Bastion firewall
1. 防火牆主機,應該把大部份的服務關閉,僅保留 DHCP Server 及 SSH Server,
並且要限制連線範圍。
2. 防火牆第一片網卡,正常情形之下,設為真實 IP (除非這台防火牆是第二層的防火牆)。
3. 防火牆的 Enable Routing 要打開
(linuxconf -> config -> Routing and gateways -> Set Defaults)
4. 防火牆的 gateway 設貴校的路由器 IP
5. 防火牆的第二片網卡,設私有 IP。(經常設為內部私有IP段最後一個可用的IP(廣播位址除外))
6. 內部網路的 PC,其 gateway 設防火牆第二片網卡的 IP。
7. 內部網路的 DNS 宜指向外部網路的 DNS 主機。(防火牆內先不擺放 DNS)
如果您在防火牆內擺放 DNS,則該 DNS 僅供內部網路查詢,此時可以使用私有 IP,
若該 DNS 允許外部網路查詢,則該 DNS 的設定檔上,不可使用私有 IP,否則外部網路使用者
查詢貴校 DNS 時,會查得私有 IP,將導至該使用者無法連上貴校網路。
8. 內部網路 IP 取得、路由設定、DNS 設定,可由防火牆上的 DHCP Server 來自動分配。
9. 防火牆上的 DHCP Server 架設,請參考小弟的這篇講義:
http://teacher.mdjh.tnc.edu.tw/~ols3/docs/ols3techdoc/dhcp.htm
10.防火牆主機應做好套件的修補,以免被攻擊。
11.防火牆至少要能做到:IP偽裝、虛擬主機,而這二項機制很容易辦到。
12.一塊網路卡即代表一個網段,欲增加一個網段,只要在防火牆上,新增一片網卡即可。
13.防火牆上的第二片網卡,做為和其連接的內部網段的路由器。(其它網段依此類推)
14.防火牆上的網卡設為私有 IP,則和其連接的網段經常做為內部網路
;若設為真實 IP,則和其連接的網段經常規劃為 DMZ 區。
15.若未在防火牆上啟動 Passive FTP Mode,則內部網路使用 FTP 功能時,
要向貴校使用者,告知以下改變:
利用網路下載檔案或上傳網頁前,務必要調整部份設定,才能順利運作。
說明如下:
A. 瀏覽器介面:
* 若您使用的瀏覽器是 IE,請將瀏覽器的 Web Based FTP 功能打開(被動式FTP)
步驟:工具->Internet 選項->進階->使用 Web Based FTP
並且取消:永遠以 UTF-8 傳送之選項
* 若您使用的瀏覽器是 Netscape ,則不用調整!
B. FTP 介面:
請將軟體中的 passive 模式打開
* WS_FTP:Advanced -> Passive transfers 打勾
* CuteFTP:General -> Use PASV mode 打勾
* 命令列的 ftp:連上 FTP Server 之後,
下 passive 來切換 Passive,使其狀態為 on
* 命令列的 ncftp 則不必調整
|