《网络安全》PPT全套电子课件教案-09.Linux IP 防火墙及其原理.ppt

linux ip 防火墙及其原理,ip 防火墙简介,需求 internet & intranet 安全 internet 应用的扩展 防火墙的作用 限制进入控制点 防止进攻者接近内部 限制内部用户 防火墙的弱点 内部问题,linux ip firewall 原理,入,转发,出,本机,de-masq,masq,input,output,注解:masq是只对传送这个动作和用户自定义的chain有效的处理,input , output , forward,input,input,output,output,forward,forward,注解:linux系统中比较出名的防火墙模式是ipchains，它属于一种数据包过滤防火墙。使用ipchains基本上能够达到较好的保护网络系统免受外界网络的干扰。在系统缺省情况下会有三个内建的chains:input、output、forward分别处理出入及传送的规则。,ip masquerade nat ,注解:nat（network address translation）即网络地址翻译又名网络地址转换，将内部的原地址（该地址称为保留地址，不可在互联网上路由的ip地址）转换为目的地址00，以便达到保护内部网络信息的目的。,ip masquerade (nat 原理, 防火墙 09,外部地址 202.112.199,内部用户 ,:6012,伪装,:6012 09:60001,09:60001,注解:防火墙（firewall）的内口ip地址：；外口ip地址：09，内部用户准备利用ip地址为：的主机并且采用6012端口，通过防火墙的nat功能去访问ip地址为：9的服务器，防火墙最终将用户ip地址转换成09并且将端口转换成6001。,ip accounting,2.0.x 专门的计费链 2.2.x 每条规则一个 文件 /proc/net/ipv4/. libipfwc (ipchains),注解:不同版本的linux其实现的机制和ipchains的运行规则是不同，所以请各位在具体应用中要特别注意加以区别。比如在linux 2.4 内核中就主要采用iptables ，iptables新增很多功能 ，如：内置规则的重新定义，简单化规则管理；采用状态机制（stateful），对规则允许的包在回复时就直接通过不同进行规则匹配；采用iptables非常轻松实现nat和重定向功能。,防火墙规则配置的基本准则,.一切未被允许的就是禁止的。 防火墙应该封锁所有的信息流，然后对希望提供的服务逐项开放。 优点 : 实用,安全. 缺点: 可靠性高于易用性. .一切未被禁止的就是允许的。 防火墙应该转发所有的信息流，然后逐项屏蔽有害的服务。 优点:灵活, 缺点安全可靠性不高,linux ip 防火墙的规则匹配,按规则链来进行匹配 使用src,dst,port,ip-opt , 来匹配 使用 -j target 来动作 从头到尾的匹配方式 匹配成功马上停止 立刻使用该规则的target -j accept, deny, reject ,etc.,ip chains 简介 1 ipchains 1.3.9,规则build-in chains input ,output,forward 目标(targets accept reject deny masq redirect return,操作规则 add ,delete , append. -x, delete all,ipchains 简介 2,规则匹配 协议, -p ! protocol, -p tcp , icmp,udp, all, 地址 源地址 & 端口 -s! address ! port 目的地址&端口 -d! address ! port syn 位. ! -y ,第一个tcp请求包 网络接口 -i ! name , -i eth0 双向 , -b,ipchains - 例子,例子 input 确省拒绝 ipchains -p input accept 不允许进入防火墙 ipchains -a input -j deny -s 从10.11.11.x来的包要作 nat ipchains -a forward -j masq -s /24,ipchains 例子 2,允许内部用户访问外部,不允许外部访问内部 ipchains -a output -y -s -i eth0 -j accept ipchains -a input -y -j deny -i eth0 不允许内部用户访问8 ipchains -a input -d 8 -i eth1 -j deny 更复杂的例子 /xhg/ipchains-howtos,利用linux ip 防火墙抵挡攻击,ping of death 发不合法的巨大的icmp包利用tcp stack的漏洞. 方法, 阻止icmp fragments teardrop and bonk overlapping fragments 方法, kernel defragements. fragment bombs 方法同上. ip spoof protection,内部地址 不允许外部访问,传统的防火墙配置,非军事区dmz 内/外部可以访问 有外部 ip, 转发 防火墙 firewall 外部地址 内部可以访问,dmz,内部用户,恶意用户,一种新型的防火墙,虚拟 dmz 外部可以访问 内部ip 单一映象 外部可以访问 内部ip 优点 屏蔽了dmz的结构 内部ip 可扩展性, cluster的结构,http:/friewall.ip/,接受请求,路径选择表 8