海蜘蛛防火墙详解.docx
《海蜘蛛防火墙详解.docx》由会员分享,可在线阅读,更多相关《海蜘蛛防火墙详解.docx(40页珍藏版)》请在冰豆网上搜索。
海蜘蛛防火墙详解
海蜘蛛详解
1.1.什么是海蜘蛛路由
海蜘蛛路由(Hi-SpiderRouter)系统是一套运行于x86-CPU硬件架构(即普通PC机)上的路由系统。
它基于GNU/Linux2.6系列稳定内核开发。
海蜘蛛路由系统针对中国互联网的特点,根据终端接入路由器的功能需要,专门设计并构建了一套专用Linux系统,并以此系统为基石,以用户需求为导向,逐步开发了路由系统的各个通用模块,以及针对有中国特色的网络环境所设计的一系列的专用模块。
整个系统模块化、灵活性和可扩展性强,体积精减、运行效率高,安全性好、稳定性佳,并具有良好硬件兼容性。
海蜘蛛路由广泛适用于企业、家庭或社区网络等场所,尤其是网吧、学校等大流量的网络环境。
1.2.V8的新特性和改进
1.内核
V8版采用2.6.32.10稳定内核,相比2008(2.6.18内核)和2009(2.6.31内核),支持更多的硬件,且性能和稳定性都有较大的提升。
V8内置3种内核,全面支持各种x86CPU,从退出历史舞台的386到主流的64位多核
磁盘文件系统支持EXT3/ReiserFS/XFS,可靠性更强
支持双核、多核CPU
支持SCSI磁盘,支持通过USB/SCSI光驱安装系统
支持笔记本PCMCIA/CardBus网卡、支持市面上最新的Intel/Realtek等系列千M网卡
网卡IRQ问题得到良好的解决(需主板支持)
更快的启动速度、更小的内存占用
系统启动信息中文显示、控制台登录中文支持
2.网络接入
3G无线上网支持(WCDMA、CDMA2000、TD-SCDMA),支持USB无线上网卡
PPPoE拨号服务支持三层交换机,即客户机跨VLAN拨号
单WAN口通过三层交换机(或支持VLAN的二层交换机)扩展多ADSL拨号,将多条ADSL直接接入交换机,路由只需一个WAN口接交换机;最多同时支持4096条ADSL,完美解决多WAN口IRQ冲突问题
双LAN口,实现两个局域网的物理隔离,方便管理。
(也可以支持三个以上的LAN口,需订制)
支持自定义LAN/WAN口网卡(指定哪个网卡做LAN口,哪个做WAN口)
多动态域名解析,可为每条WAN线都绑定一个或多个动态域名,即使一个动态域名解析失效,还可通过其他动态域名访问。
更强的多线策略&负载支持,支持多策略路由(如:
电信+网通+铁通),支持带宽叠加和策略路由混用(如:
2条电信ADSL+3条网通ADSL)
更灵活的多线策略及负载自定规则,可设定访问指定IP、端口走指定线路,包括VPN线路
一个WAN口绑定多个ADSL帐号同时拨号,适用于基于以太网的PPPoE拨号(无需猫),且需要ISP支持一个MAC地址可以拨多个PPPoE
SSLVPN支持虚拟双线(VPN借线)、支持局域网互联(LAN-to-LAN)
SSLVPN支持桥接模式,支持异地多个局域网互联进行LANGAME游戏
IP隧道支持动态域名解析和局域网互联(LAN-to-LAN)
支持无线网卡(PCI、USB),支持无线接入点功能(加一块无线网卡即变成一台功能强大的无线路由器)
3.Web管理
Web管理支持两级权限:
超级用户+普通用户(只能查看,不能修改设置)
改进Web实时监测程序,占用更少系统资源,显示结果更精确,2008版监测程序运行一段时间后会导致CPU占用过高
统一配置文件格式,单文本文件存储,可任意导入导出系统每个模块的配置(比如防火墙规则、流控规则)
PPPoE/VPN用户账号支持批量修改或以文本格式导入导出
多语言支持
4.防火墙
防火墙支持更多高级参数配置(TCP/UDP协议相关)
支持黑白名单、网址过滤/关键字过滤不依赖Web代理
一对一NAT支持
防火墙关键字过滤、网址过滤加入通配符和正则表达式支持
5.其他功能
同吧在线
PPPoE用户拨号后可以查看拨号信息,和自主修改密码等
丰富的计划任务功能,支持定时发送系统配置、ADSL拨号后的最新IP到指定邮箱;支持定时重新拨号;支持定时修改WAN口IP等
多线智能DNS解析功能,成为一台智能DNS解析服务器,网通用户解析到网通IP,电信用户解析到电信IP
防运营商DNS劫持
内网DNS查询日志统计分析,对内网DNS行为了如指掌
通过网页向用户推送通知
支持Web认证上网,上网时用户打开任意网站跳转到认证页,通过验证后才可以上网
流量控制限速规则支持按时间段控制
智能QoS支持,根据网络状态动态分配带宽,重要数据优先转发,提升用户上网体验
网卡流量统计图,时间分为(1分钟、5分钟、15分钟、1小时、5小时、1天、1星期、1月、1年)
系统日志支持转发到外部SYSLOG服务器、Web代理支持客户上网日志
PPPoE/VPN帐号支持限制在指定时间段内允许拨入
6.安全方面
SSH端口可自定义修改、可设定SSH服务只监听内网IP
支持Web管理强制使用SSL连接
通过Web管理不能查看到ADSL密码,普通用户不能查看所有密码
详细安装步骤
校验MD5码
先下载路由系统的ISO镜像文件(以.iso结尾),为了保证您所下载的文件的完整性,建议在下载完成后对其进行MD5校验,以确保下载文件的完整性,否则错误的ISO文件可能会导致安装无法正常进行。
图1.1
图1.2
海蜘蛛路由是基于GNU/Linux2.6系列稳定内核开发,如果要在同一台服务器上安装海蜘蛛,那么就得专门用一个硬盘来安装,这里新添加一个虚拟机用来安装海蜘蛛操作系统。
图1.3
图1.4
图1.5
添加一块网卡,也就是用于标志与外网相连的网卡。
图1.6
图1.7
图1.8
图1.9
进入了海蜘蛛安装界面
图1.10
一般情况下选择全新安装,按[ENTER]继续,如果安装时出现黑屏或白屏,请重启计算机,在boot:
提示符后面输入rescue并按[ENTER]继续。
图1.11
如果遇到以下错误提示,请重启计算机,在boot:
提示符后面输入failsafe并按[ENTER]继续。
图1.12
图1.13
系统启动后,会进入安装主界面,如下:
图1.14
选择“1安装海蜘蛛路由系统”后,继续选择“1全新安装海蜘蛛路由系统”,如图
图1.15
选择“1从本地安装”,如下图:
图1.16
选择3,安装企业版
图1.16
注意下面红圈的地方,这里正在对磁盘进行格式化。
图1.17
如果确认要安装,按[ENTER]键继续,否则请输入"N"终止安装
图1.18
您选择继续当前操作后,需要选择磁盘分区格式化时所使用的文件系统,一般情况下选1或直接按[ENTER]即可,128M及以下磁盘请选3(Ext3)
图1.19
这里选1,使用reiserfs(推荐)方式进行格式化。
图1.20
继续安装,出现选择安装的内核类型画面,请根据您的电脑配置来选择。
如果您的CPU为单核,请选择1,如果您的CPU属于比较老式的CPU,请选择4,其他情况下按[ENTER]即可。
图1.21
出现让您选择默认要启动的内核,直接按[ENTER]继续。
图1.22
路由系统的安装只需30秒钟左右,每一步都有详细的提示信息:
图1.23
如果安装顺利,在稍后会提示您修改局域网接口的IP地址和子网掩码等信息:
图1.24
这里修改成192.168.1.254
图1.25
图1.26
如果您不想修改默认的IP地址和子网掩码,按[ENTER]即可。
下一步,您将会看到如下的成功提示信息:
图1.27
最后,安装程序会自动弹出CD-ROM托盘,并提示您取出光盘,然后按[ENTER]键,系统会自动重新启动。
初始配置
启动进入系统
初始配置
当路由系统正常安装并启动完毕后,您将会听到两次3短1长1短的鸣笛声(滴滴滴-滴---滴)。
如果你您没听到鸣笛声,请检查计算机主板上的PCSpeaker(PC喇叭/蜂鸣器)是否已接好。
如果您接上显示器,在控制台上将会看到如下的信息:
图2.1
从上面红框部分显示的信息,您可以看到路由的局域网IP地址为192.168.1.254口为880。
所以登录地址为http:
//192.168.1.254
登录路由的Web控制
如果和路由的连接没有问题,就可以通过WWW浏览器(比如InternetExplorer/Firefox/Opera等)访问路由的Web管理了,方法如下:
打开浏览器,在地址栏(URL)里输入路由器的IP地址,例如http:
//192.168.1.254
图2.2
如果一切正常,浏览器会提示您输入用户名和密码登录,如下图所示:
图2.3
输入用户名admin,初始密码admin即可登录。
图2.4
登录成功后,您会看到如下的Web控制首页:
图2.5
点击最上方的[未注册]按钮,即可进入注册页面。
收费版如ISP版、企业版等输入产品序列号进行注册,免费版则自行填表进行激活。
图2.6
XXXXX-76233-15388-28129,这里是免费版才能申请激活码,而企业版则不能,所以下面的“注册”还是灰色的。
图2.7
修改管理员密码
图2.8
控制台登陆
启动进入系统
控制台登陆
控制台登录用于快速修改路由的某些关键配置,比如局域网IP地址、Web管理密码等。
登录方式:
在安装路由系统的电脑上按[ENTER]键即可。
登录成功后,您会看到如下的配置菜单:
图3.1
输入相应的数字,并按[ENTER]即可进行相应的操作,比如输入1将进入如下界面。
图3.2
这里输入“q”,退出。
然后再输入2,进入如下界面,这里可以修改局域网IP地址及WEB管理端口。
图3.3
输入3将出现如下界面
图3.4
当您忘记Web管理密码或由于其他因素导致无法通过Web方式登录系统时,您还可以在本地控制台登录或通过串口连接进行一些应急性操作,比如修改Web登录密码、局域网接口IP地址等。
控制台登录用户名为root,初始密码为123456,建议修改为更复杂的密码。
图3.6
允许按Ctrl-Alt-Del组合键重启:
勾选后,点击“保存设置”,无需登录,Ctrl-Alt-Del即可快速重启路由。
图3.7
利用windows系统的超级终端串口登陆路由过程:
1.串口登录海蜘蛛
连线:
将海蜘蛛路由的串口与任一计算机的串口连接(在海蜘蛛路由和与其连接的PC上同时开启允许串口通信)
开始->程序->附件->通讯->超级终端,打开终端连接图标,如下图所示:
图3.8
连接名称任意
图3.9
按回车键后输入用户名和密码:
图3.10
输入用户名和密码后进入控制界面,如下图:
图3.11
2.常见问题及解决方法
如何防止其他用户登录控制台修改WEB管理密码?
进入海蜘蛛web管理页面->“系统设置”->“控制台登陆”,开启“控制台登陆时需要密码”并设置更为复杂的密码,这样就避免了任何人都可以进入畅通无阻的进入控制台并修改web管理密码。
控制台登录时需要密码,但密码忘记了,该怎么办?
在启动海蜘蛛系统进入以下画面时用光标选择救援模式即可恢复为控制台默认登陆密码:
图3.12
图3.13
第3章海蜘蛛路由首页
单击海蜘蛛路由左上方logo图标即可进入海蜘蛛路由首页界面。
以下图片显示的是各个接口的物理状态,如图:
图3.1
右边类似于冰糖葫芦的指示灯可以根据显示颜色来判断线路状况:
绿色表示线路畅通。
黄色表示线路线路不通,出现此种情况需检查WAN口设置。
粉红色表示没有开启线路检测
图3.2
接着显示的是系统状态:
图3.3
主机名是安装路由系统的计算机名称,系统版本是当前路由系统的版本号,内核版本包括当前系统内核的版本号和启动内核的种类,在线用户数是指当前内网接入到路由的计算机数量,平均负载一般都为0.0X,下面的停止数和僵死数正常时都为0。
再下面是CPU的负载状态,此为双核CPU的运行情况:
图3.4
最下面是内存的使用情况:
图3.5
第四章海蜘蛛防火墙部分
1.普通模式
ICMP-Flood攻击防御
启用此功能可以控制每个IP每秒最大允许的ICMP包个数,超过部分自动丢弃。
TCP-SYN-Flood攻击防御
启用此功能可以控制每个IP每秒最大允许的TCPSYN包个数,超过部分自动丢弃。
TCPSYN连接数限制
启用此功能可以控制每个IP每秒最大允许发起的TCP新连接数,超过部分自动丢弃。
UDP-Flood攻击防御
启用此功能可以控制每个IP每秒最大允许的UDP包个数,超过部分自动丢弃。
图4.1
修改TCP数据包的最大报文长度,随线路自动调整
ADSL用户用户需要勾选,否则可能出现开网页慢或者打不开的情况;如果光纤用户开网页慢也可以勾选此选项。
图4.2
特殊应用
以下两项当内网PPTP_VPN客户端访问外网PPTP_VPN服务端时需选上。
PPTP_VPNNAT穿透支持
GRE协议穿透支持
黑白名单
黑白名单中的IP或者MAC地址将不经过防火墙规则优先处理,即防火墙里定义的一些过滤规则(DNS/IP过滤、URL/keywords过滤)对位于黑白名单列表中的IP/MAC地址无效。
白名单
IP/MAC绑定、DNS/IP过滤、网址关键字过滤、ACL、上网行为管理规则对位于白名单中的IP地址无效。
格式举例:
图4.3
同时,也支持加载预定义对象中的IP对象规则名称,在“上网行为管理”->“预定义对象”里新增IP对象,如下图所示:
图4.5
然后在防火墙白名单列表中输入如下所示规则:
这就直接利用了预定义IP对象里名称为11的规则,相当于172.16.11.100-172.16.11.120这一段IP地址已经加入白名单了。
格式举例:
图4.6
黑名单
黑名单可以用来禁止局域网某些IP访问局域网或者互联网,书写规则如下所示:
图4.7
使用@加载预定义对象的规则的方法同样也适合在ACL规则中使用,如下图所示:
第五章启动一对一NAT服务
海蜘蛛LAN接口TCP/IP的相关设置。
海蜘蛛WAN接口的TCP/IP相关设置,且这里要添加默认网关,相当于添加了一条默认路由。
与海蜘蛛LAN接口相连主机的TCP/IP属性设置。
与海蜘蛛WAN接口相连主机的TCP/IP属性设置
海蜘蛛WAN接口的桥接方式。
海蜘蛛LAN接口的桥接方式。
内网主机的桥接方式
与海蜘蛛WAN接口相连主机的桥接方式
VMwareNetworkAdapterVMnet1的TCP/IP的相关设置
真机的本地连接TCP/IP的相关设置
一对一NAT
当您的ISP线路拥有多个合法IP地址时,一对一NAT提供你可将除了本身WAN口使用一个合法IP地址后,所剩的合法IP地址可以直接对应到内部的计算机使用,也就是这些计算机在内网虽为虚拟IP,但当做了一对一NAT对应后,这些对应到的计算机去外部访问时都是有自己的合法IP.
测试成功。
升级会员 