FreeBSD下搭建高性能企业级网关

3.内网网站的发布
为了安全，管理员一般将Web服务器放到内网中。Internet上的计算机要访问pf后面的Web服务器，就需要我们在pf中进行相应设置。
假设内网Web服务器IP地址为192.168.0.10的工作端口为80。我们可以把pf服务器上的80端口影射到内网的Web服务器的80端口上去。
# 对pf服务器外网IP的80端口的访问转发到内部机器192.168.0.10的80端口
rdr on $ext_if proto tcp from any to $ext_addr port 80 ->192.168.0.10 port 80

4.禁止访问高危端口
作为企业网关,肯定是会受到无聊人的扫描以及入侵的,另外,冲击波等蠕虫病毒也可以通过网关入侵。如何防范这些攻击或者扫描成为pf管理员必须考虑的安全问题。
我们可以定义一些高危端口，然后对这些端口的访问进行特别的限制。
# 定义高危端口
Danger_Port="{445 135 139 593 5554 9995 9996}"
# 禁止内部网络和外部网络的机器访问服务器的135、139等高危端口
block quick on $int_if inet proto tcp from any to any port $Danger_Port
block quick on $ext_if inet proto tcp from any to any port $Danger_Port
在这个规则中我们使用了“from any to any”也就表示了，无论是内部网络还是外部网络，都无法访问这些被定义的端口。有的读者也许会问，为什么连内部也禁止掉了呢？这个问题我们需要解释一下。大家知道，对于一个企业网关来说，最大的威胁也许不是外部网络，而是内部网络，原因很简单----内部网络的带宽绝对比外部网络好。人人都可以高速(比如100Mb/s）向服务器发送和接收数据包。要是内部有两个人存心捣蛋的话，那么应该能够比得上外部的几十台计算机。
另外，这样也可以避免“冲击波”等病毒和网关发生任何不正常的关系......这对一个有VLAN的网络来说是尤其重要----在冲击波肆虐的时候，网关和不同VLAN的计算机可以正常地使用网络，而只有中了冲击波的电脑所在VLAN会比较不正常。这样就可以将损失降低到最低点。

5.防范扫描
同样的，网关肯定是经常会受到很多扫描的，而现在最流行，威力最强大扫描工具之一----nmap(已经有UNIX版和windows版多种版本了)会是网关的一个非常历害的敌人。我们必须要给nmap来点扫描难度......这样做虽然不能绝对让网关防止被扫描，但是至少可以更大程度地拒绝nmap这些可怕的扫描工具......
# 禁止使用nmap对服务器进行端口扫描
block log quick on $ext_if inet proto tcp from any to any flags FUP/FUP
block quick on $ext_if inet proto tcp from any to any flags SF/SFRA
block  quick on $ext_if inet proto tcp from any to any flags /SFRA
block quick on $ext_if on NMAP

6.防止IP欺骗
IP欺骗也是一个比较可恶的入侵手段，特别是对于拥有VPN的公司也说，防止IP欺骗非常有必要，我们可以通过以下定义和规则来解决掉一部分IP地址欺骗问题。
# 定义IP欺骗
noroute="{127.0.0.1/8,127.16.0.0/12,10.0.0/8,255.255.255.255/32}"
# 防止IP欺骗
antispoof quick for $int_if inet
block quick on $ext_if inet from $noroute to any
block quick on $ext_if inet from any to $noroute
本单位的服务器经常被很多无聊的人采用字典工具进行入侵。那么遇到了这样的情况之后，我们肯定是需要对这些IP进行封禁处理的。如何去做呢？通过以下的规则就可以很方便地解决这个问题。您所需要做的就是维护这个“Hack_IPs”地址表。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有