新Linux网络操作系统与实训 教学课件 杨云 马立新 金月光 18linux防火墙.pptVIP

本章内容 防火墙简介 用iptables设置防火墙 防火墙简介 防火墙的概念和功能 防火墙的分类和基本工作原理 Linux的防火墙 防火墙的概念和功能 防火墙具有以下几种功能 : 实施安全策略 过滤传输数据 记录Internet活动 IP地址转换 保护内部网络信息 防火墙的分类和基本工作原理 分类： 包过滤防火墙（Packet Filtering Firewall） 代理防火墙（Proxy Firewall） 状态监测防火墙（Stateful Inspection Firewall） 包过滤防火墙 优点 ： 处理速度快 对用户的透明性 缺点： 不能实现用户级别的认证 日志记录不完善 无法防御IP欺骗 对某些协议不适用 代理防火墙 优点 ： 安全性 灵活的过滤规则 详细的日志记录 缺点： 处理速度慢 对用户不透明 代理服务类型的限制 状态监测防火墙 又称动态包过滤防火墙。 主要特点有： 高安全性 可伸缩性和可扩展性 应用范围广 Linux的防火墙 在Linux 1.2.x 和2.0.x.内核中，防火墙系统为ipfawdm，能够实现对TCP、UDP、ICMP协议数据包的过滤。 在Linux 2.2.x的内核中，防火墙为iptables 在Linux 2.4.x中使用netfilter做为防火墙系统，相应的配置工具为iptabless。 用iptables设置防火墙 iptables简介 iptables命令 用iptables进行包过滤 用iptables做IP Masquade 用iptables做透明代理 iptables简介 相对于ipfawdm，iptables中新增的特性有： QoS支持（Quality of Service，服务质量） 用树型的链系统（Tree style chains system）代替了线型的链系统（Linear system） 配置上更加灵活，能够更加容易地对防火墙的配置进行大范围的改动 能够对任何协议进行过滤，而不只是TCP、UDP和ICMP 支持反向过滤规则 iptables简介 用iptables不只能够配置防火墙进行包过滤，还可以用它来配置IP Masquerade实现多台客户机共用一个外部IP接入Internet，以及配置透明代理，使客户端无需进行特殊设置即可使用代理服务器访问网上资源。 iptables命令 防火墙链包括三种标准的链： input链。 output链。 forward链。 用户自定义的链——user defined。 iptables命令 iptables命令的格式是： iptables -[ADC] 链 指派的规则 [选项] iptables -[RI] 链 规则号码 指派的规则 [选项] iptables -D 链 规则号码 [选项] iptables -[LFZNX] [链] [选项] iptables -P 链 目标 [选项] iptables -M [ -L | -S ] [选项] iptables命令 禁止所有ICMP包进入防火墙 ： # iptables –A input –p ICMP –j DENY 在localnet链中添加一条规则，对来自任何非本局域网内的目的端口为局域网内的主机的1-1024端口的数据包都拒绝 。 # iptables –A localnet –s ! /24 –d /24 1:1024 –j DENY 允许本子网内的主机对外部网络中的任何主机进行访问 # iptables –A localnet –s /24 –d /0.0.0 –j ACCEPT 删除掉localnet链中的第一条规则 # iptables –D localnet 1 用iptables进行包过滤 默认拒绝所有数据包 默认接受所有数据包 设置防火墙启动脚本 默认拒绝所有数据包 首先拒绝所有的输入、输出、转发包（把三条链的默认策略设置成DENY），然后根据需要逐个打开要开放的各项服务。 默认接受所有数据包 首先默认允许接受所有的输入、输出、转发包（把三条链的默认策略设置成ACCEPT），然后拒绝某些危险包，如IP欺骗包、广播包、ICMP服务类型攻击等。同时检查系统上的各种服务，禁用所有不需要的服务。 用iptables做IP Masquade IP Masquade简介 IP Masquade的工作方式 设置Linux启用IP Masquade IP Masquade简介 IP Masquade（IP伪装）是Linux的一项网络功能，类似于一对多（One to Many）的网络地址转换（NAT）。