在防火墙生成器中使用内置策略安装程序
修订版1.0 作者:vadim@fwbuilder.org http://www.fwbuilder.org |
防火墙生成器早期在本文中引入了防火墙生成器入门和在Firewall Builder中使用内置版本控制 。 在那里,我们看了fwbuilder的基本功能,并创建了简单的防火墙配置,并探索了程序的更高级功能,如内置的版本控制系统。 本文继续介绍该系列,并演示了Firewall Builder如何帮助您自动执行生成的防火墙配置的部署和激活过程。
防火墙配置由其中一个策略编译器生成,并以目标防火墙所需的格式保存在磁盘上的文件中,需要将其传输到防火墙机器并激活。 此功能由我们称为“策略安装程序”的组件执行,该组件是防火墙生成器GUI的一部分。
从版本2.0开始,Firewall Builder自带的内置安装程序使用SSH与防火墙进行通信。 安装程序适用于所有可用Firewall Builder的操作系统:Linux,FreeBSD,Windows和Mac OS X.在Linux,* BSD和Mac OS X上,它使用系统附带的标准ssh客户端; 在Windows上它使用油灰。
安装程序需要能够将生成的防火墙脚本复制到防火墙,然后在其中运行。 为了这样做,它使用安全的shell。 该程序不包括ssh代码,它使用外部ssh客户端。 在Linux,BSD和Mac OS X上,它使用系统随附的标准ssh客户端ssh和安全shell文件复制程序scp ; 在Windows上它使用plink.exe和pscp.exe 。 可以在“首选项”对话框(可通过“编辑/首选项”菜单访问)中配置完整的目录路径,但是如果您使用的是Linux,* BSD或Mac,并使用可通过PATH环境变量使用的标准ssh客户端,则可以不需要更改默认值。
根据targert平台,安装程序的工作方式不同。 在基于Linux和BSD的防火墙的情况下,它使用scp将生成的配置文件复制到防火墙机器,然后使用ssh登录并运行脚本。 在Cisco路由器或ASA设备(PIX)的情况下,它登录,切换到启用 ,然后配置模式,并以类似于期望脚本的方式逐个执行配置命令。 它检查路由器的回复查找错误,如果检测到错误则停止。 最后,它发出命令写入mem来将新配置存储在内存中并注销。
内置策略安装程序已设计用于专用防火墙机器,即运行Firewall Builder GUI的计算机和实际的防火墙是不同的机器。 然而,当它们是相同的机器时也可以使用它。 唯一的区别是,在下面的所有命令中,您将使用运行防火墙生成器的计算机的名称或地址,而不是专用防火墙的名称或地址。 然后,SSH客户端将连接到运行的同一台机器,并且所有操作都将与使用不同的计算机完全一样。
安装程序如何决定要连接到防火墙的地址
安装程序不使用防火墙的名称来连接,它始终连接到其IP地址。 它通过扫描防火墙对象的接口 ,在接口对象对话框中使用复选框来查找标记为“管理界面”的界面。 安装程序将使用此接口的地址来连接。 “管理界面”复选框如下图所示:
如果您的防火墙有多个地址,并且希望在fwbuilder对象中使用未分配给其接口的防火墙,则可以使用“高级”防火墙对象设置对话框的“安装程序”选项卡中的输入字段覆盖地址,喜欢这个:
有关此对话框中其他输入字段的更多信息。
最后,您可以一次性覆盖地址,只需安装会话,使用安装程序选项对话框中的输入字段。 这是您输入密码的对话框:
这适用于所有支持的防火墙平台,即Linux上的iptables,OpenBSD上的ppt和FreeBSD,FreeBSD和Mac OS X上的ipfw,FreeBSD上的ipfilter,Cisco IOS访问列表和Cisco ASA(PIX)。 无论平台如何,安装程序都遵循这里所述的规则来确定连接到防火墙的地址。
在Windows上配置安装程序
如果您在Linux,* BSD或Mac OS X上运行Firewall Builder GUI,则可以跳过此部分。
这是演示该过程的幻灯片放映的链接。
下载并安装putty.exe,plink.exe和pscp.exe在您的机器上的某个地方(比如,在C:\ putty)。 下载网址是http://www.chiark.greenend.org.uk/~sgtatham/putty/
安装程序不使用putty.exe,但是对于故障排除和设置会话和ssh密钥,这将非常有用。
在“编辑/首选项”对话框的“SSH”选项卡中,使用“浏览”按钮找到plink.exe 。 点击“确定”保存首选项。 如果您将它安装在C:\ putty中 ,那么应该在此输入字段中使用C:\ putty \ plink.exe 。 执行同样的操作来配置pscp.exe的路径。
您可以使用常规用户帐户或以root身份登录防火墙。 有关如何使用常规用户帐户配置sudo的说明,请参阅以下说明。 这部分配置不依赖于您运行防火墙生成器的操作系统。
在尝试使用plink.exe和pscp.exe的fwbuilder安装程序之前,请从命令行进行测试,以确保您可以登录防火墙。 如果这是您第一次尝试使用putty.exe,plink.exe或pscp.exe登录到防火墙机器,那么它会发现新的主机密钥,并询问您是否正确,并且要保存在缓存。 互联网上有很多资源可以解释这是什么意思,以及在接受之前应该如何验证关键的准确性。 如果密钥已经被程序所了解,那么它不会询问你的密钥,只需要进入到要求你输入密码的部分。 输入密码并点击“返回”查看是否可以登录,并从防火墙看到命令行提示符。
这是命令(假设你使用帐户“fwadmin”来管理防火墙“监护人”):
C:\Users\vadim>c:\PuTTY\plink.exe -l fwadmin guardian
注意:内置安装程序不使用GUI ssh客户端putty.exe ,它使用来自同一作者plink.exe和pscp.exe的命令行实用程序 。 您可以使用putty.exe进行测试,但是在fwbuilder中的“首选项”对话框的SSH选项卡中不要输入路径,它将无法正常工作。