企业应用开源防火墙安全保障实战演练.docVIP

企业应用开源防火墙安全保障实战演练 在传统的标准的 TCP/IP 通信过程中，所有的路由器仅仅是充当一个中间人的角色，也就是通常所说的存储转发，路由器并不会对转发的数据包进行修改，更为确切的说，除了将源 MAC 地址换成自己的 MAC 地址以外，路由器不会对转发的数据包做任何修改。NAT（Network Address Translation）恰恰是出于某种特殊需要而对数据包的源 IP 地址、目的 IP 地址、源端口、目的端口进行改写的操作。 一般说来，有如下几种情况下需要做 NAT： 为用户群提供 Internet 接入服务：为了方便管理，ISP 分配给用户的 IP 地址都是伪 IP，但是部分用户要求建立自己的 WWW 服务器对外发布信息，这时候我们就可以通过 NAT 来提供这种服务了。我们可以在防火墙的外部网卡上绑定多个合法 IP 地址，然后通过 NAT 技术使发给其中某一个 IP 地址的包转发至内部某一用户的 WWW 服务器上，然后再将该内部 WWW 服务器响应包伪装成该合法 IP 发出的包。 使用拨号上网的网吧：因为只有一个合法的 IP 地址，必须采用某种手段让其他机器也可以上网，通常是采用代理服务器的方式，但是代理服务器，尤其是应用层代理服务器，只能支持有限的协议，如果过了一段时间后又有新的服务出来，则只能等待代理服务器支持该新应用的升级版本。如果采用 NAT 来解决这个问题，因为是在应用层以下进行处理，NAT 不但可以获得很高的访问速度，而且可以无缝的支持任何新的服务或应用。 还有一个方面的应用就是重定向，也就是当接收到一个包后，不是转发这个包，而是将其重定向到系统上的某一个应用程序。最常见的应用就是和 squid 配合使用成为透明代理，在对 HTTP 流量进行缓存的同时，可以提供对 Internet 的无缝访问。 NAT 的原理 Linux 将 NAT 分成了两种类型，即源 NAT(SNAT) 和目的 NAT(DNAT)，顾名思义，所谓 SNAT 就是改变转发数据包的源地址，所谓 DNAT 就是改变转发数据包的目的地址。前面提到过，Netfilter 是 Linux 核心中一个通用架构，它提供了一系列的表(tables)，每个表由若干链(chains) 组成，而每条链中可以有一条或数条规则 (rule) 组成。并且系统缺省的表是filter。但是在使用 NAT 的时候，我们所使用的表不再是filter，而是nat表，所以我们必须使用-t nat选项来显式地指明这一点。因为系统缺省的表是filter，所以在使用 filter 功能时，我们没有必要显式的指明-t filter。同 filter 表一样，nat 表也有三条缺省的链(chains)，这三条链也是规则的容器，它们分别是： PREROUTING：可在这里定义进行目的 NAT 的规则，因为路由器进行路由时只检查数据包的目的 IP 地址，所以为了使数据包得以正确路由，我们必须在路由之前就进行目的 NAT； POSTROUTING：可以在这里定义进行源 NAT 的规则，系统在决定了数据包的路由以后再执行该链中的规则； OUTPUT: 定义对本地产生的数据包的目的 NAT 规则。 如前所述，在使用 iptables 的 NAT 功能时，我们必须在每一条规则中使用-t nat显示的指明使用 nat 表。然后使用以下的选项： （1）对规则的操作 加入 (append) 一个新规则到一个链 (-A) 的最后在链内某个位置插入 (insert) 一个新规则 (-I)，通常是插在最前面在链内某个位置替换 (replace) 一条规则 (-R)在链内某个位置删除 (delete) 一条规则 (-D)删除 (delete) 链内第一条规则 (-D)。 （2）指定源地址和目的地址 通过 --source/--src/-s 来指定源地址 ( 这里的 / 表示或者的意思，下同 )，通过 --destination/--dst/-s 来指定目的地址。可以使用以下四中方法来指定 IP 地址： 使用完整的域名，如“”; 使用 IP 地址，如“0”; 用 IP 地址 / 子网掩码指定一个网络地址，如“/”; 用 IP 地址 / 子网掩码的位数指定一个网络地址，如“/24”这里的 24 表明了子网掩码的有效位数，这是 Linux 环境中通常使用的表示方法。缺省的子网掩码数是 32，也就是说指定 0 等效于 0/32。 （3）指定网络接口 可以使用 --in-interface/-i 或 --out-interface/-o 来指定网络接口。从 NAT 的原理可以看出，对于 PREROUTING 链，我们只能用 -i 指定进来的网络接口 ; 而对于 POSTROUTING 和 OUTPUT 我们