防火墙iptables的架设.PDF

防火牆iptables的架設 中縣教網黃國順 jimhwan g@.tw l 無論設置哪一種類型的防火牆，都應該對於TCP/IP有一些初步的認識，若 還不太了解建議可至下面網址參考： /network/networkfr1.htm l 防火牆基本概念 防火牆原來是車上的一個設備術語，為介於駕駛面板與引擎室之間的擋 板，用以隔離引擎和乘客，萬一引擎爆炸時可以阻止火勢的蔓延，發揮保護乘 客的功能。 網路 上所謂的防火牆則是一 套能夠在兩個或兩個以上的網路 之 間，明顯區 隔出一條界線的電腦軟硬體裝置的 組合。理論上，當網路間有 安全 上的考量時即可 裝設防火牆，但 一般來說 ，防火牆大多架設於網際 網路 與組織 內部網路 之間，成為內部受信任的網路 與外部不受信任的網路 之間的區隔通 口 。防火牆是一個雙向的 安全管理機制 ，不僅能防止外界的 入侵，也可以限制 內部主機 對外的 通訊 。 l 防火牆的種類 依照各種不同分類的方法，可分成很多種，加上科技不斷進步許多複合的功 能不 斷出現 ，所 以在此僅就常見的防火牆種類作簡單說明 。 1.封包過濾式防火牆 (Packet Filter) 利用 封包過濾是最早被用來作為網路 防火牆的技術，是在 OSI 七層架構 第 層 以下的網路 運作 。封包過濾器的功能 主要是檢查過往的 每一個IP 資料 封包 ，如果其表頭 所含的資料內容符合事先設 定的可信賴 安全標準就 放行通過 ，反之則 阻檔在門外 。最簡單 、也最常見的的 封包過濾器就是擴充 原本路由器 (Router)的 功能，router的 主要工作便是 按目的位址轉送 封包 ，一 般可在 router 上設定access control list （ACL ）來限制某 些來源點或目的 地的 封包流通或是 予以丟棄。封包過濾式防火牆的最大優點是速度快、容易建 置 、設置 成本較低並具有 完全通透性(Transparency) 。 2.代理式防火牆 （Proxy ） 代理式防火牆會將所有內外的連線予以接管 ，採用的 策略是 store-and- forward 。從 安全的角度 來看 ，proxy 比起filter更加可靠 ：因 為它將內部 與外 部 網路 完全區隔開 來了，除非它幫您做連線代理 ，否則別想建立連線 。 且 ，內部網路 對外部網路 言 ，是完全隱形 的 ！ 3.應用層 防火牆 （Application ） 現 今的 技術已可 達到應用層 防火牆，防火牆能解析所通過的各種應用層 資料 ，如會自動 分析由 internet所傳送來的網頁 並且對於其 含有 危險性的 java 、script語句 予以過濾 ，或是 具備色情閘等 功能的防火牆。 4.硬體式 防火牆 （Hardware ）及軟體式 防火牆 （Software ） 利用電腦安裝 特殊軟體 來模擬防火牆的方式稱為軟體式 防火牆，但由 於 現在網路 頻寬愈來愈 大，軟體式 防火牆仍有效能的顧慮 ！因此許多廠商 將防 火牆實作 到硬體 上，並以專門處理網路封包 特殊IC 為主要處理 元件，以提升 防火牆的封包交換效能。 5.個 人防火牆 （Personal ）或 本機防火牆 單靠 上述的防火牆仍很難 防範所有可能的 入侵，對於一般人所使用的桌 上型或筆記型電腦 來說個 人防火牆便是阻絕 入侵的最後 一道防線 ，目前許多 的防 毒軟體 公司皆有這類的產品。 l 一個典型包含 防火牆的網路 型態 Internet CISCO SYSTEMS Router 防火牆 內部網路 DMZ 對外伺 服器 上圖僅只是最簡單的 樣式，隨著 不同 需求及設備會有一些 差異。 l DMZ 通常我們在規劃設 定防火牆的時候 ，會劃 分一個稱為 “非軍事區 (DMZ - Demil