第18章防火墙(理论课)(免费阅读).pptVIP

/ Linux与网络应用环境 第18章 防火墙 上一章内容回顾 基本网络参数 路由与网络 配置squid代理 本章学习目标 了解网络中防火墙的基本概念及其分类 掌握iptables工具建立包过滤防火墙的方法 了解网络地址转换与路由的概念以及配置网络地址转换的方法 内容进度 关于防火墙 iptables基本原理 NAT与路由 iptables安装配置 关于防火墙 关于防火墙 关于防火墙 关于防火墙 关于防火墙 关于防火墙 内容进度 关于防火墙 iptables基本原理 NAT与路由 iptables安装配置 iptables基本原理 内容进度 关于防火墙 iptables基本原理 NAT与路由 iptables安装配置 NAT与路由 内容进度 关于防火墙 iptables基本原理 NAT与路由 iptables安装配置 iptables安装配置 iptables安装配置 iptables安装配置 iptables安装配置 iptables安装配置 iptables安装配置 iptables安装配置 iptables安装配置 本章内容总结 关于防火墙 iptables基本原理 NAT与路由 iptables安装配置 演示操作过程 */23 什么是防火墙 防火墙是采用将内网和外网分开技术的软件或设备 防火墙是防止侵袭的门户 它可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力 它是提供信息安全服务，实现网络和信息安全的基础设施 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全 防火墙功能 实时监控功能 静态、动态过滤 双向网络地址转换（NAT） 透明代理访问（Transparent Proxy） 访问控制 抗攻击能力 审计和告警 分析和查询网络事件 流量控制和统计报表 应用代理技术 想从内部网访问外部的服务器？我帮你发请求吧。 优点： 安全性高 提供应用层的安全 提供用户级的控制 可以针对应用层进行侦测和扫描 对付基于应用层的入侵和病毒都十分有效 缺点： 性能差，只支持有限的应用，且系统管理复杂 对用户不透明 安全性依赖于底层OS，一般用于代理内部网到外部网的访问 传统防火墙包过滤技术 从网段到Internet的HTTP访问？ 放行/禁止通行！ 优点： 速度快，性能高 对应用程序透明 用于隔离内外网络 缺点： 安全性低 伸缩性差 维护不直观 网络层防火墙 包过滤技术的优点是简单实用，实现成本较低，在环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。 包过滤技术的缺陷也是明显的。它是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入。 防火墙与代理 ipfwadm apache netfilter iptables ipchains squid socks netfilter框架 iptables规则链 iptables规则表 ?Filter：INPUT、FORWARD、OUTPUT ?NAT：PREROUTING、POSTROUTING、OUTPUT ?Mangle：OUTPUT、POSTROUTING NAT与路由的比较 NAT对数据包的源IP地址、目的IP地址、源端口、目的端口进行改写 路由将源MAC转换成自己的MAC NAT的使用 NAT的类型 静态NAT——内部网络的每个主机被永久映射成外部网络的某个合法地址 动态NAT——在外部网络中定义一系列合法地址动态分配映射到内部网络，可应用于拨号 网络地址端口转换NAPT——把内部地址映射到外部网络的一个IP地址的不同端口上，可应用于将中小型网络隐藏在一个合法的IP地址后面 通过iptables实现NAT 源NAT——改变转发数据包的源地址 目的NAT——改变转发数据包的目的地址 安装iptables 确认是否已经安装了iptables 源代码编译安装 rpm包安装 配置防火墙 命令语法 每条规则指定了一个“target”，指定如何处理与之相匹配的包，也可以指定这个目标为跳向同一个表内的用户定义的链 规则操作参数说明（P212） 规则定义参数 匹配规则扩展选项 目标扩展选项 包过滤配置 清空所有的规则链，并设置规则链的缺省策略为DROP，即丢弃所有的网络数据包 包过滤配置 新增用户自定义规则链bad_tcp_packets、allowed和icmp_packets bad_tcp_packets规则链的规则：将要求重导向的网络连接记录下来，然后将报文丢弃（防止本地机器被其他主机作为侵入跳板，侵入别的主机）。