第15章 Linux防火墙及其配置.pptVIP

第15 章 Linux防火墙及其配置 XX大学XX系 XXX * 本章提要 防火墙概述 Iptables防火墙的安装和配置 使用iptables实现NAT Iptables防火墙的配置实例 防火墙是内部网（Intranet）与Internet隔离的关键网络安全设备，它只允许合法的数据进出网络，而禁止其他任何网络流量。在Fedora 8里面自带的iptables防火墙是一种包过滤型防火墙，可以通过它控制进出网络的数据包，从而实现系统的访问控制，达到系统安全的目的。本章介绍防火墙的概念、分类、基本功能，Fedora 8下iptables防火墙的配置以及NAT的实现，最后给出了几个iptables的典型配置。 防火墙概述 在计算机网络中，防火墙是一种装置，它是由软件或硬件设备组合而成，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问Internet的权限。它实际上是一种隔离技术，是在两个网络通讯时执行的一种访问控制策略，它能允许“可以访问”的人和数据进入网络，同时将“不允许访问”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问网络。如果不通过防火墙，公司内部的人就无法访问Internet，Internet 上的人也无法和公司内部的人进行通信。 防火墙的功能 防火墙由于处于网络边界的特殊位置，因而被设计集成了非常多的安全防护功能和网络连接管理功能。 1．防火墙的访问控制功能 2．防火墙的防止外部攻击 3．防火墙的地址转换 4．防火墙的日志与报警 5．防火墙的身份认证 防火墙技术 按照实现技术分类防火墙的基本类型有： 包过滤型； 代理服务型； 状态检测型。 防火墙的包过滤技术 包过滤（Packet Filter）通常安装在路由器上，并且大多数商用路由器都提供了包过滤的功能。包过滤是一种安全筛选机制，它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。 防火墙的应用代理技术 代理服务（Proxy Service）系统一般安装并运行在双宿主机上。双宿主机是一个被取消路由功能的主机，与双宿主机相连的外部网络与内部网络之间在网络层是被断开的。这样做的目的是使外部网络无法了解内部网络的拓扑。这与包过滤防火墙明显不同，就逻辑拓扑而言，代理服务型防火墙要比包过滤型更安全。如图15-2所示。 防火墙的状态检测技术 状态检测防火墙在网络层由一个检测模块截获数据包，并抽取与应用层状态有关的信息，并以此作为依据决定对该连接是接受还是拒绝。检测模块维护一个动态的状态信息表，并对后续的数据包进行检查。一旦发现任何连接的参数有意外的变化，该连接就被中止。这种技术提供了高度安全的解决方案，同时也具有较好的适应性和可扩展性。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性。状态检测检查OSI七层模型的所有层，以决定是否过滤，而不仅仅对网络层检测，状态检测型防火墙如图15-3所示。状态检测技术首先由CheckPoint公司提出并实现。目前许多包过滤防火墙中都使用多层状态检测。 iptables简介 Netfilter/iptables（以下简称为iptables）组成Linux平台下的包过滤防火墙，与大多数Linux下的软件一样，这个包过滤防火墙是免费的，它可以替代昂贵的商业级防火墙，完成数据包过滤、数据包重定向和网络地址转换（NAT）等功能。Iptables防火墙的官方网站有iptables的详细信息，并提供了iptables软件最新版本的下载。如图15-4所示。 Iptables简介（续） iptables/netfilter包过滤防火墙其实由两个组件构成，一个是netfilter、一个是iptables。 iptables只是一个管理内核包过滤的根据，它可以加入、插入或删除核心包过滤表格（链）中的规则，这些规则告诉内核中的netfilter组件如何去处理信息包。也就是说，实际上真正执行这些过滤规则的是netfilter及相关模块（如iptables模块和nat模块）。 netfilter是Linux内核中的一个通用架构，它提供了一系列的表（tables），每个表由若干个链（chains）组成，而每个链可以由一条或若干条规则（rule）组成。可以这样理解，netfilter是表的容器，表是链的容器，而链又是规则的容器。 Iptables简介（续） 系统缺省的表为“filter”，该表中包含了INPUT、FORWARD、OUTPUT等3个链。每一个链中有一条或数条规则，每一条规则都是这样定义的“如果数据包头符合这样的条件，就这样处理数据包”。当一个数据包到达一个链时，系统就会从第一条规则开始检查，看是否符合该规则所定义的条件：如果满足，系统将根据该条规则所定义的方法处理该数据包；如