论文导读::本文介绍了m0n0wall软件的特点,分析了该软件和硬件路由器相比较的优势,提出了用淘汰落后的计算机硬件结合该软件完全可以配置出稳定性、易用性、可维护性、性价比等方面俱佳的方案,经过在实践中的使用达到了满意的效果,不仅为单位节约了购置经费,提高了管理人员的业务管理水平,而且为今后的实验教学探索了一条新的思路。
论文关键词:m0n0wall,路由器,防火墙,配置
0 引言
越来越多的局域网通过各种各样的方式连入Internet,应用TCP/IP协议访问Internet资源。通过路由器共享高速宽带网络是节省网络资源的有效手段,由于带机数量庞大,性能要求高,企业级路由器往往价格不菲。如果选购一款软路由产品,将它安装到PC上,打造一台高性能路由器,成为企事业单位“节流”非常有效的方法。路由器(Router)是Internet网中最重要的连接设备之一,是连接多个网段具有多个网络接口的网络节点,它工作在IP协议的第3层[1]。路由器对它所收到的每一个IP数据包检查其源地址和目标地址,然后根据相应的网络路由表及路由规则来转发IP数据包[2]。
防火墙(Firewall)大体上可以分为两类:一类基于包过滤(Packetfilter),另一类基于代理服务(ProxyService)[3-5]。包过滤通常基于IP Packet的源或目标IP地址或TCP端口。基于包过滤的防火墙又被称为基于路由器的防火墙。Linux中就提供了使用包过滤原理的防火墙软件包[6]。路由器可以是专用的商业路由器,也可以是具有多个网络接口和路由功能的计算机。虽然一般的商用路由器可以实现一定的防火墙功能,但用一台装有linux操作系统的计算机实现的路由器同样具有防火墙功能[7],甚至比许多商用路由器更为灵活。本文要实现的是一种在Linux系统上基于包过滤的防火墙路由器。
1 软路由的特点
 通常市场上销售的路由器多是硬件路由器,简称硬路由,它以特殊的硬件设备如路由处理器、嵌入式软件、闪存等来提供路由功能[8]。而软路由则是指利用台式电脑配合路由软件组成路由解决方案[9],从外表上来看它就是一台安装了几块网卡的普通电脑,不过它运行的并非Windows操作系统,而是专业的路由系统。当然在Windows操作系统下也可组建软路由,如微软的ISA Server系统就是软路由系统,但ISA Server系统对计算机硬件配置要求较高[10],故基于Unix/Linux平台的软路由产品配置,如RouterOS、m0n0Wall、Smoothwall、CoyoteLinux等更受用户欢迎[11]。
由于无需专业的路由处理器、闪存等硬件支持,所以软路由解决方案要比硬路由方案便宜许多,其价格往往只有硬路由产品价格的30%左右甚至更低。使用软路由产品不仅仅是为企事业单位省钱,它还具有很多优点。
1、软件更新快,支持最新技术
软路由产品大多是“开源”软件产品,所以产品更新迅速,并且可以支持最新的路由技术,有分布在世界各国的程序员在为软路由产品“缝补”漏洞及开发新功能。如支持网内用户以PPoE方式连接到路由器以防范ARP攻击的功能。
2、废旧电脑再利用
基于Unix/Linux平台的软路由产品对计算机硬件配置要求非常低,甚至486/586级电脑也可流畅运行软路由软件。但市场上的硬路由动辄上万元,甚至几万几十万元也不足为奇。“开源节流”是所有成功企业的管理和制胜之道,对于事业单位,高等院校的“节流”也同样重要。当前国力虽然有所提升,但高校的设备经费依然比较紧张,很多事业单位的计算机5-6年就满足报废的条件[12],每年各高校淘汰大量计算机,仍有许多计算机性能稳定,还可以正常运行,只是已经不能满足操作系统和应用程序日益夸张的硬件性能需求。如不充分利用这些计算机提高利用率,必然造成国家固定资产的浪费。因此高校利用淘汰计算机架设防火墙路由器具有非常重要的现实意义cssci期刊目录。值得一提的是,许多软路由产品运行后甚至不需要显示器、键盘、鼠标,将更环保。
3、可为单位或部门量身定做,功能更强大
由于具有垄断优势,硬路由厂商大多不会针对个别企业设计路由功能,如添加公司徽标、增加消息公告模块、个性化路由管理页面等,而软路由产品则可以在企业的要求下为企业量身定做相关功能。同时,许多企事业单位配备有专职网络管理员,采购软路由软件产品后还可由他们直接安装到PC上,既能提高网管员技术水平又能进一步节约企事业单位的资金,何乐而不为?
2 m0n0wall概述
2.1 基本功能
m0n0wall是基于FreeBSD内核开发的免费软件防火墙[13]。m0n0wall提供基于Web的配置管理、提供VPN功能、支持DHCP Server、DNS转发、动态DNS、Ipsec、流量控制、无线网络支持等功能,其中一些功能还是很多昂贵商用防火墙中的功能,主要包括[14-16]:
?WEB界面(支持SSL)
?用于恢复系统的串口界面
?设置LAN IP地址
?恢复初始默认设置
?无线支持(Accesspoint with PRISM-II/2.5/3 cards, BSS/IBSS with other cards including Cisco)
?上网认证(Captiveportal)
?支持802.1QVLAN
?基于状态的包过滤
?Block/Pass规则
?日志
?NAT/PAT(包括1:1)
?在WAN口上支持DHCP客户、PPPoE、PPTP和Telstra BigPond Cable
?IPsec VPN隧道(IKE,支持硬件加密卡,移动客户和证书)
?PPTP VPN(支持RADIUS 服务器)
?静态路由
?DHCP服务器与中继
?缓存DNS 转向器
?动态DNS客户端与 RFC 2136 DNS更新器
?SNMP代理
?流量整形(带宽限制)
?基于SVG的流量图
?可以通过WEB界面进行固件升级
?唤醒LAN客户
?配置文件备份/恢复
2.2 安全性
m0n0wall根据规则来确定允许什么样的包进出本网络。简单说来,防火墙就是一对开关,一个开关允许包通过,另一个开关禁止包通过。防火墙系统一般都会附加审计跟踪、加密认证、地址伪装和VPN等多种功能。作为一个安全开关,防火墙可定义的安全策略有两个:
(1)一切未被允许的都被禁止;
(2)一切未被禁止的都被允许。
显然,策略1的安全性明显高于策略2,但它是以牺牲灵活性和可访问资源为代价来提高安全性的。通常策略的优先级别按顺序进行,可以这样理解:
(1)由上至下:策略按由上开始往下执行;
(2)匹配优先:最先匹配的策略会立即执行;
(3)默认禁止:不可见的最后一条默认策略是禁止。
3 硬件需求
3.1 支持的硬件架构[16]
m0n0wall可以运行在任何标准X86 PC,只要求具备两个网络接口。m0n0wall目前只支持X86架构。所支持的设备包括标准的PC设备及各种嵌入设备。FreeBSD所支持的平台可以阅http://www.freebsd.org/platforms/index.html。其中列出的某些平台还不能工作,如MIPS。
3.2 支持基于PC的硬件
3.2.1 最低要求
任何486或更高的CPU就足够运行m0n0wall。具体需要多少主频的CPU才满足需求,取决于多种因素,包括互联网的接入带宽、所需要的并发连接数、使用什么功能等,对于大部分应用,486或PentiumCPU就足够了。64M RAM是官方建议的最少配置,据m0n0wall的CD版本报告在32MB内存机器中也运行得很好。当使用m0n0wall的CF(Compact Flash)或硬盘版本配置,少于64MB内存时升级将失败,因为m0n0wall在RAM中保存所有内容,当内存耗尽,没有任何后援内存支持。
3.2.2 建议的BIOS修改
需要修改一些BIOS设备,才能让m0n0wall正确地工作。
1、Plug and Play OS
通过关闭主板的该选项,把分配系统资源的工作留给BIOS去做而避免增加操作系统的额外开销。因此BIOS负责分配资源m0n0wall运行效率最高。
2、禁止不必要的设备
应在BIOS中禁止所有不必要的设备,以及其它不使用的设备。
3.2.3 存储介质
m0n0wall 可以安装在CF卡、硬盘、或CD,配一软驱保存配置。
CF卡需要至少8M,一般的IDE或SCSI硬盘都可以(只要是FreeBSD支持的磁盘控制器)。若使用几十GB容量的硬盘不免有些浪费,但使用比较旧的硬盘又很难保证运行的稳定性,目前大容量的CF存储卡价格普遍在百元左右,使用CF存储卡代替硬盘效果会更好。
任何IDE、SCSI、CD-ROM/DVD驱动器都可以启动m0n0wall。网卡是一个影响性能的重要因素。性能差的网卡会令CPU忙于中断处理,使CPU成为性能的瓶颈。性能好的网卡可以增加最大吞吐量两倍到三倍,甚至更多。Intel Pro/100和Pro/1000在m0n0wall中显示最佳的性能和最稳定,一些差的网卡,如使用Realtek芯片,相比之下性能显得很差。
1/2 1 2 下一页 尾页 |
