相信大家一定很想自己做一個企業(yè)級應用得防火墻，看到大家在論壇上常常問到類似得問題，現(xiàn)在我將我自己身邊得一個防火墻企業(yè)級應用實例共享出來，希望能幫到需要幫助得朋友。
第一篇：網(wǎng)絡接入情況
現(xiàn)在很多企業(yè)有的是用專線接入，有的是用ADSL 接入，但最終結(jié)果都是一樣，就是在互聯(lián)網(wǎng)上有一個公網(wǎng)IP（或者一個網(wǎng)段）得Route 到你得網(wǎng)關服務器上或者接入路由器上。 好了，知道了這點我就來說一下互聯(lián)網(wǎng)得接入這一部分，我以專線接入為例子：
當你是專線接入得時候，一般都會有一個專線接入單，上面會有如下相關信息：
1.1、你得IP地址范圍
1.2、用戶端接入IP，以及局端IP
1.3、從上圖中我們可以看出：
1.31、ISP分配給你得是一個C類公網(wǎng)地址
1.32、用戶端得接入IP 是 192.168.5.1，局端IP 是 192.168.5.2
好了，下面是我要重點說得了，很多人以為在一個防火墻得外網(wǎng)接口上一定得綁定公網(wǎng)IP，其實這是一個錯誤得認識，其實只要有 Route 信息，你就可以上互聯(lián)網(wǎng)。怎么以上面得圖為例子，在 ISP 商得路由器那頭，就是綁定 192.168.5.2 那個路由器一定有一個 Route 信息是這樣得：

ip route 211.111.111.0/24 via 192.168.5.1

通常得做法就是像如圖一樣在Route B 得以太網(wǎng)口處幫定一個公網(wǎng)IP 211.111.111.1 ，然后大家以這個為網(wǎng)關上網(wǎng)，通常會先接入防火墻，然后后面接局域網(wǎng)用戶。
解說：
這是一個很典型得企業(yè)應用，我想我說得沒錯吧，但是我覺得這里面有幾個不好得地方：
1）就是公網(wǎng)IP不能很好得管理，在 Firewall 和 Route B 之間是通過公網(wǎng)IP 連接得，比如通過交換機連接，這樣如果有人在交換機上接一個計算機自己隨意綁定公網(wǎng)IP 就可以上網(wǎng)了。
2）這是一個C類得IP ，在Firewall 上需要綁定很多公網(wǎng)IP ，才能使用這些IP ，這樣管理有很多弊端。
好了，說了這么多，下面引入正題，就是分享一下我得防火墻得實際解決方案。（續(xù)看第二篇）
第二篇：網(wǎng)絡結(jié)構得設計
對于一個C類得公網(wǎng)IP 我們可以重新設計一個網(wǎng)絡拓撲：
2.1、方案一：就是不對C類網(wǎng)段分段，還是用一個網(wǎng)段
在 Route B 上添加兩條靜態(tài)路由：
ip route 211.111.111.0   255.255.255.128 192.168.1.2
ip route 211.111.111.128 255.255.255.128 192.168.1.3
這樣一來，我們就將一個 C類得公網(wǎng)IP 拆分成了兩個：
Firewall A 得IP 范圍是211.111.111.1-127
Firewall B 得IP 范圍是211.111.111.129-254
好了，網(wǎng)絡設計好了，下面我就以 方案一 我來講如何配置防火墻 (續(xù)看第三篇)
第三篇: 防火墻得實現(xiàn)
我選用的平臺是：
Redhat 8.0 + Shorewall 1.4.8 (其實就是基于iptables)， 有三塊網(wǎng)卡，以方案一為例。
可能很多朋友都不太清楚 shorewall （http://www.shorewall.net），我先介紹一下 shorewall ，其實他是一個基于 iptables 得一個防火墻，他得優(yōu)點在于配置方便，便于管理，用它很容易就能配出一個企業(yè)級得防火墻策略。
這里我說一下我個人觀點，iptables 得命令過于復雜和麻煩，在管理方面和可讀性方面比較差，我個人認為我們作為一個網(wǎng)管得精力應該放在如何設計防火墻策略，而不要陷身于一個命令得寫法上。好了，廢話不說了。
安裝好 Redhat 8.0 ,并裝好三塊網(wǎng)卡后，下載 shorewall 的rpm 包shorewall-1.4.8-1.noarch.rpm（或者 tar 包都可以）
3.1、安裝

#rpm -ivh shorewall-1.4.8-1.noarch.rpm

3.2、配置
shorewall 得所有配置文件都在 /etc/shorewall 下面，好了我將詳細得講解如何配置 shorewall
這里我們假設 DMZ區(qū)域有如下一些的服務器：
mail server: 10.1.2.2/24 公網(wǎng)地址：211.111.111.2
pptp vpn server: 10.1.2.3/24 公網(wǎng)地址：211.111.111.3
dns server：10.1.2.4/24 公網(wǎng)地址：211.111.111.4
http server: 10.1.2.5/24 公網(wǎng)地址：211.111.111.5
在 /etc/shorewall 可以看到有很多配置文件，我只講我們要用到的配置文件，其它得很少用到；大家可以自己去看幫助，很好理解得
zones (定義防火墻得區(qū)域)
interfaces （定義接口）
masq (定義偽裝IP)
policy （定義默認策略）
rules （定義防火墻規(guī)則）

共2頁: 1 [2] 下一頁