柏青哥的 suse linux 9 第二十一章 -- 架设简易的防火牆.pdfVIP

柏青哥的 SuSE Linux -- 架設簡易的防火牆 　　 作者：陳柏菁　E-mail 第二十一章　架 設 簡 易 防 火 牆 索引： 21.1 防火牆概述 21.1.1 防火牆簡介 21.1.2 DMZ 概念 21.2 學習 iptables 21.2.1 基本觀念 (socket 、NAT) 21.2.2 iptables 的處理流程 21.2.3 防火牆設定處及相關模組 21.3 使用 iptables 建構防火牆 21.3.1 清除所有規則 21.3.2 定義防火牆政策 21.3.3 設定防火牆規則 21.4 綜合範例 21.1 防火牆概述 21.1.1 防火牆簡介 如您曾經在公司內部擔任網路管理方面的職務，應該很清楚知道網路安全的重要性，因為一個不小心都 有可能造成公司的機密資料外流或者遭竄改，嚴重一點的還會造成整個內部電腦癱瘓掉。所以為了增加 我們主機的安全性，就有必要來架設防火牆，作為保護我們本機或者是內部主機的第一道防線。 以防火牆的運作方式來分類，大抵上可區分為 Filter Firewall 及 Application Firewall 。Filter Firewall 為 封包過濾式的防火牆，就是針對來源封包的 header 進行分析比對的動作，如果比對結果符合我們所設 定的過濾規則，則必須進行進一步的處理，看是要放行、丟棄、拒絕、偽裝或者執行 socket 替代等 等，完全視您如何做設定，而今天要介紹的 iptables 就是屬於 Filter Firewall 。至於 Application Firewall 最典型的代表就是 Proxy ; Proxy 即所謂的代理伺服器，也就是當 Client 端有所需求 (一般為 http 的請 求) 時，會由 Proxy 幫 Client 至 Internet 取回所需資料，然後再回應給 Client 端，因此對 Client 而言， 是比較安全的。 相信大家應該也聽說過硬體防火牆及軟體防火牆，這兩者有什麼差別呢 ? 先來說說硬體防火牆好了，此 種防火牆是使用專門的硬體來負責執行，而由於這個硬體裝置就是專門用來建構防火牆用的，因此可以 讓硬體裝置與作業系統之間達最佳化，以提昇其整體的執行效能。至於軟體防火牆則是在目前所使用的 作業系統之中，再去額外的安裝防火牆軟體，因此其執行效能會受到系統中其他程序的影響，不過話雖 如此，卻也提供較高的使用彈性。 我們在維護主機安全時，除了可用 Firewall 做第一道防線外，還可配合 TCP_Wrappers 做第二道防 線，最後就是藉由各項服務中設定檔的設定來做控管 ; 而在通過這些層層關卡後，最後封包才得以順利 進入主機。如以下的簡圖所示： 21.1.2 DMZ 概念 1／13 柏青哥的 SuSE Linux -- 架設簡易的防火牆 在防火牆架構中，常常會看到 DMZ 這個名詞，其為 De-Militarized Zone 的簡寫，也就是所謂的非軍事 區。我們都知道防火牆主要就是在 Internet 與企業內部網路之間建構一道屏障，來保護企業內部主機的 安全 ; 而多建構一個非軍事區出來，主要是為了把企業內部網路與提供服務的伺服器再做個區隔，也就 是把提供給 Internet 公開存取的伺服器安置在 DMZ ，而不是跟 Client 放在同一個網段，因此擔任防火 牆任務的主機一般都會有三個介面，分別連接 Internet 、DMZ 與 企業內部網路，可參考以下簡單的架構 圖： 至於將內部網路與伺服器分別獨立開來的主要目的為： 1. 保護內部電腦的安全：