Linux-基础教程课件-第8章网络安全.pptVIP

第8章 网络安全 通过对本章的学习，读者应该掌握以下主要内容： ? 计算机网络安全的基本概念及Linux系统安全 ???防火墙技术基本知识 ???用iptables实现包过滤型防火墙 8.1 计算机网络安全基础知识 8.1.1 网络安全的含义 网络安全从其本质上来讲就是网络上的信息安全，其所涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。下面给出网络安全的一个通用定义： 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 8.2 防火墙技术 8.2.1 什么是防火墙 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合，是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。防火墙是提供信息安全服务，实现网络和信息安全的基础设施。 8.2.1 什么是防火墙 8.2.1 什么是防火墙 8.2.2 防火墙的三种类型 包过滤技术作为防火墙的应用 三类： 一是路由设备在完成路由选择和数据转发之外，同时进行包过滤，这是目前较常用的方式； 二是在工作站上使用软件进行包过滤，这种方式价格较贵； 三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。 2．包过滤防火墙的工作层次 包过滤防火墙示意图如图8-7所示。包过滤是一种内置于Linux内核路由功能之上的防火墙类型，其防火墙工作在网络层。 3．包过滤防火墙的工作原理 (1)使用过滤器。数据包过滤用在内部主机和外部主机之间，过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。如下图所示，用于过滤数据包的路由器被称为过滤路由器。 3．包过滤防火墙的工作原理 数据包过滤是通过对数据包的IP头和TCP或UDP头的检查来实现的，主要信息有： IP源地址 IP目的地址 协议(TCP包、UDP包和ICMP包) TCP或UDP包的源端口 TCP或UDP包的目的端口 ICMP消息类型 TCP包头中的ACK位 数据包到达的端口 数据包送出的端口 3．包过滤防火墙的工作原理 (2)过滤器的实现。数据包过滤一般使用过滤路由器来实现，这种路由器与普通的路由器有所不同。 普通的路由器只检查数据包的目的地址，并选择一个达到目的地址的最佳路径。它处理数据包是以目的地址为基础的，存在着两种可能性：若路由器可以找到一条路径到达目的地址则发送出去；若路由器不知道如何发送数据包则发送一个“数据不可达”的数据包给发送者。 过滤路由器会进一步地检查数据包，除了决定是否有到达目的地址的路径外，还要决定是否应该发送数据包，“应该与否”是由路由器的过滤策略决定并强行执行的。 3．包过滤防火墙的工作原理 路由器的过滤策略主要有： 拒绝来自某主机或某网段的所有连接。 允许来自某主机或某网段的所有连接。 拒绝来自某主机或某网段的指定端口的连接。 允许来自某主机或某网段的指定端口的连接。 拒绝本地主机或本地网络与其他主机或其他网络的所有连接。 允许本地主机或本地网络与其他主机或其他网络的所有连接。 拒绝本地主机或本地网络与其他主机或其他网络的指定端口的连接。 允许本地主机或本地网络与其他主机或其他网络的指定端口的连接。 4、包过滤器操作的基本过程 下面给出包过滤器的操作流程图，如下图。 1．Linux下的包过滤防火墙管理工具 从1.1内核开始，Linux就已经具有包过滤功能了，随着Linux内核版本的不断升级Linux下的包过滤系统经历了如下3个阶段： 在2.0的内核中，采用ipfwadm来操作内核包过滤规则。 在2.2的内核中，采用ipchains来控制内核包过滤规则。 在2.4的内核中，采用一个全新的内核包过滤管理工具——iptables。 1．Linux下的包过滤防火墙管理工具 现在最新Linux内核版本是2.6，在新内核中不再使用ipchains，而是采用一个全新的内核包过滤管理工具——iptables。这个全新的内核包过滤工具将使用户更易于理解其工作原理，更容易被使用，当然也将具有更为强大的功能。 iptables作为一个管理内核包过滤的工具，iptables 可以加入、