Linux防火墙及其配置剖析.ppt

IPTABLES的动作选项 动作选项指定当数据包与规则匹配时，应该做什么操作，如接受或丢弃等，如表15-3所示。下表15-3为iptables的动作选项 动作 说明 ACCEPT 接受数据包 DROP 丢弃数据包 REDIRECT 将数据包重新转向本机或另一台主机的某个端口，通常用功能实现透明代理或对外开放内网的某些服务 SNAT 源地址转换，即改变数据包的源地址 DNAT 目标地址转换，即改变数据包的目标地址 MASQUERADE IP伪装，即常说的NAT技术。MASQUERADE只能用于SDSL等拨号上网的IP伪装，也就是主机的IP地址是由ISP动态分配的；如果主机的IP地址是静态固定的，就要使用SNAT LOG 日志功能，将符合规则的数据包的相关信息记录在日志中，以便管理员进行分析和排错 查看IPTABLES规则 在初始状态，iptables并没有规则，但是如果在安装时选择自动安装防火墙，这时系统中就会有默认的规则存在，那么在这里可以先查看一下系统默认的防火墙规则。 查看iptables规则的格式为： iptables [-t 表名] -L 链名 其中， [-t 表名]：定义查看哪个表的规则列表，表名可以使用filter、nat和managle，如果没有定义[-t 表名]，默认使用filter表； -L：列出指定表和指定链的规则； 链名：定义查看指定表中哪个链的规则列表，如果不指明哪个链，则将查看某个表中所有链的规则列表。 * LINUX防火墙及其配置 许永全 内容 防火墙概述 Iptables防火墙的安装和配置 防火墙概述 在计算机网络中，防火墙是一种装置，它是由软件或硬件设备组合而成，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问Internet的权限。它实际上是一种隔离技术，是在两个网络通讯时执行的一种访问控制策略，它能允许“可以访问”的人和数据进入网络，同时将“不允许访问”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问网络。如果不通过防火墙，公司内部的人就无法访问Internet，Internet 上的人也无法和公司内部的人进行通信。 防火墙的功能 防火墙由于处于网络边界的特殊位置，因而被设计集成了非常多的安全防护功能和网络连接管理功能。 1．防火墙的访问控制功能 2．防火墙的防止外部攻击 3．防火墙的地址转换 4．防火墙的日志与报警 5．防火墙的身份认证 防火墙技术 按照实现技术分类防火墙的基本类型有： 包过滤型； 代理服务型； 状态检测型。 防火墙的包过滤技术 包过滤（Packet Filter）通常安装在路由器上，并且大多数商用路由器都提供了包过滤的功能。包过滤是一种安全筛选机制，它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。 防火墙的应用代理技术 代理服务（Proxy Service）系统一般安装并运行在双宿主机上。双宿主机是一个被取消路由功能的主机，与双宿主机相连的外部网络与内部网络之间在网络层是被断开的。这样做的目的是使外部网络无法了解内部网络的拓扑。这与包过滤防火墙明显不同，就逻辑拓扑而言，代理服务型防火墙要比包过滤型更安全。 防火墙的状态检测技术 状态检测防火墙在网络层由一个检测模块截获数据包，并抽取与应用层状态有关的信息，并以此作为依据决定对该连接是接受还是拒绝。检测模块维护一个动态的状态信息表，并对后续的数据包进行检查。一旦发现任何连接的参数有意外的变化，该连接就被中止。这种技术提供了高度安全的解决方案，同时也具有较好的适应性和可扩展性。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性。状态检测检查OSI七层模型的所有层，以决定是否过滤，而不仅仅对网络层检测，状态检测型防火墙如图所示。状态检测技术首先由CheckPoint公司提出并实现。目前许多包过滤防火墙中都使用多层状态检测。 IPTABLES简介 Netfilter/iptables（以下简称为iptables）组成Linux平台下的包过滤防火墙，与大多数Linux下的软件一样，这个包过滤防火墙是免费的，它可以替代昂贵的商业级防火墙，完成数据包过滤、数据包重定向和网络地址转换（NAT）等功能。 IPTABLES简介（续） iptables/netfilter包过滤防火墙其实由两个组件构成，一个是netfilter、一个是iptables。 iptables只是一个管理内核包过滤的根据，它可以加入、插入或删除核心包过滤表格（链）中的规则，这些规则告诉内核中的netfilter组件如何去处理信息包。也就是说，实际上真正执行这些过滤规则的是netfilter及相关模块（如iptables模块和n