簡易防火牆設置

簡易防火牆設置

網站: http://www.ols3cgi.com/ 或 http://www.perl.ms/ 臥龍小三CGI天堂

本文儘量不涉及太專業的防火牆知識，以讓各校網管人員易於建構為原則！

一．防火牆 ??

傳統上，防火牆是指一套用來明顯區隔兩個(或以上)網路之間的一組軟硬體裝置，使網管人員得以事先制定種種安全規則，針對網路交通及安全程度，進行過濾控制和調整，最大的目的在於防止網路遭受入侵。

二．想法：

以往，防火牆是高貴的設備組合，價格往往在數十萬至數百萬之譜，平民百姓根本買不起(也無此必要)，拜 Open Source 之賜，網管人員經常可以利用 Linux 或 FreeBSD 內建的核心封包過濾功能 (註一)，來建構平價的防火牆系統(但卻可以做到百萬防火牆等級的功能，麻豆國中目前便是利用此一方式，用一部 PII 350 + 5 部淘汰閒置的 P100 主機板+ 數片網路卡+ Linux + ipchains + PROXY)，唯對國民中小學校網管教師而言，在短期內，未必具備有足夠的知能來建構及管理此一系統(通常，必須大幅調整網路架構)，因此，試想：如果有一簡易的裝置，符合平價、功能足敷所需、又易於管理、不當機，可供建置校園網路防火牆之用，豈不甚好？！

拜 ADSL 風潮之賜，目前市面上應運而生許多 ADSL Switch Router (俗稱 IP 分享器)，其功能剛好符合上述的想法需求，價格也很低廉(視功能而定約在 3999~15000 元之間)，比起用一台 PC 搭配 Linux 的 ipchains 等，亦便宜許多，又有不易當機，好管理的優點。

以下便是採用一台 ADSL Switch Router (花了我 6999 元而已) 來建置防火牆的簡單介紹，貴校或許花點時間，可免除駭客之苦 (但絕非從此便可高枕無憂！安逸亦可使人滅亡哪！)。

三．架構圖：(僅供參考)

此架構圖有幾個重點：

Router 位址: 163.26.xxx.126 (視貴校而有所不同)
ADSL Switch Router 的真實 IP : 163.26.xxx.1 (視貴校而有所不同) , Netmask: 255.255.255.128, Default Gateway: 163.26.xxx.126 (即貴校 Router 位址)

ADSL Switch Router 的虛擬 IP : 192.168.1.254, Netmask: 255.255.255.0
DNS IP : 192.168.1.10 (可自定)
WWW IP : 192.168.1.11 (可自定)
FTP IP: 192.168.1.12 (可自定)

以上主機的 default gateway 指向 192.168.1.254 即可。
大部份提供網路服務的主機，皆放在 Virtual Host 設定段中，只開放服務的通道。

設定例如下：

port 80 ---> 192.168.1.11 (WWW)
port 20 ---> 192.168.1.12 (FTP data)
port 21 ---> 192.168.1.12 (FTP)
port 25 ---> 192.168.1.10 (MAIL)
port 53 ---> 192.168.1.10 (DNS)
port 22 ---> 192.168.1.10 (SSH)
其它port --> ?????

使用者只要指向 163.26.XXX.1 ，便可由此台 ADSL Switch Router 分流至相關的伺服主機。
這麼一來，在安全上，可說大大地提高。
其它校園電腦(如各處室桌上型電腦)，可放置在真實 IP 段(default gateway 指向貴校 router ip)，或置於 ADSL Switch Router 之後(擬虛 IP 段: 192.168.1.0/255.255.255.0，default gateway 指向 192.168.1.254)，享受DHCP 的便利。
流量較大的伺服主機可考慮放在真實網段。
此台 ADSL Switch Router 至少應具備以下功能：

1. 一個 Wan port : 速率至少 10Mb，最好是 10/100Mb。

(不過目前有 Wan port 是 10/100Mb 的，好像只有一家。)

2. 四個 Lan switch port : 速率 10Mb/100Mb。
3. 具 DHCP Server 功能。
4. 具 Virtual Host 功能 (最重要)。
5. 具 DMZ (非軍事區) 功能 (所謂 DMZ，簡單地來說就是：該區和外界之間所有通道皆可放行，有如置放於真實 IP 段一樣，但又可受到防火牆的監控及安全規則的運作，是一個接近公開的網段環境)
6. 欲擴充時可再串連一部以上，以加大網段範圍。
7. NAT(Network Address Translation 的簡稱) 功能(最重要)。
8. 具記錄功能。
9. 具封包過濾功能。
10. 具 static routing 功能，最好有 RIP I,II。
11. 具 Web 管理介面。

四：管理

我的建議是，網管人員要逐步放棄使用 telnet / ftp 等軟體(明碼傳遞)的習慣，因為，有心人只要中途攔截封包，再重新組合，便可取得各式資訊，包括您的帳號密碼等。這種工具，網路上隨手可得，並不需要高超的技巧。

在此介紹 telnet 的替代方案之一：ssh (Secure Shell, 使用 port 22)

建議您應該儘量用它來管理主機(telnet port 最好關了吧)。

我目前使用的是 www.ssh.com 所推出的 ssh2

Server 版可至 ftp.tnc.edu.tw/pub/Sysop/SSH 抓取 ssh-2.4.0.tar.gz (或至 www.ssh.com)

此程式包中已含有 client 端程式 ssh2 及 sftp2.

安裝方式簡介如下：

1. tar xvzf ssh*.gz

2. cd ssh-2.4.0

3. ./configure --with-libwrap (準備和 tcp_wrappers 合作共用)

4. make

5. make install

(它會把程式放在 /usr/local/sbin 及 /usr/local/bin 中)

然後在 /etc/inetd.conf 中加入以下設定

ssh stream tcp nowait root /usr/sbin/tcpd /usr/local/sbin/sshd2 - i

( -i 是說要和 inetd 來配合之意)

再重新啟動 inetd 即可:

/etc/rc.d/init.d/inet restart

(至於使用 xinetd 者，應該會自行比照設定吧?!)

6. 設限:

/etc/hosts.allow 中加入:

sshd2 : 163.26.xxx.0/255.255.255.128 : allow

(上述 IP 值各校不同，請自行調整，若您想由家中遠端管理，最好申請有固定 ip 的 ADSL方案，然後，把 ISP 配給你的固定 ip 加入上述設定中)

/etc/hosts.deny 中加入：

sshd2 : All : deny

如此便可享受 SSH2 的安全和便利。

使用法：

ssh2 　-l 　帳號　主機或IP

( l 是 L 小寫)

查核密碼之後，便可登入主機，操作方式和 telnet 並無太大不同。

例：ssh2 -l admin 163.26.xxx.1
sftp2 　帳號＠主機或IP

查核密碼之後，便可登入 FTP 傳檔，操作上和 ftp 大同小異。

例：sftp2 admin@163.26.xxx.1
若您習慣 Windows 平台 client 介面，可至 ftp.tnc.edu.tw/pub/Sysop/SSH 下載 SSHWin-2.4.0-pl2.exe

不過這是要花點小錢註冊的 (我好像花了 100 塊美金，我忘了，請自行至 www.ssh.com 查看)。

五：結言

只要按上述參考方式來建構，相信應該可以減輕網管人員每天擔心主機被駭的恐懼感吧？！

(當然，這只是陽春防火牆而已，但對小型校園網路而言，應該已足敷所需了。

我準備在本次教網中心會議中提案，懇請由教育局撥款全縣購置。等不及的學校，可先自行購置。當然，若貴校有經費的話，還是以建置至少“傳統防火牆以上的等級”方案為佳。)

不過，您仍要注意所使用的伺服軟體是否有安全上的漏洞？(儘量不使用 wu-ftpd, 改用 proftpd 吧, rpc 系列, nfs 系列程式, 則絕不使用)使用上是否有良好的安全習慣？是否有良好的密碼管理？是否隨時注意安全資訊？是否適時更新修補套件？更要隨時注意主機的運作狀況，定時查看記錄檔，最重要的是，要養成看書的習慣(書籍是最值得投資的人生股票資產)，閱讀網路上各式網管相關文件的習慣，要有定期與不定期自我成長的習慣。

還是那句老話：網管是長期投注心力的維護工作，人與機器缺一不可。

註：本文仍會不定期再修增。

註1：

簡易的 Linux 防火牆建置可參考高健智先生的文章：

http://www.tp.edu.tw/service/network.htm

ipchains 的用法簡介可參考施勢帆、吳國華先生文章：

http://linuxfab.cx/indexBookData.php?BID=7

NAT 可參考劉劍青先生的文章：

http://www.cc.ncu.edu.tw/~center5/livecd/