一、网络结构在现有网络中增加防火墙,主要作用为控制内部上网等等
要求可以灵活控制包括时间段不同控制,流量限制等
现有网络拓扑图:由于安装防火墙时要求不需要修改内网服务器和PC机配置,所以采用透明防火墙(网桥模式)
修改后拓扑图:防火墙需要三块网卡,其中两块网卡做网桥,一块网卡配置ip做为管理用网卡内部网络要访问不同网段,数据包需要路由转换,这时就要通过防火墙才能到达路由
防火墙采用linux系统,使用iptables和ebtables进行过滤数据包
经过测试交换机划分vlan在路由器终结数据包,这样的数据包可以在iptables和ebtables中进行分析处理
网桥在网络的第二层,iptables和ebtables在linux2
6内核中可以分析到第二层的数据包
二、防火墙工具分析1)iptables说明Iptables对数据包的处理流程:数据包进入系统,经过IP校验后经过PREROUTING链中的Mangle和Nat的处理;再经过路由查找,决定该数据包需要转发还是发给本机;如果该数据包是发给本机的,则经过INPUT链的Mangle和Filter处理后再传递给上层协议;如果需要转发,则发给FORWARD链的Mangle和Filter进行处理;本机网络层以上各层产生的数据包通过OUTPUT链的Mangle、Nat、Filter处理后,再进行路由选择;所有需要发送到网络中的数据包,都必须经过POSTROUTING链的Mangle和Nat进行处理
2)ebtalbles说明Ebtables对数据帧的处理过程:数据帧进入数据链路层,首先经过BROURING链的Broute处理,决定是直接路由该数据帧还是让它进入到PREROUTING链,如果数据帧的目的地址和源地址在同一个网段,网桥会屏蔽它;如果数据帧是多播帧或广播帧,则要在同一网段中除了接收端口以外的其他端口发送这个数据帧
