第7章 防火墙(ipchains和iptables)精选.pptVIP

第7章 防火墙(ipchains和iptables) 7.1 Linux防火墙应用 7.2 应用ipchains做防火墙 7.3 应用iptables做防火墙 本章提要 ? Linux防火墙的基本概念 ? 实验网络环境的构建 ? 使用ipchains配置防火墙 ? 使用iptables配置防火墙 ? Netfilter/Iptable/NAT综合应用实例 7.1 Linux防火墙应用 防火墙是一类安全防范措施的统称，是计算机网络系统总体安全策略的重要组成部分。防火墙通过特定的硬件和软件系统在两个网络之间执行访问控制策略，从而达到保护网络之间通信安全的目的。 7.1.1 Linux防火墙的基本技术 7.1.1.1 Linux防火墙概述 包过滤是防火墙的基本功能，包过滤技术一般在网络层对数据包进行选择，其依据是系统内设置的过滤逻辑规则，称之为访问控制表。通过检查数据流中每个数据包的地址、协议、端口和协议状态等信息，来决定是否允许该数据包通过。由包过滤技术所实现的数据包过滤防火墙比较实用，本章主要应用包过滤型防火墙技术。 状态检测是在传统数据包过滤的功能上进行的扩展，也称为动态数据包过滤，是Linux 2.4内核提出的新功能。 7.1.1.2 包过滤型防火墙 包过滤型防火墙的规则是由一组接收和禁止规则列表组成，规则列表中定义了数据包是否可以通过网络接口。 7.1.1.3 输入包过滤 输入和输出规则链的工作原理是基于源地址、目的地址、源端口、目的端口和TCP状态标识决定是否过滤，这些信息是过滤规则所分析的直接信息。 1．远程源地址过滤 （1）假冒本地IP地址 （2）回环接口地址 （3）声称A、B、C类内部专用IP地址 （4）D类IP地址 （5）E类IP地址 （6）畸形广播地址 2．本地目的地址过滤 3．远程源端口过滤 4．本地目的地址过滤 5．输入包的TCP连接状态过滤 6．对刺探和扫描的过滤 7．针对拒绝服务攻击（DOS攻击）的过滤 （1）优化对外提供服务的主机 （2）优化路由及网络结构 （3）追踪攻击数据包 （4）采取有效的防范手段 8．过滤输入数据包 （1）源路由数据包 （2）数据包分段 7.1.1.4 输出包过滤 1．本地源地址过滤 2．远程目的地址过滤 3．本地源端口过滤 4．远程目的地址过滤 5．TCP连接状态过滤 7.1.2 Linux防火墙管理工具 7.1.2.1 ipchains 7.1.2.2 netfilter与iptables 1．netfilter netfilter提供了一个抽象、通用化的框架，它定义一个数据包过滤子系统。 netfiher框架包含以下三部分。 （1）为每种网络协议（1Pv4、IPv6等）定义一套挂钩函数（1Pv4定义了5个挂钩函数），这些挂钩函数在数据包流过协议栈的几个关键点被调用。在这几个点中，协议栈将把数据包及挂钩函数标号作为参数调用netfilter框架。 （2）内核的任何模块可以对每种协议的一个或多个挂钩进行注册，实现挂接。这样当某个数据包被传递给netfilter框架时，内核能检测是否有模块对该协议和挂钩函数进行了注册。若已经注册就调用该模块注册时使用的回调函数。这样，这些模块就有机会检查、修改或丢弃该数据包，并且指示netfilter将该数据包传入用户空间的队列。 （3）那些排队的数据包被传递给用户空间进行异步处理。 2．netfilter的配置工具iptables （1）数据包过滤 （2）网络地址转换 （3）数据包处理 7.1.3 实验网络系统配置 7.1.3.1 实验网络系统的硬件 7.1.3.2 实验网络系统的软件 7.1.3.3 实验网络环境的基本 配置与测试 7.2 应用ipchains做防火墙 7.2.1 内核配置 7.2.2 ipchains应用规则 7.2.2.1 熟悉ipchains规则 ipchains规则包含三个要素： 1．该规则属于的链的名字； 2．该规则的匹配器，指定哪个数据包匹配的规范或一组规范，也指定何时使用这个规则； 3．目标(target)，当规则匹配一个数据包真正要执行的任务。 有7种可能的目标，如表7-2所示。 7.2.2.2 ipchains工具的应用方法 7.2.3 配置实例 7.2.3.1 初始化防火墙 7.2.3.2 激活DNS服务 7.2.3.3 激活公用TCP服务 7.2.3.4 ipchains规则脚本程序实例 7.2.4 常见问题分析 7.2.4.1 安装调试防火墙 1．安装防火墙的问题 2．运行防火墙规则的问题 3．调试时需注意的问题 7.2.4.2 查看防火墙规则 1．列出已经定义的规则 2．列出输入规则链中的规则举例 3．列出输出规则