防火墙论文.docVIP

Linux防火墙应用及DDOS攻击的防范探讨 2012-8-23  目 录 摘要： 3 引言： 3 一． 应用Linux防火墙保障企业网络安全 5 1、框架简介 5 2、安装和启动Netfilter/iptables系统 6 3、Iptables简单应用 7 4、应用实战1：使用Iptables保障网络服务安全 9 5、应用实战2：使用Iptables完成NAT功能 11 6、应用实战3：使用Iptables构建DMZ 15 二. 如何应对分布式拒绝服务(DDOS)攻击 20 1.DDoS攻击原理 20 2.DDoS的检测方法 23 3.防范DDoS攻击 24 4.基于角色的防范 28 结论： 31 参考资料： 31 摘要： 在网络科技发达的现代，各类网络攻击行为让企业的信息安全岌岌可危，黑客，蠕虫，arp欺骗等各种危及企业网络正常运作和通畅的威胁层出不穷。笔者通过在企业实习的机会，接触和了解了基于Linux系统的防火墙以及相关技术，本文就Linux自带防火墙的实际应用以及DDOS攻击的防范实战来作为防火墙技术上的探讨。 DDoS攻击难于防范，但是防范DDoS也不是绝对不可行的事情。本文从DDoS的原理入手，从网络管理员、ISP/ICP管理员和骨千网络运营商等不同角度详细说明如何检查和防范Linux下的DDoS攻击。 关键词：Linux Netfilter/Iptables DDOS攻击防范 引言： 1、什么是防火墙 所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。网络层防火墙应用层防火墙个人防火墙是防止您电脑中的信息被外部侵袭的一项技术，在您的系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的 free ZoneAlarm 等，都能帮助您对系统进行监控及管理，防止特洛伊木马、spy-ware 等病毒程序通过网络进入您的电脑或在您未知情况下向外部扩散。这些软件都能够独立运行于整个系统中或针对对个别程序、项目，所以在使用时十分方便及实用。网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。因为传统的防火墙设置在网络边界，外于内、外部互联网之间，所以称为边界防火墙（Perimeter Firewall）。随着人们对网络安全防护要求的提高，边界防火墙明显感觉到力不从心，因为给网络带来安全威胁的不仅是外部网络，更多的是来自内部网络。但边界防火墙无法对内部网络实现有效地保护，除非对每一台主机都安装防火墙，这是不可能的。基于此，一种新型的防火墙技术，分布式防火墙（Distributed Firewalls）技术产生了。由于其优越的安全防护体系，符合未来的发展趋势，所以这一技术一出现便得到许多用户的认可和接受主机驻留嵌入操作系统内核类似于个人防火墙适用于服务器托管Internet访问控制应用访问控制网络状态监控黑客攻击的防御日志管理系统工具增强的系统安全性：增加了针对主机的入侵检测和防护功能，加强了对来自内部攻击防范，可以实施全方位的安全策略。（2）提高了系统性能：消除了结构性瓶颈问题，提高了系统性能。（3）系统的扩展性：分布式防火墙随系统扩充提供了安全防护无限扩充的能力。（4）实施主机策略：对网络中的各节点可以起到更安全的防护。　　（5）应用更为广泛，支持VPN通信filter表格不会对数据报进行修改，而只对数据报进行过滤。iptables优于ipchains的一个方面就是它更为小巧和快速。 ? NAT：NAT表格监听三个netfilter钩子函数：NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING及NF_IP_LOCAL_OUT。N