Bastion firewall
1. 防火墙主机,应该把大部份的服务关闭,仅保留 DHCP Server 及 SSH Server, 并且要限制连线范围。2. 防火墙第一片网卡,正常情形之下,设为真实 IP (除非这台防火墙是第二层的防火墙)。3. 防火墙的 Enable Routing 要打开 (linuxconf - config - Routing and gateways - Set Defaults)4. 防火墙的 gateway 设贵校的路由器 IP5. 防火墙的第二片网卡,设私有 IP。(经常设为内部私有IP段最后一个可用的IP(广播位址除外))6. 内部网路的 PC,其 gateway 设防火墙第二片网卡的 IP。7. 内部网路的 DNS 宜指向外部网路的 DNS 主机。(防火墙内先不摆放 DNS) 如果您在防火墙内摆放 DNS,则该 DNS 仅供内部网路查询,此时可以使用私有 IP, 若该 DNS 允许外部网路查询,则该 DNS 的设定档上,不可使用私有 IP,否则外部网路使用者 查询贵校 DNS 时,会查得私有 IP,将导至该使用者无法连上贵校网路。8. 内部网路 IP 取得、路由设定、DNS 设定,可由防火墙上的 DHCP Server 来自动分配。9. 防火墙上的 DHCP Server 架设,请参考小弟的这篇讲义: http://teacher.mdjh.tnc.edu.tw/~ols3/docs/ols3techdoc/dhcp.htm10.防火墙主机应做好套件的修补,以免被攻击。11.防火墙至少要能做到:IP伪装、虚拟主机,而这二项机制很容易办到。12.一块网路卡即代表一个网段,欲增加一个网段,只要在防火墙上,新增一片网卡即可。13.防火墙上的第二片网卡,做为和其连接的内部网段的路由器。(其它网段依此类推)14.防火墙上的网卡设为私有 IP,则和其连接的网段经常做为内部网路 ;若设为真实 IP,则和其连接的网段经常规划为 DMZ 区。15.若未在防火墙上启动 Passive FTP Mode,则内部网路使用 FTP 功能时, 要向贵校使用者,告知以下改变:利用网路下载档案或上传网页前,务必要调整部份设定,才能顺利运作。说明如下:A. 浏览器介面: * 若您使用的浏览器是 IE,请将浏览器的 Web Based FTP 功能打开(被动式FTP) 步骤:工具->Internet 选项->进阶->使用 Web Based FTP 并且取消:永远以 UTF-8 传送之选项 * 若您使用的浏览器是 Netscape ,则不用调整!B. FTP 介面:
请将软体中的 passive 模式打开 * WS_FTP:Advanced -> Passive transfers 打勾 * CuteFTP:General -> Use PASV mode 打勾 * 命令列的 ftp:连上 FTP Server 之后, 下 passive 来切换 Passive,使其状态为 on * 命令列的 ncftp 则不必调整