Linux 的防火墙设计与应用.pptVIP

Linux 的防火牆設計與應用 Netman (netman@) 防火牆的工作原理 Linux 的防火牆版本 iptables 程式介紹 iptables 應用例析 常見問題及解決方案 ?主題大綱 所謂網路連線其實就是兩個端點的連線 ?1.防火牆的工作原理 連線兩端透過封包傳遞資料 ?1.防火牆的工作原理 封包基本由 header 與 payload 組成 Packet 透過封裝傳遞 ?1.防火牆的工作原理 不同協定之封包封裝 ?1.防火牆的工作原理 TCP 封包之 header 內容 ?1.防火牆的工作原理 IP 封包之 header 內容 ?1.防火牆的工作原理 Socket 是連線兩端的封包起止站 Socket 由 Address 與 Port 組成 ?1.防火牆的工作原理 每一個封包都含有一對 socket pair Source Socket: - Source Port (TCP Header bit 0-15) - Source Address (IP Header bit 96-127) Destination Socket: - Destination Port (TCP Header bit 16-31) - Destination Address (IP Header bit 128-159) ?1.防火牆的工作原理 TCP 連線的建立方式 (three-way-handshake) tcp header 之 bit 106-111 ?1.防火牆的工作原理 NAT 的工作原理 透過 socket 替換達成 routing ?1.防火牆的工作原理 防火牆可透過檢查封包 header(or payload) 的內容來決定封包是否能夠通過。 ?1.防火牆的工作原理 防火牆常被部署在對內(信任)與對外(不信任)網路之間的必經通道之上 ?1.防火牆的工作原理 DMZ 是防火牆部署中常見的設計 主要用來區隔堡壘主機，以降低入侵風險。 ?1.防火牆的工作原理 DMZ 之設計是多樣的 安全與成本及難度成正比、與便利成反比。 ?1.防火牆的工作原理 Internet 的連線常經過多重的防火牆過濾 ?1.防火牆的工作原理 Linux 的防火牆版本以 kernel 版本為別 - Kernel 2.0.x: ipfwadm (搭配模組 ip_fw_*.o) - Kernel 2.2.x: ipchains (搭配模組 ip_masq_*.o) - Kernel 2.4.x (2.6.x): iptables (搭配模組 ip*.o, ip_nat_*.o, ip_conntrack_*.o) 2. Linux 的防火牆版本 kernel 2.4.x 之 ipchains ipchains 仍可編譯以模組方式載入 ipchains 不能與 iptables 同時載入 但 2.4.x 並沒提供 ipchains 可用的模組 結論： 盡量不要在 kernel 2.4.x 及以後版本使用 ipchains。 2. Linux 的防火牆版本 防火牆程式根據規則(rule)來處理封包 rule by rule first match policy 3. Iptables 程式介紹 防火牆規則收集於不同的鏈(chain)中 chain by chain all through 3. Iptables 程式介紹 不同的鏈存在於不同的表(table)中 different table for different job table by table 3. Iptables 程式介紹 Iptables 內建三個 tables (及常用鏈)： filter INPUT FORWARD OUTPUT nat PREROUTING POSTROUTING OUTPUT mangle PREROUTING OUTPUT … 3. Iptables 程式介紹 Linux 系統可能處理的封包 From outside From local 3. Iptables 程式介紹 Linux 系統對封包的 routing 處理 To local To outside 3. Iptables 程式介紹 封包於 iptables 之穿行 When? Where? 3. Iptables 程式介紹 封包於 iptables 之處理 Which table? Which chain? Concentrated 3. Iptables 程式介紹 一個非本機封包於 iptables 之處理 3. Iptables 程式介紹 iptables 命令格式： iptables [-t table] -CMD CHA