第十二章防火墙(Firewall)与NAT.pptVIP

第十二章防火牆(Firewall)與NAT 主講人: 黃燕忠 老師 本章重點 防火牆(Firewall)基本概念 IP 偽裝(Masquerade)與網路位址轉換(NAT)簡介 Linux ipchains實作 iptables (linux kernal 2.4.x)實作 問題與討論 參考資料 12.1 防火牆(Firewall)基本概念 12.1.1 何謂防火牆(Firewall) 防火牆(Firewall) 當電腦對外連線的時後,為了必免外界人士侵入你的電腦,所做的防護安全程序的措施(軟體或硬體)。 主要功能 管制所有的進出內部網路封包(packets) 檢查所有通過防火牆的網路封包，並且留下詳細紀錄（log），以便日後稽核與追查。 12.1.3 防火牆主要功能 保全決策的重點 防火牆為一個咽喉點，所有進入和出去的傳輸都必須通過這個狹窄、唯一的檢查點，在網路安全防護上，防火牆提供非常大的槓桿效益，因為它把安全措施集中在這個檢查點上。 可以執行保全政策 防火牆強制執行站台的保全政策，只讓『核准的』服務通過，而這些服務設定在Policy中。 能有效率的記錄Internet的活動 由於所有的傳輸都經過防火牆，所以它成為收集系統和網路的使用或誤用資訊的最佳地點。 可以減少網路暴露的危機 防火牆可以使得在防火牆內部的伺服主機與外界網路隔絕，避免有問題的封包影響到內部主機的安全。 12.1.4 防火牆做不到的事 防火牆管不到內部惡人 防火牆管不到不經過它的連線 網路『後門』 防火牆無法防範全新的威脅 防火牆無法防範電腦病毒 12.1.5 防火牆的分類 硬體防火牆 本身具有處理器及記憶體，就像是路由器 因封包過濾的效能比較好，適合使用在流量大的網路系統。 軟體防火牆 利用防火牆軟體來過濾及轉發其收到的封包 因受其硬體及作業系統的限制，效能表現比硬體防火牆差些，但有容易升級、轉換之優點 。 12.2 IP 偽裝(Masquerade)與網路位址轉換(NAT) 12.2.1 為何需要NAT Modem or ADSL 使用者 只有一個IP(動態亦可), 且內部有其他PC要同時連線 多重主機服務 透通式的代理主機(Transparent Proxy) 12.2.2 IP 偽裝(Masquerade) 可以控制過濾通過gateway的封包，包括檢查封包、設定傳送封包、接收以及轉傳封包的規則等等功能。 偽裝的合法位址就是gateway的IP位址 由gateway以port來區分區域網路內的交換封包主機。 因為IP Masquerade是以port來工作，所以基本上使用TCP及UDP協定的封包才能有這樣的服務，ICMP就不能直接masquerade ，必須在masquerade程式中在處理才能運作。 IP masquerade 運作示意圖 port 630 to port 3010 12.2.3 NAT與虛擬IP範圍 「網址轉譯」(Network Address Translation，NAT)是提供使用「IP保留位址」的內部主機能夠存取 Internet。 IP保留位址(虛擬IP) Class A ~ 55 Class B ~ 55 Class C ~ 55 NAT網路示意圖 12.2.4 使用NAT的優缺點 使用單一 IP 連上Internet 可設置多重伺服器 透明代理(Transparent Proxying) …… 設定不易 非真實 IP 消耗資源 12.3 以Linux 建置防火牆 ipchains 12.3.1 以Linux建置防火牆 NAT架構 2張網卡 安裝ipchains rpm –ivh ipchains-xxx.xx.rpm 12.3.2 ipchains基本語法說明 語法格式 範例說明 ipchains –A forward –s /24 –d 0.0.0/0 –j MASQ 增加ipchains規則: 使用IP偽裝，將來源~55的封包轉送至預設的Gateway(目的地)，以便於藉由Gateway連到外部的網路。 ipchains參數說明 ipchains選項說明 ipchains所設定的規則 # ipchains –L () Chain input (policy ACCEPT): Chain forward (policy DENY): target prot opt source destination ports MASQ all ------ /24 anywhere n/a Chain output (po