第三章 Chinaunix.net技术沙龙.pptVIP

C 技术沙龙 2004年3月27日 Linux防火墙的原理和实现 netloafer Email:netloafer@ 提纲 防火墙的基本概念 Linux防火墙的原理 构建Linux防火墙 Netfilter配置工具iptables 防火墙的常见策略 Linux防火墙的应用 FAQ 防火墙的基本概念 什么是防火墙 防火墙是一种保护网络安全的方法 防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统。 防火墙的主要功能就是依照所定义的访问控制策略对数据通讯进行屏蔽和允许通信。 防火墙的类型 包过滤防火墙 基于状态检测的包过滤防火墙 应用代理（网关）防火墙 侧重包过滤的混合式防火墙 侧重应用代理的混合式防火墙 包过滤防火墙 一般工作在OSI的三层和三层以下 主要控制报文的源地址、报文的目标地址、服务类型、以及第二层数据链路层可控的MAC地址等。 有些也包括部分OSI第四层的内容，如报文的源端口和目的端口 常见设备：路由器，可以通过访问控制列表（ACL）来对路由器端口的数据包进行控制 包过滤防火墙 优点 速度快、对于客户端透明 缺点 不能进行内容检查、所工作的层次较低、端口必须静态开放、ACL的配置在复杂网络下容易出错 带状态检测的包过滤防火墙 工作在IP层 动态开放端口 动态的状态列表 可以对应用层过滤 速度和效率都不错 应用代理（网关）防火墙 包含了网络中的第七层应用 可以提供复杂的访问控制 认证机制 内容过滤 详细日志 速度慢，系统开销大 网络协议和应用都需要代理 防火墙的其它功能 DMZ IP地址转换和伪装 VPN IDS联动 病毒过滤 流量和计费控制 自我保护 GUI管理 Linux防火墙的原理 Linux防火墙的历史 内核防火墙的发展 2.0.X 内核 ipfwadm 2.2.X 内核 ipchains 2.4.X 内核 netfilter/iptables ipchains ipchains访问控制规则被称为“链” ipchains共有三条链 INPUT OUTPUT FORWARD 可实现的功能:包过滤,伪装,路由,TOS 扩展性不好 ipchains的处理流程图 netfilter/iptables 全新的netfilter框架 优秀的包过滤子系统 支持IPv4、IPv6、IPX等协议 支持MAC过滤 功能模块化 netfilter/iptables处理流程图 构建Linux防火墙 知识准备 编译和升级Linux内核 Linux下软件的安装 Linux网络的配置 (我们这里的安装以netfilter/iptables为例） Linux内核的编译 使用wget从网站获取最新的内核源码包 cp linux-2.4.18.tar.gz /usr/src cd /usr/src tar zxvf linux-2.4.18.tar.gz cd /usr/src/linux make menuconfig make dep make clean make bzImage make modules make modules_install Linux内核netfilter的配置 [*] Network packet filtering (replaces ipchains) M Connection tracking (required for masq/NAT) M FTP protocol support M IRC protocol support M Userspace queueing via NETLINK (EXPERIMENTAL) M IP tables support (required for filtering/masq/NAT) M limit match support M MAC address match support M netfilter MARK match support M Multiple port match support M TOS match support M tcpmss match support Linux内核netfilter的配置 M Connection state match support M Packet filtering M REJECT target support M Full NAT M MASQUERADE target support M REDIRECT target support M Packet mangling M TOS target support M MARK target