用的“//”

 # 添加脚本编写头部 # !/bin/bash  # 在屏幕上显示信息 echo “Starting iptables rules …” # 开启内核转发功能 echo “1” >/proc/sys/net/ipv4/ip_forward 

2）定义规则重要使用的相关变量

 # 定义变量 IPT_LIST=/sbin/iptables  WEB_SERVER=210.10.18.89  FTP_SERVER=210.10.18.90  DNS_SERVER=210.10.18.91  SMTP_SERVER=210.10.18.92  PROTECT_DOMAIN=“210.10.18.0/24”

3）刷新基本的链规则，并禁止转发任意包

 $IPT_LIST –F  $IPT_LIST –P FORWARD DROP 

4）设置有关保护服务器的包过滤规则，并且注意由于服务器 / 客户机交互是双向的，所以不仅仅要设置数据包出去的规则，还要设置数据包返回的规则，如下所示：

 # 保护 WWW 服务：服务端口为 80，采用 TCP 或 UDP 协议 # 规则为：eth1=> 允许目的为内部网 WWW 服务器的包 $IPT_LIST –A FORWORD –p tcp udp –d $WEB_SERVER –dport www –i eth1 –  ACCEPT  # 保护 FTP 服务：服务端口为：命令端口 21，数据端口 20。FTP 服务采用 TCP 协议。 # 规则为：eth1=> 允许目的为内部网 FTP 服务器的包 $IPT_LIST –A FORWORD –p tcp –d $FTP_SERVER –dport ftp –i eth1 –j ACCEPT  # 保护 DNS 服务：DNS 端口 53，采用 TCP 协议或者 UDP 协议 # 规则为：eth1=> 允许目的为内部网 DNS 服务器的查询请求 $IPT_LIST –A FORWORD –p tcp udp –d $ DNS_SERVER –dport dns –i eth1 –j ACCEPT  # 保护 SMTP 服务：smtp 端口 25，采用 tcp 协议 # 规则为：eth1=> 允许目的为内部网 SMTP 服务器的 smtp 请求 $IPT_LIST –A FORWORD –p tcp –d $ SMTP_SERVER –dport smtp –i eth1 –j ACCEPT 

（4）执行脚本，使配置规则立刻生效

 # /etc/rc.d/firewall-for-networkservice 

总结

作为本系列的第一篇文章，本文详细介绍 Netfilter/IPTables 防火墙框架的原理、安装、启动以及简单实战应用。在下一篇，我们将对应用 Netfilter/IPTables 防火墙框架进行 NAT、DMZ 应用进行介绍，并给出防火墙的实际安全部署建议。

参考资料

学习

• 浏览 Netfilter/IPTables门户网站，全面获取 Netfilter/IPTables 防火墙框架的相关知识和原理。
  
   
• 阅读 Linux Firewall Configuration and Setup - iptables，了解 Netfilter/IPTables 的具体配置和使用方法。
  
   
• AIX and UNIX 专区：developerWorks 的“AIX and UNIX 专区”提供了大量与 AIX 系统管理的所有方面相关的信息，您可以利用它们来扩展自己的 UNIX 技能。
  
   
• AIX and UNIX 新手入门：访问“AIX and UNIX 新手入门”页面可了解更多关于 AIX 和 UNIX 的内容。
  
   
• AIX and UNIX 专题汇总：AIX and UNIX 专区已经为您推出了很多的技术专题，为您总结了很多热门的知识点。我们在后面还会继续推出很多相关的热门专题给您，为了方便您的访问，我们在这里为您把本专区的所有专题进行汇总，让您更方便的找到您需要的内容。
  
   
• AIX and UNIX 下载中心：在这里你可以下载到可以运行在 AIX 或者是 UNIX 系统上的 IBM 服务器软件以及工具，让您可以提前免费试用他们的强大功能。
  
   
• IBM Systems Magazine for AIX 中文版：本杂志的内容更加关注于趋势和企业级架构应用方面的内容，同时对于新兴的技术、产品、应用方式等也有很深入的探讨。IBM Systems Magazine 的内容都是由十分资深的业内人士撰写的，包括 IBM 的合作伙伴、IBM 的主机工程师以及高级管理人员。所以，从这些内容中，您可以了解到更高层次的应用理念，让您在选择和应用 IBM 系统时有一个更好的认识。
  
   

讨论

• 加入 developerWorks 中文社区。查看开发人员推动的博客、论坛、组和维基，并与其他 developerWorks 用户交流。
   

转自：http://www.ibm.com/developerworks/cn/linux/1307_liyang_firewall1/index.html?ca=drs-