使用iptables防火墙保护网络服务器.docVIP

练习名称 使用iptables防火墙保护网络服务器 实验目的 1. 理解iptables工作机理 2. 熟练掌握iptables包过滤命令及规则 3. 学会利用iptables对网络事件进行审计 4. 熟练掌握iptables NAT工作原理及实现流程 5. 学会利用iptables+squid实现Web应用代理 工具信息 iptables 2.Nmap 3.Ulogd 需求分析： 根据案例中的描述，选择Linux系统自带的iptables防火墙即可，它的功能十分强大，并有详细的说明文档。由于使用的目的是保护网络中的服务器，所以从以下几个方面来学习使用iptables的相关功能与具体的配置方法： (1) 包过滤 (2) 事件审计 (3) 状态检测 实验原理: 防火墙是目前一种最重要的网络防护设备。它位于两个(或多个)网络之间，实施网络之间访问控制的一组组件集合。它可以分成三种主要型别：包过滤型防火墙、电路网关、应用网关。 1. 包过滤型防火墙 包过滤型防火墙又叫网络级防火墙，它工作在网络层。一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过。路由器便是一种网络级防火墙。 包过滤型防火墙的优点是逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好；缺点一是非法访问者一旦突破防火墙，即可对内部主机实施攻击，二是数据包的源地址、目的地址以及端口号都在数据包的头部，很有可能被窃听或假冒。 2. 应用网关 应用网关又叫应用级防火墙，因为它主要工作在应用层。应用级网关检查进出的数据包，通过自身(网关)复制传输数据，防止在受信主机与非受信主机之间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和审核。 应用网关的优点是应用网关比报文过滤具有更高的安全性；缺点是应用网关使用的每种协议需要相应的代理软件，使用时工作量大，效率明显不如包过滤型防火墙。 3. 电路网关 电路网关不允许端到端的TCP链接，相反，网关建立了两个TCP链接，一个是在网关本身和内部主机上的一个TCP用户之间，一个是在网关和外部主机上的一个TCP用户之间。一旦两个连接建立了起来，网关典型地从一个连接向另一个连接转发TCP报文，而不检查其内容。安全功能体现在决定哪些连接是允许的。 Iptables 1. iptables简介 从1.1内核开始，linux就已经具有包过滤功能了，在2.0的内核中我们采用ipfwadm来操作内核包过滤规则。之后在2.2内核中，采用了大家并不陌生的ipchains来控制内核包过滤规则。在2.4内核中我们不再使用ipchains，而是采用一个全新的内核包过滤管理工具—iptables。这个全新的内核包过滤工具将使用户更易于理解其工作原理，更容易被使用，当然也将具有更为强大的功能。 iptables只是一个内核包过滤的工具，iptables可以加入、插入或删除核心包过滤表格(链)中的规则。实际上真正来执行这些过滤规则的是netfilter(Linux内核中一个通用架构)及其相关模块(如iptables模块和nat模块)。 netfilter提供了一系列的“表(tables)”，每个表由若干“链(chains)”组成，而每条链中有一条或数条规则(rule)组成。我们可以这样来理解，netfilter是表的容器，表是链的容器，链又是规则的容器。 netfilter系统缺省的表为“filter”，该表中包含了INPUT、FORWARD和OUTPUT 3个链。每一条链中可以有一条或数条规则，每一条规则都是这样定义的“如果数据包头符合这样的条件，就这样处理这个数据包”。当一个数据包到达一个链时，系统就会从第一条规则开始检查，看是否符合该规则所定义的条件：如果满足，系统将根据该条规则所定义的方法处理该数据包；如果不满足则继续检查下一条规则。最后，如果该数据包不符合该链中任一条规则的话，系统就会根据预先定义的策略(policy)来处理该数据包。 图9-1-1 网络数据包在filter表中的流程 数据包在filter表中的流程如图9-1-1所示。有数据包进入系统时，系统首先根据路由表决定将数据包发给哪一条链，则可能有三种情况： （1）如果数据包的目的地址是本机，则系统将数据包送往INPUT链，如果通过规则检查，则该包被发给相应的本地进程处理；如果没有通过规则检查，系统就会将这个包丢掉。 （2）如果数据包的目的地址不是本机，也就是说，这个包将被转发，则系统将数据包送往FORWARD链，如果通过规则检查，则该包被发给相应的