第9章_Linux防火墙配置.pdfVIP

第9 章 Linux 防火墙配置 第 9 章 Linux 防火墙配置 随着 Internet 规模的迅速扩大，安全问题也越来越重要，而构建防火墙是保护系统免 受侵害的最基本的一种手段。虽然防火墙并不能保证系统绝对的安全，但由于它简单易行、 工作可靠、适应性强，还是得到了广泛的应用。本章主要介绍与 Linux 系统紧密集成的 iptables 防火墙的工作原理、命令格式，以及一些应用实例。 9.1 iptables 防火墙介绍 netfilter/iptables 是Linux 系统提供的一个非常优秀的防火墙工具，它完全免费、功能 强大、使用灵活、占用系统资源少，可以对经过的数据进行非常细致的控制。本节首先介 绍有关iptables 防火墙的基本知识，包括netfilter 框架、iptables 防火墙结构与原理、iptables 命令格式等内容。 9.1.1 netfilter 框架 Linux 内核包含了一个强大的网络子系统，名为netfilter ，它可以为iptables 内核防火 墙模块提供有状态或无状态的包过滤服务，如NAT 、IP 伪装等，也可以因高级路由或连接 状态管理的需要而修改IP 头信息。netfilter 位于Linux 网络层和防火墙内核模块之间，如 图9-1 所示。 图9-1 netfilter 在内核中的位置 ·151 · 第2 篇 Linux 主机与网络安全措施 虽然防火墙模块构建在Linux 内核，并且要对流经IP 层的数据包进行处理，但它并没 有改变IP 协议栈的代码，而是通过netfilter 模块将防火墙的功能引入IP 层，从而实现防火 墙代码和IP 协议栈代码的完全分离。netfilter 模块的结构如图9-2 所示。 图9-2 netfilter 结构框架图 对IPv4 协议来说，netfilter 在IP 数据包处理流程的5 个关键位置定义了5 个钩子（hook ） 函数。当数据包流经这些关键位置时，相应的钩子函数就被调用。从图9-2 中可以看到， 数据包从左边进入IP 协议栈，进行IP 校验以后，数据包被第一个钩子函数PRE_ROUTING 处理，然后就进入路由模块，由其决定该数据包是转发出去还是送给本机。 若该数据包是送给本机的，则要经过钩子函数LOCAL_IN 处理后传递给本机的上层协 议；若该数据包应该被转发，则它将被钩子函数 FORWARD 处理，然后还要经钩子函数 POST_ROUTING 处理后才能传输到网络。本机进程产生的数据包要先经过钩子函数 LOCAL_OUT 处理后，再进行路由选择处理，然后经过钩子函数POST_ROUTING 处理后 再发送到网络。 说明：内核模块可以将自己的函数注册到钩子函数中，每当有数据包经过该钩子点时， 钩子函数就会按照优先级依次调用这些注册的函数，从而可以使其他内核模块参 与对数据包的处理。这些处理可以是包过滤、NAT 以及用户自定义的一些功能。 9.1.2 iptables 防火墙内核模块 netfilter 框架为内核模块参与IP 层数据包处理提供了很大的方便，内核的防火墙模块 正是通过把自己的函数注册到 netfilter 的钩子函数这种方式介入了对数据包的处理。这些 函数的功能非常强大，按照功能来分的话主要有4 种，包括连接跟踪、数据包过滤、网络 地址转换（NAT ）和对数据包进行修改。其中，NAT 还分为SNAT 和DNAT ，分别表示源 网络地址转换和目的网络地址转换，内核防火