第14章 Linux网络安全.ppt

学习目标 Tcp-wrappers的配置 RHEL5下软件防火墙（iptables）的配置 1、Tcp-wrappers的配置 tcp_wrapper原理 tcp_wrapper配置文件 tcp_wrapper访问控制判断顺序 查看一个服务是否支持tcp_wrapper 后台进程列表描述 客户端列表描述 tcp_wrapper其它配置选项 1.1、tcp_wrapper原理 Telnet、SSH、FTP、POP和SMTP等很多网络服务都会用到TCP Wrapper,它被设计为一个介于外来服务请求和系统服务回应的中间处理软件。 基本处理过程 当系统接收到一个外来服务请求的时候，先由TCP Wrapper处理这个请求，TCP Wrapper根据这个请求所请求的服务和针对这个服务所定制的存取控制规则来判断对方是否有使用这个服务的权限，如果有，TCP Wrapper将该请求按照配置文件定义的规则转交给相应的守护进程去处理同时记录这个请求动作，然后自己就等待下一个请求的处理。 1.2、tcp_wrapper配置文件 tcp_wrapper使用两个非常简单的配置文件来限制客户机的访问。 配置充许访问的客户端 /etc/hosts.allow 配置不充许访问的客户端 /etc/hosts.deny 此文件修改并保存后立即生效。 1.3、tcp_wrapper访问控制判断顺序 如果同时在“hosts.allow”与“hosts.deny”配置了某个相反的限制，那么最终以哪一个文件为准呢？ tcp_wrapper中有访问控制判断顺序明确规定： 访问是否被明确许可，如果是则直接通过。 否则才会判断访问是否被明确禁止，如果是则禁止通过。 如果都没有，默认许可。 1.4、查看一个服务是否支持封装 在Linux系统中有许多服务，包括基于System V服务、基于Xinetd服务。其中 基于Xinetd的服务都是支持tcp_wrapper，因为xinetd服务本身就支持tcp_wrapper。而只有一部分的System V服务支持tcp_wrapper，如：sshd、vsftpd等。 用户可以通过下面的两种方式得知某服务是否支持tcp_wrapper。 strings 可执行工具路径｜ grep [tcp_wrappers|hosts_access] ldd 可执行工具路径｜grep libwrap 1.5、后台进程列表描述 后台进程列表应该是 服务的可执行工具名（如： in.telnetd NO telnetd） 允许指定多项服务 后台进程应该是服务的可执行工具名 例如：telnet-server服务的可执行工具是in.telnetd，因此在/etc/hosts.allow及/etc/hosts.deny中应该写in.telnetd，而不是telnet或telnetd。 1.6、客户端列表描述 客户端描述可以包含： IP地址（54） 域名或主机名（., ） 子网掩码（/或192.168.0.） 1.7、tcp_wrapper其它配置选项 客户端描述通配符 ALL：所有 LOCAL：所有主机名中不包含.的主机 UNKNOWN：无法被解析的主机 KNOWN：可以双向解析的主机 PARANOID：正向解析与反向解析不匹配的主机 EXCEPT（除了XXX） 可用于服务列表与客户端列表 可以层层套用 范例： 除了/22网段的主机 可以访问本机的服务外，其它主机都不能访问/etc/hosts.deny ALL：ALL EXCEPT / 2、RHEL5下软件防火墙的配置 防火墙的功能 包过滤防火墙工作原理 Linux下软件防火墙（iptables） iptables组成结构 保存与启动iptalbes iptables配置语法 规则配的顺序 2.1、防火墙的功能 通过使用防火墙可以实现以下功能： 可以保护易受攻击的服务； 控制内外网之间网络系统的访问； 集中管理内网的安全性，降低管理成本； 提高网络的保密性和私有性； 记录网络的使用状态，为安全规划和网络维护提供依据。 2.2、包过滤防火墙工作原理 防火墙技术根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为包过滤防火墙、应用代理（网关）防火墙和状态（检测）防火墙。 包过滤防火墙工作在网络层，对数据包的源及目地 IP 具有识别和控制作用，对于传输层，也只能识别数据包是 TCP 还是 UDP 及所用的端口信息。现在的路由器、 Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。 2.3、Linux下软件防火墙（iptables）