第15讲 防火墙的使用.ppt

1、朱妍电子信息工程系利用防火墙、防火墙的主要类别、IP Filter Proxy服务器、网络层防火墙和网络防火墙软件的主要功能过滤传入和传出的IP数据包，屏蔽不符合要求的数据包，保证内部网络的安全，提供数据包路由，并实现网络地址转换(NAT)。因此，可以解决局域网中主机能够顺利接入外部网络的应用需求。防火墙型硬件防火墙是一种具有特定功能的硬件设备，而昂贵的软件防火墙的功能是通过计算机中的软件来实现的，具有相当大的价格优势。防火墙的总体布局是单个Linux主机也充当防火墙功能。网络中只有一台Linux主机，它负责整个局域网中所有个人计算机的外部连接，也是局域网中的网关。防火墙通常有两个接口，一个用

2、于内部，一个用于外部。同时，还可以直接在Linux防火墙上建立网站，这是目前小型企业常用的网络配置方案。所有电脑只有经过防火墙过滤后才能发送或接收数据包。如果互联网出现问题，通过管理防火墙主机很容易抵御来自互联网的坏数据包。在防火墙上，可以同时设置代理来控制客户端的在线状态(注意：也可以增加网络流量监控软件)。优点：安全维护可以在内部打开。可以为Linux主机维护安全机制设置。只有Linux主机可以从外部看到，因此可以在内部实现有效的安全保护。单个Linux防火墙和局域网中的独立防火墙。一般来说，防火墙不会对局域网内部设置严格的防护。因为不能保证所有使用内部计算机的用户都是公司的员工，也不能保

3、证员工不会销毁他们。如果有特别重要的部门需要更安全地保护网络环境，可以在局域网中添加防火墙对安全级别进行分类，这样可以更好地保护重要数据。防火墙后端的服务器主机设置将提供网络服务的服务器置于防火墙之后。网络、邮件和文件传输协议都通过防火墙连接到互联网，并且所有四个主机在互联网上都有相同的公共知识产权。只有通过防火墙对数据包进行分析后，万维网所需的数据包才会被转发到网络主机，而邮件会被发送到邮件服务器进行处理(通过不同的端口转发)。因为所有四个主机在互联网上都看到相同的IP地址，所以它们实际上是四个不同的主机。当攻击者想要入侵一个文件传输协议主机时，被各种分析方法攻击的主机实际上是一个防火墙。如

4、果攻击者想要攻击内部主机，他必须先成功修复防火墙，否则很难入侵内部主机。数据包，防火墙可以分析通过网络发送的数据包，并获得用于分析数据包的包头数据，还可以分析其他信息，如IP、目的端口和源端口、是否主动连接等。防火墙可以抵抗以下方法：拒绝让数据包进入主机的某个端口，拒绝让来自某个源IP的数据包进入，拒绝让带有某些特殊标志的数据包进入；最常见的拒绝是主动在线标志分析硬件地址(MAC)与SYN提供服务；针对局域网，简单防火墙主机，两层防火墙，它们是iptables和TCP包装器，数据包先通过iptables，然后通过TCP包装器。一般来说，Linux上的防火墙大多将iptables称为IP筛选器，

5、它使用一些包过滤规则来定义可以接收哪些数据以及为了保护主机需要删除哪些数据。使用防火墙的限制，防火墙对病毒或木马不是很有效。防火墙规则打开的服务中的服务器软件有其自身的漏洞。防火墙对来自内部局域网、Linux内核版本和防火墙机制的攻击的容忍度较低，版本2.0:使用IPFWADM版本2.2:IPC hains；被使用；版本2.4和2.6:主要使用iptables。Netfilter和iptables使用netfilter架构在Linux内核中实现防火墙功能。iptables是Linux系统中为用户提供的网络过滤管理工具，用于实现Linux内核中网络防火墙的管理。iptables的表和进入的数据包

6、流，以及iptables的工作方向，必须按照规则的顺序来分析数据包。行动代表行动。通常，数据包有两种操作规则：接受/丢弃。这些规则是连续的。当TCP数据包通过规则1并符合规则1时，不管规则2之后的规则如何，TCP数据包都将采取操作1。如果TCP不符合规则1，请转到规则2进行检查.在规则10之前，对于TCP数据包没有兼容的规则。此时，预设操作(数据包策略)将用于决定是否通过传输控制协议数据包。注意：当规则的顺序不对时，会造成很大的麻烦。假设Linux主机提供万维网服务。为了启用端口80的网络过滤器，发现IP 192.168.100.100经常试图恶意入侵系统，因此必须拒绝；同时，所有非万维网数据

7、包都被他丢弃。如何根据以上三条规则设置防火墙检查顺序？规则1让请求万维网服务的数据包先通过；规则2再次抵制192 . 168 . 100 . 100；规则3丢弃所有数据包。此时，192.168.100.100可以使用主机的万维网服务，因为在设置的规则顺序中定义的第一个规则将允许他通过，而不考虑第二个规则。正确的答案是：规则1首先抵抗192 . 168 . 100 . 100；规则2让请求万维网服务的数据包再次通过；规则3丢弃所有数据包。思考：如果规则1更改为丢弃所有数据包，规则2将设置万维网服务数据包通过。我的客户可以使用我的万维网服务吗？答案是：不，iptables的表和链，以及Iptabl

8、es的规则都写在表和表中，每个表根据数据包的传输路径可以大致分为三个链：传入、传出和转发。默认情况下，有三个规则表：filter:用于设置包过滤nat:用于设置地址转换mangle:用于设置网络流量整形和其他应用程序(较少使用)。筛选器和nat表分别有三个链，即：筛选器，它主要与Linux相关，是默认表。输入：数据包想进入Linux机器；输出：与Linux要发送的数据包相关；转发：它与Linux本身关系不大，用于将数据包转发到后端计算机，这与nat有关。Nat:主要与NAT主机的设置有关。前路由：dnat/重定向后路由：SNAT/假面舞会)输出：与发送的数据包有关，数据包的行进路线，数据包主要

9、是在Linux中读取数据，通过过滤器的输入链，数据的输出通过过滤器的输出链；b包主要通过防火墙到达后端，这个包的目标不是Linux本地的。主链是过滤器的前向和后向路由，nat的前向路由。，安装iptables包，# rpm-QA | grep iptables iptables包，iptables语法-查看规则，# iptables -t表-L -n参数描述：-t: table后跟iptables，例如，nat或filter，如果没有-t表，默认为-t filter，即table -L:列出当前表的规则-n:如果没有IP和HOSTNAME转换，在屏幕上显示消息的速度将会快得多。例如：# ipt

10、ables -L -n Chain INPUT(策略接受)目标保护选择源目标链转发(策略接受)目标保护选择源目标链输出(策略接受)目标保护选择源目标#是一个过滤表#，它有三个链，即输入、输出和转发。目前没有规则，所有的规则都是空的。每个链后面()的策略是默认操作(策略)#。虽然上面已经启动了iptables，但是没有设置任何规则，然后动作是ACCEPT，所以任何数据包都将被接受。# iptables -t nat -L -n链前路由(策略接受)目标保护选择源目标链后路由(策略接受)目标保护选择源目标链输出(策略接受)目标保护选择源目标，清除规则# /sbin/iptables -t表-FXZ参

11、数描述：-F:清除所有已建立的规则；-X:删除用户创建的所有链(即表)-Z:将所有链的计数和流量统计重置为零，例如：#/s bin/Iptables-F #/s bin/Iptables-X #/s bin/Iptables-Z #/s bin/Iptables-t NAT-F注意：如果您远程连接，这三个指令必须与脚本一起连续执行，否则您将被主机阻止。定义策略，策略：当数据包不在设置的规则内时，数据包是否通过取决于策略的设置。一般来说，筛选器的INPUT链中的策略定义是严格的，而FORWARD和OUTPUT中的定义是松散的#/sbin/iptables-t表-p输入、输出、forward |路

12、由、输出、后路由接受、丢弃-p:定义策略。p是大写输入：数据包是主机的输入方向；输出：数据包是输出主机的方向；转发：数据包是向外传输的方向，不进入主机；预走线：进入路线前所做的工作；输出：数据包是输出主机的方向；后路由：进入路由后完成的工作。例如：#/s bin/Iptables-P INPUT DROP #/s bin/Iptables-P OUTPUT ACCEPT #/s bin/Iptables-P FORWARD ACCEPT #/s bin/Iptables-t NAT-P routing ACCEPT #/s bin/Iptables-t NAT-P OUTPUT ACCEPT

13、#/s bin/Iptables-t NAT-P routing ACCEPT设置为接收INPUT以外的内容。经过上述设置后，主机发送的数据包可以出去，但没有数据包可以进入，包括对发送的数据包做出响应的响应包(确认)。添加和插入规则，# iptables-t过滤辅助输入，输出，转发-io接口TCP，UDP，icmp，All-s IP/network-sport端口-d IP/network-dport端口-j接受，删除描述：-A:在现有规则的末尾添加新规则-I:如果没有设置规则顺序，则插入规则，默认情况下， 插入成为第一个规则-D:删除规则输入：规则集过滤表的输入链输出：规则集过滤表的输出链转发：规则集过滤表的转发链-i:设置数据包进入的网络接口-o:设置数据包流出的网络接口：网络接口，如ppp0、eth0、eth1 .-p: p是小写字母。数据包类型tcp:数据包是TCP数据包；数据分组是UDP分组；Icmp:数据包是ICMP all:它表示所有数据包-s:源数据包或网络的IP；- sport:源数据包的端口号；您可以使用端口1:端口2，如21:23，这意味着它通过21、22、23；目标主机或网络的IP地址；- dport:目标主机的端口号；-j:行动，随后可采取以下行动；接