luckycmc 发表于 2009-6-2 23:37:02

打造免费的宽带路由防火墙

防火墙和路由器如今已是中小企业信息化应用中不可缺少的两种IT设备,如果我们可以利用企业淘汰下来的计算机,自己动手打造一台免费的高性能宽带路由防火墙设备,那么,在满足企业网络性能和安全防范水平的同时,就能进一步减少企业的IT总体拥有成本。下面,我就给大家介绍如何让企业淘汰的计算机,摇身一变成为一台高性能企业级路由防火墙设备的。
一、 免费路由防火墙软件的选择 要将一台淘汰的计算机打造成一台高性能的免费路由防火墙设备,肯定离不开一款免费的功能强大的路由防火墙软件。目前,市面已经存在许多提供路由和防火墙功能的软件,其中最常用的有:SmoothWall Express、IPcop、Pfsense、M0n0Wall和BrazilFW Firewall and Router等,这些软件都是基于Linux或FreeBSD系统的独立发行版本,它们同时都是基于GPL授权的开源免费软件,我们可以直接从相应的网站上下载它们,然后像操作系统一样安装它们到相应的计算机硬盘当中来使用。
在本文中,我使用的是SmoothWall Express ,它就是一款基于Linux系统的路由防火墙软件。SmoothWall Express不仅提供强大的路由和防火墙功能,同时还具有NAT、VPN、IDS、动态DNS、内外网访问控制、访问时间控制、网络流量控制和监控,以及日志记录等功能,而且还可以用它来做一台功能强大的WEB、P0P3、IM等应用的代理服务器,以及作为企业局域网的DHCP服务器。它还提供了对静态IP地址及PPP0E方式的网络连接支持。
SmoothWall 项目是由劳伦斯.曼宁和理查德.莫瑞尔于2000年夏天成立,设计它的目的就是想制作一个能让普通PC变成一台功能强大的网络防火墙设备的发行版本。SmoothWall Express提供基于图形化的安装界面,以及WEB方式的远程管理和设置方式,使得用户在不需要了解Linux系统的情况下就可以轻松地安装和管理它。我们可以到http://www.smoothwall.org/get/下载它现在的最新光盘镜像smoothwall-express-3.0-i386.iso,其32-bit镜像文件的总大小约为69MB。
二、 硬件需求
现在,信息化应用大潮中的广大中小企业每年都会有不少的计算机被优胜劣汰掉,这些被优化下来的计算机,其实都还可以正常运行,只是已经不能满足操作系统和应用程序日益夸张的硬件性能需求。
而SmoothWall Express恰恰对其所依赖的硬件平台的性能要求很低,甚至可以在奔腾200、128MB内存、2GB剩余空间的硬盘,以及2块Linux支持的以太网卡的计算机上流畅地运行。而现在企业中淘汰下来的计算机,大多数的硬件性能要比SmoothWall Express的基本硬件需求要高得多,完全可以用它们来作为SmoothWall Express的硬件平台。
但是,要想我们自己打造的路由防火墙可以满足现在企业网络应用带宽和安全防范能力的需求,还是应当选择性能高一些的硬件来定制一台适合企业网络应用需求的路由防火墙设备的。
对于一些内部局域网中计算机数量在五十台以下,通过ADSL方式连接到互联网的中小企业,完成可以使用下列所示的硬件来作为路由防火墙的硬件平台:
CPU:铜矿奔Ⅲ 1GHz及以上。
内存:1G SDRAM内存,根据需要还可以扩展到2G。
硬盘:40G IDE硬盘,可以为代理服务器提供足够容量的缓冲区。
主板:集成声卡、显卡或网卡,带有五条PCI插槽,性能稳定的使用Intel i815芯片组的主板。
网卡:为了提高网络处理性能,可以选择Intel 8255x-based PCI接口的10/100M以太网网卡。至于我们定制的路由防火墙设备具体需要多少块网卡,可以根据实际的网络结构来决定,最少需要2块。像下图2.1所示的网络结构当中,就只需要在路由防火墙设备中安装2块以太网网卡就可以,如果路由防火墙设备还需要连接DMZ区域及无线网络,那么就应该再安装一块PCI接口的以太网网卡和PCI接口的无线网卡。这也是为什么在选择主板时,要求其PCI插槽数量多的原因。
当然,上述给出的只是我在本文针对小型局域网推荐的硬件配置,在实际应用当中,完全可以根据需求将硬件级别再做相应的调整,对于路由防火墙设备来说,硬件性能的高低与其网络性能和处理速度是成正比的。
现在,我假设需要给图2.1所示的网络打造一台免费的高性能宽带路由防火墙设备,用来将内部局域网中的计算机通过这台路由防火墙设备连接到互联网上,并且对内部局域网提供基本的内外网网络攻击防范。因此,本文接下来所有关于打造免费路由防火墙设备的描述,都是依照这个给出的网络拓扑结构来进行的。
/qzone/newblog/v5/editor/css/loading.gif
图1 本文实例所用的网络拓扑图

三、 软件的安装和基本网络设置
当路由防火墙设备的硬件和软件都准备好了之后,接下来的工作就安装SmoothWall Express软件到设备的硬盘当中。
1、 软件安装
在开始安装之前,我们要确保SmoothWall Express软件的光盘镜像已经刻录到了光盘当中,以及将光驱连接到了定制的路由防火墙设备之上。当这两个准备工作完成后,将SmoothWall Express软件的安装光盘放入光驱,设定由光驱引导后重新启动设备,就可以出现如图3.1所示的开始安装SmoothWall Express的界面。
/qzone/newblog/v5/editor/css/loading.gif
图2 SmoothWall Express的开始安装界面

从上图这个开始安装的界面可知,SmoothWall Express的安装与一些Linux系统发行版本的安装非常相似,整个安装过程中可以通过TAB键来切换选择,通过上下箭头键来上下移动,使用空格键来确认选择。
在SmoothWall Express的开始安装界面中,按回车键就可以进入其第一阶段的安装过程。在此安装阶段,只是将SmoothWall Express必要的文件拷贝到硬盘分区中的相应位置,如果没有特殊的要求,我们只需要根据安装程序给出的提示,保持给出的默认值后选择“OK”钮,按回车键后就可以继续进行下一步的安装。
SmoothWall Express安装程序会自动检测安装在设备中的硬盘,并自动将其分区格式化,然后自动将必要的文件拷贝到硬盘分区中的相应位置。当所有文件都复制完成后,就会提示我们将CD从光驱中取出,然后选择界面中的“OK”按钮,按回车后就进入对SmoothWall Express进行基本配置的安装阶段。

2、 基本配置
在SmoothWall Express第二阶段安装过程的开始,会出现一个提示是否从备份中导入备份配置的对话框,如果以前没有备份,直接选择此界面中的“No”按钮,按回车后继续下一步的安装。
在接下来的安装界面中,会让我们选择键盘使用的语言布局,SmoothWall Express并不提供对中文的支持,因此只需保持其默认值“UK”,然后选择“OK”按钮并回车后进入设置设备主机名的界面。SmoothWall Express默认的主机名是smoothwall,我们可以重新设置一个易于自己理解的主机名,也可以保持默认,完成此步的设置后,用TAB键选择此界面中的“OK”按钮,按回车键后就会出现如图3.2所示的选择缺省安全策略的界面。
/qzone/newblog/v5/editor/css/loading.gif
图3 缺省安全策略选择界面

缺省的安全策略有三种:Open表示所有进出的流量都允许通过路由防火墙;Half-open表示除危险流量以外的所有正常流量可以通过;而closed表示所有进出流量都不允许通过。在这里,我们按默认选择“half-open”的安全策略就可以,然后选择此界面中的“OK”按钮,回车后进入下一步的安装过程。
接下来就会出现如图3.3所示的网络配置菜单(Network Configuration Menu)界面。在此界面中,包含四个与网络基本设置相关的菜单项,我们接下来的任务就是按从上至下的顺序,分别选择这四个菜单项来完成对 SmoothWall Express的基本网络设置,以便能在后面通过WEB远程管理它。
在开始进行网络设置之前,我们还得先来了解SmoothWall Express是如何区分各种网络连接类型的。与其它一些路由防火墙软件一样,SmoothWall Express使用GREEN表示局域网,用RED表示外网,用ORANGE表示DMZ区域,而PURPLE表示无线网络。
/qzone/newblog/v5/editor/css/loading.gif
图4 网络配置菜单界面
在网络配置菜单界面中,我们首先选择其中的“Network configuration type”菜单项,选择“OK”按钮并回车后,就出现如图3.4所示的网络配置类型对话框。此界面中有8个主要的选项,分别对应8种不同的网络连接方式,选择时应当根据自身具体的网络拓扑结构来决定。

对于本文中给出的示例网络拓扑结构而言,选择网络配置类型对话框中的“GREEN+RED”的方式就可以了,它表示一块网卡连接局域网,另一块网卡通过ADSL的方式连接互联网。如果你的网络中还有DMZ区域,就选择“GREEN+ORANGE+RED”的方式。完成网络连接类型的选择后,选择此界面中的“OK”按钮并按回车键,就可以重新返回到网络配置菜单界面。
/qzone/newblog/v5/editor/css/loading.gif
图5 网络配置类型对话框

接下来继续在网络配置菜单界面,通过上下箭头键选择其中的“Drivers and card assignments”菜单项,选择“OK”按钮并回车后,就会出现图3.5所示的指定网络接口卡的界面。出现在此界面中的网络连接类型,与上一步中做出的选择相关,在本文中,就只出现了GREEN和RED这两种类型。选择其中的GREEN网络连接类型,选择“OK”按钮,按回车后就会出现如图3.6所示的网卡指定方式对话框,此时有两种方式,一种是“Probe”,也就是由SmoothWall Express自动检测可以指定的网卡,另一种是“Select”,也就是手动指定网卡。
在本文中选择以自动方式来为网络类型指定网卡,SmoothWall Express就会自动检测PC中已经安装的网卡,然后提示是否将检测到的网卡指定给选择的网络连接类型,确认无误后,直接选择“OK”按钮后按回车键,就可以为此网络连接类型指定此网卡。按同样的方式为所有给出的网络连接类型指定网卡后,又会重新返回到网络配置菜单界面。
/qzone/newblog/v5/editor/css/loading.gif
图6 指定网络接口卡界面

/qzone/newblog/v5/editor/css/loading.gif
图7 网卡指定方式对话框

继续在网络配置菜单界面选择“Address settings”菜单项,选择“OK”按钮并回车后,就会出现如图3.6所示的为网络连接类型设置地址的界面。首先选择此界面中的GREEN类型,选择“OK”按钮并回车后,就会出现为其指定内网私有IP地址和子网掩码的对话框,在本文中,我在此对话框中的“IP Address”栏中输入192.168.1.11,“Network mask”栏中输入255.255.255.0。
完成内网网卡的IP地址设置后,就会重新返回到地址设置对话框,在此对话框中选择RED类型,选择“OK”按钮并回车后,在出现的选择外网连接方式的对话框中,选择PPP0E的连接方式。完成所有的网络连接类型的地址设置后,同样会返回到网络配置菜单界面。
/qzone/newblog/v5/editor/css/loading.gif
图8 网络连接类型地址设置界面

至于网络配置菜单界面中的第四个菜单项“DNS and Gateway settings”,主要用来为SmoothWall Express指定DNS和缺省网关地址,这些设置我们同样可以在后面的WEB连接管理中完成,因此在此就可以先不对它进行设置,直接选择网络配置菜单界面中的“Done”按钮,按回车键继续下一步的安装任务。
在随即出现的界面中,是用来完成WEB代理服务、ISDN、ADSL及DHCP的设置,这些同样可以在后面的WEB管理中完成,而且,如果我们不想让路由防火墙设备提供这些服务,也就没有必要对它们进行相应的设置,直接进入下一步的安装即可。
接下来出现如图3.7所示的安装界面,用来为SmoothWall Express的WEB管理员帐户设置登录密码,在此界面中的Password文本框中输入要设置的登录密码,在Again文本框中再确认输入一次,然后选择界面中的“OK”按钮并回车,就会进入为SmoothWall Express的根帐户(root)设置密码的对话框,如图3.8所示。在根帐户密码设置对话框中完成密码设置后,选择此界面中的“OK”按钮,按回车键,就会出现完成安装重新启动SmoothWall Express的提示对话框,此时,直接按回车键就可以重新启动SmoothWall Express。
/qzone/newblog/v5/editor/css/loading.gif
图9 WEB管理员帐户密码设置界面

/qzone/newblog/v5/editor/css/loading.gif
图10 root帐户密码设置界面

四、 软件的设置与管理
当SmoothWall Express重新启动后,就可以通过WEB的方式来远程管理和重新设置它。在与SmoothWall Express路由防火墙相连接的内部局域网中,选择任意一台安装有浏览器的主机,在浏览器地址栏中输入:https://192.168.1.11:441/,就可以使用SSL加密的方式访问SmoothWall Express。
与SmoothWall Express建立连接之前,会弹出一个安全提示对话框,单击“是”后就会出现登录界面。在登录界面中的用户名文本框中输入默认的WEB管理员帐户“admin”,在密码文本框中输入在安装过程中设置的管理员登录密码,单击此界面中的“确定”按钮后,就会出现如图4.1所示的SmoothWall ExpressWEB管理主界面。
/qzone/newblog/v5/editor/css/loading.gif
图11 SmoothWall ExpressWEB管理主界面
在SmoothWall Express的WEB管理界面,一共有Control、About、Services、Networking、VPN、Logs、Tools和Maintenance八个菜单,每个菜单项中又包含用来设置各种网络功能的子菜单项,选择其中的某个子菜单项就可以进入其设置界面。下面,我们就来完成一些基本的路由防火墙功能的设置。

1、 PPP0E设置
单击SmoothWall ExpressWEB管理界面中的“Networking”—“PPP”就可以进入PPP0E的配置界面,如图4.2所示。
在此界面Telephony框中的Interface下拉框中选择“PPP0E”,再在Authentication框中的username文本框中输入ADSL宽带帐号,在password文本框中输入ADSL宽带密码,其余的设置可以保持默认,然后单击“save”按钮保存设置,就可以完成PPP0E拨号设置。
/qzone/newblog/v5/editor/css/loading.gif
图12 PPP0E设置界面8

2、 DHCP设置
单击SmoothWall ExpressWEB管理界面中的“Services”—“dhcp”就可以进入如图4.3所示的DHCP设置界面。将SmoothWall Express路由防火墙作为企业内部局域网的DHCP服务器,能够防止局域网内部主机产生IP地址冲突,减少手工设置IP地址的麻烦。
DHCP服务器的所有设置可在此界面的DHCP框中进行:
在Start Address文本框中输入起始IP址,如192.168.1.12;在End Address文本框中输入结束IP地址,如192.168.1.254。如果想让SmoothWall Express路由防火墙作为内部局域网的DNS服务器,那么可以在Primary DNS文本框中输入防火墙连接内网网卡的IP地址,如192.168.1.11,反之不填。至于缺省释放时间(Default lease time)和最长释放时间(Max lease time)可以保持其默认值不变,然后选择“Enable”多选框以启用DHCP服务。完成所有设置后,单击“Save”按钮保存设置。
/qzone/newblog/v5/editor/css/loading.gif
图13 DHCP设置界面

3、 出口访问控制(outgoing)
SmoothWall Express的出口访问控制允许我们限制局域网中的主机可以访问的外部服务,例如只允许企业局域网内的主机访问互联网上的WEB、电子邮件和阅读新闻等服务,这样就可以防止内部员工在工作时间进行其它与工作不相关的网络操作,也就减少了感染木马等带来的安全风险。我们可以通过下面的方式添加相应的出口访问规则:
单击SmoothWall ExpressWEB管理界面中的“Networking”—“outgoing”,进入如图4.4所示的界面。在此界面的Interface default选项框中,确保“Traffic Origination on GREEN is”的下拉列表框中已经选择了“Blocked with exceptions”,意思是除了指定的服务可以访问外,其它的全部禁止。
然后就要在添加例外(Add exception)框中添加可以被访问的外部服务,在Interface下拉框中选择GREEN,在Application or Service(s)下拉框中选择允许被访问的服务,例如SSH服务,然后在Port文本框中输入允许访问此服务的端口,并确保“Enable”多选框已经被选择,最后单击“Add”按钮就可以完成一条出口访问规则的添加。
/qzone/newblog/v5/editor/css/loading.gif
图14 出口访问控制界面

4、 内网访问控制(Internal)
SmoothWall Express的内网访问控制,允许我们指定DMZ区域或无线网络中某台主机可以访问内部局域网中某台主机的指定服务。通常,DMZ区域和无线网络中的主机都不被内网信任的,如果这些区域中的主机需要访问内网主机上的服务,为了增加安全性,我们就可以通过内网访问控制来限制可以访问的内网主机,以及可以访问的服务。
单击SmoothWall ExpressWEB管理界面中的“Networking”—“Internal”进入如图4.5所示的界面,在Add a new rule选项框中的Source IP文本框中输入源IP地址,也就是DMZ或无线网络中主机使用的IP地址;在Protocol下拉框中选择一种连接协议如TCP协议;在Destination IP文本框中输入允许访问的内网主机的IP地址;在Application or Service(s)下拉框中选择允许访问的服务;在Destination Port文本框中输入允许访问的内网主机上的目标端口,确保“Enable”多选框已经被选择,然后单击“Add”按钮就可以添加一条内网访问控制规则。
/qzone/newblog/v5/editor/css/loading.gif
图15 内网访问控制界面

5、 网络访问时间控制(timed settings)
一些中小企业,可能只允许内网中的计算机在某个指定的时间段内可以访问互联网,例如从早上8点整到下午17点整,这样可以防止内部员工在非工作时间访问网络中的服务,以及减少这些操作可能会带来的安全风险。
单击SmoothWall ExpressWEB管理界面中的“Networking”—“timed settings”打开如图4.6所示的界面。首先确保Global Settings选项框中的“Enable”多选框已经被选择,表明已经启用了时间限制服务,然后在mode下拉框中选择“Allow at specified times”选项,意思就是允许在指定的时间范围内可以访问网络。完成全局设置后,就应当在Timed access选项框中指定允许访问网络的时间范围。
我们可以在From下拉框中选择起始的时间,在To下拉框中选择结束的时间来指定允许访问的时间范围,然后,我们还要选择一个星期中的哪几天允许这种方式的网络访问,例如允许mon(星期一)、Tue(星期二)、Wed(星期三)、Thu(星期四)、Fri(星期五)使用时间访问控制,就在这些名称的后面打上勾。最后在Machines文本框中输入允许访问的IP地址或网络段及其子网掩码,记住一行只允许输入一条。完成所有主机的添加后,单击“Save”保存规则。
/qzone/newblog/v5/editor/css/loading.gif
图16 网络访问时间控制界面

6、 SmoothWall Express更新
如果我们在使用SmoothWall Express的过程当中想对其进行更新,可以通过单击其WEB管理界面中的“maintenance”—“updates”来打开如图4.7所示的界面。在此界面中,可以先通过单击“Check for updates”按钮来检查是否存在更新包,然后通过单击“update”按钮来进行更新。
/qzone/newblog/v5/editor/css/loading.gif
图17 SmoothWall Express更新界面

7、 系统状态监视
如果想查看SmoothWall Express的系统运行状态,我们可以通过单击其WEB管理界面中的“About”—“advanced”来打开如图4.8所示的界面。在此界面中我们就可以看到这台路由防火墙的内存、磁盘使用率,加载的系统模块,硬件列表,路由表,以及各个网络接口卡的状态等信息。
/qzone/newblog/v5/editor/css/loading.gif
图18 系统状态监视界面

8、日志管理
SmoothWall Express给我们提供了易于使用的各种日志查看和备份功能,例如想查看防火墙某个时段产生的日志,就可以通过单击其WEB管理界面的“Logs”—“firewall”来打开如图4.9所示的界面。在此界面中的Log选项框中就列出了被阻止的外网主机列表。
如果我们想将某个时间段的防火墙日志进行备份,可以在此界面的Settings选项框中,在Month下拉框中选择要备份的月份,在Day下拉框中选择要备份的日期,然后单击其中的“Export”按钮,并在弹出的保存文件对话框中,为要保存的日志文件指定一个保存位置就可以。
/qzone/newblog/v5/editor/css/loading.gif
图19 防火墙日志管理界面
















页: [1]
查看完整版本: 打造免费的宽带路由防火墙