linux课件 第十一章安全管理.pdfVIP

第11章 安全管理 本章主要讲述Linux下的Netfilter安全子系统的结 构、功能，以及Iptables工具的使用;Ipsec VPN的结 构、分类及设置方法。 学习目标：  了解安全威胁  熟悉Netfilter的特点和结构  掌握Iptables的使用  掌握IPsec VPN的设置 11.1 计算机面临的安全威胁概述 目前网络中存在的对信息系统构成的威胁主要表现 在如下几个方面： 非授权访问：没有预先经过同意或认可，就使用网 络或计算机资源被看作非授权访问，或擅自扩大权限， 越权访问信息等。 计算机网络面临的安全威胁主要有：信息泄漏或丢 失；破坏数据完整性；恶意添加、修改数据；拒绝服务 攻击；网络病毒及木马。 11.2 Linux下的防火墙 11.2.1常见的防火墙类型 常见的防火墙有以下三种类型  1.网络地址转换（NAT）型防火墙  2.包过滤（Packet filter）型防火墙  3.代理（proxy）型防火墙 11.2.2 Iptables概述 Netfilter 是集成到Linux2.4及以后版本核心中的安全子系统， 可以提供包过滤、网络地址转换、端口地址转换和其他的包处理 功能。Iptables有一个通用的表结构用来存放各种规则，表里的 每一条规则包含两部分：一个分类器和一个相关联的动作，在 Netfilter中动作也被称作目标。 Iptables的主要特征：  支持IPv4和IPv6的无状态包过滤；  支持IPv4和IPv6的有状态包过滤；  支持IPv4的网络地址转换和端口转换(NAT和NAPT)；  灵活、可扩展的架构；  为第三方提供了多个层次的API接口；  丰富的模块/插件 利用Netfilter可以完成的工作：  基于有状态或者无状态包过滤技术构建Internet防火墙；  利用NAT和伪装技术为内部私有地址网络提供外部网络连 接；  利用NAT技术实现透明代理；  配合Iproute2系统，可以构建复杂的QoS和策略路由；  对数据包做进一步的操作，如修改IP头中的 TOS/DECP/ECN标志。 11.2.3 图形界面的防火墙设置工具 在Gnome中选择菜单“系统”|“管理”|“安全级和防火墙”， 或者直接在终端窗口中执行，命令如下： [root@localhost ~]#system-config-selinux 此工具只能对防火墙做基本的设置，如图11-1所示，如果要 做复杂的设置，必需使用命令行工具Iptalbes。 图11-1 SeLinux设置 在图形界面中，如果要开放某种服务，可以选中该 服务，也可以把要开放的服务所用的端口号加入 “other ports”。防火墙的配置文件为 /etc/sysconfig/iptables 。实际上图形界面和 Iptables的控制作用是一样的。 11.2.4 Iptables的安装 Iptables的正常工作需要 Linux核心的支持，在利用make menuconfig编译内核时打开内核选项:Networking-- Networking options--Network packet filtering(replace ipchains) --IP:Netfilter configuration，按需要选择把相应 功能，编译并且安装新内核。 到网站下载最新的Iptables源代 码包。最新的源代码包为iptables-1.4.0.tar.bz2。 #tar jxvf iptables-1.4.0.tar.bz2 #cd iptables-1.4.0 #make ；编译 # make install ；安装 #make install-devel