Linux防火墙及其配置剖析.ppt

  1. 1、本文档共24页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
Linux防火墙及其配置剖析

IPTABLES的动作选项 动作选项指定当数据包与规则匹配时,应该做什么操作,如接受或丢弃等,如表15-3所示。下表15-3为iptables的动作选项 动作 说明 ACCEPT 接受数据包 DROP 丢弃数据包 REDIRECT 将数据包重新转向本机或另一台主机的某个端口,通常用功能实现透明代理或对外开放内网的某些服务 SNAT 源地址转换,即改变数据包的源地址 DNAT 目标地址转换,即改变数据包的目标地址 MASQUERADE IP伪装,即常说的NAT技术。MASQUERADE只能用于SDSL等拨号上网的IP伪装,也就是主机的IP地址是由ISP动态分配的;如果主机的IP地址是静态固定的,就要使用SNAT LOG 日志功能,将符合规则的数据包的相关信息记录在日志中,以便管理员进行分析和排错 查看IPTABLES规则 在初始状态,iptables并没有规则,但是如果在安装时选择自动安装防火墙,这时系统中就会有默认的规则存在,那么在这里可以先查看一下系统默认的防火墙规则。 查看iptables规则的格式为: iptables [-t 表名] -L 链名 其中, [-t 表名]:定义查看哪个表的规则列表,表名可以使用filter、nat和managle,如果没有定义[-t 表名],默认使用filter表; -L:列出指定表和指定链的规则; 链名:定义查看指定表中哪个链的规则列表,如果不指明哪个链,则将查看某个表中所有链的规则列表。 * LINUX防火墙及其配置 许永全 内容 防火墙概述 Iptables防火墙的安装和配置 防火墙概述 在计算机网络中,防火墙是一种装置,它是由软件或硬件设备组合而成,通常处于企业的内部局域网与Internet之间,限制Internet用户对内部网络的访问以及管理内部用户访问Internet的权限。它实际上是一种隔离技术,是在两个网络通讯时执行的一种访问控制策略,它能允许“可以访问”的人和数据进入网络,同时将“不允许访问”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问网络。如果不通过防火墙,公司内部的人就无法访问Internet,Internet 上的人也无法和公司内部的人进行通信。 防火墙的功能 防火墙由于处于网络边界的特殊位置,因而被设计集成了非常多的安全防护功能和网络连接管理功能。 1.防火墙的访问控制功能 2.防火墙的防止外部攻击 3.防火墙的地址转换 4.防火墙的日志与报警 5.防火墙的身份认证 防火墙技术 按照实现技术分类防火墙的基本类型有: 包过滤型; 代理服务型; 状态检测型。 防火墙的包过滤技术 包过滤(Packet Filter)通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。包过滤是一种安全筛选机制,它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。 防火墙的应用代理技术 代理服务(Proxy Service)系统一般安装并运行在双宿主机上。双宿主机是一个被取消路由功能的主机,与双宿主机相连的外部网络与内部网络之间在网络层是被断开的。这样做的目的是使外部网络无法了解内部网络的拓扑。这与包过滤防火墙明显不同,就逻辑拓扑而言,代理服务型防火墙要比包过滤型更安全。 防火墙的状态检测技术 状态检测防火墙在网络层由一个检测模块截获数据包,并抽取与应用层状态有关的信息,并以此作为依据决定对该连接是接受还是拒绝。检测模块维护一个动态的状态信息表,并对后续的数据包进行检查。一旦发现任何连接的参数有意外的变化,该连接就被中止。这种技术提供了高度安全的解决方案,同时也具有较好的适应性和可扩展性。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性。状态检测检查OSI七层模型的所有层,以决定是否过滤,而不仅仅对网络层检测,状态检测型防火墙如图所示。状态检测技术首先由CheckPoint公司提出并实现。目前许多包过滤防火墙中都使用多层状态检测。 IPTABLES简介 Netfilter/iptables(以下简称为iptables)组成Linux平台下的包过滤防火墙,与大多数Linux下的软件一样,这个包过滤防火墙是免费的,它可以替代昂贵的商业级防火墙,完成数据包过滤、数据包重定向和网络地址转换(NAT)等功能。 IPTABLES简介(续) iptables/netfilter包过滤防火墙其实由两个组件构成,一个是netfilter、一个是iptables。 iptables只是一个管理内核包过滤的根据,它可以加入、插入或删除核心包过滤表格(链)中的规则,这些规则告诉内核中的netfilter组件如何去处理信息包。也就是说,实际上真正执行这些过滤规则的是netfilter及相关模块(如iptables模块和n

文档评论(0)

wyjy + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档