第4章 网络防火墙.pptVIP

第4章 网络防火墙 防火墙 随着Internet规模的迅速扩大，安全问题也越来越重要，而构建防火墙是保护系统免受侵害的最基本的一种手段。虽然防火墙并不能保证系统绝对的安全，但由于它简单易行、工作可靠、适应性强，还是得到了广泛的应用。 4.1防火墙：IPtables、NAT和ip6tables 网络安全的基础是要建立Linux系统防火墙，保护网络拒绝未受权的访问。 使用防火墙既可以实现分组过滤又可以是现代理。 分组过滤—指防火墙主机是否允许接收到的分组通过、进入本地网络的决策过程。 防火墙的代理功能—可以控制对特定服务器的访问。 防火墙可以对网络地址进行翻译—重新定向分组到适当的目的地址。 IPtables iptables是Linux系统提供的一个非常优秀的防火墙工具，它完全免费、功能强大、使用灵活、占用系统资源少，可以对经过的数据进行非常细致的控制。 ip6tables ip6tables软件包提供对IPV6地址的支持，它除了使用IPV6地址外，与IPtables相同。 Modules 4.2 分组过滤 Chains（链） IPtables目标 Targets 防火墙和NAT链 添加和更改规则 iptables [-t table] command [match] [target/jump] iptables选项 拒绝和接收分组：DROP和ACCEPT 用户定义链 用户定义链 ICMP分组 控制端口访问 分组状态：连接跟踪 特定连接跟踪 4.3 网络地址翻译（NAT） 添加NAT规则 NAT目标和链 NAT重定向：透明代理 4.4 分组mangling 4.5 iptables脚本 4.6 IP伪装 伪装本地网络 伪装NAT规则 打开IP转发 伪装选择主机 小结 分组mangling表用于实际修改分组信息。特别是应用该表的规则来控制分组的一般行为，如路由、连接大小和优先级。 建议补上P53页 表4-10 Red Hat和Fedora对iptables脚本文件配置和使用进行了支持。 尽管可以从shell命令行输入iptables脚本，但当系统关闭后这些规则将会丢失。因此要将iptables规则放到可以直接运行的脚本中去。 Red Hat和Fedora对ip6tables脚本文件配置和使用也有相关的支持。 IP伪装在Linux系统上的实现需要使用IPtables防火墙工具。 在Linux系统上，仅使用一个IP地址就可以让几个不同系统连接到因特网上，这种方法称为IP伪装。 理想情况防火墙有两块以太网卡： 一块用于LAN接口 一块用于因特网接口 IP伪装通常用于运行私有网路上的机器访问因特网。 需要使用IPtables将masquerade规则放置到NAT表上。 首先使用“-t nat”选项引用NAT表 然后添加一条规则到POSTROUTING链使用“-o”选项指定输出设备。 使用带有“-j”选项的MASQUERADE命令 在Netfilter中，IP伪装是一个NAT操作，没有像IP Chains中那样的分组过滤。 iptables -t nat -A POSTROUTING -o eth0 -jMASQUERADE * * * * * * 4.1防火墙：IPtables、NAT和ip6tables 4.2分组过滤 4.3网络地址翻译（NAT） 4.4分组mangling 4.5iptables脚本 4.6IP伪装 实现分组过滤和NAT任务的命令是iptables 但是Netfilter实现分组过滤和NAT任务分别使用不同的表（用来保存命令的集合）和命令。 但是，在ip6tables中支持过滤和mangle表，不支持NAT表。 模块可以通过给位于/etc/sysconfig/iptables-config文件中的IPTABLES_MODULES参数赋值，并被iptables脚本所使用。 Netfilter采用模块（Modules）化设计并且可扩展，以模块形式添加功能。 Netfilter目前支持三个表：filter, Nat,和mangle。 在Netfilter框架之上构建由IPtables实现的分组选择系统。同时，可以使用IPtables按照不同的标准选择分组的不同规则表。 规则操作使用if-then-else的结构。 例如： 如果分组不匹配第一条规则，那么就检查下一条规则； 如果分组不匹配任何规则，拒绝分组； 如果分组匹配规则，就将它传递到目标，决定对分组执 行相关操作。 不同的规则组合成不同的Chains（规则检查表，是包传播的路径，不同的表包含了不同的内置链。）。因此，内核使用链管理接收和发送分组。 跳到链的最后并让默认目标处理 将分组发送到用户空间 拒绝访问并通知 拒绝分组访问 允许分组通过防火墙 说明 RETURN