《第7章防火墙(ipchains和iptables).ppt》由会员分享,可在线阅读,更多相关《第7章防火墙(ipchains和iptables).ppt(41页珍藏版)》请在三一办公上搜索。
1、第7章 防火墙(ipchains和iptables),7.1 Linux防火墙应用7.2 应用ipchains做防火墙7.3 应用iptables做防火墙,本章提要 Linux防火墙的基本概念 实验网络环境的构建 使用ipchains配置防火墙 使用iptables配置防火墙 Netfilter/Iptable/NAT综合应用实例,7.1 Linux防火墙应用,防火墙是一类安全防范措施的统称,是计算机网络系统总体安全策略的重要组成部分。防火墙通过特定的硬件和软件系统在两个网络之间执行访问控制策略,从而达到保护网络之间通信安全的目的。,7.1.1 Linux防火墙的基本技术7.1.1.1 Lin
2、ux防火墙概述包过滤是防火墙的基本功能,包过滤技术一般在网络层对数据包进行选择,其依据是系统内设置的过滤逻辑规则,称之为访问控制表。通过检查数据流中每个数据包的地址、协议、端口和协议状态等信息,来决定是否允许该数据包通过。由包过滤技术所实现的数据包过滤防火墙比较实用,本章主要应用包过滤型防火墙技术。,状态检测是在传统数据包过滤的功能上进行的扩展,也称为动态数据包过滤,是Linux 2.4内核提出的新功能。7.1.1.2 包过滤型防火墙包过滤型防火墙的规则是由一组接收和禁止规则列表组成,规则列表中定义了数据包是否可以通过网络接口。,7.1.1.3 输入包过滤输入和输出规则链的工作原理是基于源地址
3、、目的地址、源端口、目的端口和TCP状态标识决定是否过滤,这些信息是过滤规则所分析的直接信息。,1远程源地址过滤(1)假冒本地IP地址(2)回环接口地址(3)声称A、B、C类内部专用IP地址(4)D类IP地址(5)E类IP地址(6)畸形广播地址,2本地目的地址过滤3远程源端口过滤4本地目的地址过滤5输入包的TCP连接状态过滤6对刺探和扫描的过滤,7针对拒绝服务攻击(DOS攻击)的过滤(1)优化对外提供服务的主机(2)优化路由及网络结构(3)追踪攻击数据包(4)采取有效的防范手段,8过滤输入数据包(1)源路由数据包(2)数据包分段,7.1.1.4 输出包过滤1本地源地址过滤2远程目的地址过滤3本
4、地源端口过滤4远程目的地址过滤5TCP连接状态过滤,7.1.2 Linux防火墙管理工具7.1.2.1 ipchains7.1.2.2 netfilter与iptables1netfilternetfilter提供了一个抽象、通用化的框架,它定义一个数据包过滤子系统。,netfiher框架包含以下三部分。(1)为每种网络协议(1Pv4、IPv6等)定义一套挂钩函数(1Pv4定义了5个挂钩函数),这些挂钩函数在数据包流过协议栈的几个关键点被调用。在这几个点中,协议栈将把数据包及挂钩函数标号作为参数调用netfilter框架。,(2)内核的任何模块可以对每种协议的一个或多个挂钩进行注册,实现挂接。
5、这样当某个数据包被传递给netfilter框架时,内核能检测是否有模块对该协议和挂钩函数进行了注册。若已经注册就调用该模块注册时使用的回调函数。这样,这些模块就有机会检查、修改或丢弃该数据包,并且指示netfilter将该数据包传入用户空间的队列。,(3)那些排队的数据包被传递给用户空间进行异步处理。2netfilter的配置工具iptables(1)数据包过滤(2)网络地址转换(3)数据包处理,7.1.3 实验网络系统配置7.1.3.1 实验网络系统的硬件7.1.3.2 实验网络系统的软件7.1.3.3 实验网络环境的基本配置与测试,7.2 应用ipchains做防火墙,7.2.1 内核配置
6、,7.2.2 ipchains应用规则7.2.2.1 熟悉ipchains规则ipchains规则包含三个要素:1该规则属于的链的名字;2该规则的匹配器,指定哪个数据包匹配的规范或一组规范,也指定何时使用这个规则;3目标(target),当规则匹配一个数据包真正要执行的任务。有7种可能的目标,如表7-2所示。,7.2.2.2 ipchains工具的应用方法7.2.3 配置实例7.2.3.1 初始化防火墙7.2.3.2 激活DNS服务7.2.3.3 激活公用TCP服务7.2.3.4 ipchains规则脚本程序实例,7.2.4 常见问题分析7.2.4.1 安装调试防火墙1安装防火墙的问题2运行防
7、火墙规则的问题3调试时需注意的问题,7.2.4.2 查看防火墙规则1列出已经定义的规则2列出输入规则链中的规则举例 3列出输出规则链中的规则举例 7.2.4.3 单数据测试,7.3 应用iptables做防火墙,7.3.1 内核配置使用iptables做防火墙,必须将这种类型的功能支持编译到Linux内核中。在规范的内核源代码中已经被缺省激活的网络选项之外,为了配合iptables的配置,表7-6中的网络选项也要被激活。,7.3.2 iptables应用规则7.3.2.1 iptables规则iptables规则包含四个要素:1该规则属于的表;2该规则属于的链;,3该规则的匹配器,指定哪个数据
8、包匹配的规范或一组规范,也指定何时使用这个规则;4目标(target),当规则匹配一个数据包真正要执行的任务。,7.3.2.2 iptables工具的应用方法1iptables的调用语法iptables命令包括五个部分:(1)工作在哪个表上;(2)使用该表的哪个链;(3)具体操作(增加、插入、删除、修改、清空链表等);,(4)对特定规则的目标动作;(5)匹配数据包条件。iptables的调用语法格式如下:iptables-t table-operation chain rule-spec|num options,2索引在应用iptables工具时,可根据如下索引查到关于iptables的使用方
9、法。iptables-AD chain rule-specification optionsiptables-RI chain rulenum rule-specification optionsiptables-D chain rulenum optionsiptables-LFZ chain options,iptables-NX chainiptables-E old-chain-name new-chain-nameiptables-P chain target optionsiptables-h(print this help information)3iptables命令和选项iptables命令的参数和说明见表7-8。,4基于状态的匹配iptables可以使用状态模块,基于数据包的状态创建规则匹配。创建规则的格式如下:iptables-m state-state!state,state,状态匹配模块见表7-10。,7.3.3 配置实例,
