操作系统安全：防火墙概述.pptxVIP

防火墙介绍 防火墙简介 防火墙（Firewall），也称防护墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网（US5606668（A）1993-12-15）。防火墙是位于内部网和外部网之间的屏障，它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线，其作用是防止非法用户的进入。 防火墙分类 1 包过滤防火墙 数据包过滤(packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，称为访问控制表。通过检查数据流中每个数据包的源地址和目的地址，所用的端口号和协议状态等因素，或他们的组合来确定是否允许该数据包通过。 防火墙分类 2 代理服务型防火墙 代理服务(proxy service)也称链路级网关或TCP通道。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨跃防火墙的网络通信链路分为两段。当代理服务器接收到用户对某个站点的访问请求后就会检查请求是否符合控制规则。 防火墙工作原理 (一)、包过滤防火墙的工作原理 包过滤是在IP层实现的，因此，它可以只用路由器来完成。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等报头信息来判断是否允 许包通过 防火墙工作原理 基于这种工作机制，包过滤防火墙 有以下缺陷： 1、通信信息：包过滤防火墙只能访问部分数据包的头信息。 2、通信和应用状态信息：包过滤防火墙是无状态的，所以它不可能保存来自于通信和应用的状态信息。 3、信息处理：包过滤防火墙处理信息的能力是有限的。 (二)、代理服务型防火墙工作原理 代理服务型防火墙在应用层上实现防火墙功能。它能提供部分与传输有关的状态，能外圈提供与应用相关的状态和部分传输的信息，它还能处理和管理信息。 防火墙的工作机制： 使用iptable实现包过滤防火墙 iptables防火墙属于包过滤型，工作在网络层，针对IP数据包，体现在对包内的IP地址和端口等信息的处理上（源IP、端口和目标IP、端口）。 1 iptables介绍 使用iptable实现包过滤防火墙 iptables由4表、5链和用户在链内写入的各种规则所组成。 　　1、表：容纳各种规则链；表是按照功能分的类，具体功能如下： 　　（1）raw表：用来决定是否对数据包进行状态跟踪。（不常用） 　　（2）mangle表：为数据包设置标记，有ACK、SYN、FIN、RST、PSH、URG等标记。（不常用） 　　（3）nat表：修改数据包的IP地址、端口等信息。（网关型防火墙常用） 　　（4）filter表：确定是否放行数据包。（常用） 　　2、链：容纳各种防火墙规则；链是按照时机分的类。 　　（1）input：处理入站请求包 　　（2）output：处理出站包（就是响应、应答包） 　　（3）forward：处理转发数据包，实现不同网段间的通信 　　（4）prerouting：在包做路由选择之前应用此链的规则 　　（5）postrouting：在数据包做路由选择之后应用此链的规则 2 iptables结构 使用iptable实现包过滤防火墙 表链结构图　 （Centos 7中nat表中的规则可以被INPUT链使用，Centos 6中不可以）　 3 iptables表结构 使用iptable实现包过滤防火墙 4 数据包过滤的匹配流程 1、规则表之间的顺序：raw→mangle→nat→filter 2、规则链之间的顺序： 　　（1）入站数据流向：prerouting→input 　　（2）出站数据流向：output→postrouting 　　（3）转发数据流向：prerouting→forward→postrouting 注：（1）和（2）多用于主机型防火墙，（3）多用于网络型防火墙 3、规则链内的匹配顺序： 　　按照顺序依次检查，匹配即停止（log策略例外）；若找不到相匹配的规则，按该链的默认策略处理。 使用iptable实现包过滤防火墙 5 数据包通过防火墙流程 使用iptable实现包过滤防火墙 6 防火墙的路由功能 防火墙可作为路由器起转发作用，具体操作如下： 　 （1）永久生效方法 　　vim etc/sysctl.conf 　　修改 　　forward = 1 　　sysctl -p（立即生效） 　 （2）临时生效方法 　　echo 1 /proc/sys/net/ipv4/ipforward 　　或者 sysctl -w net.ipv4.ip_forward=1