作者:李忠憲 mailto:shane@mail1.tmtc.edu.tw


解決防火牆設定問題的第一件要務就是作線上監控觀察

架設防火牆之後,如何使校內的網路使用者,能透通式的使用各種網路資源,成為各校系統管理師的一項重任。為了解決這些問題,WebGuard上必須 針對各種需求來增設條件設定,系統管理師並必須時常使用狀態監控器來觀察各種連線流出入的情形以釐清問題所在,筆者就曾經因為電腦廠商的ROUTER設定 錯誤,誤以為是防火牆設定問題,經線上監控觀察才發現,封包並未通過防火牆,也就是說封包在到達ROUTER時,就被擋住了,根本無關防火牆的設定。因此 解決防火牆設定問題的第一件要務就是作線上監控觀察,以了解真正的問題出在哪裡。

校內電腦設定和家裡的電腦設定不一致容易混淆

國小校園網路,由於都使用虛擬IP,再加上工作站皆透過Proxy連到校外,因此單機上未設定完整的網路組態。目前在校內使用各校自已的資源,只能 以IP來連接,而無法使用Domain Name,導致在校內電腦設定和家裡的電腦設定不一致,容易在上研習課程時,使初學者摸不著頭緒,而造成觀念的混淆,甚至教學者都無法將問題原因完整的告 訴學員。有鑑於此,工作站上實在有必要將DNS設定上去,讓每一台單機都可以連上DNS主機進行查詢,而不再使用IP連線。

問題的根源是出在學校使用虛擬IP的關係

校內DNS主機目前是提供給外界查詢,當然校內工作站也可以使用,不過在效能上會大打折扣,原因在哪裡呢?答案就在防火牆的NAT對應上,假設我現 在要以Domain Name連上校內的郵件主機寄信,首先連線要求封包會送到校內Proxy Server上,如果Proxy未將郵件代理功能致能(ENABLE),則工作站會送出DNS查詢封包,以得知郵件主機的所在地(即IP),方便進行連 線。如果我的工作站上所設定的DNS組態,是設定成真實IP,則DNS封包會送到防火牆,防火牆發現該IP必須轉換為虛擬IP,經轉換後封包送到校內 DNS主機查詢,查詢結果也經過防火牆再送回工作站,由於DNS查出來的結果是郵件主機的真實IP,因此實際寄信時,寄信封包依然要透過防火牆才能到達郵 件主機,以一個簡單的寄信竟然就要在防火牆上來來回回四次以上。試問這樣效能會好嗎?當然這個問題的根源是出在學校使用虛擬IP的關係,不應該去怪罪防火 牆。

架設一台校內專用DNS主機

想讓網路的效率更高,只要在校內另行架設一台校內專用DNS主機即可。由於這一台主機只供校內使用,所以只要一般586 PC就足以應付,又不須向上層(也就是市網中心)註冊,所以很適合各校系統管理師自己來練習設置。此DNS主機必須將Domain Name轉譯成虛擬IP,與正式的DNS主機需轉譯為真實IP不同。有了這台DNS之後,就可以讓校內所有工作站的DNS組態指到這裡,以後不管寄信或上網,都不會再透過防火牆作NAT轉換,在效能上可提升不只兩倍。

將同類性質排列在一起有助於管理

為了讓校內使用者更透通的使用網路服務,應該盡量將應用層的封包放行,所謂應用層的封包也就是HTTP、FTP、SMTP、POP3....等等, 站在鼓勵使用網路的立場,單方向的將這些封包放行並不至於危害學校主機的安全。在修改防火牆設定時,並不用對條件順序問題太過擔心,基本上只要越嚴格的條 件放在越上面就對了,如果實在搞不懂哪一條較嚴格,只要使用WebGuard上的規則檢查功能來檢查就一目了然了。將同類性質排列在一起也有助於管理,如 下圖這樣看起來就很清爽:

UNIX上的IP FORWARDING功能

從上圖可以看出校內對外封包都放行,但從校外只能連通到伺服主機,且只能使用該主機預定的服務項目,這種方式就很像是UNIX上的IP FORWARDING功能,這樣設定可以讓各個工作站能任意使用校外的服務,不受到防火牆的限制,同時又能兼顧主機的安全。記得將PING封包完全放行,這是為了網路偵錯,PING封包雖然有PING of DEATH安全上的顧慮,但因為WebGuard已針對此問題加以防堵,因此放行是安全的(詳細設定在系統參數選項裡)。

可以將同性質主機設定成群組

如果校內有一台以上的網路主機想對外提供服務,您可以將同性質主機設定成群組,以方便管理。如果不設定群組物件,您的條件設定超過三十條是稀鬆平常 的事。我們可以根據服務類型的不同將網路主機區分為Web、Mail和Proxy三個群組,Web群組應放行HTTP及FTP,Mail群組應放行 SMTP及POP3,Proxy群組應放行HTTP的3128埠(稍後再談)。如果現在有一台主機Book要加入服務,該主機兼作Web及Mail服務, 那麼我只要將該主機同時加入Web及Mail兩群組就好了,條件一條也不用增加就搞定了,這樣做您要維護的條件永遠都只有十幾條。

將3128埠定義為HTTP應用層封包

由於各校Proxy必須連到市網中心Proxy,才能讀取國外網頁,您必須要修改Netscape Proxy Server的設定值,這個問題在這裡不談。修改完Proxy Server設定後,並不能馬上啟用,原因是市網中心的Proxy Server使用3128埠來監聽代理要求封包,而該封包已經被防火牆防堵無法通過,因此必須修改防火牆設定,WebGuard預設值是把HTTP封包定義在80埠,因此我們必須自己新增一項網路服務,在該服務物件上將3128埠定義為HTTP應用層封包,並將該服務命名為Proxy,如下圖:

將該服務定義為HTTP而非TCP封包,是因為WebGuard內定為HTTP封包作色情防堵的工作,如果定義成TCP,雖然Proxy可以使用,但是卻失去色情防治的功能。接下來到網路存取控管視窗,設定條件。將來源為Proxy群組的主機們,目的地是Any Net的Proxy服務放行,記得嗎?Proxy服務就是剛加進去的東東,現在派上用場了。其他單位提供的Proxy服務也可以用同樣方法加以放行,讓貴校的Proxy服務更有效率。

對各種封包運用的技術資料

要將其它一些特殊的服務放行,必須對各種類型封包有所了解,首先必須研讀RFC標準,這個文件是網路各種服務的預設埠資料,如果遇到一些新興獨門的服務,就要去了解該原創公司對各種封包運用的技術資料。各種通訊協定所使用到的Port資料,可以在這裡找到進一步資料。

例如:有名的Real Network(在網路上看影片、聽音樂的東東),它是使用RSTP通訊協定,使用TCP 554埠和TCP 7070埠送出要求,以TCP 6970~32000埠和UDP 6970~7170埠來接收視聽資料串流,您必須針對這些埠作放行,才能使校內的工作站收看Real頻道的節目。同樣的想要使校內VOD Server成為學校網頁的一部份,以影片來介紹校園風光,也必須將相關的通訊埠放行。

又例如:Traceroute 使用 ICMP 11 及 ICMP 8 兩個 Ports,如果要追蹤路由請將此兩種封包放行。

 

莊子 發表在 痞客邦 PIXNET 留言(0) 人氣()