網(wǎng)關(guān)/防火墻的安全策略

無線網(wǎng)升級完成后，為了解決網(wǎng)絡(luò)安全問題，我們進行了一系列的設(shè)置。

首先要確保網(wǎng)關(guān)本身的安全。我們采取了如下措施。

1．使用TCP Wrapper的訪問限制功能，設(shè)置僅允許一個指定的IP（由網(wǎng)絡(luò)管理人員使用）訪問，這是通過修改/etc/hosts.allow和/etc/hosts.deny等文件來實現(xiàn)的，具體方法可參見本刊2000年第44期《設(shè)置安全的Linux服務(wù)器》一文（以下簡稱《設(shè)》文）。

2．在Linux網(wǎng)關(guān)上停止一切不必要的服務(wù)，包括telnet和ftp，并取而代之以SSH和scp，從而實現(xiàn)網(wǎng)絡(luò)管理員和網(wǎng)關(guān)通訊時僅傳輸加密數(shù)據(jù)，并摒棄了口令認證的方式，使用更為先進的密鑰交換認證。這是通過修改/etc/inetd.conf文件（可參見《設(shè)》文）和安裝、配置SSH來實現(xiàn)的。現(xiàn)在SSH已經(jīng)向SSH2全面轉(zhuǎn)移，可在下載。

3．為了加強網(wǎng)關(guān)的開機安全性，我們?yōu)锽IOS設(shè)置口令，并為LILO設(shè)置口令，以防止未授權(quán)用戶使用"Linux single"進入系統(tǒng)單用戶模式。

4．在內(nèi)、外兩個邊界路由器設(shè)置對Linux網(wǎng)關(guān)的直接訪問限制。具體做法是，在FDDI環(huán)的上與Linux網(wǎng)關(guān)直接連接的一臺900EF上禁止所有指向Linux網(wǎng)關(guān)兩個IP（分別綁定在有線和無線兩塊網(wǎng)卡上）的IP包；在內(nèi)部網(wǎng)的IBM 8274上設(shè)置禁止除源地址為網(wǎng)管IP以外的所有指向Linux網(wǎng)關(guān)IP的數(shù)據(jù)包。這里可能有些難以理解，有些人會認為因為這樣阻斷了Linux網(wǎng)關(guān)與外界的連接，使得Linux無法施行路由功能。事實上，所有目的地址不是Linux網(wǎng)關(guān)IP的數(shù)據(jù)包仍然可以通過網(wǎng)關(guān)，被正常路由。在這個方案中，把Linux看作一個可管理的網(wǎng)絡(luò)設(shè)備更恰當(dāng)。

通過以上的設(shè)置，我們幾乎可以保證，除了IPChains和路由部分以外，即使Linux有后門，黑客也無法利用之。

然后是通過在Linux網(wǎng)關(guān)上設(shè)置IP包過濾防火墻來增強內(nèi)部網(wǎng)的安全性。設(shè)置時，我們通過拒絕外來的SYN包來禁止從Internet向內(nèi)部網(wǎng)發(fā)起主動TCP連接。僅允許指向特定IP特定端口（比如E-mail服務(wù)器的25端口和Web服務(wù)器的80端口）的數(shù)據(jù)包通過。這樣基本上擋住了Internet對內(nèi)部網(wǎng)絡(luò)的攻擊。這樣設(shè)置后，內(nèi)部網(wǎng)絡(luò)的用戶基本上可以透明地訪問Internet，對于FTP等少數(shù)需要反向連接的應(yīng)用，在客戶端使用被動模式就可以使其恢復(fù)正常了。