linux操作系统实用教程 梁广民 第14章 防火墙.pptVIP

第14章 防火墙 14.1 防火墙简介 14.2 用ipchains过滤数据包 14.3 iptables 习题 14.1 防 火 墙 简 介 14.1.1 防火墙的分类和基本工作原理 防火墙一般分为两大类，一类是“包过滤”型防火墙，另一类是“代理服务器”型防火墙。 1. 包过滤型防火墙(Packet Filter) 包过滤型防火墙内置于Linux内核，它和日常生活中门卫的作用是类似的。门卫把守着大门，根据上级的指示允许或不允许某些人员进出大楼。包过滤型防火墙根据预先的设置允许或不允许数据包通过防火墙。门卫是根据来往人员是什么样的人、从什么地方来、到什么地方去、想干什么等信息来决定是否放行，那么防火墙是根据什么来决定是否放行数据的呢？我们先来看看数据包中都包含了什么信息。 图14-1是一个以太网数据帧的格式，在帧内封装着IP数据包，IP数据包又封装着传输层的数据报。 我们再来看一个IP数据包的格式(见图14-2)。IP数据包包头含有源IP地址、目的IP地址，如果数据包是一个TCP或UDP数据包，还会有协议类型。紧接着我们看一个TCP报文的格式(见图14-3)。报文中包含有源端口号、目的端口号。有了IP地址，我们就可以知道数据包是从什么主机发出的、到达哪个主机；而端口号通常表示什么服务，即是干什么的。 包过滤型防火墙就是通过检查数据包中的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等信息来决定是放行数据还是拒绝数据的。由于防火墙要能读得懂这些信息才能工作，而这些信息分别在TCP/IP协议的网络层、传输层等层中，所以说包过滤型防火墙工作在网络层或传输层中。图14-4是包过滤型防火墙的一种常用的模式，它用来阻隔来自外部网络对内部网络的威胁。 从以上的讨论中可以看到，只要是合法的数据就会被防火墙正常转发，应用程序感觉不到防火墙的存在，因此包过滤型防火墙有着较好的透明性，即应用程序无须做任何更改。同时由于包过滤型防火墙是内置于Linux内核的，也就具有较好的网络性能。 ? 2. 代理服务器型防火墙(Proxy Server) 代理服务器型防火墙是应用网关型防火墙，通常工作在应用层，图14-5是应用网关型防火墙的常用应用模式。 代理服务器(Proxy)实际上是运行在防火墙上的一种服务器程序，防火墙通常是具有两个网卡(或接口)的主机。服务器监听着客户的请求，如：申请浏览网页等。当内网的客户机请求与外网的真实服务器连接时，客户先连接代理服务器，然后再由代理服务器与真实的服务器进行连接，取得客户想要的信息，代理服务器再把信息返回给客户。 此处的代理服务器是一个中间点，其角色和我们平常所说的中介十分相似，客户机和外界的主机没有发生直接联系，这是代理服务器型防火墙和包过滤型防火墙的本质差别所在。我们只要控制好这个中介所能代理的服务，就可以控制信息的进出，从而实现防火墙的目的。代理服务器型防火墙中数据的流通完全依赖于代理服务器所能代理的服务，因此透明性差。如果我们已经有了房地产的中介，而现在要进行的是外汇买卖，除了再找一个外汇买卖代理外，我们别无办法。 使用代理服务器时，通常要把客户机的应用程序进行改动(即设置应用网关，例如：使用WIN Proxy代理服务器时，要在客户端的IE浏览器上进行代理服务器的有关配置)，如果应用程序没有代理版本，则常常造成服务器无法使用。另外，一个代理服务器软件通常只代理一种或几种服务，因此往往要在主机上安装多个代理服务器软件。一般来说，各种互联网服务的代理软件总是滞后于其标准版本，常常出现没有可靠的代理版本的情况。 使用代理服务器型防火墙的好处是可彻底地与真实网络隔离开来。一般说来，系统的安全性较好，缺点是透明性差，每一项服务都要有相应的代理软件。 14.1.2 包过滤型防火墙的两种策略 设计防火墙有两种基本的策略：一种是一开始就禁止所有的数据包通过，然后根据需要打开相应的服务端口；另一种是一开始就开放所有的服务，然后对不可靠的服务端口进行封锁。原则上，第一种方法比较可靠，但是对于不熟悉TCP/IP的用户，可能会导致一些其他困扰。 14.2 用ipchains过滤数据包 14.2.1 什么是ipchains ipchains是Linux的包过滤防火墙，是Linux IPV4防火墙的重写和ipfwadm的重写。ipchains是内核支持的，实现速度较快。它分析一个数据包，检查源IP地址、目的I