然而,在FreeBSD上构建防火墙系统是通过系统提供的各种组件进行组合得到的,采取多种组件进行组合,就能构建更复杂的系统 。可以根据不同需要,同时利用包过滤、网络地址转换及各种不同应用层代理等多种形式,设置不同复杂程度的防火墙系统,这就是FreeBSD系统的优势 。但在这些情况下,由于FreeBSD提供的这些组件并不是单一软件,而是相互独立的多个软件,因此要设置一个完整的防火墙系统,还需要使用者进行复杂的设置 。或者还需要管理员使用一些简单的脚本程序以辅助分析系统日志,发送警报,甚至对网络状态进行实时监控,通过迅速改变防火墙设置来保护内部网络系统 。
通过分析防火墙的日志记录,甚至监控通过防火墙的数据流模式,就可以寻找发生过或正在进行的系统入侵行为(通常可能是服务阻塞、暴力攻击甚至更复杂的特定攻击模式),进而反馈回防火墙系统,以重新调整设置,增强系统安全性 。
防火墙的拓扑结构
当构建防火墙系统时,首先就要考虑网络的拓扑结构,这将对防火墙的设置产生影响 。简单的网络可能只需要一台防火墙设备,而复杂的网络会需要更多的网络设备,包括多个防火墙系统 。以下给出了最常使用的几种使用防火墙的网络拓扑,基本上这些拓扑将适合大多数的情况,可以使用这些拓扑来作为建立自己内部网络的参考 。
最简单的情况为使用具备两个网络界面的一个防火墙来分隔内部与外部网络 。这种形式简单易行,适合大部分只需要访问Internet,而不需要对外发布信息的网络 。一旦要向外发布信息,那么所提供的服务就会降低网络的安全性,造成相应的安全问题 。
为了避免在向外提供服务的服务器被侵入之后,影响内部网络的安全性,就需要将对外提供服务的服务器和只访问外部网络的客户计算机分隔到不同的网络上 。可以采用上面的方式,防火墙使用三个网络界面,分别用于外部网络、内部网络和提供服务的服务器 。
使用单个防火墙的网络,网络安全被一台防火墙的安全所限制,更复杂的情况是同时使用多个防火墙系统 。例如使用两个防火墙,第一层防火墙与第二层防火墙之间可以放置允许外部访问的服务器,这个区域被称为停火区,即使入侵者进入这个区域,还需要近一步攻击内部防火墙才能接触内部网络 。
【80 FreeBSD连载:构建防火墙】如果这两个防火墙使用不同的技术,如外部防火墙为网络地址转换方式,而内部防火墙为代理服务器方式,这样即使入侵者侵入一个防火墙,但另一个防火墙使用的是完全不同的技术,就给入侵者带来更大的阻碍,提高整个网络的安全性 。
利用这些工具,网络可以设置的非常安全 。事实上当前大部分安全问题仍然来源于人的因素,如管理不善造成的口令泄露等 。这就使得正常的安全措施无法正常应用,而带来不可避免的安全问题 。
PicoBSD
软件方式的防火墙系统的一大问题就是由于系统本身能够安装丰富的软件,因此常常同时被用作其他用途,当用作其他用途时就有可能对本身的安全性造成影响 。而硬件防火墙使用专有操作系统,只用作网络服务,这保证了它不会受到其他方面的影响 。对于用作防火墙的计算机,通常应该专用而不要兼作其他用途 。因为防火墙的安全性非常重要,内部网络安全要依赖防火墙的安全来保障,一旦防火墙被入侵,网络安全也就无法保证了 。
通常安装的FreeBSD系统都具备硬盘,当具备硬盘的FreeBSD用做防火墙系统时,一方面免不了想提供多种复杂的服务,这样系统可能会具备潜在的安全漏洞,另一方面入侵者入侵这个系统之后,可以在系统硬盘上隐藏入侵程序以进一步入侵网络内部 。因此对于用作防火墙的FreeBSD系统,最好直接修改系统的rc文件,屏蔽所有的网络服务 。另一种方法是可以尝试使用软盘上的FreeBSD系统,这样计算机本身不具备硬盘,可以从管理上杜绝它用作其他使用的机会,同时也节约了资源 。此时FreeBSD系统可以不使用硬盘、显示器、键盘,通过串口进行设置,这样的系统可以安装在网络设备的机架上,专门用作防火墙提供安全服务 。
推荐阅读
- 61 FreeBSD连载:其他内核设置选项
- FreeBSD目录结构一览
- 12 FreeBSD连载:用户管理-增加用户
- FreeBSD 系统安装全过程
- FreeBSD网站平台建设全过程 第一步
- 84 FreeBSD连载:配置Apache服务器(1)
- 37 FreeBSD连载:DNS的体系结构
- FreeBSD中的物理内存管理
- 如何在FreeBSD4.9平台上安装Darwin Streaming Server 5.0
- 85 FreeBSD连载:配置Apache服务器(2)