10.2. 拓扑
即使没有防火墙服务器,也应该配置所有服务器至少阻止未使用的端口。这是为了更高的安全性所必需的。 想象一下,有人获得了对您的防火墙网关服务器的访问权限:如果您的邻近服务器未配置为阻止未使用的端口,这将是一个严重的网络风险。 本地连接也是如此; 未经授权的员工可以通过这种方式从内部访问您的其他服务器。
在我们的配置中,我们将为您提供三个不同的示例,这些示例可以帮助您根据您要保护的服务器类型以及这些服务器在网络架构中的位置来配置防火墙规则。
| 第一个示例防火墙规则文件将用于Web 服务器. |
| 第二个用于邮件服务器. |
| 最后一个用于网关服务器充当内部 Wins、工作站和服务器机器的代理。 |
查看下面的图表以了解概念
上面的图表显示了我在本书的防火墙脚本文件中默认在不同服务器上启用的端口
www.openna.com 仅缓存 DNS 208.164.186.3 .
允许环回接口上的无限制流量
ICMP 流量允许
允许 DNS 缓存和客户端服务器在端口 53 上
允许 SSH 服务器在端口 22 上
允许 HTTP 服务器在端口 80 上
允许 HTTPS 服务器在端口 443 上
允许 SMTP 客户端在端口 25 上
允许 FTP 服务器在端口 20、21 上
允许传出 traceroute 请求
deep.openna.com 主 DNS 服务器 208.164.186.1 .
允许环回接口上的无限制流量
ICMP 流量允许
允许 DNS 服务器和客户端在端口 53 上
允许 SSH 服务器和客户端在端口 22 上
允许 HTTP 服务器和客户端在端口 80 上
允许 HTTPS 服务器和客户端在端口 443 上
允许 WWW-CACHE 客户端在端口 8080 上
允许外部 POP 客户端在端口 110 上
允许外部 NNTP NEWS 客户端在端口 119 上
允许 SMTP 服务器和客户端在端口 25 上
允许 IMAP 服务器在端口 143 上
允许 IRC 客户端在端口 6667 上
允许 ICQ 客户端在端口 4000 上
允许 FTP 客户端在端口 20、21 上
允许 RealAudio / QuickTime 客户端
允许传出 traceroute 请求
mail.openna.com 从 DNS 服务器 208.164.186.2 .
允许环回接口上的无限制流量
ICMP 流量允许
允许 DNS 服务器和客户端在端口 53 上
允许 SSH 服务器在端口 22 上
允许 SMTP 服务器和客户端在端口 25 上
允许 IMAP 服务器在端口 143 上
允许传出 traceroute 请求
上面的列表显示了我在本书的防火墙脚本文件中默认在不同服务器上启用的端口。 根据服务器上必须为外部提供的服务,您必须配置您的防火墙脚本文件以允许指定端口上的流量。
www.openna.com是我们的 Web 服务器,
mail.openna.com是我们内部网络的所有邮件中心服务器,
deep.openna.com是我们的网关服务器