第7节网络信息安全指南.pptVIP

　　3) 数据报处理 　　(Packet mangling) mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT钩子中进行注册。使用mangle表，可以实现对数据报的修改或给数据报附上一些带外数据。当前mangle表支持修改TOS位及设置skb的nfmard字段。 　　3．IPTables的实现 　　filter表和三个钩子进行了挂接，因此提供了三条链进行数据过滤。所有来自于网络，并且发给本机的数据报会遍历INPUT规则链。所有被转发的数据报将仅仅遍历FORWARD规则链。最后，本地发出的数据报将遍历OUTPUT规则链。IPTables有两个实现，即IPTables(IPv4)及IP6Tables。两者都基于相同的库和基本上相同的代码。 　　1) 基本语法 　　一个IPTables命令基本上包含五部分：① 希望工作在哪个表上；② 希望使用该表的哪个链；③ 进行的操作(插入、添加、删除和修改)；④ 对特定规则的目标动作；⑤ 匹配数据报条件。基本的语法为： 　　iptables -t table -Operation chain -j target match(es)例如希望添加一个规则，允许所有从任何地方到本地SMTP端口的连接： 　　iptables -t filter -A INPUT -j ACCEPT -p tcp --dport smtp 当然，还有其他的对规则进行操作的命令，如清空链表、设置链缺省策略、添加一个用户自定义的链等。 * 第7章 防 火 墙 技 术 第7章 防 火 墙 技 术 7.1 防火墙的功能 7.2 防火墙实现原理 7.3 Linux的IPTables的防火墙 7.4 Windows XP自带防火墙 习题 　　防火墙一般是指在两个网络间执行访问控制策略的一个或一组系统，它将不可信网络同可信网络隔离开，如图7-1所示。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。防火墙将网络分隔成不同的物理子网。防火墙作为网络保护的第一道防线，用来控制两个不同安全策略的网络之间互访，能增强机构内部网络的安全性。防火墙具有下列性质： 　　(1) 防火墙是不同网络之间信息流通过的惟一出入口，双向通信必须通过防火墙。 　　(2) 只允许本身安全策略授权的通信信息通过。 　　(3) 防火墙自身不会影响信息的流通。 　　防火墙既可以用于Internet和内部网之间，也可以用在任何网络之间和企业内部网络之间。 图7-1 防火墙示意图 7.1 防火墙的功能 　　一般来说，防火墙具有以下几种功能： 　　(1) 利用防火墙可以对内部网络进行划分，实现对重点网段的隔离。 　　(2) 利用防火墙可实现对内部网络的集中管理，强化网络安全策略。 　　(3) 防火墙是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。 　　(4) 防火墙可防止非法用户进入内部网络，防止内部信息的外泄。 　　(5) 可以利用网络地址变换(NAT，Network Address Translation)技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。 　　(6) 防火墙通过IP通道(IPTunnels)构建VPN(虚拟专用网络)。 7.2 防火墙实现原理 　　1．静态包过滤型防火墙 　　静态包过滤型防火墙工作在TCP/IP协议的IP层，如图7-2所示。依据系统中事先设定好的过滤规则，检查数据流中的每个数据包，根据数据包的源地址、目的地址、端口号、数据的对话协议及数据包头中的标志位来确定是否允许该数据包通过。大多数防火墙能按照源地址、目标地址、应用或协议TCP/UDP源端口号、TCP/UDP目标端口号等设置作为判断标准在规则表中定义规则，以判断是否允许或拒绝数据包的通过。依据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，并确定是否允许数据包通过，其核心是安全策略即过滤算法的设计。 图7-2 包过滤防火墙工作原理图 　　2．状态检测型防火墙 　　在静态包过滤防火墙中最明显的缺陷是必须始终保持一些端口永久开放，这就带来了明显的安全问题。为了防止出现上述问题，提出了状态检测型防火墙。它的工作方式类似于静态包过滤防火墙，只是采用了更复杂的访问控制算法。状态检测型防火墙和静态包过滤防火墙实质上都是通过控制决策来提供安全保护的，只是状态检测型防火墙除了可以利用第三层网络参数执行决策之外，还可