第15讲 防火墙的使用-精品·公开课件.ppt

防火墙的使用 电子信息工程系 朱燕 防火墙的主要类别 IP Filter 代理服务器 (Proxy) 网络层防火墙 网络防火墙软件的主要功能 对进入和流出的IP数据包进行过滤，屏蔽不符合要求的数据包，保证内部网络的安全 提供数据包的路由选择，实现网络地址转换（NAT），从而解决局域网中主机使用内部IP地址也能够顺利访问外部网络的应用需求 防火墙的类型 硬件防火墙是功能专一的硬件设备，价格昂贵 软件防火墙的功能是由计算机中的软件实现的，具有相当大的价格优势 防火墙的一般布局 单一 Linux 主机兼任防火墙功能 网络里仅有一部 Linux 主机，该主机负责整个 LAN 里面所有个人计算机对外的联机，也是 LAN 里的网关 。该防火墙一般有两个接口，一个对内一个对外，同时，也可以直接在 Linux 防火墙上架设网站，这是目前针对小型的企业所常见的网络配置方案。 所有的 PC 都会经过 Firewall 的数据包过滤之后，才能将数据包送出或者是接收，而如果 Internet 上面出现问题，只要管理 Firewall 那部主机，很容易将来自 Internet 的不良数据包抵挡掉。在 Firewall 上面可以同时架设 Proxy ，用来控制 Client 端的 WWW 联机状态(注：也可以加设网络流量监控软件) 优点： 安全维护在内部可以开放的权限较大。 安全机制的设定可以针对 Linux 主机来维护即可。 对外只看的到 Linux 主机，所以对于内部可以达到有效的安全防护。 单一 Linux 防火墙， LAN 内另设防火墙 一般情况下，防火墙对于 LAN 内部的防备都不会设定的很严格。因为不能保证所有使用企业内部计算机的使用者都是公司的员工，也无法保证员工不去破坏。如果有特别重要的部门需要更安全的保护网络环境，在 LAN 里再加设一个防火墙，将安全等级分类，让重要数据获得更佳的保护。 在防火墙后端的服务器主机设定 将提供网络服务的服务器放在防火墙后。Eg：Web, Mail 与 FTP 都是通过防火墙连到 Internet ，四部主机在 Internet 上的 Public IP 都一样。只是通过防火墙的数据包分析后，将 WWW 的要求数据包转送到 Web 主机，将 Mail 送给 Mail Server 去处理(通过 port 的不同来转发)。 因为四部主机在 Internet 上面看到的 IP 都相同，但是事实上却是四部不同的主机。eg：当有攻击者想要入侵 FTP 主机时，使用各种分析方法去进攻的主机，实际上是防火墙，攻击者想要攻击内部的主机，必须先成功的搞定防火墙，否则就很难入侵内部主机。 数据包 防火墙可以分析网络上传送过来的数据包，并取得分析该资料数据包的包头数据，还可以分析目的地与来源地的 IP, port, 是否主动联机等等的其它信息。 防火墙抵挡的方法可以有： 拒绝让数据包进入主机的某些 port 拒绝让某些来源 IP 的数据包进入 拒绝让带有某些特殊标志( flag )的数据包进入：最常拒绝的就是带有 SYN 的主动联机的标志 分析硬件地址(MAC)来提供服务：针对局域网内部 简单的 firewall 主机 两层防火墙，分别是 iptables 与 TCP_Wrappers ，数据包会先经过 iptables ，然后是 TCP_Wrappers。 一般 Linux 上的防火墙大多指 iptables 这个 IP Filter ，它利用一些数据包过滤的规则设定，定义出什么数据可以接收，什么数据需要剔除，以达到保护主机的目的。 防火墙的使用限制 防火墙并不能很有效的抵挡病毒或木马程序 。Eg：防火墙规则开放的服务中的服务器软件本身有漏洞。 防火墙对于来自内部 LAN 的攻击较无承受力 Linux 内核版本与防火墙机制 Version 2.0：使用 ipfwadm ； Version 2.2：使用的是 ipchains； Version 2.4与2.6：主要是使用 iptables 。 netfilter与iptables 在Linux的内核中使用netfilter架构实现防火墙功能 iptables是Linux系统中为用户提供的netfilter管理工具，用于实现对Linux内核中网络防火墙的管理 iptables 的表格与数据包进入的流程 iptables 的工作方向，必须要依规则的顺序来分析数据包。 Action 表示动作。通常针对数据包的动作有 ACCEPT/DROP (接受/丢弃) 两种动作 Rule 表示规则，这些