?? firewall proxy howto.htm
字號:
<!doctype html public "-//w3c//dtd html 4.0 transitional//en">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<meta name="Author" content="Edward Fu">
<meta name="GENERATOR" content="Mozilla/4.05 [zh-CN] (X11; I; Linux 2.1.127 i686) [Netscape]">
<title>Freesoft Linux FAQ -- Linux Firewall Proxy Howto</title>
<body>
發信人: rgb (網上鄰居【還在等】),
信區: UNIX_PALACE
<br>標 題: Linux Firewall Proxy Howto(中文版)
<br>發信站: 笑書亭 (Sat Jun 13 14:44:03 1998), 轉信
<p>Linux 防火墻-代理 HOWTO
<p>1.導論
<p>這篇文章源于David Rudder(email:<a href="mailto:drig@execpc.com)的Firewall-HOWTO,我是在他的認可">drig@execpc.com</a>)的Firewall-HOWTO,我是在他的認可
<br>下對其改進的,在此我向他表示感謝.
<p>近年來,防火墻在internet安全中得到了極大的青睞.和其他備受青睞的事物一樣,隨之產
<br>生了許多誤解.這篇HOWTO的文章將介紹防火墻,代理服務器的概念及安裝.以及防火墻技
<br>術在安全領域以外的應用.
<p>1.1 讀者反饋
<br>
<p>歡迎讀者各種形式的反饋.請隨時指正本文的任何不當之處!!!我非完人,錯誤難免.但我
<br>會非常樂意修正所有您指出的不當之處.我會盡量回復每一封e-mail,但若因繁忙可能延
<br>遲回復,請見量.
<br>
<p>我的email地址是: <a href="mailto:markg@netplus.net">markg@netplus.net</a>
<br>
<p>[譯者注:譯文中一定有很多錯誤是由譯者造成,同樣歡迎來信指正:
<br>
<a href="mailto:netium@writeme.com]">netium@writeme.com]</a>
<br>
<p>1.2 聲明
<br>
<p>本人不對基于本文的任何行為造成的結果負責.這份文檔的本意是介紹防火墻和代理服務
<br>器的工作原理.我不是,也無意裝作是一個安全專家.我只是一個愛計算機甚于大多數人的
<br>書蟲.寫這份文檔來幫助人們熟悉這個主題,但并不打算讓它來支配我的生活.
<br>
<p>[譯者聲明: 我同樣不對基于本文的任何行為造成的結果負責. 我只是一個大四的學生,
<br>在翻譯本文之前僅對防火墻有最初步的了解, 翻譯這份文檔是為了讓更多的人了解并有
<br>效的使用linux和防火墻,而不打算承擔額外的責任]
<p>1.3 版權聲明
<p>除非另外聲明,linux HOWTO文件的版權屬于他們各自的作者.linux HOWTO文件可以被部
<br>分或整體的以任何媒體傳播,前提是必須附加此版權聲明.也允許和鼓勵商業性的散發和
<br>復制,但必須事先通知作者.
<br>
<p>所有linux HOWTO的翻譯,派生文檔必須附帶此版權聲明.即,你不能對任何派生文檔附加
<br>任何限制.有些情況可作為例外處理,但必須征得linux HOWTO維護組織
<br>(linux HOWTO coordinator)的認可.
<br>
<p>簡言之,我們希望在保留linux HOWTO版權的同時,以盡量多的途徑促進它的傳播,并樂于
<br>看到任何的關于linux HOWTO的傳播計劃.
<p>如果有問題,可以聯系 Mark Grennan<<a href="mailto:markg@netplus.net>">markg@netplus.net></a>
<br>
<p>[譯注:譯者不是法律專業人員(連法律專業的輟學生都不是:),無意糾纏字里行間的法律
<br>因素,在此附上原文,有任何出入,請以原文為準!
<p>Unless otherwise stated, Linux HOWTO documents are copyrighted by their
<br>respective authors. Linux HOWTO documents may be reproduced and distributed
<br>in whole or in part, in any medium physical or electronic, as long
as this
<br>copyright notice is retained on all copies. Commercial redistribution
is
<br>allowed and encouraged; however, the author would like to be notified
of
<br>any such distributions.
<p>All translations, derivative works, or aggregate works incorporating
any Linux
<br>HOWTO documents must be covered under this copyright notice. That is,
you may
<br>not produce a derivative work from a HOWTO and impose additional restrictions
<br>on its distribution. Exceptions to these rules may be granted under
certain
<br>conditions; please contact the Linux HOWTO coordinator.
<p>In short, we wish to promote dissemination of this information through
as many
<br>channels as possible. However, we do wish to retain copyright on the
HOWTO
<br>documents, and would like to be notified of any plans to redistribute
the
<br>HOWTOs.
<p>If you have any questions, please contact Mark Grennan at <<a href="mailto:markg@netplus.net>.">markg@netplus.net>.</a>
<p>]
<br>
<p>1.4 寫作動機
<br>
<p>雖然近年來在comp.os.linux.*新聞組中對防火墻有了相當多的討論,我仍然發現很難找到
<br>關于建立防火墻的足夠資料. 這份文章早先版本是非常有幫助的,但還不夠充分,本文通過
<br>對David Rudder的 Fire WallHOWTO的改進,為使人們能在短時間內掌握建立防火墻所需的
<br>信息.
<p>1.5 未完成部分
<p>*關于設置客戶端的說明.
<p>*為linux找一個支持UDP的代理服務器(譯注:現以解決)
<br>
<p>1.6 深入閱讀
<p>The NET-2 HOWTO
<p>The Ethernet HOWTO
<p>The Multiple Ethernet Mini HOWTO
<p>Networking with Linux
<p>The PPP HOWTO
<p>TCP/IP Network Administrator's Guide by O'Reilly and Associates
<p>The Documentation for the TIS Firewall Toolkit
<p>
<p>Trusted Information System's (TIS) 的WEB節點收集了大量的有關防火墻的資料:
<p><a href="http://www.tis.com/">http://www.tis.com/</a>
<br>
<p>我正致力于一個名為"Secure Linux"的計劃,在我的站點收集任何關于建立一個安全的
<br>linux系統的資料.如果你對此有興趣,可以用e-mail跟我聯系.
<br>
<p>2.防火墻初探
<p>防火墻來自汽車工業上的一個術語,原指汽車上的隔離引擎和乘客的裝置,用以在引擎起
<br>火時保護乘客,但并不妨礙駕駛員對引擎的控制。
<p>計算機領域中的防火墻指得是用來保護內部網絡不受外部網絡(整個Internet)非法侵入
<br>的設備。
<br>
<p>從現在開始,我們把“防火墻計算機”簡稱為“防火墻”,指的是可同時訪問內部網
<br>Internet的計算機.內部網絡是不允許直接訪問internet,反之亦然。
<br>
<p>內部網的使用者要想訪問internet,必須先登錄到防火墻,才能進行訪問。
<br>
<p>最簡單的防火墻形式是一個連結兩個網絡的系統。如果你能 *完全信任你的所有用戶*,
<br>可以簡單地安裝一個linux(編譯內核時 *關掉* IP forwarding/gatewaying選項開關)
<br>并分配給每個用戶帳號,他們便可以登錄進來并進行telnet,ftp,讀取信件,或進行其它
<br>你所允許的internet訪問.根據這種配置,在你的內部網中唯一具有完全Internet連接能
<br>力的是防火墻.而內部網中的其余部分甚至可以不必設置缺省路由.
<br>
<p>但在此必須強調的是:你能夠 *完完全全信任你的所有用戶* ----我不推薦這種方案.
<br>
<p>2.1 防火墻的缺點
<br>
<p>"過濾型"防火墻很大程度上限制了外界對內部網的訪問,因為只有那些沒被過濾掉的服才
<br>能接受訪問.而對于代理防火墻,外部用戶可先登錄到代理服務器,再對內部網進行他們所
<br>允許的各種訪問.
<br>
<p>同時,隨著各種新網絡客戶和服務器類型的不斷涌現,在使用它們之前,你必須找到控制訪
<br>問的新方法.
<br>
<p>2.2 防火墻的類型
<p>有兩種類型:
<p>1.IP包過濾防火墻---只允許指定的網絡傳輸.
<p>2.代理服務器----為你代理網絡連接.
<p>2.2.1 IP包過濾防火墻
<p>IP包過濾防火墻運作在網絡傳輸包這一層。它通過對每個包所帶的源,目的地址,端口號及
<br>包的類型這些信息來控制對其的傳輸。
<br>
<p>這種類型的防火墻相當安全,但缺少跟蹤記錄手段。它可以有效阻止外部用戶的非法訪
<br>問,但卻不能給你任何信息關于誰在訪問你內部網絡的公共系統及誰通過內部網絡訪問
<br>Internet.
<p>過濾防火墻是純粹意義上的過濾器。使用過濾防火墻,你無法做到只讓特定的人來訪問
<br>你的內部服務器----除非你一下子給所有人(來自同一IP的人:譯注)同樣的訪問權.
<p>Linux從核心1.3.x起提供了對包過濾的支持.
<br>
<p>2.2.2 代理服務器(防火墻)
<br>
<p>代理服務器允許通過防火墻間接訪問INTERNET.一個很形象的比方,你可以先telnet到一
<br>臺機器上,再從那里telnet別的機器.唯一區別是代理服務器自動的.當你的客戶程序訪問
<br>防火墻時,代理服務器啟動自己的客戶程序,替你傳輸數據.
<br>
<p>正因為通過代理服務器復制了所有的通訊信息,它能夠記錄下所做的一切.
<p>對于這種類型的防火墻,最了不起的是,只要配置正確,它們是絕對安全的.它們不會讓有些
<br>人通過。 因為這種防火墻沒有直接的IP路由.
<br>
<p>3.防火墻的安裝
<br>
<p>3.1 硬件要求
<br>
<p>一臺16M內存的486-6/DX,并具有500M的Linux分區的計算機.裝有兩塊網卡,分別接到我們
<br>的專有局域網和一個我們稱之為"非軍事化區(DMZ)"的局域網.同時DMZ可通過一個路由器
<br>連到Internet.
<br>
<p>這是很典型的防火墻計算機配置.也可以用一塊網卡加一個PPP撥號接入Internet的MODEM.
<br>關鍵在于,防火墻必須具有兩個IP地址.
<br>
<p>現在已經有很多家庭小型局域網,通常有兩三臺機器組成.這時你就可以考慮把所有的
<br>MODEM裝到一臺Linux機器(可能是個老式的386),同時連接Internet。這樣,在一個人使用
<br>時,如果你有兩個modem,可能使連接速率加一倍!
<br>∶<i>-)</i>
<br>
<p>4.防火墻應用軟件
<p>4.1 可供選擇的軟件包
<br>
<p>如果你僅需要一個包過濾防火墻,則Linux加上基本的網絡包就足夠了.
<br>
<p>你所用的Linux發行包中有可能沒有隨帶一個IP Firewall Administration 的軟件包.
<br>
<p>IPFWADM在 :
<p><a href="http://www.xos.nl/linux/ipfwadm/">http://www.xos.nl/linux/ipfwadm/</a>
<br>
<p>如果你要的是一個代理防火墻,可能得選下面者之一:
<br>1.SOCKS
<br>2.TIS 防火墻工具包(FWTK)
<br>
<p>4.2 TIS 防火墻工具包與SOCKS的比較
<br>Trusted Information
<br>System(<a href="http://www.tis.com">http://www.tis.com</a>)出品了一系列實現防火墻的軟件.其功能與SOCKS基本類似,
<br>但設計策略不同.SOCKS一個程序就完成所有的INTERNET傳輸功能.而TIS為每個功能提供
<br>了單獨的程序.
<p>為進一步區別,我們以www和telnet為例來說明.對于SOCKS,我們只需設置一個配置文件
<br>和守護進程,就可以通過防火墻進行www和telnet-----以及其他任何一些你沒有被設置
<br>成禁止的訪問.但若使用TIS,你得為www和telnet設置各自的配置文件和守護進程.
<br>
<br>而其他的INTERNET訪問仍是被拒絕,直到你專門地為其作了設置.如果你沒對某種特定的
<br>功能(比如talk)設置守護進程,可以使用一個"plug-in(插件)"守護進程,但它既不靈活,
<br>也不象其他工具配置起來那么簡單。
<br>
<p>SOCKS容易編譯和設置,而且非常靈活;但如果你想規范內部用戶的管理,TIS提供了更好的
<br>安全性.兩者都能絕對禁止外部的非法訪問.
<p>
<br>5.準備Linux
<p>5.1 編譯內核
<br>
<p>先對Linux系統來一次'干凈'的安裝(我使用的版本是Redhat3.0.3,所有實例都基于該版本.)
<br>所裝的組件越少,系統的后門,安全漏洞就越少.所以只裝一個最小的系統就夠了.
<br>選擇一個穩定的內核.我使用Linux 2.0.14 kernel,本文檔的描述也基于其上.
<br>下一步是用適當的選項編譯內核.這時你可能需要參考Kernel HOWTO,Ethernet
<br>HOWTO,及NET-2 HOWTO.
<br>這里是'make config'過程中涉及到的跟網絡部分有關的選項
<p>1.在'Gernal setup'中
<p> 1.Networking Support-->On
<p>2.在'Networking Options'中
<p> 1.Networkfirewalls--> On
<p> 2.TCP/IP Networking--> On
?? 快捷鍵說明
復制代碼
Ctrl + C
搜索代碼
Ctrl + F
全屏模式
F11
切換主題
Ctrl + Shift + D
顯示快捷鍵
?
增大字號
Ctrl + =
減小字號
Ctrl + -