Linux安全检测及防护PPT06V1.0概要1.pptVIP

实验环境 为网关、Web服务器配置防火墙规则 实验案例：基于IP、端口的控制4-1 局域网段 192.168.1.0/24 网站服务器192.168.1.5 Internet Internet测试用机 172.16.16.172 网关服务器 eth0: 192.168.1.1eth1: 172.16.16.1 需求描述 为Web主机编写入站规则，允许ping，开放80端口 为网关编写转发规则，允许基本的上网访问 实现思路 Web主机：在filter表的INPUT链添加入站规则 Linux网关：在filter表的FORWARD链添加转发规则 实验案例：基于IP、端口的控制4-2 学员练习1 为网站服务器编写入站规则、默认策略 测试入站访问控制的效果 实验案例：基于IP、端口的控制4-3 30分钟完成 学员练习2 为网关服务器编写转发规则、默认策略 测试转发控制的效果 实验案例：基于IP、端口的控制4-4 50分钟完成 * * * 其中标红色的是最常用的表、链 * * 此部分的规则操作建议进行演示 * 此部分的各种匹配条件讲解建议做适当演示 * * * * * * * * * * B e n e t BENET 4.0 B e n e t BENET 4.0 */31 BENET 4.0 B e n e t BENET 4.0 */35 B e n e t BENET 4.0 */35 第六章 iptables防火墙（一） —— 理论部分 有哪些方法可以禁止root远程登录SSH服务器？ 如何使用scp命令远程复制文件？ TCP Wrappers的策略配置文件是什么？ 课程回顾 熟悉Linux防火墙的表、链结构 理解数据包匹配的基本流程 学会编写iptables规则 技能展示 本章结构 iptables防火墙(一) iptables的表、链结构 数据包控制的匹配流程 添加、查看、删除规则 规则的匹配条件 Linux防火墙基础 基本语法、控制类型 编写防火墙规则 netfilter 位于Linux内核中的包过滤功能体系 称为Linux防火墙的“内核态” iptables 位于/sbin/iptables，用来管理防火墙规则的工具 称为Linux防火墙的“用户态” —— 上述2种称呼都可以表示Linux防火墙 Linux包过滤防火墙概述2-1 包过滤的工作层次 主要是网络层，针对IP数据包 体现在对包内的IP地址、端口等信息的处理上 Linux包过滤防火墙概述2-2 链路层 网络层 传输层 应用代理 链路层 网络层 传输层 应用层 链路层 网络层 传输层 应用层 外部网络 网络层防火墙 受保护网络 规则链 规则的作用：对数据包进行过滤或处理 链的作用：容纳各种防火墙规则 链的分类依据：处理数据包的不同时机 默认包括5种规则链 INPUT：处理入站数据包 OUTPUT：处理出站数据包 FORWARD：处理转发数据包 POSTROUTING链：在进行路由选择后处理数据包 PREROUTING链：在进行路由选择前处理数据包 iptables的表、链结构3-1 规则表 表的作用：容纳各种规则链 表的划分依据：防火墙规则的作用相似 默认包括4个规则表 raw表：确定是否对该数据包进行状态跟踪 mangle表：为数据包设置标记 nat表：修改数据包中的源、目标IP地址或端口 filter表：确定是否放行该数据包（过滤） iptables的表、链结构3-2 默认的表、链结构示意图 iptables的表、链结构3-3 filter 表 第1条规则第2条规则第3条规则…… INPUT 链 …… FORWARD 链 …… OUTPUT 链 mangle 表 PREROUTING 链 …… POSTROUTING 链 …… INPUT 链 …… OUTPUT 链 …… FORWARD 链 …… raw 表 PREROUTING 链 …… OUTPUT 链 …… nat 表 PREROUTING 链 …… POSTROUTING 链 …… OUTPUT 链 …… 规则表之间的顺序 raw?mangle?nat?filter 规则链之间的顺序 入站：PREROUTING?INPUT 出站：OUTPUT?POSTROUTING 转发：PREROUTING?FORWARD?POSTROUTING 规则链内的匹配顺序 按顺序依次检查，匹配即停止（LOG策略例外） 若找不到相匹配的规则，则按该链的默认策略处理 数据包过滤的匹配流程2-1 匹配流程示意图 数据包过滤的匹配流程2-2 本机的应用进程 mangle：POSTROUTING mangle：FORWARD raw：PREROUTING raw：OUTPUT mangle：I