|
||||
1、在一臺Linux主機上安裝2塊網卡ech0和ech1,給ech0網卡分配一個內部網的私有地址191.168.100.0,用來與Intranet相連;給ech1網卡分配一個公共網絡地址202.101.2.25,用來與Internet相連。
2、Linux主機上設置進入、轉發、外出和用戶自定義鏈。本文采用先允許所有信息可流入和流出,還允許轉發包,但禁止一些危險包,如IP欺騙包、廣播包和ICMP服務類型攻擊包等的設置策略。
具體設置如下:
(1)刷新所有規則
(2)設置初始規則
(3)設置本地環路規則
本地進程之間的包允許通過。
(4)禁止IP欺騙
(5)禁止廣播包
(6)設置ech0轉發規則
(7)設置ech1轉發規則
將規則保存到/etc/rc.firewallrules文件中,用chmod賦予該文件執行權限,在/etc/rc.d.rc.local中加入一行/etc/rc.firewallrules,這樣當系統啟動時,這些規則就生效了。
通過以上各步驟的配置,我們可以建立一個基於Linux操作系統的包過濾防火牆。它具有配置簡單、安全性高和抵御能力強等優點,特別是可利用閑置的計算機和免費的Linux操作系統實現投入最小化、產出最大化的防火牆的構建。另外,如果在包過濾的基礎上再加上代理服務器,如TIS Firewall Toolkit免費軟件包,還可構建更加安全的復合型防火牆。