Linux网络配置与应用教学课件 作者 陈建辉 第11章 防火墙与NAT.pptVIP

第11章 防火墙与NAT 第11章 防火墙与NAT 11.1 防火墙原理 11.2 安装iptables 11.3 防火墙配置 11.4 NAT 11.1 防火墙原理 防火墙概述 防火墙系统可以由一台路由器，也可以由一台或一组主机构成。防火墙一般放置在内外网的接口处，用来过滤进出网络的数据包。防火墙审查每一个经过它的数据包，将数据包的信息与过滤规则按顺序一一比较，如果有相匹配的规则，按规则处理该数据包，如果找不到相匹配的规则，将数据包丢弃，以保护网络安全。 根据防范方式和侧重点不同，防火墙可以分为包过滤防火墙和代理服务器型防火墙两种类型。 防火墙概述 1.包过滤防火墙 数据包过滤技术是指在网络层对数据包进行选择，选择的依据是系统内设置的过滤规则，这些规则被称为访问控制列表（简称ACL）。通过检查每个数据包中的源地址、目标地址、端口号和协议状态等参数，确定是否允许相应数据包通过。数据包的过滤是通过对数据包的IP头和TCP或UDP头的检查来实现的。 防火墙概述 包过滤器并不检查数据包的所有内容，通常只检查如下信息： IP源地址。 IP目标地址。 协议类型（如TCP包、UDP包或ICMP包）。 TCP或UDP包的源端口。 TCP或UDP包的目标端口。 IP校验和。 ICMP消息类型。 TCP包头中的ACK位。 TCP的序列号和确认号。 防火墙概述 包检查器使用过滤规则的过程如下： （1）首先将数据包信息与第一个过滤规则比较，如果两者相匹配，则对数据包进行审核，并依据过滤规则判断是否转发该数据包。如果审核结果是转发数据包，则将数据包递交给传输层进行处理；如果审核结果不允许转发数据包，则将数据包丢弃。 （2）如果数据报信息不能与前面的过滤规则匹配，则查看是否有其他过滤规则，如果有，则继续比较下面的规则，过程与上一个步骤相同，直至所有规则都比较完。 （3）如果所有规则都不匹配，则丢弃数据包。 防火墙概述 包过滤防火墙的优点是：防火墙对用户透明，处理速度快且易维护。包过滤防火墙的缺点是：非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；由于数据包头部中的源地址、目标地址和IP端口号等信息可以很轻易地被伪造，导致黑客容易突破包过滤防火墙。 防火墙概述 2.代理服务器型防火墙 代理服务器型防火墙也称作链路级网关或TCP通道，它是针对数据包过滤和应用级网关技术存在的缺点而引入的防火墙技术。代理服务器型防火墙将所有跨越防火墙的网络通信链路分为两段。代理服务器收到用户对某个站点的访问请求后，就会检查该请求是否符合控制规则，如果相应规则允许该用户访问站点， 代理服务器就会代替客户机访问站点并获取相应信息，然后将所获取的信息转发给用户。内外网用户的跨网络访问都是通过代理服务器上的“链接”来实现的，从而起到了隔离内外网的作用。 iptables工作原理 netfilter/iptables（下文简称为iptables）组成Linux平台下的包过滤防火墙，完成封包过滤、封包重定向和网络地址转换NAT等功能。iptables的官方网站http://www. 提供了iptables软件最新版本的下载和最新的相关信息。 iptables工作原理 1.iptables简介 iptables/netfilter包过滤防火墙其实是由两个组件构成的，一个是netfilter，一个是iptables。 netfilter组件集成在Linux内核中，主要由信息包过滤表（tables）组成，包含了控制IP包处理的规则集（rules）。 iptables组件是一个简洁强大的工具，用户通过它来插入、删除和修改规则链中的规则，这些规则告诉内核中的netfilter组件如何去处理信息包。 iptables工作原理 2. iptables基本概念 使用iptables之前，必须先理解规则、链和表3个概念。 1）规则 规则（rules）其实就是网络管理员预定义的条件，规则存储在netfilter组件的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如接受（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的主要工作就是添加、修改和删除这些规则。 iptables工作原理 2）链 链（chains）是数据包传播的路径，每一条链其实是众多规则中的一个检查清单，每一条链中可以有一条或数条规则。当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则iptables将继续