PersonalCorpus 版 (精华区)
发信人: sczd (冰人), 信区: Network
标 题: *浙江电台宽带上网解决方案
发信站: 哈工大紫丁香 (2001年08月31日20:22:39 星期五), 站内信件
紫丁香原创
希望此文能够对渴望了解ADSL技术、微软PROXY软件以及思科防火墙的网友有所帮助。
浙江人民广播电台宽带上网解决方案
sczd/文
浙江广电采用adsl宽带上网,一共是两路线,每路512k,动态分配地址。解
决方案要求做到:
1、鉴于高带宽带来的潜在风险,要求方案中必须包含防火墙的功能,以保障
内部网络的安全。
2、对于内部网的出去情况应能实现最大程度的监控。其中控制部分应能实现
ip地址与用户级双重控制,如果能够控制到具体的应用则更好。监视部分应能对
用户的访问情况进行详细的记录。
3、对目前的两路线应能进行统一、灵活的管理,还应考虑日后线路可能增加
的问题。
实际中采用MS PROXY2.0代理与CISCO PIX520防火墙相结合的设计,较好
的实现了安全性与可控性。
具体方案如下:
将整个网络划为三个部分:内部区、隔离区、外部区。内部区即电台采编网,
为172.16.0.0/16网段,静态地址。内部区与隔离区由pix防火墙隔开(内部网交换
机通过普通网线连接到防火墙的内网卡),这里防火墙的作用是阻隔向内的任何访
问,并可在ip地址级对向外的访问进行控制,同时将可以出去的ip地址转化为隔
离区的网段地址10.0.0.0/8。隔离区是一个小hub,向内连接防火墙的外网卡,向
外连接两台代理服务器的两个内网卡,隔离区主要起到缓冲区的作用,以实现纵深
防御。隔离区通过代理服务器连到外部区,其中代理服务器的内网卡连接到隔离区
的hub,外网卡与adsl modem相连,代理服务器能够实现用户级的访问控制,并
将来自内部合法用户的ip地址(已经被pix防火墙转化过一次)转化为代理本身
的地址与外部区即互联网相连。
以下是具体的参数配置:
防火墙部分配置参数清单(通过超级终端进入后,在配置模式下键入write
terminal命令或show configure命令可以查看配置清单。其中没有注释三个星号的
命令行均为系统默认设置)
命令行 注释
nameif ethernet0 outside security0 *** /*定义防火墙外网卡名为
outside,密级为最低的0级*/
nameif ethernet1 inside security100 *** /*定义防火墙内网卡名为
inside,密级为最高的100级*/
enable password 8Ry2YjIyt7RRXU24 encrypted /*显示特权模式的密码,
因为设置密码时没有特别说明是明文显示,所以这里以密文方式显示*/
passwd 2KFQnbNIdI.2KYOU encrypted /*密文显示telnet远
程访问密码*/
hostname pixfirewall /*防火墙主机的名字*/
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
names /*执行该命令后即可
对每个端口的ip地址定义一个字符串的名字*/
access-list acl_in permit tcp any any *** /*允许由内向外的tcp数据
,
其中最后的两个any表示不对源和目标地址做任何限制,本命令必须与后面的
access-group命令捆绑起来才能生效*/
access-list acl_in permit udp any any *** /*允许由内向外的udp数据
,
其中最后的两个any表示不对源和目标地址做任何限制,本命令必须与后面的
access-group命令捆绑起来才能生效*/
pager lines 24 /*一屏显示的行数*/
logging on /*启用日志服务,可以
具体配置将哪些事件写入到pix本身的缓存或者专门的日志服务器中*/
no logging timestamp
no logging standby
no logging console
no logging monitor
no logging buffered
no logging trap
no logging history
logging facility 23
logging queue 512
interface ethernet0 auto /*设置网卡双工模式为
auto*/
interface ethernet1 auto
mtu outside 1500 /*定义通过网卡的最大
ip包长度,超过此长度的包将被分割成几个包*/
mtu inside 1500
ip address outside 10.0.0.1 255.0.0.0 *** /*定义外网卡ip地址和掩码
*/
ip address inside 172.16.0.240 255.255.0.0 *** /*定义内网卡ip地址和掩码
*/
no failover /*没有第二台双机热备
pix防火墙*/
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
arp timeout 14400
global (outside) 1 10.0.0.20-10.0.0.254 *** /*所有允许出去的ip地址都
被转化为10.0.0.20-10.0.0.254这个网段里的某个地址。当并发用户超过这段的地址
数时,pix会自动启动pat服务,使每个转换地址最多可“容纳”65536个内部地址
*/
nat (inside) 1 0.0.0.0 0.0.0.0 0 0 *** /*启用内部任意ip地址出去
,
注意此命令好像一个开关,必须打开,内部才能访问外部。此命令与上一条global
命令捆绑使用,捆绑识别号为1*/
access-group acl_in in interface inside *** /*与前面的access-list命
令捆
绑使用,捆绑代号为acl_in,表示将access-list命令作用于内网卡*/
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
no floodguard enable
isakmp identity hostname
telnet 172.16.0.0 255.255.0.0 inside *** /*允许从172.16.0.0/16这
个
网段远程管理*/
telnet timeout 5
terminal width 80
Cryptochecksum:d852888555e9d445dd4017c90645595a
说明:1、按照配置手册的说明,pix出厂时由内向外已经是完全打开的,事
实是无论内到外还是外到内都没有打开,需要手工配置。
2、如果想实现ping,需再加入允许icmp包通过的access-list的命令,
然后将这个命令通过access-group捆绑到内外两个端口,这样才能够从内部区主机
ping到隔离区主机,反过来ping亦可。也就是说,ping命令一定是双向的,只捆
绑在内网卡上是不行的。
3、即便按照上一条的配置,从防火墙一个网卡ping另一个网卡仍然是
ping不通的。
4、上面的配置实际是允许内部所有主机出去,如果想限制只有特定地
址的主机可以出去,可以通过修改nat命令。首先no nat 1 0 0将所有内部地址关
闭,然后逐条加入可开启的内部地址,比如:nat 1 172.16.0.1 255.255.255.255即可
,
注意这里掩码是4个255,以表示主机。nat命令的调整需要先保存(write memory),
再重启(reload)才能生效。
5、事实上pix防火墙也提供了用户级控制机制,考虑到在proxy中通
过软件实现起来更加方便,就没有启用该机制。
代理服务器部分设置:
MS PROXY2.0必须运行在WINNT的IIS之上,安装完毕后默认代理用户列
表是空的,需要从NT的用户管理器中选择用户手工添加。安装设置adsl及proxy
的步骤如下:
1、将从电信局端拉来的adsl电话线插入adsl modem入口,再从adsl modem
出口引出一根交叉网线插入代理服务器的外网卡,开启adsl modem电源。首先配
置adsl modem,通过浏览器访问出厂时内置的http://92.168.0.1,即可进入配置界
面,adsl modem既可以工作在虚拟拨号的动态地址状态下,也可以工作在专线的
固定地址之下。这个配置通常由电信的工作人员上门来完成。
2、接着安装PPPOE软件ENTERNET300 V1.41,安装完毕后网络属性中会自
动添加一块PPPOE的网卡。
3、运行ENTERNET300软件,跟随配置向导相继填写账号名、密码等参数,
建立一个“我的连接”。
4、双击新建的连接,即可连入Internet,然后开始安装MS PROXY2.0,安装
中注意将10.0.0.0/8加入内部网地址表中即可。
5、配置proxy:MS PROXY2.0主要包括web proxy,socks proxy,winsock proxy
三部分代理功能。
web proxy:只提供http、ftp代理服务,无需安装proxy客户端,使用ie浏览器
的客户端只需在ie中设好代理服务器的ip地址和端口号80即可。
socks proxy:提供socks代理服务,默认关闭,设置较多,因本软件已提供
功能更强的winsock功能,所以socks代理可以不用。
winsock proxy:winsock是Microsoft对socks在windows系统上的加强,可
以实现socks的所有服务,比如smtp、pop3、telnet等更多的代理服务,对于每种
服务都可在用户级加以控制。必须安装proxy客户端。
说明:1、代理服务器外网卡ip地址可以任意设置,比如10.10.0.2/8,内网卡
地址可为10.0.0.2/8至10.0.0.19/8(20以后为内部区地址出防火墙后进入隔离区的
转化地址),以保证和pix防火墙的外网卡为同一网段。之所以留出2-19这么多地
址,是考虑到今后电台可能会再申请若干条adsl线路,作为预留。
2、注意一定要在adsl拨入在线时安装proxy软件。安装完毕后注意检
查IIS中默认web站点的属性,该属性中站点地址一栏一定要选择内网卡地址,否
则proxy服务不能正常运行。
3、adsl虚拟拨号成功后,正常情况PPPOE网卡会获得一个动态分配的
ip地址和DNS地址,有时动态分配的DNS不起作用,就需要到网络属性中手工添
加DNS服务器地址。
4、不要将代理服务器放到采编服务器所在的NT域中,因为二者相隔
一个防火墙,数据流是单向的,因此域用户数据库无法同步,可将两台代理服务器
安装为主备NT域控制器,共享同一个用户账号库。
5、事实上PROXY2.0软件也提供了地址级控制机制,但由于内部区地
址通过防火墙后统统被转化为10.0.0.20-10.0.0.254网段的地址,其转换是随机的,
因此在proxy上控制地址就没有实质意义了,何况这个控制已经可以由pix防火墙
来完成。同样道理,它的web日志功能在这个方案中也用不上,而它的winsock日
志因为记录的是客户机名与用户名,还是有意义的。
6、安装proxy服务器端后会在服务器上自动建立一个共享的客户端安
装包。安装客户端时应注意:在内部区主机的网上邻居是看不到代理服务器的,也
ping不通,必须通过查找计算机的ip地址这种方式才能找到(先要配好网关)。此
外,注意必须在开机登录网络时即输入winsock正确的用户名和密码。
下面通过一个具体的例子来说明内网的主机如何访问到互联网:
比如采编网中有一台主机,地址为172.16.0.15/16,如果想宽带上网,首先的
基本前提就是要把网关设为防火墙的内网卡地址172.16.0.240。在这个前提下,如
果pix没有封掉172.16.0.15这个地址,而操作者又获得了web proxy的一个用户名
和密码(注意二者缺一不可),则只需在ie当中正确设置代理服务器参数,就可以
通过浏览器上网了。其数据流转经过是首先通过网关的指引发送到防火墙内网卡,
通过防火墙的访问控制列表检验后,被转换为隔离区网段里的某个地址,比如
10.0.0.21,然后从外网卡发出,再经过隔离区的hub,发送到代理服务器的内网卡,
经过代理软件的用户级检验后,又被转化为代理服务器内网卡的地址10.0.0.2,最
后以代理服务器上pppoe网卡获得的动态真ip地址发到互联网。
如果还想获得更多的服务,比如通过outlook收发邮件,则必须安装proxy客
户端。当然还必须获得winsock各项服务的相应用户名和密码才行。
2001年8月25日
--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 166.111.7.159]
※ 修改:·sczd 於 08月31日20:33:02 修改本文·[FROM: 166.111.7.159]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:6.253毫秒