第28章节 防火墙和网络安全.ppt

第28章 防火墙和网络安全 防火墙是网络安全的基本工具。通过在服务器和外部访客之间建立过滤机制，防火墙在网络层面上实现了安全防范。Linux的防火墙工具是IP Tables，这套防火墙系统甚至被作为很多其他专业网络设备的核心。本章还将介绍Linux下的网络安全工具，这些工具对于找出系统的安全问题非常有帮助。 28.1 Linux的防火墙——IP Tables IP Tables已经集成在Linux 2.4及以上版本的内核中了，同Windows下的众多“傻瓜”防火墙不同的是，IP Tables需要用户自己定制相关规则。因此在正式开始之前，首先对其中一些概念作简单介绍。 28.1.1 名字的来历 Linux防火墙是一种典型的包过滤防火墙，通过检测到达的数据包头中的信息，确定哪些数据包可以通过，哪一些应该被丢弃。防火墙行为的依据主要是数据包的目的地址、端口号和协议类型——所有这些都应该由管理员指定。 Linux中的包过滤引擎在2.4版内核中作了升级。防火墙工具最初叫做ipchains，取这个名字的原因在于防火墙将一系列规则组成一些“链（chains）”应用到网络数据包上。iptables则更进一步把一些功能相似的“链”组合成一个个“表（tables）”。 28.1.2 初始化防火墙设置 iptables命令最常用的5个选项分别是-F、-P、-A、-D和-L，在大部分情况下，管理员只需要这5个选项就可以完成防火墙的规则设置。 28.1.3 添加链规则 完成防火墙规则的初始化后，就可以着手添加链规则了。假设当前防火墙所在的主机是一台Web服务器，为此应该允许外部主机能够连接到80端口（对应HTTP服务器）和22端口（对应SSH服务）。使用iptables -A命令添加链规则，该命令的基本语法如下所示： iptables -A chain-name -i interface -j target 28.1.4 删除链规则 在大部分情况下，管理员在改变防火墙设置之前总是清空整条链规则，因为这样可以避免一些不必要的冲突。但是人难免会犯错，管理员有时候需要删除自己刚才的失误。iptables提供了-D选项来删除链规则，有两种不同的语法用于删除一条规则： iptables -D chain rule-specification iptables -D chain rulenum 28.1.5 防火墙保险吗？ 没有什么东西是绝对可靠的。防火墙制造商的宣传容易让人产生错觉，以为购买了防火墙产品就可以高枕无忧。如果一个大型站点的管理员抱有这样的想法，那将是极端危险的。系统管理员应该首先确保每项服务都做了足够安全的配置，保持对安全漏洞和补丁的关注，并且注重对内部员工的安全教育。不管怎么说，防火墙只是保证网络安全的辅助工具。 下一节将介绍一些网络安全工具。作为对系统安全措施的补充，管理员应该要了解这些工具，并且恰当地使用它们。无论如何，时刻保持对安全问题的警惕，才是保证网络安全最有效的手段。 28.2 网络安全工具 形形色色的网络安全工具可以帮助管理员知道自己的系统存在哪些漏洞，当然也可以帮助黑客们。诸如端口扫描、口令猜解这样的工具究竟发挥怎样的作用，完全取决于是谁在使用。在这个意义上，人们总是陷入“以子之矛，攻子之盾”的循环。无论是否喜欢，始终要记住的一点是，管理员通过安全工具能够得到的，其他人也可以。 28.2.1 扫描网络端口：Nmap nmap用于扫描一组主机的网络端口。端口扫描的意义是很明显的——所有的服务器程序都要通过网络端口对外提供服务。一些端口的功能是人所共知的，例如80端口用于提供HTTP服务；22端口接受SSH连接；21端口提供FTP服务……通过对服务器开放端口进行扫描可以得到很多信息，获取这些信息总是攻击行为的第一步。 nmap可以帮助管理员了解自己的系统在“别人”看来是什么样的。 28.2.2 漏洞扫描工具：Nessus Nessus是一种功能强大的漏洞扫描工具，这个工具使用大量的插件（超过10,000个）来探测系统可能存在的每一个漏洞，并给出详尽的安全建议。模块化的设计使Nessus能够不断地得到扩展，并且更新迅速。尽管Nessus并不是一款开源软件，但是可以自由使用，并且被认为是目前使用人数最多的系统漏洞扫描分析软件。 用户可以从/download得到Nessus的安装包和完整的用户文档。Nessus基于服务器/客户机的架构，服务器端负责实际的分析工作，客户端则负责同用户交互。 28.2.2 漏洞扫描工具：Nessus 28.2.3 找出不安全的口令：John the Ripper 管理员不能总是相信自己的用户会把口令设置得足够安全，因此定期地尝试破解一下口令是有必要的。John the Ripper就是这样