第十一章安全理.ppt

第11章 安全管理 本章主要讲述Linux下的Netfilter安全子系统的结构、功能，以及Iptables工具的使用;Ipsec VPN的结构、分类及设置方法。 学习目标： 了解安全威胁 熟悉Netfilter的特点和结构 掌握Iptables的使用 掌握IPsec VPN的设置 11.1 计算机面临的安全威胁概述 目前网络中存在的对信息系统构成的威胁主要表现在如下几个方面： 非授权访问：没有预先经过同意或认可，就使用网络或计算机资源被看作非授权访问，或擅自扩大权限，越权访问信息等。 计算机网络面临的安全威胁主要有：信息泄漏或丢失；破坏数据完整性；恶意添加、修改数据；拒绝服务攻击；网络病毒及木马。 11.2 Linux下的防火墙 11.2.1常见的防火墙类型 常见的防火墙有以下三种类型 1.网络地址转换（NAT）型防火墙 2.包过滤（Packet filter）型防火墙 3.代理（proxy）型防火墙 11.2.2 Iptables概述 Netfilter 是集成到Linux2.4及以后版本核心中的安全子系统，可以提供包过滤、网络地址转换、端口地址转换和其他的包处理功能。Iptables有一个通用的表结构用来存放各种规则，表里的每一条规则包含两部分：一个分类器和一个相关联的动作，在Netfilter中动作也被称作目标。 Iptables的主要特征： 支持IPv4和IPv6的无状态包过滤； 支持IPv4和IPv6的有状态包过滤； 支持IPv4的网络地址转换和端口转换(NAT和NAPT)； 灵活、可扩展的架构； 为第三方提供了多个层次的API接口； 丰富的模块/插件 利用Netfilter可以完成的工作： 基于有状态或者无状态包过滤技术构建Internet防火墙； 利用NAT和伪装技术为内部私有地址网络提供外部网络连接； 利用NAT技术实现透明代理； 配合Iproute2系统，可以构建复杂的QoS和策略路由； 对数据包做进一步的操作，如修改IP头中的TOS/DECP/ECN标志。 11.2.3 图形界面的防火墙设置工具 在Gnome中选择菜单“系统”|“管理”|“安全级和防火墙”，或者直接在终端窗口中执行，命令如下： [root@localhost ~]#system-config-selinux 此工具只能对防火墙做基本的设置，如图11-1所示，如果要做复杂的设置，必需使用命令行工具Iptalbes。 在图形界面中，如果要开放某种服务，可以选中该服务，也可以把要开放的服务所用的端口号加入“other ports”。防火墙的配置文件为/etc/sysconfig/iptables。实际上图形界面和Iptables的控制作用是一样的。 11.2.4 Iptables的安装 Iptables的正常工作需要?Linux核心的支持，在利用make menuconfig编译内核时打开内核选项:Networking--Networking options--Network packet filtering(replace ipchains) --IP:Netfilter configuration，按需要选择把相应功能，编译并且安装新内核。 到网站下载最新的Iptables源代码包。最新的源代码包为iptables-1.4.0.tar.bz2。 #tar jxvf iptables-1.4.0.tar.bz2 #cd iptables-1.4.0 #make ；编译 # make install ；安装 #make install-devel ；安装开发包，对开发者有用 11.2.5 启动和停止服务 启动Iptables的服务: #/sbin/service iptables start 重启动Iptables的服务: #/sbin/service iptables restart 设置为系统启动时自动启动该服务: #/sbin/chkconfig –level 345 iptables on 停止该服务： ＃/sbin/service ipchains stop 11.2.6 Iptables规则的保存和恢复 iptables-save用来保存当前内存空间