第2章 使用Linux搭建企业防火墙.pdfVIP

Linux 系统工程师 —— Linux 高级应用 第二章 使用 Linux 搭建企业防火墙 网络防火墙是企业网络的安全保障。但是高额的硬件投入使企业难以接受。 Linux 系统的出现，为企业低成本地解决企业网络的安全提供了一个实惠的解决方 案。要使用，Linux 系统来搭建企业防火墙，首先需要了解 TCP/IP 网络的基本原理， 理解 Linux 防火墙的工作原理，并且熟悉各个工具的集体使用。本章将深入浅出第 介绍 Linux 防火墙的配置与使用。 本章目标： 学习完本章你将能够 理解 IP 协议的工作原理 掌握 netfilter 的工作原理 熟练使用 iptables 来配置防火墙 29 Version ：1.0 Linux 系统工程师 —— Linux 高级应用 1. IP 协议介绍 IP （Internet Protocol ）是 TCP/IP 协议族中最为核心的协议。所有的 TCP 、UDP 、 ICMP 及 IGMP 数据都以 IP 数据报格式传输（见图 2-1 ）。Linux 的防火墙 netfilter 就是工作在 TCP/IP 的网络层和传输层。 2-1 由于 Linux 防火墙是基于 IP 数据包来进行数据的过滤，因此对 IP 协议必须要 熟悉。如果您对 TCP/IP 协议族已经熟悉，可以跳过此节 1.1 IP 数据包的头部信息 数据包就像我们平时邮寄包裹一样，需要在包裹的外面包含一些信息，IP 数据 报的头部就类似于我们邮寄包裹的包裹信息。 IP 数据报的格式如图 2-2 所示。如果选项字段不包含内容，普通的 IP 首部长为 20 个字节。 分析图 2-2 中的首部。最高位在左边，记为 0 bit ；最低位在右边，记为 31 bit 。 4 个字节的 32 bit 值以下面的次序传输：首先是 0～7 bit ，其次 8～15 bit，然后 1 6～ 23 bit ，最后是 24~31 bit 。这种传输次序称作 big endian 字节序。 由于 TCP /IP 首部中所有的二进制整数在网络中传输时都要求以这种次序，因 此它又称作网络字节序。以其他形式存储二进制整数的机器，如 little endian 格式， 则必须在传输数据之前把首部转换成网络字节序。下面对各段进行简单描述： （1）目前广泛应用的 IP 协议版本号是 4 ，因此 IP 有时也称作 IPv4 。 （2 ）首部长度指的是首部占 32 bit 字的数目，包括任何选项。由于它是一个 4 比特字段，因此首部最长为 60 个字节。 （3 ）服务类型（TOS ）字段包括一个 3 bit 的优先权子字段（现在已被忽略）， 4 bit 的 TOS 子字段和 1 bit 未用位但必须置 0 。4 bit 的 TOS 分别代表：最小时延、 30 Version ：1.0 Linux 系统工程师 —— Linux 高级应用 最大吞吐量、最高可靠性和最小费用。4 bit 中只能置其中 1 bit。如果所有 4 bit 均为 0 ，那么就意味着是一般服务。 图2-2 （4 ）总长度字段是指整个 I P 数据报的长度，以字节为单位。利用首部长度字 段和总长度字段，就可以知道 IP 数据报中数据内容的起始位置和长度。由于该字段 长 16 比特，所以 IP 数据报最长可达 65535 字节。尽管可以传送一个长达 65535 字 节的 IP 数据报，但是大多数的链路层都会对它进行分片。 （5 ）标识字段唯一地标识主机发送的每一份数据报（即给每个数据报取一