第十一讲iptables防火墙.ppt

防火墙技术 Iptables防火墙 防火墙基本概念 Internet防火墙技术 防火墙有两种：一种是硬件的，一种软件的。 代理技术 可以采用软件方式保护内部网络不受外来用户的攻击。在Web主机上或单独一台计算机上运行一类软件，监测、侦听来自网络上的信息，对访问内部网的数据起到过滤作用，从而保护内部网免受破坏。这类软件中，最常用的是代理服务器软件。 在代理方式下，私有网络的数据包从来不能直接进入互联网，而是需要经过代理的处理。同样，外部网的数据也不能直接进入私有网，而是要经过代理处理以后才能到达私有网，因此在代理上就可以进行访问控制，地址转换等功能。 防火墙基本概念 传统代理 传统代理工作方式下，内部网络和外部网络之间的唯一连接是代理服务器，客户端要在浏览器中设置代理服务器的地址和端口号，客户浏览器在发出连接请求以前，会自动察看浏览器设置的代理地址及代理端口，若设置了代理端口和代理地址，则将连接请求发送给指定的代理服务器的指定端口。在这种方式的一个明显特点是客户机在连接以前的dns查询也由代理服务器去做。解析DNS的过程是根据代理服务器设置的dns查询顺序进行的。 防火墙基本概念 透明代理技术 透明代理技术中的透明是指客户端感觉不到代理的存在，不需要在浏览器中设置任何代理，客户只需要设置缺省网关，客户的访问外部网络的数据包被发送到缺省网关，而这时缺省网关运行有一个代理服务器，数据实际上被被重定向到代理服务器的代理端口（如8080），即由本地代理服务器向外请求所需 数据然后拷贝给客户端。理论上透明代理可以对任何协议通用, 目前能实现的主要有:DNS, sendmail relay, 和 HTTP. 但是在这种情况下客户端必须正确设置DNS服务器。 防火墙基本概念 透明代理配置举列： 例如: 从私有网络上访问因特网上的 web 站点. 私有网络地址为192.168.1.*, 其中 客户机 是 00, 防火墙机器网卡是 .　　透明web 代理 ( squid的补丁程序工作于此种方式) 被安装在防火墙机器上并配置端口为 8080. 　核心使用 ipchains 把与防火墙端口80的连接重定向到代理服务. 私有网上的 Netscape 被配置为直接连接方式. 　私有网络的 DNS 需要设置(你需要在防火墙机器上运行DNS代理服务). 　防火墙机器上的 DNS 必须设置. 　私有网络上机器的默认路由(别名网关)指向防火墙机器. 　客户机机器上的 Netscape 访问 . 防火墙基本概念 软件ip伪装技术 这里核心的伪装服务重写经过防火墙的包, 所以包看起来就象从防火墙自身发出的. 然后伪装服务器重写返回的包使他们看起来是发往原来的申请者. 　 需要因特网访问的所有服务必须安装在作为防火墙的机器上.(看下面的 有限的因特网服务). 例如: 从私有网络上访问因特网上的 web 站点. 　 　私有网络地址为192.168.1.*, 其中一台客户的地址是00, 防火墙机器网卡是 . 　　 防火墙设置为实现对从私有网络中来的任何发往因特网上某主机80端口的包进行伪装。 　　私有网上的客户机被配置为直接连接方式。私有网络机器的 DNS 必须正确设置。 　　私有网络上机器的默认路由(网关)设定为指向防火墙机器. 　　客户机机器上的 Netscape 访问 . 防火墙基本概念 端口转发 端口转发技术指园区网的各种信息服务器，如：www，dns，email等都被放置在内部网络中，且其地址为内部地址，如：。而在DNS中这些服务器的地址指向防火墙。而当外部需要访问这些服务器时，防火墙进行了特定的设置，其会转发这个数据包到内部特定的，而当内部服务器生成回复包朝外发出经过防火墙时，包被重写。 防火墙基本概念 具体过程如下： 在防火墙上设置端口转发规则，指定所有到防火墙外部地址的TCP连接， 且目的端口为80的所有连接，重定向到内部机器的端口80。假定任意一外部 连接进来的主机IP为 。 则源和目的地址及端口号分别为 Source: /7890 Dest: /80 被转发到内部主机，重写目的地址部分 Source: /7890 Dest: /80 由内部主机回复后的包为： Source: /80 Dest: /7890 再经过防火墙时源地址被重写 Source /80 Dest: /7890。 防火墙基本概念 反向代理技术 反向代理和端口转发类似，区别在于反向代理工作在应用层，而端口转发工作在ip层。 防火墙基本概念 防火墙一些典型的过滤规则： 一些典型的过滤规则包括： 允许进入的Telne会话与指定的内部主机连接 允许进入的FTP会话与指定的内部主机连接 允许所