09建立Linux防火墙.pptVIP

建立 Linux 防火墙 计算机科学系 内容 基本概念 防火墙分类 ipchain防火墙介绍 OSI协议体系 网络协议五层体系 分层的好处 各层之间是独立的 灵活性好 结构上可分割 能促进标准化工作 五层协议 数据链路层。把IP数据包组装成帧，在相邻节点间传送以帧为单位的数据。包括必要的控制信息：如同步信息、差错控制、流量控制等。 网络层。有时也称作互联网层，处理分组在不同主机间的通信，例如分组的选路。在T C P / I P协议族中，网络层协议包括I P协议（网际协议），I C M P协议（I n t e r n e t互联网控制报文协议），以及I G M P协议（I n t e r n e t组管理协议）。  五层协议 运输层。主要为两台主机上的应用程序提供端到端的通信。在T C P / I P协议族中，有两个互不相同的传输协议： T C P为两台主机提供高可靠性的数据通信。它所做的工作包括把应用程序交给它的数据分成合适的小块交给下面的网络层，确认接收到的分组，设置发送最后确认分组的超时时钟等。由于运输层提供了高可靠性的端到端的通信，因此应用层可以忽略所有这些细节。 U D P为应用层提供一种非常简单的服务。它只是把称作数据报的分组从一台主机发送到另一台主机，但并不保证该数据报能到达另一端。任何必需的可靠性必须由应用层来提供。 五层协议 应用层。负责处理特定的应用程序细节，以满足用户的具体需求。几乎各种不同的T C P / I P实现都会提供下面这些通用的应用程序： Telnet 远程登录 FTP 文件传输协议 WEB服务 SMTP 简单邮件传送协议 SNMP 简单网络管理协议 TCP/IP协议 TCP/IP的封装： 当应用程序用T C P传送数据时，数据被送入协议栈中，然后逐个通过每一层直到被当作一串比特流送入网络。其中每一层对收到的数据都要增加一些首部信息（有时还要增加尾部信息）。 T C P传给I P的数据单元称作T C P报文段或简称为T C P段（T C P s e g m e n t）。I P传给网络接口层的数据单元称作I P数据报(IP datagram)。通过以太网传输的比特流称作帧(Fr a m e )。 U D P数据与T C P数据基本一致。唯一的不同是U D P传给I P的信息单元称作U D P数据报（UDP datagram），而且U D P的首部长为8字节。由于T C P、U D P、I C M P和I G M P都要向I P传送数据，因此I P必须在生成的I P首部中加入某种标识，以表明数据属于哪一层。 基本概念 防火墙 防火墙是一套能够在两个或两个以上的网络之间，明显区隔出实体线路联机的软硬件设备组合。被区隔开来的网络，可以透过封包转送技术来相互通讯，透过防火墙的安全管理机制，可以决定哪些数据可以流通，哪些数据无法流通，藉此达到网络安全保护的目的。 隔离区 DMZ是英文demilitarized zone的缩写，中文名称为隔离区，也称非军事化区。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。 防火墙分类 按软硬件形式分类 防火墙产品可以概略归类为硬件式防火墙和软件式防火墙，但实际上无论是硬件式或软件式防火墙，它们都需要使用硬件来作为联机介接，也需要使用软件来设定安全政策，严格说两者间的差别并不太大。我们只能从使用的硬件与操作系统来加以区分，硬件式防火墙是使用专有的硬件，而软件式防火墙则使用一般的计算机硬件，硬件式防火墙使用专有的操作系统，而软件式防火墙则使用一般的操作系统。 按运作方式分类 防火墙依照其运作方式来分类，可以区分为包过滤式防火墙 、应用层网关式防火墙 (代理服务技术)、电路层网关式防火墙 。其中被广为采用的是包过滤式防火墙。 按防火墙结构可分为 单一主机防火墙 路由器集成式防火墙 分布式防火墙 包过滤防火墙 包过滤是最早被实作出来的防火墙技术，它是在 TCP/IP 四层架构下的 IP 层中运作。包过滤器的功能主要是检查通过的每一个 IP 数据包，如果其包头中所含的数据内容符合过滤条件的设定就进行进一步的处理，主要的处理方式包含：放行（accept）、丢弃（drop）或拒绝（reject）。要进行包过滤，防火墙必须要能分析通过包的来源 IP 与目的地 IP，还必须能检查包协议类型、来源端口与目的端口、包流向、包进入防火墙的网卡接口、