用WinRoute建立防火墙
网络与通信
作为网络服务器,安全最重要。今天我给大家介绍WinRoute这个代理软件,利用它的NAT(网络地址翻译)和端口映射建立防火墙保护服务器。
WinRoute是能够在Windows平台上提供NAT功能和端口映射的少数几个产品之一。通过WinRoute对内部地址进行翻译,从而使通信能够在外部公共网络上传递,同时又不暴露内部网络的敏感信息。
比如说,你的网址是http://www.abc.com,对应的IP是一个合法的Internet外部IP(206.86.181.25)。当你直接把这台服务器接上Internet时,不论是提供Web服务还是FTP或Telnet等服务都非常容易受到攻击。但当我们把这台电脑的IP设为一个内部的IP,如192.168.1.3,然后采用端口映射技术把对外部IP的访问转移到内部的IP上来,就会安全得多。当黑客攻击你的服务器时只能访问到作为防火墙的PC上。而真正的提供网络服务的计算机,由于具有的是192.168.1.3这样的内部IP,是不能从外部的网络访问的。
实现方案如下:
1.作为NAT和端口映射防火墙的电脑,我们称为PC 1。使用Win2000操作系统,安装双网卡,一个对外部的网卡接Internet(IP:206.86.181.25),另一块(IP:192.168.1.1)则用来连接你的网络服务器。作为提供网络服务的电脑一台(也可以是多台),我们称为PC 2(IP:192.168.1.3),可提供了WWW,FTP,Telnet等服务。
检查确认连接内部网络的网卡属性中没有设置默认网关(Default Gateway)。连接Internet接口的默认网关应根据你的ISP提供的信息来设定。
2.在PC 1上安装并设置WinRoute。通常情况下WinRoute能自动找到两块网卡。注意确认在连接Internet的外部网卡接口上,NAT已被选中为开。可从菜单“Settings→Interfaces Table”,再到指定的接口属性去设置。其次,确认在连接到内部网络的接口上没有选中NAT(如(图1))。
3.设置PC 2。PC 2的网关和DNS都设为PC 1内部网卡的IP,即192.168.1.1
4.在WinRoute中进行端口映射。
例如你要在WinRoute之后运行WWW服务器按以下步骤进行;
到菜单“Setting→Advanced→Port Mapping”,添加新的端口映射;
协议: TCP;
侦听IP: 域名相对应的IP地址,即206.86.181.25;
侦听端口: 80;
目的IP: 输入Web服务器的IP地址 192.168.1.3;
目的端口: 80。
这样设置完成后Internet网络用户就可以通过你的网络的公共IP(206.86.181.25)地址来访问这个WWW服务了。当然我们还要再对其他的相关服务进行设置,比如DNS,FTP,Telnet等。方法同上,只不过对应的端口不同而已。当所有设置完成后,一个纯软件的防火墙就建立起来了。外部访问的数据包在到达PC 1以后,就会被WinRoute自动转发到拥有内部IP地址的计算机PC 2对应的端口中。这个过程是完全透明的,网络用户根本感觉不到它的存在。
我个人的几点经验:首先在内部网中把PC 2要提供的所有网络服务功能调试完成后再来做PC 1防火墙的设置,要不出了问题,排查起来时比较困难;其次Win2000在作为防火墙的PC 1上仅做最小安装,不要安装任何服务,并打好Microsoft提供的补丁,确保操作系统自身安全;最后对于WinRoute中提供的比如代理,DHCP等其他功能,如果用不上一律关闭。至于WinRoute这个软件你可以到http://nj.onlinedown.net/WinRoute.htm下载。