| 但是,要想打造的路由防火墙可以满足现在或将来企事业单位网络应用带宽和安全防范能力的需求,还是应当选择性能高一些的硬件来定制一台适合企业网络应用需求的路由防火墙设备的。
4 基于m0n0wall的路由型防火墙的架结
m0n0wall的网络配置及IP分配规划见图1。
图1 基于m0n0wall的防火墙路由器拓扑图
配置该架构路由防火墙采用联想开天4610主机,用两块网卡,一块为主板集成网卡intel Pro/100VE,另加一块intel 82559/100服务器网卡,外网用前者,内网用后者。IP、子网掩码、网关的分配见图中所示,m0n0wall版本为1.32。
5 m0n0wall路由器和防火墙的安装和配置
5.1 软件安装
m0n0wall的安装非常快捷方便,下面对安装菜单进行简单介绍。
1、Interfaces:assign network ports(网卡:指定网络端口,用哪一块网卡连接WAN,哪一块网卡连接LAN。)
2、Set up LAN IP Address(设定LAN网卡的IP地址,即内网的网关)
3、Reset webGUI Password(重设webGUI密码,默认为mono)
4、Reset to factory defaults(恢复成出厂设置)
5、Reboot system(重新启动)
6、Ping host
配置是按以上的顺序进行,首先键入1并回车。系统提示是否设置对VLAN(虚拟局域网)的支持,有此需要时选“Y”,否则回答“N”,系统接着提示:“Enter the LAN interface name or 'a' forauto-detection:”(输入LAN网卡名称或输入a自动检测),在这里输入“fxp0”,回车后系统再提示“Enter the WAN interface name or 'a' forauto-detection:fxp1”,回车后系统再提示“Enter the Option 1 interface name or 'a' forauto-detection(or nothing if finished):”按回车键。从提示通常分不清哪块网卡是连接到WAN,哪块网卡连接LAN,可以采取单接WAN或LAN连线的方法,连线正常的会有up显示。
提示The firewall will reboot after saving thechanges. Do you want to proceed?(y/n)输入Y,系统将重新启动。
最后又回到了一开始启动完成的界面,安装第一步基本完成。
5.2 配置与管理
当m0n0wall重新启动后,可通过WEB的方式来远程管理和重新设置。在与m0n0wall路由防火墙相连接的内部局域网中,选择任意一台安装有浏览器的主机,在浏览器地址栏中输入:https://192.168.11.1,与m0n0wall建立连接之前,会弹出一个安全提示对话框配置,点击“是”后就会出现登录界面。在登录界面中的用户名文本框中输入默认的WEB管理员帐户“admin”,在密码文本框中输入在安装过程中设置的管理员登录密码,按“确定”按钮后,即可使用SSL加密的方式访问m0n0wall,会出现m0n0wall WEB管理主界面。有System、Interfaces、Firewall、Services、VPN、Status和Diagnostics七个菜单,每个菜单项中又包含用来设置各种网络功能的子菜单项,选择其中的某个子菜单项就可以进入其设置界面。下面,通过来一些基本的设置来完成路由防火墙常用功能。
5.2.1 静态IP设置
通过m0n0wall WEB管理界面中的“Interfaces\WAN”就可进入Static静态IP的配置界面,如图2所示。
在此界面Type下拉框中选择“Static”,在Static IP configuration框中的IP adress文本框中输入外网的IP地址、子网掩码、网关,然后按“Save”按钮保存设置,就完成了Static静态IP设置。
图2 Static设置界面
5.2.2 静态路由设置
图3 静态路由设置界面
静态路由的设置很简单如图3,主要设置网络端口、目标网络和网关三项内容。
5.2.3 DHCP设置
WEB管理界面中的“Services\DHCP servers”可进入DHCP设置界面。将m0n0wall路由防火墙作为企业内部局域网的DHCP服务器,能够防止局域网内部主机产生IP地址冲突,减少手工设置IP地址的麻烦cssci期刊目录。DHCP服务器的所有设置可在此界面的DHCP框中进行:在Start Address文本框中输入起始IP址,如192.168.11.10;End Address文本框中输入结束IP地址,如192.168.11.210。如果想让m0n0wall路由防火墙作为内部局域网的DNS服务器,那么可在Reservations添加连接内网网卡的MAC address及IP地址,如192.168.11.11,反之不填。至于缺省释放时间(Default lease time)和最长释放时间(Max lease time)可以保持其默认值不变,然后选择“Enable”多选框以启用DHCP服务。完成所有设置后,并保存。
5.2.4 出口访问控制(WAN)
m0n0wall的出口访问控制允许限制局域网中的主机可以访问的外部服务,例如只允许企业局域网内的主机访问互联网上的WEB、电子邮件和阅读新闻等服务,这样就可以防止内部员工在工作时间进行其它与工作不相关的网络操作,也就减少了感染木马等带来的安全风险。可以通过下面的方式添加相应的出口访问规则:
在m0n0wall WEB管理界面中的“Firewall\Rules”的WAN选项框中,缺省情况下,WAN接口将接拦截所有来自私有网络的IP包,如果WAN接口本身位于私有网络,则应在Interfaces的WAN中取消:阻止私有网络选项。
系统按照规则列表顺序进行规则匹配,如果设置了BLOCK规则,则应该特别注意其顺序,通常防火墙规则是按照优先次序进行的,先执行次序中排前的规则,然后执行次序靠后的规则。
5.2.5 内网访问控制(LAN)
m0n0wall的内网访问控制,允许指定DMZ区域或无线网络中某台主机可以访问内部局域网中某台主机的指定服务。通常,DMZ区域和无线网络中的主机都不被内网信任的,如果这些区域中的主机需要访问内网主机上的服务,为了增加安全性,可以通过内网访问控制来限制可以访问的内网主机或可访问的服务。
WEB管理界面中的“Firewall\Rules”如图4所示的界面,在Add a new rule选项框中的Source文本框中输入源IP地址,是DMZ或无线网络中主机使用的IP地址;Protocol下拉框中选择一种连接协议如TCP协议;Destination IP文本框中输入允许访问的内网主机的IP地址;Application or Service(s)下拉框中选择允许访问的服务;Destination Port文本框中输入允许访问的内网主机上的目标端口,确保“Enable”多选框已经被选择,然后通过“Add”按钮可以添加一条内网访问控制规则。编辑一条已存在的规则,可点击按钮e。
图4 内网访问控制界面
5.2.6 系统状态监视
如果想查看m0n0wall的系统运行状态,我们可以通过WEB管理界面中的“Status\System”来打开如图5所示的界面。在此界面中我们可以看到这台路由防火墙的版本号、内存使用情况、安装时间、上线时间、无线网络、流量图及各个网络接口卡的状态等信息。
图5 系统状态监视界面
5.2.7 ARP代理
ARP代理功能是指一个网络接口可以代其它IP(不仅是它自已的IP)作ARP应答。可以用于1:1NAT、高级转出NAT和服务器NAT时。如果WAN子网路由畅通或使用的是PPPoe/PPTP,就不需要作此设置。只在WAN接口是按静态IP地址或DHCP配置时才需要。
5.2.8 日志管理
m0n0wall给用户提供了易于使用的各种日志查看和备份功能,例如想查看防火墙某个时段产生的日志配置,就可以通过其WEB管理界面的“Logs\Firewall”来打开如图6所示的界面。在此界面中的Log选项框中分别记录了System/Firewall/DHCP中主机的活动情况。
如果想将防火墙日志进行备份,可以在此界面的Settings选项框中配置远程系统日志服务器,需要设置日志服务器的IP地址和端口(默认端口为514),同时也需要在远程安装日志管理工具进行相应的设置,如WallWatcher或Kiwi Syslog Server,为要保存的日志文件指定保存位置。
图6 防火墙日志管理界面
m0n0wall还有许多其它的网络功能,例如端口转发、IDS、QoS、VPN,以及WEB、IM、POP3代理和流量监控等功能,由于功能较多,限于篇幅不能全部详细描述,但这些功能的设置都很简单,操作方便,还可通过用户手册得到相应的帮助说明。因此,就不在本文中再对这些功能做特别的说明,用户可在实际的使用过程中,去体会和发现,定有更多意想不到的惊喜。
7 结束语
m0n0wall以其方便稳定的特点给大中型机房的管理带来了极大的方便,经过长时间的运行测试,证明它在易用性方面优于Linux系统,而在稳定性方面强过Windows系统,很好地满足了机房管理人员的需求。总的来说,通过企事业单位淘汰下来的计算机与m0n0wall路由防火墙软件的优化组合,完全可以配置一台功能强大免费的路由防火墙设备。这台由我们自己量身定制的路由防火墙设备,足以胜任现在许多单位部门网络连接和网络安全防范的需求。同时在此基础上,高校可开设一些相关实验课程,不仅充分利用了旧机器,节约了设备经费,而且教师的教学实验摘要教学目标。
参考文献:
[1]百度百科.路由器[DB/OL].(2010-12-27)[2010-12-30].http://baike.baidu.com/view/1360.htm.
[2]梁华.Linux环境下软路由器的设计与实现[J].洛阳理工学院学报(自然科学版),2009,19(4):76-78.
[3]Michael Rash.LINUXFIREWALLS[M].San Francisco:William Pollock,2007.
[4]百度百科.防火墙[DB/OL].(2010-12-25)[2010-12-30].http://baike.baidu.com/view/3067.htm.
[5]曹汉平,冯启明,吴春蕾.Linux防火墙技术研究[J].武汉理工大学学报(交通科学与工程版),2002,26(1):120-122.
[6]Wikipedia.Firewall(computing)[DB/OL].(2010-12-20)[2010-12-22].http://en.wikipedia.org/wiki/Firewall_(computing).
[7]Carla Schroder.Linux NetworkingCookbook[M].Sebastopol:O'Reilly Media,Inc.,2007-11:36-203.
[8]Wikipedia.Router[DB/OL].(2010-12-20)[2010-12-22].http://en.wikipedia.org/wiki/Router.
[9]赵琳.LINUX路由工程的应用与实现[J].滨州师专学报,2003,19(4):73-75.
[10]Microsoft Corporation.ISAServer 2006 性能最佳操作[EB/OL].(2010)[2010-12-24].http://www.microsoft.com/china/technet/prodtechnol/isa/2006/perf_bp.mspx.
[11]刘涛,李佩铎.浅谈软路由和硬路由[J].电脑知识与技术,2010,(02):298.
[12]中国政府网.国管局关于印发《中央国家机关办公设备和办公家具配置标准(试行)》的通知[EB/OL].(2010)[2010-12-24].http://www.gov.cn/gongbao/content/2010/content_1555980.htm.
[13]ManuelKasper.m0n0wall[EB/OL].(2010)[2010-12-24].http://m0n0.ch/wall/.
[14]百度百科.m0n0wall[DB/OL].(2010-11-13)[2010-12-24].http://baike.baidu.com/view/808230.htm.
[15]Wikipedia.m0n0wall[DB/OL].(2010-7-28)[2010-12-24].http://en.wikipedia.org/wiki/m0n0wall.
[16]Chris Buechler,KasperManuel.m0n0wall Handbook[M/OL]. m0n0wall DocumentationProject,(2008)[2010-12-24].http://doc.m0n0.ch/handbook/.
2/2 首页 上一页 1 2 |
