作為一個(gè)系統(tǒng)��,其安全性在計(jì)劃網(wǎng)絡(luò)拓?fù)鋾r(shí)就應(yīng)該仔細(xì)考慮�,制訂安全性策略�����。此后在網(wǎng)絡(luò)實(shí)施和維護(hù)的每一個(gè)舉措都應(yīng)該嚴(yán)格執(zhí)行安全策略�。在企業(yè)的網(wǎng)絡(luò)中,Linux現(xiàn)在較多地扮演防火墻/路由器或服務(wù)器等重要角色��,Linux系統(tǒng)的安全決定了整個(gè)網(wǎng)絡(luò)的安全與否�。因此,了解相關(guān)的技術(shù)�����,并對Linux系統(tǒng)進(jìn)行安全設(shè)置是至關(guān)重要的。
使用保留IP地址
維護(hù)網(wǎng)絡(luò)安全性最簡單的方法是保證網(wǎng)絡(luò)中的主機(jī)不同外界接觸�。最基本的方法是與公共網(wǎng)絡(luò)隔離。然而�����,這種通過隔離達(dá)到的安全性策略在許多情況下是不能接受的�����。這時(shí)�,使用保留IP地址是一種簡單可行的方法,它可以讓用戶訪問Internet同時(shí)保證一定的安全性��。
RFC 1918規(guī)定了能夠用于本地 TCP/IP網(wǎng)絡(luò)使用的IP地址范圍�,這些IP地址不會(huì)在Internet上路由,因此不必注冊這些地址。通過在該范圍分配IP地址,可以有效地把網(wǎng)絡(luò)流量限制在本地網(wǎng)絡(luò)內(nèi)��。這是一種拒絕外部計(jì)算機(jī)訪問而允許內(nèi)部計(jì)算機(jī)互聯(lián)的快速有效的方法。
保留IP地址范圍如下所示��。
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.555
來自保留IP地址的網(wǎng)絡(luò)交通不會(huì)經(jīng)過Internet路由器�,因此被賦予保留IP地址的任何計(jì)算機(jī)不能從外部網(wǎng)絡(luò)訪問。但是�,這種方法同時(shí)也不允許用戶訪問外部網(wǎng)絡(luò)。IP偽裝可以解決這一問題�。
IP地址偽裝
保留IP地址不能在Internet上路由,因此使用保留IP地址的系統(tǒng)無法到達(dá)Internet�。但通過建立一個(gè)IP偽裝服務(wù)器(一臺(tái)Linux服務(wù)器)可解決這一問題。具有IP偽裝功能時(shí)��,當(dāng)數(shù)據(jù)包離開用戶計(jì)算機(jī)時(shí)�,包含有它自身的IP地址作為"源地址",在數(shù)據(jù)包經(jīng)過Linux服務(wù)器發(fā)送到外部世界時(shí)�����,會(huì)經(jīng)過一個(gè)轉(zhuǎn)換��。數(shù)據(jù)包的源地址改變成服務(wù)器的IP地物料管理流程址�����,而經(jīng)過轉(zhuǎn)換的數(shù)據(jù)包可以在Internet中完整路由��。服務(wù)器同時(shí)記錄哪個(gè)源地址的數(shù)據(jù)包發(fā)送到Internet上的哪個(gè)目標(biāo)IP地址��。當(dāng)數(shù)據(jù)包發(fā)送到Internet上之后��,它能夠到達(dá)其目標(biāo)地址并獲得其響應(yīng)。
這種設(shè)置有一個(gè)問題�����。因?yàn)閿?shù)據(jù)包的源地址被設(shè)置為服務(wù)器的IP�����,經(jīng)典短信而不是服務(wù)器后面用戶計(jì)算機(jī)的IP地址�����,所以來自外部計(jì)算機(jī)的響應(yīng)把發(fā)送到服務(wù)器��。因此��,為了完成數(shù)據(jù)包傳輸��,服務(wù)器必須搜索一個(gè)表��,以便確定該數(shù)據(jù)包屬于哪個(gè)計(jì)算機(jī)�����。然后把數(shù)據(jù)包的源地址設(shè)置為內(nèi)部網(wǎng)用戶計(jì)算機(jī)的地址,并發(fā)送到該地址�。這樣,使用保留IP地址的系統(tǒng)的數(shù)據(jù)包現(xiàn)在能夠在Internet上傳輸了��。IP偽裝也稱作網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation�����,NAT)�。
從用戶角度看�����,他有一個(gè)能夠完整路由的Internet連接�����。安全性由轉(zhuǎn)換表來保證�����,服務(wù)器保存有哪個(gè)用戶計(jì)算機(jī)與哪個(gè)外部Internet主機(jī)通訊的記錄�。如果某個(gè)黑客希望獲得對用戶計(jì)算機(jī)的訪問,幾乎是不可能的�。外部世界看到的惟一的IP地址是服務(wù)器的地址,其后所有的地址都被隱藏。即使有黑客向服務(wù)器發(fā)送數(shù)據(jù)包�,服務(wù)器也無法知道應(yīng)該把這個(gè)數(shù)據(jù)包發(fā)送到哪個(gè)用戶計(jì)算機(jī)。
默認(rèn)情況下�����,Linux 內(nèi)核內(nèi)置有IP偽裝功能�����。但是�,使用一個(gè)沒有內(nèi)置IP偽裝功能的內(nèi)核,則需要重新編譯��,裝載一些模塊�,然后設(shè)置數(shù)據(jù)包過濾規(guī)則以便允許轉(zhuǎn)換的進(jìn)行。為了讓IP偽裝能夠工作��,需要打開服務(wù)器的IP轉(zhuǎn)發(fā)功能�。在RedHat 6.x系統(tǒng)中,用戶可以通過把 /etc/sysconfig/network文件中的FORWARD_IPV4設(shè)置為yes而啟用IP轉(zhuǎn)發(fā)��。這里的討論假定用戶正在使用的內(nèi)核內(nèi)置有IP偽裝和轉(zhuǎn)發(fā)支持�����,并且安裝有IPchains。
為了把內(nèi)部網(wǎng)絡(luò)連接到外部世界�,需要在IP偽裝服務(wù)器上有兩個(gè)網(wǎng)絡(luò)接口。一個(gè)接口用于連接到內(nèi)部網(wǎng)絡(luò)��,而另一個(gè)接口用來把服務(wù)器(并通過IP偽裝把內(nèi)部網(wǎng)絡(luò))連接到外部世界��。因?yàn)檫@種服務(wù)器具有多個(gè)接口�����,所以經(jīng)常被稱為"多宿主"服務(wù)器�?�?梢詾檫B接到內(nèi)部網(wǎng)絡(luò)的網(wǎng)卡賦予一個(gè)保留IP地址�。例如:
#/sbin/ifconfig eth1 inet 192.168.1.1 netmask 255.255.255.0
這里�,假定連接內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò) 接口為eth1,并且內(nèi)部網(wǎng)絡(luò)中 的用戶計(jì)算機(jī)數(shù)小于253�。如果需要超過253個(gè)用戶計(jì)算機(jī),則可以增加網(wǎng)絡(luò)掩碼位數(shù)��,還可建立第二臺(tái)IP偽裝計(jì)算機(jī)�����,并把內(nèi)部網(wǎng)絡(luò)劃分為兩個(gè)子網(wǎng)。
把用戶計(jì)算機(jī)的IP地址配置為192.168.1.2到192.168.1.254�,并把所有用戶計(jì)算機(jī)的網(wǎng)關(guān)設(shè)置為192.168.1.1、網(wǎng)絡(luò)掩碼為255.255.255.0��,就可以從每臺(tái)用戶計(jì)算機(jī)上ping內(nèi)部網(wǎng)關(guān)了(192.168.1.1)�����。
這時(shí)��,所有的用戶計(jì)算機(jī)能夠互相通信�����,并能夠與IP轉(zhuǎn)換服務(wù)器通信�,但目前還不能從客戶計(jì)算機(jī)上到達(dá)外部世界,這需要在IP轉(zhuǎn)換服務(wù)器上定義一個(gè)過濾規(guī)則��。鍵入如下命令即可�����。
/sbin/ipchains -A forward -j MASQ -s 192.168.1.0/24 -d 0.0.0.0/0
/sbin/ipchains -P forward DENY
第一條命令對其目標(biāo)地址不是 192.168.1.0 網(wǎng)絡(luò)的IP數(shù)據(jù)包打開了IP偽裝服務(wù)�����。它把轉(zhuǎn)發(fā)最初來自192.168.1.0網(wǎng)絡(luò)的、經(jīng)過偽裝的IP數(shù)據(jù)包�����,并轉(zhuǎn)發(fā)到另一個(gè)網(wǎng)絡(luò)接口所連接的網(wǎng)絡(luò)的默認(rèn)路由器�。第二條命令把默認(rèn)的轉(zhuǎn)發(fā)策略設(shè)置為拒絕所有非內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包。這時(shí)�,用戶就可以從內(nèi)部網(wǎng)計(jì)算機(jī)上瀏覽并與Internet通訊,就像直接連接到Internet一樣可把上述命令放在/etc/rc.d/rc.local文件中�,這樣,在服務(wù)器開機(jī)時(shí)�����,就能自動(dòng)啟動(dòng)IP偽裝功能�����。
什么是防火墻
有時(shí)��,用戶不希望使用保留IP地址實(shí)現(xiàn)的"要么全有要么全無"的方法�。用戶可能希望能夠?qū)﹂_放其 Web 服務(wù)�����,但不允許其他類型的訪問?;蛘撸瑢τ诠镜姆?wù)器�,可能具有一項(xiàng)行政限制,雇員只能使用Internet發(fā)送E-mail�����。這兩種情況可以用防火墻來解決問題�。
"防火墻"是一臺(tái)計(jì)算機(jī),它能夠強(qiáng)制執(zhí)行某個(gè)策略��,用來限制公共網(wǎng)絡(luò)和私有網(wǎng)絡(luò)之間所傳遞的網(wǎng)絡(luò)交通類型�。大部分情況下,防火墻位于Intranet和Internet之間�����,可允許滿足特定條件的網(wǎng)絡(luò)交通通過�����,而拒絕其他的網(wǎng)絡(luò)交通�。防火墻可以非常開放,幾乎允許所有的交通通過�,或者非常封閉�����,只允許有限用戶的使用有限的服務(wù)��。防火墻管理員可通過規(guī)則集的配置而控制這一切�。
專門購買一臺(tái)防火墻計(jì)算機(jī)是很明智的選擇��。如果依賴防火墻控制著對內(nèi)部網(wǎng)絡(luò)的訪問�����,則需要確保防火墻足夠安全��。作為防火墻的計(jì)算機(jī)不僅僅是安全檢查站��,而且是內(nèi)部網(wǎng)絡(luò)到達(dá)外部世界的網(wǎng)關(guān)�����。黑客知道如果他們能夠控制防火墻��,他們就能夠訪問內(nèi)部網(wǎng)絡(luò)�����。正因?yàn)槿绱?,需要緊閉門戶。防火墻安全性的一些基本方針如下(具體請參考檢查自己的系統(tǒng)一節(jié)):
關(guān)閉所有不必要的服務(wù)�。首先應(yīng)考慮關(guān)閉sendmail、finger��、netsat��、systat�����、bootp和FTP�。
限制對防火墻具有shell訪問能力的用戶數(shù)目。如果只具有一兩個(gè)用戶賬號��,則黑客能發(fā)現(xiàn)這些用戶賬號的可能性會(huì)非常小�����。
不要在防火墻上使用與其他地方一樣的口令�。有時(shí),人們經(jīng)常在許多不同的計(jì)算機(jī)上使用同樣的口令�。殊不知,這樣可能會(huì)導(dǎo)致多米諾骨牌效應(yīng)。
考慮防火墻的物理安全性��。盡管可以把桌面計(jì)算機(jī)放在開放的辦公室或小臥室�,但必須考慮對防火墻計(jì)算機(jī)實(shí)施嚴(yán)密的物理保護(hù),比如放在上鎖的機(jī)柜中�。
關(guān)鍵詞標(biāo)簽:Linux
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程