引言：Webmin基于Web服務(wù)環(huán)境運(yùn)行的工具可以對系統(tǒng)和網(wǎng)絡(luò)環(huán)境進(jìn)行有效管理。Webmin具有訪問控制和SSL加密傳輸功能，可以保證數(shù)據(jù)傳輸?shù)陌踩?。Webmin支持插件功能。這里就從維護(hù)網(wǎng)絡(luò)安全角度，分析Webmin的相關(guān)功能。

和Windows不 同，在Linux中執(zhí)行各種系統(tǒng)配置操作時主要依靠的是各種命令。要想熟練的掌握眾多的命令及其參數(shù)，不是一朝一夕所能實現(xiàn)。相比之下，使用Webmin基于Web服務(wù)環(huán)境運(yùn)行的工具可以對系統(tǒng)和網(wǎng)絡(luò)環(huán)境進(jìn)行有效管理。Webmin具有訪問控制和SSL加密傳輸功能，可以保證數(shù)據(jù)傳輸?shù)陌踩浴ebmin支持插件功能，可以極大的擴(kuò)展其功能，其自身包含了大多數(shù)Linux管理模塊，還可以使用第三方模塊來強(qiáng)化其功能。這里就從維護(hù)網(wǎng)絡(luò)安全角度，分析Webmin的相關(guān)功能。

配置Webmin運(yùn)行參數(shù)

進(jìn)入主控界面，在其左側(cè)分別點擊“Webmin”、“Change language snd Theme”項，在右側(cè)選 擇“Personal choice” 項，在列表中選擇“Simolified Chinese（ZH_CN）”項，點擊“Make Changes”按鈕，重新登錄后得到中文界面。默認(rèn)情況下Webmin的管理員名稱為“root”。

為更好的使用Webmin，需要對其進(jìn)行合理設(shè)置。點擊“Webmin”、“Webmin 配置”項，在右側(cè)顯示所有的配置項目。例如，點擊其中的“IP訪問控制”項，為了安全起見，最好選擇“只允許列出的地址訪問”項，輸入合適的地址。在“解析每一個請求中的主機(jī)”欄中選擇“是”項，則只允許擁有預(yù)設(shè)的主機(jī)名的客戶機(jī)訪問Webmin。

在Webmin配置頁面中點擊“地址和端口”項，可以對Webmin的IP和端口進(jìn)行綁定。如果運(yùn)行Webmin的主機(jī)擁有多個IP，可以在“Bind to IP address” 列表中選擇“Any address”項，表示監(jiān)聽所有的IP，選 擇“Only address”項，則只監(jiān)聽設(shè)定的IP。 在“Listen on port”列表中選擇監(jiān)聽的端口號。點擊確定按鈕保存配置信息。在Webmin配置界面中點擊“計入日志”項，可以設(shè)置是否激活日志記錄功能，是否記錄解析的主機(jī)名，以及清除日志的時間間隔。在“Users to log”欄中可以設(shè)置記錄所有用戶的動作或者指定用戶的動作。如果主機(jī)是通過代理服務(wù)器接入Internet的話，可以在Webmin配置界面中點擊“代理服務(wù)器”項，設(shè)置所需的HTTP，F(xiàn)TP等代理服務(wù)器地址，以及代理用戶名和密碼等信息。

Webmin的更大功能在于支持各種模塊插件，在配置界面中點擊“Webmin模塊”項，在“Install”面板中的“從本地文件”欄中點擊瀏覽按鈕，選擇目標(biāo)Webmin模塊文件來安裝該模塊。在“Delete”面板中顯示安裝的所有模塊信息，點擊“刪除選擇的模塊”按鈕，可以將選定的模塊刪除。為了提高安全性，可以在配置界面中點擊“驗證”項，勾選“啟動口令超時功能”項，可以防止非法用戶對登錄密碼進(jìn)行猜測破解操作。在其下可以設(shè)置登錄攔截功能。

禁止訪問非法網(wǎng)站

Webmin提供了系統(tǒng)管理，服務(wù)器管理，網(wǎng)絡(luò)管理，硬件管理，群集管理等分類，每一分類中包含了大量的管理模塊，這里只談如何利用Webmin來進(jìn)行網(wǎng)絡(luò)安全管理操作。在Webmin管理界面左側(cè)依次點擊“網(wǎng)絡(luò)”、“Linux Firewall”項，在右側(cè)窗口中的“Forwarded packages（FORWARD）”欄中點擊“Add Ruls”按鈕，在彈出界面中的“Rule Comment”欄中輸入規(guī)則名稱，在“Action to take”欄中選擇“Drop”項，選擇放棄動作。在“Destination address or network”列表中選擇“Equals”項，在其右側(cè)輸入目標(biāo)網(wǎng)址。點擊“新建”按鈕，完成該規(guī)則的創(chuàng)建操作。按照同樣的方法，可以創(chuàng)建多條規(guī)則。這樣，用戶就無法訪問這些網(wǎng)站了。

禁止指定用戶上網(wǎng)

如果想禁止特定的用戶上網(wǎng)，可以在上述“Linux Firewall”頁面中的“Forwarded packages（FORWARD）”欄中點擊“Add Ruls”按鈕，在彈出界面中的“Rule Comment”欄中輸入規(guī)則名稱，在“Action to take”欄中選擇“Drop”項， 在“Source address or network”列表中選擇“Equals”項，在右側(cè)輸入禁止上網(wǎng)的客戶機(jī)的IP地址，也可以輸入其子網(wǎng)ID號（例如“172.16.22.0/39”）。 點擊“新建”按鈕，完成該規(guī)則的創(chuàng)建操作。同理，可以創(chuàng)建多條規(guī)則。這樣，指定的主機(jī)就無法上網(wǎng)了。

禁止使用特定的網(wǎng)絡(luò)服務(wù)

如果想禁止指定用戶禁止使用某種服務(wù)（例如 FTP服 務(wù)），可以在“Linux Firewall”頁面中的“Forwarded packages（FORWARD）”欄中點擊“Add Ruls”按鈕，在彈出界面中的“Rule Comment”欄中輸入規(guī)則名稱，在“Action to take”欄中選擇“Drop” 項，在“Source address or network”列表中選擇“Equals”項，在右側(cè)輸入禁止上網(wǎng)的客戶機(jī)的IP地址，也可以輸入其子網(wǎng)ID號。在“Network protocol”列表中選擇“Equals”項，在協(xié)議列表中選擇“TCP”項。 在“Destination TCP or UDP port”列表中選擇“Equals”項，在“Port”欄中輸入指定的端口號（例如21，即FTP服務(wù)的端口）。選擇點擊“新建”按鈕，完成該規(guī)則的創(chuàng)建操作。同理，可以創(chuàng)建多條規(guī)則。這樣，指定的主機(jī)就無法使用指定的服務(wù)了。實際上，利用該方法，可以有效封鎖特定主機(jī)連接的端口。

防范ICMP攻擊

為了防止其他的主機(jī)對本機(jī)發(fā)起ICMP攻擊，造成本機(jī)系統(tǒng)崩潰，可以禁止使用ICMP協(xié)議來防范這種攻擊。在“Linux Firewall”頁面中的“Incoming packages（INPUT）”欄 中點擊“Add Rule”按鈕，在規(guī)則添加界面中輸入規(guī)則名稱，在“Action to take”欄中選擇“Drop”項。在“Incoming interface” 欄中選擇“Equals” 項，在其右側(cè)選擇網(wǎng)絡(luò)接口（例如“eth0”）。 在“Network protocol”欄中選擇“Equals”項，在其右側(cè)選擇“ICMP”項，點擊“新建”按鈕，完成該規(guī)則的創(chuàng)建操作。在“Linux Firewall”界面中點擊“Apply Configuration”按鈕，激活設(shè)定的規(guī)則。

強(qiáng)制訪問特定的網(wǎng)絡(luò)主機(jī)

如果想讓用戶只能訪問指定的網(wǎng)站，可以在“Linux Firewall”頁面中 的“Showing IPtable”列表中選擇“Network address translation”項，點擊“Showing Iptable” 按鈕，在“NAT”設(shè)置界面中的“Packets before routing（PREROUTING）”欄中點擊“Add Rule”按鈕，輸入規(guī)則名稱，在“Action to take”欄中選擇“Destination NAT” 項， 在“Ips and ports for DNAT”欄中選擇“IP range”項，在其右側(cè)輸入允許訪問的目標(biāo)網(wǎng)址的IP和端口號范圍。在“Incoming interface”欄中選擇“Equals”項，在右側(cè)選擇網(wǎng)卡接口（例如“eth0”）。 在“Network protocal”欄中選擇“Equals”項，在右側(cè)選擇“TCP”項，點擊“新建”按鈕，完成該規(guī)則的創(chuàng)建操作。

管理Squid代理服務(wù)，提高網(wǎng)絡(luò)安全性

在Linux中，可以利用Squid創(chuàng)建代理服務(wù)。利用代理服務(wù)，不僅可以提供文件緩存，復(fù)制和地址過濾，提高出口帶寬利用率，加快內(nèi)部主機(jī)訪問速度，解決公有IP地址不足等功能，而且代理服務(wù)還提供了類似于網(wǎng)絡(luò)防火墻的功能，將內(nèi)外網(wǎng)隔離，監(jiān)控和記錄網(wǎng)絡(luò)傳輸信息，提高局域網(wǎng)的安全性。

在Webmin中，可以對Squid代理服務(wù)器進(jìn)行簡單高效的配置操作。分別點擊“服務(wù)器”、“Squid代理服務(wù)器”項，在右側(cè)顯示與其相關(guān)的配置項目。例如，點擊“網(wǎng)絡(luò)和端口”項，在設(shè)置界面中選擇“List below”項，在“端口”欄中設(shè)置Squis服務(wù)使用的端口號，在“主機(jī)名/IP地址”列中選擇設(shè)置項目，輸入監(jiān)聽的IP地址，完成對Squid代理服務(wù)器監(jiān)聽IP和端口的設(shè)置。

在Squid 代理設(shè)置頁面中點擊“內(nèi)存使用”項，可以根據(jù)需要設(shè)置內(nèi)置使用限制，高速緩存大小等參數(shù)。為防止內(nèi)存不足導(dǎo)致Squid代理服務(wù)出現(xiàn)異常，可以點擊“高速緩存選項”項，為其分配磁盤空間，作為緩沖區(qū)使用。正常的網(wǎng)絡(luò)訪問離不開DNS解析服務(wù)，在Squid服務(wù)設(shè)置頁面中點擊“幫助程序”項，在其中的“DNS服務(wù)器地址”欄中選擇“resolv.conf”項，輸入合適的DNS服務(wù)器地址，保存配置信息。

在實際網(wǎng)絡(luò)管理中，有時需要禁止某些賬戶上網(wǎng)?？梢栽赟quid代理服務(wù)設(shè)置界面中點擊“訪問控制”項，在“訪問控制列表”面板中的“創(chuàng)建新的ACL”欄右側(cè)的列表中選擇限制類型，選擇“客戶地址”項，表示使用客戶端的IP作為限制條件。為防止其更改IP地址避開攔截，也可以使用MAC地址限制項目來阻止其非法操作。點擊“創(chuàng)建新的ACL”按鈕，在創(chuàng)建ACL界面中的“ACL名稱”欄中輸入規(guī)則名稱，在“來自IP”欄中輸入客戶機(jī)的IP地址，點擊保存完成該規(guī)則的創(chuàng)建。在訪問控制頁面中打開“代理約束”面板，點擊“添加約束規(guī)則”按鈕，在創(chuàng)建代理約束頁面中選擇“拒絕”項，在“匹配ACL”列表中選擇上述規(guī)則，點擊保存按鈕即可。同理可以創(chuàng)建多條ACL規(guī)則，來封鎖特定用戶的上網(wǎng)操作。

如果想限制所有賬戶在規(guī)定的時間段內(nèi)上網(wǎng)，可以按照上述方法，創(chuàng)建一條ACL約束規(guī)則，所不同的是，將IP和子網(wǎng)掩碼都設(shè)置為“0.0.0.0”，之后保存該規(guī)則。在“訪問控制”面板中的“訪問控制列表”欄中選擇限制類型為“日期和時間”項，點擊“創(chuàng)建新的ACL”按鈕，輸入新規(guī)則名稱，按下Ctrl鍵，之后在“星期幾”列表中選擇禁止上網(wǎng)的星期數(shù)，在“時間”欄中輸入禁止上網(wǎng)的時間段，點擊保存按鈕完成該規(guī)則的創(chuàng)建操作。之后按照上述方法，在“代理約束”面板中同時選擇上述兩條規(guī)則，并選擇“拒絕”項，點擊保存按鈕，保存規(guī)則信息。

提起透明代理，有些用戶可能感到陌生。該代理方式對于內(nèi)網(wǎng)用戶來說是透明的。用戶感覺不到該代理服務(wù)的存在。即用戶不必在本機(jī)上手工設(shè)置代理服務(wù)器參數(shù)，就可以穿越代理服務(wù)器上網(wǎng)，好像代理服務(wù)器不存在一樣。但是對于外網(wǎng)用戶來說，當(dāng)其訪問該局域網(wǎng)時，只能看到該代理服務(wù)器，而無法窺視內(nèi)部的主機(jī)。利用透明代理，可以有效保護(hù)內(nèi)網(wǎng)安全。實現(xiàn)透明代理的方法很簡單，在Squid代理設(shè)置頁面中點擊“雜類選項”項，在“HTTP加速主機(jī)”欄中選擇“Virtual”項，在“HTTP加速端口”欄中選擇“None”項，設(shè)置端口為80。在“HTTP代理加速”欄中選擇“開”項，在“HTTP加速使用主機(jī)頭”欄中選擇“是”，點擊保存按鈕，就可以激活透明代理服務(wù)。

為防止用戶隨意上網(wǎng)，可以為其配置身份認(rèn)證功能。只有使用正確的賬戶名和密碼，才可以通過Squid代理服務(wù)的審核，順利連接Internet。在Squid代理服務(wù)設(shè)置界面中點擊“Authentication Programs”項，在彈出頁面中的“Basic authentication programs”欄中選擇“Webmin default”項，在其右側(cè)輸入認(rèn)證程序讀取賬戶文件的目錄。點擊保存按鈕后，在Squid代理服務(wù)設(shè)置頁面中點擊“代理驗證”項，在Proxy驗證頁面中點擊“新增新的代理用戶”鏈接，在創(chuàng)建代理用戶頁面中輸入賬戶名和密碼，在“啟動”欄中選擇“是”，點擊“新建”按鈕，完成新賬戶的創(chuàng)建操作。

這樣，在客戶端選擇代理服務(wù)時，必須輸入該賬戶名和密碼，否則無法通過Squid代理的安全認(rèn)證。在Squid代理服務(wù)設(shè)置頁面中點擊“訪問控制”項，在“訪問控制”面板中的“訪問控制列表”欄中選擇ACL類型為“外部驗證”項，點擊“創(chuàng)建新的ACL”按鈕，在打開的頁面中輸入本ACL規(guī)則名稱，在“外部驗證用戶”欄中選擇“All users”項，其余設(shè)置保持默認(rèn)，點擊保存按鈕保存該規(guī)則。之后在“訪問控制”面板中的“代理約束”欄中點擊“添加代理約束規(guī)則”鏈接，在“動作”欄中選擇“允許”項，在“匹配ACL”列表中選擇上述規(guī)則，保存配置信息即可。