作为一个网管,为了保护你的网络,你可以花数万元来对流入流出的信息进行控制,也可以分文不花而达到同样的目的。听起来是不是觉得不太可能?下面就让我们来试一试吧!不试怎么知道行不行呢?24小时在线的宽带Internet连接的优点是显而易见的,它快速、便宜、方便。不过,它潜在的危险相对来说,则不易为人们所注意。事实上,如果没有合适的保护,这种不间断的连接将使你公司的服务器和数据时刻处于危险之中。一个带有防火墙功能的路由器可以有效地消除这些危险。你可以花很多的钱去买一个路由器,也可以把钱省下来,完全使用Linux内建的路由和防火墙的功能来达到目的。在很多情况下,你甚至可以把你的Linux服务器同时作为路由器使用。不过,如果你的Web站点信息流量很大的话,最好使用一台PC来单独完成这项任务。
使信息可进可出
有时,你可能想让路由器限制内部网中特定的PC,使其无法从Internet访问,不过,更多时候,你会让Linux路由器阻止一些不速之客的访问。在使用DSL或者线缆连接时,一般都使用一个HUB,将其中一个端口连到Internet。这种情况下,只要是能够连接到HUB上的人,就可以使用一些很容易得到的软件,对流过你站点的数据进行监听,甚至可以直接访问你的网络资源。
为此,我们可以关闭Telnet和FTP等容易被居心叵测者所监听的服务。这显然可以保证网络免于被入侵的威险,但是一般来说,公司都会用得上这些服务。也就是说,公司的业务一般要求路由器即要有安全性,又要让信息能够顺畅地流入流出。所以,你应该做的是有选择性的限制对这些服务的访问,而不是完全关闭它们。一旦你建立好了合适的配置脚本,Linux路由器/防火墙就会为你完成这些工作。
服务、端口和协议
一般来说,e-mail或者Web等Linux服务器,都必须可以被外部网所能访问。对于这种类型的通信,一些行业的标准端口常被用于帮助定义这些服务。比如,Web服务器一般使用80端口,SMTP(用于电子邮件服务)一般使用25端口等等。服务器里运行的服务以及其使用的端口,可以在/etc/services文件里找到。
(这是我一台Linux机器上的services文件内容)
此外,你还要清楚路由器应该使用什么协议。以太网的协议种类很多,不过最常用的是TCP和UDP协议。(机子所使用的协议可以在/etc/protocols中找到)。
使用的命令
对于Linux路由器来说,我们使用的其实只是内核中IP地址转发和防火墙部分。所以你根本不需要额外的软件,只需要一些命令脚本,为路由器在处理收到的数据包时所做的反应定一些规则。这其中包括一系列输入、输出和转发方面的规则。
输入方面的规则要调整流入的数据包,比如,如果运行的是Web服务器,那么你可能想使用端口80来接收流入的数据包。输出方面的规则定义路由器是否允许数据被送到Internet,这常被用于拒绝与一些特定站点的连接(通过IP地址)。转发方面的规则,用于控制数据包从一个地方转发到另一个地方;通过在网络里定义特定的子网并且设置规则只允许一些子网可以转发信息,从而达到限制Internet访问的目的。
如果您对本文有任何疑问或者建议,请到讨论区发表您的意见:
>>
论坛入口 <<
上一篇:Linux环境下防火墙配置初级入门 下一篇:Linux的病毒发展史及特征分类
【文章评论】
【收藏本文】
【推荐好友】
【打印本文】
【我要投稿】 【论坛讨论】
