《网络安全》ppt全套电子课件教案-09.linux ip 防火墙及其原理

Linux IP 防火墙及其原理,IP 防火墙简介,需求Internet & Intranet 安全Internet 应用的扩展防火墙的作用限制进入控制点防止进攻者接近内部限制内部用户防火墙的弱点内部问题,Linux IP Firewall 原理,入,转发,出,本机,De-masq,masq,input,output,注解:Masq是只对传送这个动作和用户自定义的Chain有效的处理,Input , output , forward,Input,Input,output,output,forward,forward,注解:LINUX系统中比较出名的防火墙模式是IPChains，它属于一种数据包过滤防火墙。使用IPChains基本上能够达到较好的保护网络系统免受外界网络的干扰。在系统缺省情况下会有三个内建的Chains:input、output、forward分别处理出入及传送的规则。,IP Masquerade NAT ,注解:NAT（Network Address Translation）即网络地址翻译又名网络地址转换，将内部的原地址（该地址称为保留地址，不可在互联网上路由的IP地址）转换为目的地址00，以便达到保护内部网络信息的目的。,IP Masquerade (NAT 原理,防火墙09,外部地址202.112.199,内部用户,:6012,伪装,:601209:60001,09:60001,注解:防火墙（FireWall）的内口IP地址：；外口IP地址：09，内部用户准备利用IP地址为：的主机并且采用6012端口，通过防火墙的NAT功能去访问IP地址为：9的服务器，防火墙最终将用户IP地址转换成09并且将端口转换成6001。,IP Accounting,2.0.x专门的计费链2.2.x每条规则一个文件/proc/net/ipv4/.Libipfwc (ipchains),注解:不同版本的LINUX其实现的机制和IPChains的运行规则是不同，所以请各位在具体应用中要特别注意加以区别。比如在Linux2.4内核中就主要采用IPtables，IPtables新增很多功能，如：内置规则的重新定义，简单化规则管理；采用状态机制（STATEFUL），对规则允许的包在回复时就直接通过不同进行规则匹配；采用IPtables非常轻松实现NAT和重定向功能。,防火墙规则配置的基本准则,.一切未被允许的就是禁止的。防火墙应该封锁所有的信息流，然后对希望提供的服务逐项开放。优点 : 实用,安全.缺点: 可靠性高于易用性.一切未被禁止的就是允许的。防火墙应该转发所有的信息流，然后逐项屏蔽有害的服务。优点:灵活,缺点安全可靠性不高,Linux IP 防火墙的规则匹配,按规则链来进行匹配 使用src,dst,port,ip-opt , 来匹配使用 -j target 来动作从头到尾的匹配方式匹配成功马上停止立刻使用该规则的target -j Accept, Deny, reject ,etc.,IP Chains 简介 1 ipchains 1.3.9,规则build-in Chains input ,output,forward目标(targetsAccept RejectDenyMASQREDIRECTRETURN,操作规则Add ,Delete , Append.-X, Delete All,Ipchains 简介 2,规则匹配协议, -p ! protocol, -p tcp , icmp,udp, all, 地址源地址 & 端口 -s! address ! port目的地址&端口 -d! address ! portSYN 位. ! -y ,第一个tcp请求包网络接口 -i ! name , -i eth0双向 , -b,ipchains - 例子,例子input 确省拒绝ipchains -P input ACCEPT不允许进入防火墙ipchains -A input -j DENY -s 从10.11.11.x来的包要作 NATipchains -A forward -j MASQ -s /24,Ipchains 例子 2,允许内部用户访问外部,不允许外部访问内部ipchains -A output -y -s -i eth0 -j ACCEPTipchains -A input -y -j DENY -i eth0不允许内部用户访问8ipchains -A input -d 8 -i eth1 -j DENY更复杂的例子/xhg/ipchains-HOWTOs,利用Linux IP 防火墙抵挡攻击,Ping of Death 发不合法的巨大的icmp包利用TCP stack的漏洞.方法, 阻止icmp fragmentsTeardrop and Bonk overlapping fragments方法, kernel defragements.Fragment Bombs 方法同上.IP Spoof Protection,内部地址不允许外部访问,传统的防火墙配置,非军事区Dmz 内/外部可以访问有外部 IP, 转发防火墙 firewall外部地址内部可以访问,DMZ,内部用户,恶意用户,一种新型的防火墙,虚拟 DMZ外部可以访问内部IP单一映象外部可以访问内部IP优点屏蔽了DMZ的结构内部IP可扩展性, Cluster的结构,Http:/friewall.ip/,接受请求,路