遗弃你|YIQINI.COM
众所周知,互联网并不安全,特别是对于有公网ip(无论公网ipv4还是公网ipv6)的童鞋来说,把各类服务直接暴露在公网是一件非常危险的事情,那在企业的解决方案中,通常会配合硬件防火墙强化网络安全,在家庭网络下也可以通过部署软防火墙实现相同的功能。
本篇算是家庭网络安全的第一期,为软防火墙的部署,那相关的理论以及具体实操,后面几期再写,先写防火墙的部署是为了让没用过相关功能的童鞋先有个大致的了解。
市面上的硬防火墙(指独立的硬件防火墙设备)五花八门,软防火墙(通常是虚拟机或者物理机直接部署)各大厂家也都有,硬件防火墙就不用多说了,价格贵但是高端防火墙都带有专门的硬件加速,而软防火墙通常只能靠cpu硬算(当然低端硬防火墙也是)而且系统价格也不便宜,不过家庭网络吞吐量不高,cpu直接处理也没啥问题,就是无论是软还是硬防火墙系统收一次费,病毒库等授权更要持续收费(不续期不能更新,当然也能用)。但海外厂家——Sophos的防火墙对于家庭用户是免费的,而且所有的功能都可用,也能免费更新,所以我这里就部署他们家的防火墙。
那免费的软防火墙系统也有很多,开源的例如opnsense这些,但是开源的这些防病毒和防恶意ip等部分做的不是很好(这些都是防火墙的“核心科技”,开源自然是比不上商业公司),不过opnsense这种路由功能倒是做的还可以,当个路由器+防火墙的集合体倒是没问题。反正萝卜白菜各有所爱,以后有机会也顺便出一篇部署opnsense的文章。
最后一定要防钢筋,对于大部分人来说,这种防火墙只是增加了安全性,如果你用着弱密码,不用说一层防火墙多加几层都没用,防火墙只是锦上添花,尽可能的规避掉某些潜在的风险,如果你觉得没必要那就是没必要,也不用来杠。家庭弄防火墙是为了弥补路由器防火墙功能弱以及系统防火墙配置不方便,通过专业的防火墙弥补上述问题,更何况专业的防火墙还能防病毒、防止恶意ip、防dos攻击等功能。最后也说一下,别以为用ipv6就一定安全,相关“钓鱼”问题我已经说了很多次了,不懂的自行翻看往期文章。
也说一下,这个防火墙并非是web waf,后者例如雷池这种都是web 防火墙,只适用于web,并不具备防病毒等功能,特别是如果有tcp等类型的服务那个是用不了的,前者往往包含了后者部分功能,不要混为一谈。
一、注册并下载Sophos
这个没啥好说的,找到Sophos官网(自行百度),注册并下载系统安装镜像。这个是一定要注册的,序列号会发到邮箱,安装系统是需要用序列号激活的,不然无法使用。
在这里我也说一下家庭版的限制,不收费肯定是有限制的,不过功能上没区别,只是用不了支持,主要是硬件上的限制,最高只能使用4c6g,不过这个性能对于家庭带宽来说是足够了,千兆跑满问题不大。
二、虚拟机部署
这里是用的pve做演示,其他虚拟机一样的没区别。先建立一个最高不超过4c6g的虚拟机,引导镜像选择刚刚下载的Sophos镜像,硬盘大小如果要存很多日志建议分配大一点,引导要选择传统而非uefi,并建立两个网口(防火墙是需要两个或者更多网口)。为了性能最大化,网口类型选择virtio,但是需要注意,这两个网口不能形成环路,不然就等着炸鸡。系统默认网口1是lan口,网口2是wan口,但是等配置后是桥模式,透明防火墙wan和lan就不分那么明确了。
我是选择透明防火墙的模式(关于理论知识以后会写,这里先不展开赘述),即一个网口接收流量经过防火墙过滤再从另一个网口出去,当然也可以更多的网口,这个没限制,这里我先放个图,方便大家理解什么是透明防火墙,简单来说就是不改变任何网络结构,依然是传统的光猫-路由器-交换机-设备,只是中间经过了防火墙过滤,设备网关等信息均不会改动。
建立好虚拟机就可以启动安装系统了,第一次输入“y”确认安装,安装完成后再次输入“y”重启系统。
就是这么简单,安装过程中只需要输入两次y就行。重启后需要先配置下ip,不然没法进入到web控制界面,默认的用户密码均为“admin”,第一次启动还会要求同意相关协议。
之后选择1,进入到ip配置,为网口1配置ip,网口1是lan口,设置成自己能访问的ip就行,例如我这里就设置成了“192.168.31.155”
配置好ip,就可以在浏览器输入“https://ip:4444”进入到web界面进行初始化,前面的几步没啥好说的,配置密码和密钥
重点是后面的互联网配置,这里需要配置网口2也就是wan口的ip地址以及网关信息,网口二也就是设备的实际ip,等下设置成桥模式也就是“透明防火墙”后这个ip才是Sophos实际ip地址,例如我这里配置成了“192.168.41.155”。
之后还需要填入序列号,这个在第一步中注册的时候发送到邮箱了,直接复制填入就行。填入就可以看到我们该有的授权都有,防病毒、ips都能免费用并随时升级。
最最最重要的,就是网络配置,这里我需要用到透明防火墙,也就是需要选择桥模式,如果有其他需要,也可以选择nat模式,这里就可以看到ip就是我网口二的“192.168.41.155”。
最后配置下防护规则、邮件等信息就完成了系统初始化。
全部配置好后,浏览器访问“https://ip:4444”就就可以进入web控制台了,这里的ip不是一开始的那个网口1的ip,而是后面配置桥模式的ip地址,例如我后面配置的是“192.168.41.155”,那我就需要访问“https://192.168.41.155:4444”。需要注意,此时需要处于防火墙的lan口下才能访问到控制界面。
三、其他
最后说一下,一开始我配置的“192.168.31.155”这个ip只是用来临时访问的,这个ip没啥用,就是为了初始化系统而已,你也可以改成其他任意ip地址,只要能访问到就行,后面的“192.168.41.155”才是实际ip地址,当然了这个你也可以选择dhcp都行,反正只要记住后面的ip才是实际ip地址,因为一开始不改,就需要访问“https://172.16.16.16:4444”才能完成初始化。
例如我最后配置的是虚拟机网卡1连接pve内网,网卡2连接的是交换机,这样pve下所有的设备都可以被防火墙保护,当我访问pve下其他虚拟机的时候,流量先进入到防火墙网口2并被过滤,再从网口1发送到对应的虚拟机。
然后刚刚也说了,需要在防火墙的lan口下才能登录到防火墙web界面,可以在防火墙添加额外的acl规则,这样在wan口下也可以控制防火墙。
那防火墙部署完成了,至于后面的规则配置等具体操作就以后再写,不过也不是啥难事,只要不是any to any就行。
评论前必须登录!
注册