大型或复杂网络的管理与优化
1. 简单网络规则及其安全隐患
在网络配置中,我们可以使用一系列规则来控制网络流量。以下是一些基本的规则示例:
pass log inet proto icmp all icmp-type $icmp_types pass inet proto tcp from $localnet to port $client_out pass inet proto { tcp, udp } to $nameservers port domain pass proto tcp to $webserver port $webports pass log proto tcp to $emailserver port $email pass log proto tcp from $emailserver to port smtp这些规则构成了一个相对简单的网络设置,但存在一个潜在的安全风险。在这种网络设计中,向外部提供服务的服务器与客户端处于同一本地网络中,这意味着攻击者只需攻破本地网络中的一台主机,就可以访问该网络中的任何资源,将攻击者置于与本地网络用户相同的权限级别。根据每台机器和资源对未授权访问的防护程度不同,这可能只是一个小麻烦,也可能会带来严重的问题。
2. 引入 DMZ 实现网络隔离
为了更精细地控制对内部网络的访问,以及向外部世界展示的服务,我们可以引入物理隔离,例如使用单独的虚拟局域网(VLAN)。实现物理和逻辑隔离的方法很简单,只需将运行公共服务的机器移动到一个单独的网络中,并连接到网关的一个单独接口上。这个隔离的网络既不完
