在OpenBSD上架设安全的小型网络

　　像世界上其它的东西一样，良好的安全建设需要一笔不菲的价格。道理其实很简单，因为现在没有那么多的技术高超的安全专家来照顾我们不堪一击的网络。人才短缺所造成的一个不幸的结果就是高的令人难以承受的专家佣金。这个问题将一些小型的网络交给到了一群没有多大经验的网络管理员的手中，这些管理员也许不知道如何去设计、配置和监视网络中的主机，使这些有缺陷的主机时时受到网络上那些试图寻找内部信息、免费储存空间或者用于DDoS的肉鸡的入侵者的威胁。

　　幸运的是，网络上不少好心的黑客（褒义）制作出了不少非常出色的安全产品供网管们免费使用。这篇文章就是概述如何使用一个分隔的专用网络/DMZ的设计来设计并运行一个小型网络，这将允许管理员在使其用户享受高水平保护的同时向外部网络提供一些服务。这个设计的执行和管理都相当的容易，就算初学者都可以很轻松的掌握，而且它还可以作为安全公司给客户的一个基础安全配置。

　　设计部分

　　我们的目标就是达到对外部发起的攻击做到最大的保护。同时，我们不希望花费很多钱，这样我们所使用的软件就只能限于开放源代码的软件或者免费软件。这并不像听起来那么坏，因为大部分免费的操作系统几乎都自带有一套能达到一个小型企业标准的网络安全软件。同时，很多免费的安全解决方案都可以在一些商业产品里找到。

　　为了使事情变的更简单，我们先假设我们将要建造的这个网络只有一个对Internet的连接，并且它只有大概十几个内部用户。当然，你总是可以按你自己的意愿将它的规模变小或变大。这只在于添加更快的硬件，将网络规划成许多更小的网络来消除瓶颈现象，甚至增加更多的对外连接等。

　　最简单的设计莫过于使用保护内部专用网络的防火墙来建设并维护这个网络，这样的话就不会有任何外来的连接，这种网络被称为非军事区（demilitarized zone，简称DMZ），我们需要将它建设成以有一些对外开放的服务，同时使用相同的防火墙来进行保护的分隔网络的形式。这些服务可以是DNS, WWW, mail, FTP, 或者news，不过你完全有自由去限制或增加任何其它服务。DMZ可以包含一台主机或者很多主机，这都在于你想要这个网络的复杂性而定的。