Chinaunix.net技术沙龙.pptVIP

C 技术沙龙 2004年3月27日 Linux防火墙的原理和实现 netloafer Email:netloafer@ 提纲 防火墙的基本概念 Linux防火墙的原理 构建Linux防火墙 Netfilter配置工具iptables 防火墙的常见策略 Linux防火墙的应用 FAQ 防火墙的基本概念 什么是防火墙 防火墙是一种保护网络安全的方法 防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统。 防火墙的主要功能就是依照所定义的访问控制策略对数据通讯进行屏蔽和允许通信。 防火墙的类型 包过滤防火墙 基于状态检测的包过滤防火墙 应用代理（网关）防火墙 侧重包过滤的混合式防火墙 侧重应用代理的混合式防火墙 包过滤防火墙 一般工作在OSI的三层和三层以下 主要控制报文的源地址、报文的目标地址、服务类型、以及第二层数据链路层可控的MAC地址等。 有些也包括部分OSI第四层的内容，如报文的源端口和目的端口 常见设备：路由器，可以通过访问控制列表（ACL）来对路由器端口的数据包进行控制 包过滤防火墙 优点 速度快、对于客户端透明 缺点 不能进行内容检查、所工作的层次较低、端口必须静态开放、ACL的配置在复杂网络下容易出错 带状态检测的包过滤防火墙 工作在IP层 动态开放端口 动态的状态列表 可以对应用层过滤 速度和效率都不错 应用代理（网关）防火墙 包含了网络中的