预计阅读本页时间:-
6.3 Linux防火墙在企业中的应用
Linux防火墙(即Netfilter/iptables IP过滤系统)在企业中的应用非常广泛,那么,它究竟应用到哪些方面了呢?
·对于IDC机房的服务器,可以用Linux防火墙来代替硬件机防火墙,由于IDC机房的机器一般是没有硬件防火墙的,因此使用开源免费的iptables是一个性价比比较高的选择。
广告:个人专属 VPN,独立 IP,无限流量,多机房切换,还可以屏蔽广告和恶意软件,每月最低仅 5 美元
·在AWS EC2云主机上也得到了更广泛的应用,而且是通过AWS的控制台图形化操作的,使用起来更为直观方便,如图6-4所示。图6-4中,菜单中的“入站”代表的是INPUT链,“出站”代表的是OUTPUT链,AWS控制将规则整合成了安全组(security group)的格式,新增的EC2云主机可以直接套用几个安全组的规则,如果是批量新增的EC2主机需要改动的话则会非常灵活,如图6-5所示。
图6-4 AWS的控制台网络与安全配置图示
图6-5 AWS EC2云主机的安全组创建菜单图示
·利用iptables来作为企业的NAT路由器,从而代替传统的路由器供企业内部员工上网之用,在节约成本和进行有效控制上,Linux防火墙确实有它独有的优势。
·结合Squid作为企业内部上网的透明代理。传统的代理需要在浏览器里配置代理服务器信息,而iptables结合Squid的透明代理则可以把客户端的请求重定向到代理服务器的端口,让客户端感觉不到代理的存在,当然,客户端也无须做任何代理设置。
·用于外网IP向内网IP映射。我们可以假设有一家ISP提供园区Internet接入服务,为了方便管理,该ISP分配给园区用户的IP地址都是内网IP,但是部分用户要求建立自己的Web服务器对外发布信息,这时,可以在防火墙的外部网卡上绑定多个合法IP地址,然后通过IP映射使发给其中某一个IP地址的包转发至内部用户的Web服务器上,这样内部的Web服务器也就可以对外提供服务了,这种形式的NAT一般称为DNAT。后面的集群架构环节中,经常将负载均衡器的内网VIP的80和443端口通过防火墙映射成公网IP的80和443端口,这也是DNAT的实现形式之一。
·防止轻量级的DOS攻击,比如ping攻击及SYN洪水攻击,我们利用iptables来做相关安全策略还是很有效果的。
