课件第七章.pptVIP

* 第七章 防火墙IPFILTER的配置和使用 防火墙(firewall)是一个在内部网和外部网之间、专用网与公共网之间的界面上构成的保护屏障。它使Internet与Internet之间建立起一个安全网关（Security Gateway），从而保护了内部网免受非法用户的侵入。防火墙主要由服务访问规则、验证工具、包过滤和应用网关四个部分组成。 　 防火墙的优点 （1）能强化安全策略。　 （2）能有效地记录Internet上的活动。 　 （3）能够用来隔开网络中的不同网段，能够防止影响一个网段的问题通过整个网络传播。 　 （4）是一个安全策略的检查站，所有进出的信息都必须通过防火墙。 防火墙的基本特性 （1）内部网络和外部网络之间的所有网络数据流都必须经过防火墙。 （2）只有符合安全策略的数据流才能通过防火墙。 （3）防火墙自身具有非常强的抗攻击免疫力。 第一节 IPFILTER(IPF)防火墙简介 7.1.1 IPF防火墙概述 IPFILTER（IPF）是一个独立于操作系统的开源防火墙，与其他同类软件相比IPF设计优雅、小巧，被人们所青睐，得到了广泛的使用。 IPF提供了内核模式的防火墙和NAT机制，这些机制可以通过用户模式运行的接口程序进行监视和控制。 　　 随着计算机网络的发展，IPF的功能也逐渐增强，加入了“quick”和支持状态的“keep state”选项。 第二节 IPFILTER(IPF)防火墙配置与使用 （1）启用IPF IPF作为FreeBSD基本安装的一部分，是以一个独立的内核模块形式提供的。如果在rc.conf中配置了ipfilter_enable=YES，系统就会自行动态地加载IPF 内核模块。这个内核模块在创建时启用了日志支持，并加入default pass all 选项。 （2）可用的 rc.conf 选项 　　要在启动时激活 IPF，需要在 /etc/rc.conf中增加下面的设置： ipfilter_enable=YES # 启动ipf防火墙 ipfilter_rules=/etc/ipf.rules # 将被加载的规则定义ipmon_enable=YES # 启动IP监视日志 ipmon_flags=-Ds # D=作为服务程序启动 # s=使用syslog记录 # v=记录tcp窗口大小、ack、 顺序号(seq) （3）IPF命令的参数 　　ipf(8)命令可以用来加载自己的规则文件。一般情况下，可以建立一个自定义的规则文件，并使用这个命令来替换掉正在运行的防火墙中的内部规则： # ipf -Fa -f /etc/ipf.rules 　　-Fa 表示清除所有的内部规则表 　　-f 用于指定将要被读取的规则定义文件 　　通过运行上面的IPF命令，能够将正在运行的防火墙刷新为“使用全新的规则集”，而不需要重启系统。 　　 （4）Ipf规则集 　　规则集是指一组能依据包的值决定是否允许数据通过的IPF规则。防火墙规则集会作用于来自Internet公网的包以及由系统发出来的回应这些包的数据包，从而来判别是否允许服务通过。 　　 （5）规则语法 　　下面介绍的规则语法只处理那些新式的带状态规则，要了解更完整的传统规则语法，参见 ipf(8)手册。 　　　规则由关键字组成，这些关键字必须以一定的顺序，从左到右依次出现在一行上。 关键字：ACTION、IN-OUT、OPTIONS、 SELECTION、STATEFUL、PROTO、 SRC_ADDR/DST_ADDR、OBJECT、PORT_NUM、TCP_FLAG、STATEFUL。 STATEFUL的使用参数如下： 　　ACTION = block | pass 　　IN-OUT = in | out 　　OPTIONS = log | quick | on 网络接口的名字 　　SELECTION = proto 协议名称 | 源/目的 IP | port = 端口号 | flags 标志值 PROTO = tcp/udp | udp | tcp | icmp 　　SRC_