这几天有实验室服务器的密码之后,可以挨个看服务器的配置了,这种感觉真不错。
原来觉得实验室的防火墙配得实在是太恶心了,限制太多,而且莫名其妙。现在终于可以看看它是怎么配置的了。比起IBMTC来,PACT的配置显得专业了一点(废话,不然叫什么网络安全实验室),加入了DMZ。
DMZ这个东西,在以前学防火墙的时候总是理解不上去,主要是使用的技术不太一样。我以前理解的防火墙就是一个nat防火墙,而且是只有一个物理网卡的,网络接口虚拟出两个来。其实理解使用DMZ的防火墙关键在于它使用的是arp透明代理,而不是nat的。arp在链路层,防火墙的两端在同一个子网中;而nat防火墙属于网络层,它的两端分属于不同子网。所以前者的实用性更强,能支持更多的协议,更加透明。而在arp透明代理的基础上加上了过滤规则,可以实现防火墙的功能。
回去再仔细看规则,嗯。
我们其实不叫防火墙,只不过是一个路由器,路由转发而已。发一份来看看,学习一下,加强一下IBMTC的防火墙安全性。
源文件就不给你了,免得老师找我麻烦.你可以参考这个,原理是类似的.http://blog.chinaunix.net/u/11995/showart.php?id=68731不过我以前就在琢磨这件事情了,不过ibmtc的网络拓扑比较简单.用不着这么复杂的东西.
可以在19上面尝试一下
作为防火墙,物理上需要好几个接口的,这样才能保证安全性。你可以尝试一下,呵呵