硬件防火墙

　按以上设置配置好PIX防火墙和路由器后，PIX防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口，也不可能判断出内部任何一台主机的IP地址，即使告诉了内部主机的IP地址，要想直接对它们进行Ping和连接也是不可能的。这样就可以对整个内部网进行有效的保护。

其中ftp可以用21来表示,在这里的服务与前面的协议对应,是tcp 还是udp,ftp当然对应tcp.这个命令的意思我通过在低安全等级访问192.168.0.9的21端口,它自动转到10.10.10.9 2100这个端口上.在6.2版本以上支持双向网络地址转换,我不知道这个是什么意思?他说可以对外部源IP地址的NAT,以便将外部接口的分组发送到一个内部接口上两个重要的命令:

手动配置clock set hh:mm:ss month day year,关于通过NTP来配置，大家查查资料吧，也没有见过别人来做过，安全要求太高了.

作为一个网管，为了保护你的网络，你可以花数万元来对流入流出的信息进行控制，也可以分文不花而达到同样的目的。听起来是不是觉得不太可能？下面就让我们来试一试吧！不试怎么知道行不行呢？24小时在线的宽带Internet连接的优点是显而易见的，它快速、便宜、方便。不过，它潜在的危险相对来说，则不易为人们所注意。事实上，如果没有合适的保护，这种不间断的连接将使你公司的服务器和数据时刻处于危险之中。一个带有防火墙功能的路由器可以有效地消除这些危险。你可以花很多的钱去买一个路由器，也可以把钱省下来，完全使用Linux内建的路由和防火墙的功能来达到目的。在很多情况下，你甚至可以把你的Linux服务器同时作为路由器使用。不过，如果你的Web站点信息流量很大的话，最好使用一台PC来单独完成这项任务。

配置动态DNS服务器的核心思想是：在DNS服务器上运行多个BIND，每个BIND为来自不同区域的用户提供解析，因此每个BIND都应具有不同的配置文件和域文件，并且分别监听在不同的端口。在接到客户端DNS请求时，根据客户的ip地址将请求重定向不同的BIND服务端口。

　作为真正的商业版本的Linux应用软件，将近100美元的价格确实是让人感到有些贵了。因为多数自由软件都是免费的。但是为了Linux系统的安全，特别是用在商业用途的Linux服务器、工作站，花上100美元购买一个基于GUI图形用户界面的Storm防火墙还是很值得的。

NetMAX防火墙的引导初始化屏幕和RED HAT的安装初始化界面是差不多的，令人惊异的是NetMAX防火墙的版权信息提示看上去就是把RED HAT这几个字换成了NetMA而已。安装过RED HAT 的用户就一点也不觉得陌生。NetMAX防火墙的开发公司称NetMAX防火墙就是基于Red Hat Linux发行版本而设计的。所以Red Hat Linux能和NetMAX防火墙相处得很好。

　FWTK是一套用来建立和维护内部网络防火墙的工具集。它包含了许多独立的组件，大部分组件是代理应用程序，如telnet、FTP、rlogin、 sendmail、HTTP、X windows等。与Squid、Socks等同类软件相比，它的突出优点是不但可以从本地和目标地的主机名、IP地址来指定访问规则，而且可以根据访问操作来允许或拒绝某个执行命令，充分地体现了应用层网关的优势。本文以telnet为例介绍如何利用FWTK配置Linux上的代理服务器型防火墙。

在作者的布告板（http： //trevormarshall.com/BYTE/）上，看到有几位朋友询问是否可以用多条拨号线来改善Internet的上网速度。这里最好的例子是128K ISDN，它同时运用两条56K通道，以达到128K的速度。当ISP提供这样的服务时，其实会配置两条独立的线路连到同一个IP上。

　tcplimit通过在"filter"表中创建一个新的规则链来实现。这个新的规则链将拒绝所有超过指定限制的数据报，同时将一个规则插入到 INPUT规则链中，其将所有的到目标端口(在本例中是873端口)的新连接数据报定向到这个新的规则链。新规则链只会影响新的超过限制的连接而不会影响已经建立的连接。

本文主要是说明了把iptables和iproute2协同以后可以做出很多很强的应用。你可以利用iptables强劲的对数据报的识别能力来将不同类型的数据包打上你自己定义的标示，然后利用iproute2的策略路由的功能来对路由进行人为的干预。

　iptables-p2p模块通过-m p2p参数来实现对所有已知P2P连接请求的识别。注意，-m p2p只能识别P2P类型的连接请求，不能识别所有的P2P包，可以通过--p2p-protocol子参数来识别P2P的各种已知协议类型。

安装完系统之后，以root的身份登录，在／etc／rc.d／目录下用vi创建一个脚本叫firewall.rules；创建完成后，执行命令chmod 755 firewall.rules，确保其为可执行文件；然后用vi打开／etc／rc.d／rc.local文件，加入一行／etc／rc.d／firewall.rules，确保机器每次启动即可执行所设定的各项防火墙规则。

现在很多公司都使用微软的活动目录对网络进行管理，其中内部DNS服务器是不可或缺的一个组成部分。我们知道，对于ISA的防火墙客户端通过ISA访问网络资源时，其DNS解析由ISA服务器帮助完成，你是否有想过，通过的内部DNS服务器和防火墙客户端结合，能够巧妙的解决很多实际问题。

RELATED是个比较麻烦的状态。当一个连接和某个已处于ESTABLISHED状态的连接有关系时，就被认为是RELATED的了。换句话说，一个连接要想是RELATED的，首先要有一个ESTABLISHED的连接。这个ESTABLISHED连接再产生一个主连接之外的连接，这个新的连接就是RELATED的了，当然前提是conntrack模块要能理解RELATED。ftp是个很好的例子，FTP-data 连接就是和FTP-control有RELATED的。

DDoS(分布式拒绝服务)攻击是利用TCP/IP协议漏洞进行的一种简单而致命的网络攻击，由于TCP/IP协议的这种会话机制漏洞无法修改，因此缺少直接有效的防御手段。大量实例证明利用传统设备被动防御基本是徒劳的，而且现有防火墙设备还会因为有限的处理能力陷入瘫痪，成为网络运行瓶颈。另外，攻击过程中目标主机也必然陷入瘫痪。

想通过pix做snat使内网用户上网，再做dnat使访问本公网IP的http服务、ssh服务转换为192.168.4.2的http服务、ssh服务，对192.168.4.2开放本pix的telnet服务

在详述端口转发之前，先讲一下我日前遇到的一件事情。本人是搞测试的，有一厂家拿了一个服务器软件叫我测试。基于win2k的，端口号为881，服务器直接连接外部网络，客户端通过服器ip来访问，而他们没有基于linux的服务器软件，照他们意思就必须将服务器换成windows的。

一般LINUX防火墙（iptalbes）的运用无非是用nat 表（PREROUTING、OUTPUT、POSTROUTING）和filter表 (FORWARD、INPUT、OUTPUT)。我们只有知道了数据的流向才能正确的配置防火墙。现用一个相对比较直观的图形解释数据的走向。（此处只作 最基本的iptables数据流走向说明。）

使用脚本更改规则的问题是：改动每个规则都要调用命令iptables，而每一次调用iptables，它首先要把netfilter内核空间中的整个规则集都提取出来，然后再插入或附加，或做其他的改动，最后，再把新的规则集从它的内存空间插入到内核空间中,这显然会花费很多时间。