基于m0n0wall路由器和防火墻的實現(xiàn)

1、基于m0n0wall路由器和防火墻的實現(xiàn)論文導(dǎo)讀:：本文介紹了m0n0wall軟件的特點，分析了該軟件和硬件路由器相比擬的優(yōu)勢，提出了用淘汰落后的計算機硬件結(jié)合該軟件完全可以配置出穩(wěn)定性、易用性、可維護性、性價比等方面俱佳的方案，經(jīng)過在實踐中的使用到達了滿意的效果，不僅為單位節(jié)約了購置經(jīng)費，提高了管理人員的業(yè)務(wù)管理水平，而且為今后的實驗教學(xué)探索了一條新的思路。論文關(guān)鍵詞：m0n0wall，路由器，防火墻，配置0 引言越來越多的局域網(wǎng)通過各種各樣的方式連入Internet，應(yīng)用TCP/IP協(xié)議訪問Internet資源。通過路由器共享高速寬帶網(wǎng)絡(luò)是節(jié)省網(wǎng)絡(luò)資源的有效手段，由于帶機數(shù)量龐大，性能要求

2、高，企業(yè)級路由器往往價格不菲。如果選購一款軟路由產(chǎn)品，將它安裝到PC上，打造一臺高性能路由器，成為企事業(yè)單位節(jié)流;非常有效的方法。路由器?用于恢復(fù)系統(tǒng)的串口界面?設(shè)置LAN IP地址?恢復(fù)初始默認設(shè)置?無線支持?上網(wǎng)認證?支持802.1QVLAN?基于狀態(tài)的包過濾?Block/Pass規(guī)那么?日志?NAT/PAT(包括1:1)?在WAN口上支持DHCP客戶、PPPoE、PPTP和Telstra BigPond Cable?IPsec 隧道?PPTP?靜態(tài)路由?DHCP效勞器與中繼?緩存DNS 轉(zhuǎn)向器?動態(tài)DNS客戶端與 RFC 2136 DNS更新器?SNMP代理?流量整形?基于SVG的流量圖

3、?可以通過WEB界面進行固件升級?喚醒LAN客戶?配置文件備份/恢復(fù)2.2 平安性m0n0wall根據(jù)規(guī)那么來確定允許什么樣的包進出本網(wǎng)絡(luò)。簡單說來，防火墻就是一對開關(guān)，一個開關(guān)允許包通過，另一個開關(guān)禁止包通過。防火墻系統(tǒng)一般都會附加審計跟蹤、加密認證、地址偽裝和等多種功能。作為一個平安開關(guān)，防火墻可定義的平安策略有兩個：1一切未被允許的都被禁止；2一切未被禁止的都被允許。顯然，策略1的平安性明顯高于策略2，但它是以犧牲靈活性和可訪問資源為代價來提高平安性的。通常策略的優(yōu)先級別按順序進行，可以這樣理解：1由上至下：策略按由上開始往下執(zhí)行；2匹配優(yōu)先：最先匹配的策略會立即執(zhí)行；3默認禁止：不可見

4、的最后一條默認策略是禁止。3 硬件需求3.1 支持的硬件架構(gòu)3.2 支持基于PC的硬件任何486或更高的CPU就足夠運行m0n0wall。具體需要多少主頻的CPU才滿足需求，取決于多種因素，包括互聯(lián)網(wǎng)的接入帶寬、所需要的并發(fā)連接數(shù)、使用什么功能等，對于大局部應(yīng)用，486或PentiumCPU就足夠了。64M RAM是官方建議的最少配置，據(jù)m0n0wall的CD版本報告在32MB內(nèi)存機器中也運行得很好。當(dāng)使用m0n0wall的CF(Compact Flash)或硬盤版本配置，少于64MB內(nèi)存時升級將失敗，因為m0n0wall在RAM中保存所有內(nèi)容，當(dāng)內(nèi)存耗盡，沒有任何后援內(nèi)存支持。需要修改一些B

5、IOS設(shè)備，才能讓m0n0wall正確地工作。1、Plug and Play OS通過關(guān)閉主板的該選項，把分配系統(tǒng)資源的工作留給BIOS去做而防止增加操作系統(tǒng)的額外開銷。因此BIOS負責(zé)分配資源m0n0wall運行效率最高。2、禁止不必要的設(shè)備應(yīng)在BIOS中禁止所有不必要的設(shè)備，以及其它不使用的設(shè)備。m0n0wall 可以安裝在CF卡、硬盤、或CD，配一軟驅(qū)保存配置。CF卡需要至少8M，一般的IDE或SCSI硬盤都可以只要是FreeBSD支持的磁盤控制器。假設(shè)使用幾十GB容量的硬盤不免有些浪費，但使用比擬舊的硬盤又很難保證運行的穩(wěn)定性，目前大容量的CF存儲卡價格普遍在百元左右，使用CF存儲卡代

6、替硬盤效果會更好。任何IDE、SCSI、CD-ROM/DVD驅(qū)動器都可以啟動m0n0wall。網(wǎng)卡是一個影響性能的重要因素。性能差的網(wǎng)卡會令CPU忙于中斷處理，使CPU成為性能的瓶頸。性能好的網(wǎng)卡可以增加最大吞吐量兩倍到三倍，甚至更多。Intel Pro/100和Pro/1000在m0n0wall中顯示最正確的性能和最穩(wěn)定，一些差的網(wǎng)卡，如使用Realtek芯片，相比之下性能顯得很差。但是，要想打造的路由防火墻可以滿足現(xiàn)在或?qū)砥笫聵I(yè)單位網(wǎng)絡(luò)應(yīng)用帶寬和平安防范能力的需求，還是應(yīng)中選擇性能高一些的硬件來定制一臺適合企業(yè)網(wǎng)絡(luò)應(yīng)用需求的路由防火墻設(shè)備的。4 基于m0n0wall的路由型防火墻的架結(jié)m

7、0n0wall的網(wǎng)絡(luò)配置及IP分配規(guī)劃見圖1。圖1 基于m0n0wall的防火墻路由器拓撲圖配置該架構(gòu)路由防火墻采用聯(lián)想開天4610主機，用兩塊網(wǎng)卡，一塊為主板集成網(wǎng)卡intel Pro/100VE，另加一塊intel 82559/100效勞器網(wǎng)卡，外網(wǎng)用前者，內(nèi)網(wǎng)用后者。IP、子網(wǎng)掩碼、網(wǎng)關(guān)的分配見圖中所示，m0n0wall版本為1.32。5 m0n0wall路由器和防火墻的安裝和配置5.1 軟件安裝m0n0wall的安裝非?？旖莘奖悖旅鎸Π惭b菜單進行簡單介紹。1、Interfaces:assign network ports2、Set up LAN IP Address3、Reset w

8、ebGUI Password4、Reset to factory defaults5、Reboot system6、Ping host配置是按以上的順序進行，首先鍵入1并回車。系統(tǒng)提示是否設(shè)置對VLANm0n0wall的出口訪問控制允許限制局域網(wǎng)中的主機可以訪問的外部效勞，例如只允許企業(yè)局域網(wǎng)內(nèi)的主機訪問互聯(lián)網(wǎng)上的WEB、電子郵件和閱讀新聞等效勞，這樣就可以防止內(nèi)部員工在工作時間進行其它與工作不相關(guān)的網(wǎng)絡(luò)操作，也就減少了感染木馬等帶來的平安風(fēng)險?？梢酝ㄟ^下面的方式添加相應(yīng)的出口訪問規(guī)那么：在m0n0wall WEB管理界面中的FirewallRules;的WAN選項框中，缺省情況下，WAN接口

9、將接攔截所有如果WAN接口本身位于私有網(wǎng)絡(luò)，那么應(yīng)在Interfaces的WAN中取消：阻止私有網(wǎng)絡(luò)選項。系統(tǒng)按照規(guī)那么列表順序進行規(guī)那么匹配，如果設(shè)置了BLOCK規(guī)那么，那么應(yīng)該特別注意其順序，通常防火墻規(guī)那么是按照優(yōu)先次序進行的，先執(zhí)行次序中排前的規(guī)那么，然后執(zhí)行次序靠后的規(guī)那么。m0n0wall的內(nèi)網(wǎng)訪問控制，允許指定DMZ區(qū)域或無線網(wǎng)絡(luò)中某臺主機可以訪問內(nèi)部局域網(wǎng)中某臺主機的指定效勞。通常，DMZ區(qū)域和無線網(wǎng)絡(luò)中的主機都不被內(nèi)網(wǎng)信任的，如果這些區(qū)域中的主機需要訪問內(nèi)網(wǎng)主機上的效勞，為了增加平安性，可以通過內(nèi)網(wǎng)訪問控制來限制可以訪問的內(nèi)網(wǎng)主機或可訪問的效勞。WEB管理界面中的Firewa

10、llRules;如圖4所示的界面，在Add a new rule選項框中的Source文本框中輸入源IP地址，是DMZ或無線網(wǎng)絡(luò)中主機使用的IP地址；Protocol下拉框中選擇一種連接協(xié)議如TCP協(xié)議；Destination IP文本框中輸入允許訪問的內(nèi)網(wǎng)主機的IP地址；Application or Service(s)下拉框中選擇允許訪問的效勞；Destination Port文本框中輸入允許訪問的內(nèi)網(wǎng)主機上的目標端口，確保Enable;多項選擇框已經(jīng)被選擇，然后通過Add;按鈕可以添加一條內(nèi)網(wǎng)訪問控制規(guī)那么。編輯一條已存在的規(guī)那么，可點擊按鈕e。圖4 內(nèi)網(wǎng)訪問控制界面如果想查看m0n0w

11、all的系統(tǒng)運行狀態(tài)，我們可以通過WEB管理界面中的StatusSystem;來翻開如圖5所示的界面。在此界面中我們可以看到這臺路由防火墻的版本號、內(nèi)存使用情況、安裝時間、上線時間、無線網(wǎng)絡(luò)、流量圖及各個網(wǎng)絡(luò)接口卡的狀態(tài)等信息。圖5 系統(tǒng)狀態(tài)監(jiān)視界面ARP代理功能是指一個網(wǎng)絡(luò)接口可以代其它IP不僅是它自已的IP作ARP應(yīng)答?？梢杂糜?:1NAT、高級轉(zhuǎn)出NAT和效勞器NAT時。如果WAN子網(wǎng)路由暢通或使用的是PPPoe/PPTP，就不需要作此設(shè)置。只在WAN接口是按靜態(tài)IP地址或DHCP配置時才需要。m0n0wall給用戶提供了易于使用的各種日志查看和備份功能，例如想查看防火墻某個時段產(chǎn)生的日

12、志配置，就可以通過其WEB管理界面的LogsFirewall;來翻開如圖6所示的界面。在此界面中的Log選項框中分別記錄了System/Firewall/DHCP中主機的活動情況。如果想將防火墻日志進行備份，可以在此界面的Settings選項框中配置遠程系統(tǒng)日志效勞器，需要設(shè)置日志效勞器的IP地址和端口默認端口為514，同時也需要在遠程安裝日志管理工具進行相應(yīng)的設(shè)置，如WallWatcher或Kiwi Syslog Server，為要保存的日志文件指定保存位置。圖6 防火墻日志管理界面m0n0wall還有許多其它的網(wǎng)絡(luò)功能，例如端口轉(zhuǎn)發(fā)、IDS、QoS、，以及WEB、IM、POP3代理和流量監(jiān)控等功能，由于功能較多，限于篇幅不能全部詳細描述，但這些功能的設(shè)置都很簡單，操作方便，還可通過用戶手冊得到相應(yīng)的幫助說明。因此，就不在本文中再對這些功能做特別的說明，用戶可在實際的使用過程中，去體會和發(fā)現(xiàn)，定有更多意想不到的驚喜。7 結(jié)束語m0n0wall以其方便穩(wěn)定的特點給大中型機房的管理帶來了極大的方便，經(jīng)過長時間的運行測試，證明它在易用性方面優(yōu)于Linux系統(tǒng)，而在穩(wěn)定性方面強過Windows系統(tǒng)，很好地滿足了機房管理人員的需求?？偟膩碚f，通過企事業(yè)單位淘汰下來的計算機與m0n0wall路由防火墻軟件的優(yōu)化組合，完全可以配置一臺功能強大免費的路