Linux防火墙及其配置.ppt

Linux防火墙及其配置 许永全15610093 内容 防火墙概述Iptables防火墙的安装和配置 防火墙概述 在计算机网络中 防火墙是一种装置 它是由软件或硬件设备组合而成 通常处于企业的内部局域网与Internet之间 限制Internet用户对内部网络的访问以及管理内部用户访问Internet的权限 它实际上是一种隔离技术 是在两个网络通讯时执行的一种访问控制策略 它能允许 可以访问 的人和数据进入网络 同时将 不允许访问 的人和数据拒之门外 最大限度地阻止网络中的黑客来访问网络 如果不通过防火墙 公司内部的人就无法访问Internet Internet上的人也无法和公司内部的人进行通信 防火墙的功能 防火墙由于处于网络边界的特殊位置 因而被设计集成了非常多的安全防护功能和网络连接管理功能 1 防火墙的访问控制功能2 防火墙的防止外部攻击3 防火墙的地址转换4 防火墙的日志与报警5 防火墙的身份认证 防火墙技术 按照实现技术分类防火墙的基本类型有 包过滤型 代理服务型 状态检测型 防火墙的包过滤技术 包过滤 PacketFilter 通常安装在路由器上 并且大多数商用路由器都提供了包过滤的功能 包过滤是一种安全筛选机制 它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝 防火墙的应用代理技术 代理服务 ProxyService 系统一般安装并运行在双宿主机上 双宿主机是一个被取消路由功能的主机 与双宿主机相连的外部网络与内部网络之间在网络层是被断开的 这样做的目的是使外部网络无法了解内部网络的拓扑 这与包过滤防火墙明显不同 就逻辑拓扑而言 代理服务型防火墙要比包过滤型更安全 防火墙的状态检测技术 状态检测防火墙在网络层由一个检测模块截获数据包 并抽取与应用层状态有关的信息 并以此作为依据决定对该连接是接受还是拒绝 检测模块维护一个动态的状态信息表 并对后续的数据包进行检查 一旦发现任何连接的参数有意外的变化 该连接就被中止 这种技术提供了高度安全的解决方案 同时也具有较好的适应性和可扩展性 状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性 状态检测检查OSI七层模型的所有层 以决定是否过滤 而不仅仅对网络层检测 状态检测型防火墙如图所示 状态检测技术首先由CheckPoint公司提出并实现 目前许多包过滤防火墙中都使用多层状态检测 iptables简介 Netfilter iptables 以下简称为iptables 组成Linux平台下的包过滤防火墙 与大多数Linux下的软件一样 这个包过滤防火墙是免费的 它可以替代昂贵的商业级防火墙 完成数据包过滤 数据包重定向和网络地址转换 NAT 等功能 Iptables简介 续 iptables netfilter包过滤防火墙其实由两个组件构成 一个是netfilter 一个是iptables iptables只是一个管理内核包过滤的根据 它可以加入 插入或删除核心包过滤表格 链 中的规则 这些规则告诉内核中的netfilter组件如何去处理信息包 也就是说 实际上真正执行这些过滤规则的是netfilter及相关模块 如iptables模块和nat模块 netfilter是Linux内核中的一个通用架构 它提供了一系列的表 tables 每个表由若干个链 chains 组成 而每个链可以由一条或若干条规则 rule 组成 可以这样理解 netfilter是表的容器 表是链的容器 而链又是规则的容器 Iptables简介 续 系统缺省的表为 filter 该表中包含了INPUT FORWARD OUTPUT等3个链 每一个链中有一条或数条规则 每一条规则都是这样定义的 如果数据包头符合这样的条件 就这样处理数据包 当一个数据包到达一个链时 系统就会从第一条规则开始检查 看是否符合该规则所定义的条件 如果满足 系统将根据该条规则所定义的方法处理该数据包 如果不满足则继续检查下一条规则 最后 如果该数据包不符合该链中任一条规则 系统就会根据该链预先定义的策略 policy 来处理该数据包 iptables的规则 链和表 在使用iptables之前 必须先理解规则 链和表的概念 下面就开始分别介绍这3个概念 iptables的规则 rules 规则就是网络管理员预定义的条件 规则一般定义为 如果数据包符合这样的条件 就这样处理这个数据包 规则存储在内核空间的信息包过滤表中 这些规则分别指定了源地址 目的地址 传输协议 TCP UDP和ICMP 和服务类型 如HTTP FTP和DNS 当数据包与规则匹配时 iptables就会根据规则所定义的方法来处理这些数据包 如允许通过 ACCEPT 拒绝 REJECT 和丢弃 DROP 等 配置防火墙主要就是添加 修改和删除这些规则 iptables的链 chains 链 chains 是数据包传播的路径 每一个链其实就是众多规则中的一个检查清单 每一个链中可以有一条或数条规则 当一个数据包到达一个链时 iptables就会从链中的第一条规则开始检查 看该数据包是否满足规则所定义的条件 如果满足 系统就会根据该条规则所定义的方法处理该数据包 否则iptables将继续检查下一条规则 如果该数据包不符合链中任一套规则 iptables就会根据该链预先定义的默认策略来处理数据包 iptables的表 tables 表 tables 提供特定的功能 iptables内置3个表 即filter表 nat表和managle表 分别用于实现包过滤 网络地址转换 nat 和包重构的功能 filter表 nat表managle表 iptables传输数据包的过程 iptables对数据包的传输有特定的处理过程 如图所示 iptables传输数据包的过程 续 当一个数据包进入网卡时 它首先进入PREROUTING链 系统根据数据包的目的地址判断是否需要转发出去 可能有以下3种情况 如果数据包的目的地址是本机 则系统将数据包送往INPUT链 如果通过规则检查 则将该数据包发给相应的本地进程处理 如果没有通过规则检查 系统就会将这个包丢弃 如果数据包的目的地址不是本机 也就是说 这个包将被转发 则系统将数据包送往FORWARD链 如果通过规则检查 则该数据包被发给相应的本地进程处理 如果没有通过规则检查 系统就会将这个数据包丢弃 如果数据包是由本地系统进程产生的 则系统将其发送到OUTPUT链 如果通过规则检查 则该数据包被发给相应的本地进程处理 如果没有通过规则检查 系统就会将这个包丢弃 防火墙的关闭 由于系统的防火墙功能也是使用iptables实现的 因此系统会根据用户的设置在iptables添加相应的规则 这些规则可能会与本章后面的配置的规则相冲突 因此 在配置iptables防火墙之前 建议先关闭系统的防火墙功能 root localhosthome setupfirewall Iptables的配置 iptables的命令格式 iptables的命令格式较为复杂 一般的格式如下 iptables t表 命令匹配操作需要注意的是 iptables对所有的选项和参数都区分大小写 例如大写字母的 P参数和小写字母的 p参数代表着不同的意思 表选项表选项用于指定命令应用到哪个iptables内置表 iptables的内置表包括filter表 nat表和managle表 iptables的命令选项 命令选项用于指定iptables的执行方式 包括插入规则 删除规则和添加规则等 下表15 1为iptables的命令选项 iptables的匹配选项 匹配选项指定数据包与规则匹配所应具有的特征 包括源地址 目的地址 传输协议 如TCP UDP ICMP 和端口号 如80 21 25 等 如表15 2所示 下表15 2为iptables的匹配选项 iptables的动作选项 动作选项指定当数据包与规则匹配时 应该做什么操作 如接受或丢弃等 如表15 3所示 下表15 3为iptables的动作选项 查看iptables规则 在初始状态 iptables并没有规则 但是如果在安装时选择自动安装防火墙 这时系统中就会有默认的规则