欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

隨著(zhù)網(wǎng)絡(luò )應用的不斷發(fā)展和深入，我們對于那些溝通信息的紐帶也越來(lái)越依賴(lài)，如何保證網(wǎng)絡(luò )安全、穩定、暢通地運行也就成為緊迫而且重要的問(wèn)題。
   
    鑒于目前防火墻已經(jīng)成為最普遍的網(wǎng)絡(luò )安全解決方案，在這里我們就主要討論如何建立一個(gè)安全的防火墻系統。
　　
　　防火墻是什么東西呢？它相當于一個(gè)閥門(mén)，一個(gè)過(guò)濾器或者說(shuō)國家的海關(guān)、邊防檢查站，負責審查經(jīng)過(guò)的數據和信息，根據設定的規則處理不同的情況。由此可見(jiàn)，建立一個(gè)安全的防火墻系統并不僅僅取決于購買(mǎi)了什么牌子的設備，更重要的是在于使用者是否了解本企業(yè)網(wǎng)絡(luò )的情況、掌握用戶(hù)的實(shí)際需求并正確地付諸實(shí)施。
　　
　　目前防火墻主要有三類(lèi)：建立在通用操作系統上的軟件防火墻、具有安全操作系統的軟硬件結合的防火墻和基于專(zhuān)用安全操作系統的硬件防火墻。代表產(chǎn)品有Check Point、東大阿派Neteye、Linux下的IPChains、Cisco的PIX等等。
　　
　　目前的防火墻從結構上講，可分為兩種：
　　
    1.應用網(wǎng)關(guān)結構
　　
    內部網(wǎng)絡(luò )<—>代理網(wǎng)關(guān)(Proxy Gateway)<—>Internet。
　　
    2.路由器加過(guò)濾器結構
　　
    內部網(wǎng)絡(luò )<—>過(guò)濾器(Filter)<—>路由器(Router)<—>Internet。
　　
總的來(lái)講，應用網(wǎng)關(guān)結構的防火墻系統在安全控制的粒度上更加細致，多數基于軟件系統，用戶(hù)界面更加友好，管理控制較為方便；路由器加過(guò)濾器結構的防火墻系統多數基于硬件或軟硬件結合，速度比較快，但是一般僅控制到第三層和第四層協(xié)議，不能細致區分各種不同業(yè)務(wù)；有一部分防火墻結合了包過(guò)濾和應用網(wǎng)關(guān)兩種功能，形成復合型防火墻。具體使用防火墻則應該根據本企業(yè)實(shí)際情況加以選擇。
　　
　　下面我就用一個(gè)實(shí)際例子講解建立安全防火墻系統的過(guò)程。
　　
　　所有的內部網(wǎng)絡(luò )用戶(hù)通過(guò)兩個(gè)路由器連接防火墻，防火墻作為本網(wǎng)絡(luò )的唯一出口連接到Internet。內部網(wǎng)絡(luò )有兩個(gè)網(wǎng)段：192.168.1.0 /255.255.255.0和192.168.2.0 /255.255.255.0。
　　
在本例中，我使用的是基于Linux 的軟件防火墻 IPChains。它運行在系統內核，采用路由器加過(guò)濾器結構，但也可以與SQUID等軟件組成復合型應用網(wǎng)關(guān)防火墻。IPChains在系統內核層運行，可以保證更高的速度和穩定性，性能遠高于運行在應用程序層的防火墻軟件。根據我個(gè)人經(jīng)驗，一臺運行在PII300計算機上的雙網(wǎng)卡防火墻，其包轉發(fā)速度就可以達到45～60M/S，滿(mǎn)足300個(gè)用戶(hù)使用。作為防火墻的主機兩端地址分別為192.168.233.1/255.255.255.248（內部端口）和202.102.184.1/255.255.255.252（外部端口）。
　　
　　首先，我們應該確定用戶(hù)的需求，再根據需求進(jìn)行實(shí)現。
　　
　　經(jīng)調研，用戶(hù)需求如下：
　　
    1、保障內部網(wǎng)絡(luò )安全，禁止外部用戶(hù)連接到內部網(wǎng)絡(luò )。
　　
    2、保護作為防火墻的主機安全，禁止外部用戶(hù)使用防火墻的主機Telnet、FTP等項基本服務(wù)，同時(shí)要保證處于內部網(wǎng)絡(luò )的管理員可以使用Telnet管理防火墻。
　　
    3、隱蔽內部網(wǎng)絡(luò )結構，保證內部用戶(hù)可以通過(guò)僅有的一個(gè)合法IP地址202.102.184.1連接Internet。同時(shí)要求許可內部用戶(hù)使用包括E-Mail、WWW瀏覽、News、FTP等所有Internet上的服務(wù)。

    4、要求對可以訪(fǎng)問(wèn)Internet的用戶(hù)進(jìn)行限制，僅允許特定用戶(hù)的IP地址可以訪(fǎng)問(wèn)外部網(wǎng)絡(luò )。
　　
    5、要求具備防止IP地址盜用功能，保證特權用戶(hù)的IP不受侵害。
　　
    6、要求具備防IP地址欺騙能力。
　　
　　其次，根據用戶(hù)需求設計解決方案。
　　
　　方案設計如下：
　　
1、安裝一臺Linux服務(wù)器，配置雙網(wǎng)卡，兩端地址分別為192.168.233.1 /255.255.255.252（內部端口ETH0）和202.102.184.1/255.255.255.248（外部端口ETH 1）。在IPChains中去除諸如HTTPD、Finger、DNS、DHCP、NFS、SendMail之類(lèi)所有不需要的服務(wù)，僅保留Telnet和FTP服務(wù)，以保證系統運行穩定，提高網(wǎng)絡(luò )安全性。
　　
　　2、啟動(dòng)IPChains后，為保證安全性，首先將Forward Chains的策略設置為DENY，禁止所有的未許可包轉發(fā)，保障內部網(wǎng)安全性，以滿(mǎn)足需求1。
　　
    eg：# ipchains-P forward DENY
　　
　　3、為滿(mǎn)足需求2，必須禁止所有來(lái)自外部網(wǎng)段對防火墻發(fā)起的低于1024端口號的連接請求。在此，我做了如下設定來(lái)阻止對ETH1端口請求連接小于1024端口號的TCP協(xié)議的數據報（請求連接數據報帶有SYN標記，IPChains中使用參數-y表示）
　　
    eg：#ipchains -A input -p tcp -d 202.102.184.1 0:1024 -y -i eth1 -j DENY
　　
之所以不是簡(jiǎn)單的拒絕所有小于1024端口號的數據報在于，某些情況下服務(wù)器會(huì )回復一個(gè)小于1024接口的數據報。比如某些搜索引擎就可能在回復查詢(xún)中使用一個(gè)不常用的小于1024的端口號。此外，當使用DNS查詢(xún)域名時(shí)，如果服務(wù)器回復的數據超過(guò)512字節，客戶(hù)機使用TCP連接從53端口獲得數據。
　　
4、為滿(mǎn)足需求3，必須使用IP地址翻譯功能。來(lái)自?xún)炔勘Ａ舻刂返挠脩?hù)數據包在經(jīng)過(guò)防火墻時(shí)被重寫(xiě)，使包看起來(lái)象防火墻自身發(fā)出的。然后防火墻重寫(xiě)返回的包，使它們看起來(lái)象發(fā)往原來(lái)的申請者。采用這種方法，用戶(hù)就可以透明地使用因特網(wǎng)上的各種服務(wù)，同時(shí)又不會(huì )泄露自身的網(wǎng)絡(luò )情況。注意，對于FTP服務(wù)，需要加載FTP偽裝模塊。命令如下：
　　
    eg: # insmod ip_masq_ftp
　　
　　5、為滿(mǎn)足需求4，可以在已經(jīng)設置為DENY的Forward Chains中添加許可用戶(hù)。因為許可這部分用戶(hù)使用所有的服務(wù)，訪(fǎng)問(wèn)所有的地址，所以不用再指定目標地址和端口號。假定許可IP地址為192.168.1.22，配置命令如下：
　　
    eg: #ipchains-A forward-s 192.168.1.22 -j MASQ
　　
　　同時(shí)，必須啟動(dòng)系統的IP包轉發(fā)功能。出于安全的考慮，建議在設置了Forward Chains的策略設置為DENY，禁止所有的未許可包轉發(fā)后再開(kāi)啟轉發(fā)功能。
　　
　　配置命令如下：
　　
    # echo 1 > /proc/sys/net/ipv4/ip_forward
　　
6、關(guān)于防止IP地址盜用問(wèn)題，在本網(wǎng)絡(luò )拓撲中，可見(jiàn)所有用戶(hù)都是通過(guò)兩個(gè)路由器連接到防火墻，所以只需要在路由器中建立授權IP地址到MAC地址的靜態(tài)映射表即可。如果有客戶(hù)機直接連接到防火墻主機，就需要使用ARP命令在防火墻主機中建立IP地址到MAC地址的靜態(tài)映射表。
　　
　　7、對于需求6，只要在進(jìn)入端口中設定IP地址確認，丟棄不可能來(lái)自端口的數據包就可以了。配置命令如下：
　　
    # ipchains -A input -i eth1 -s 192.168.0.0/255.255.0.0 -j DENY
　　
　　至此，就算基本建立起來(lái)一個(gè)較為安全的防火墻了，再針對運行中出現的問(wèn)題進(jìn)行修改，調試無(wú)誤后就可以用ipchains-save命令將配置保存起來(lái)。需要再次使用時(shí)，用命令 ipchains-restore即可。
　　
　　其他的包過(guò)濾防火墻與IPChains的運行原理都相差不遠，配置命令也大同小異。市面上出售的防火墻雖然可以預置一些基本的內容，但由于最終用戶(hù)要求和環(huán)境千差萬(wàn)別，免不了要自己動(dòng)手配置。
　　
　　從上面的例子我們可以看出，建立一個(gè)安全的防火墻關(guān)鍵在于對實(shí)際情況的了解，對用戶(hù)需求的掌握和對工具的熟練運用與正確實(shí)施上，這是真正的重點(diǎn)。