《Chinaunix.net技术沙龙》由会员分享,可在线阅读,更多相关《Chinaunix.net技术沙龙(42页珍藏版)》请在金锄头文库上搜索。
1、C 技术沙龙2004年3月27日Linux防火墙的原理和实现netloafer Email:netloaferanti-提纲 防火墙的基本概念 Linux防火墙的原理 构建Linux防火墙 Netfilter配置工具iptables 防火墙的常见策略 Linux防火墙的应用 FAQ防火墙的基本概念什么是防火墙 防火墙是一种保护网络安全的方法 防火墙是在两个网络间实现访问控制的一个 或一组软件或硬件系统。 防火墙的主要功能就是依照所定义的访问控 制策略对数据通讯进行屏蔽和允许通信。防火墙的类型 包过滤防火墙 基于状态检测的包过滤防火墙 应用代理(网关)防火墙 侧重包过滤的混合式防火墙 侧重应用代
2、理的混合式防火墙包过滤防火墙 一般工作在OSI的三层和三层以下 主要控制报文的源地址、报文的目标地址、 服务类型、以及第二层数据链路层可控的 MAC地址等。 有些也包括部分OSI第四层的内容,如报文 的源端口和目的端口 常见设备:路由器,可以通过访问控制列表 (ACL)来对路由器端口的数据包进行控制包过滤防火墙 优点 速度快、对于客户端透明 缺点 不能进行内容检查、所工作的层次较低、 端口必须静态开放、ACL的配置在复杂网络 下容易出错带状态检测的包过滤防火墙 工作在IP层 动态开放端口 动态的状态列表 可以对应用层过滤 速度和效率都不错应用代理(网关)防火墙 包含了网络中的第七层应用 可以提
3、供复杂的访问控制 认证机制 内容过滤 详细日志 速度慢,系统开销大 网络协议和应用都需要代理防火墙的其它功能 DMZ IP地址转换和伪装 VPN IDS联动 病毒过滤 流量和计费控制 自我保护 GUI管理Linux防火墙的原理Linux防火墙的历史 内核防火墙的发展 2.0.X 内核 ipfwadm 2.2.X 内核 ipchains 2.4.X 内核 netfilter/ipchains ipchains访问控制规则被称为“链” ipchains共有三条链 INPUT OUTPUT FORWARD 可实现的功能:包过滤,伪装,路由,TOS 扩展性不好ipchains的处理流程图netfilt
4、er/iptables 全新的netfilter框架 优秀的包过滤子系统 支持IPv4、IPv6、IPX等协议 支持MAC过滤 功能模块化netfilter/iptables处理流程图构建Linux防火墙知识准备 编译和升级Linux内核 Linux下软件的安装 Linux网络的配置(我们这里的安装以netfilter/iptables为例)Linux内核的编译 使用wget从网站获取最新的内核源码包 cp linux-2.4.18.tar.gz /usr/src cd /usr/src tar zxvf linux-2.4.18.tar.gz cd /usr/src/linux make m
5、enuconfig make dep make clean make bzImage make modules make modules_Linux内核netfilter的配置* Network packet filtering (replaces ipchains) Connection tracking (required for masq/NAT) FTP protocol support IRC protocol support Userspace queueing via NETLINK (EXPERIMENTAL) IP tables support (required for f
6、iltering/masq/NAT) limit match support MAC address match support netfilter MARK match support Multiple port match support TOS match support tcpmss match Linux内核netfilter的配置 Connection state match support Packet filtering REJECT target support Full NAT MASQUERADE target support REDIRECT target suppor
7、t Packet mangling TOS target support MARK target support LOG target support TCPMSS target support ARP tables support ARP packet 安装netfilter 下载netfilter (http:/filter.org) RPM方式: rpm ivh netfiter.0.1.18.i386.rpm 源码安装: tar zxvf netfilter-0.1.18.tar.gz cd netfilter ./configure make make 安装iptables 下载ip
8、tables (http:/filter.org) RPM方式: rpm ivh iptables-1.2.7a-1.i386.rpm 源码安装: tar zcvf iptables-1.2.7a.tar.gz cd iptables-1.2.7a ./configure make make Linux防火墙管理工具ipchains ipchains的动作 ACCEPT DENY REJECT MASQ REDIRECT RETURNipchains指令-A :-append 在所选择的链上 加一条规则到末尾 -D :-delete 从所选链上删除一 条或多条规则 -R :-replace 在
9、所选链上替换 一条规则 -I :-insert 以给出的规则号在所 选链上插入一条或多条规则 -L :-list 列出指定链的规则 -F :-flush 清除一个链的所有规 则 -Z :-zero 计数器清零 -N :-new 创建一个新的用户链-X chain: -delete-chain删除一 个用户自定义的链 P chain target :-policy把一个 规链上策略(规则的动作)改变 为目标 M :-masquerade 列出当前伪 装包的所有链接 -M -S tcp/tcpfin/udp : -set 设 置伪装的超时ipchains使用方法 ipchains -ADC cha
10、in rule-specification options ipchains -RI chain rulenum rule-specification options ipchains -D chain rulenum options ipchains -LFZNX chain options ipchains -P chain target options ipchains -M -L | -S options ipchains -h netfilter配置工具iptables动作 ACCEPT DROP REJECT MASQUERADE REDIRECT RETURN SNAT DNAT
11、iptables指令A chain -append 添加到规则 链中 D chain -delete 从规则链中删 除匹配的规则 D chain rulenum -delete 从规 则中删除对应的规则号 I chain rulenum -insert 将规 则插入对应的规则号 R chain rulenum -replace 在规 则链中取代指定的规则号 Lchain -list 列出在一条链或 所有链上的规则 F chain -flush 清除一条链或 所有链上的规则 Z chain -zero 计数器清零C chain -check 测试规则链 N chain -new 创建一个用户自
12、定义的新链 -X chain -delete chain 删除用 户定义的新链 -P chain target -policy 把一个规 则链上的策略改变为目标 -E old-chain-name new-chain- name -rename chain 改变规则 链名iptables内置有三个表filter、nat 、mangle,缺省为filter表,可使 用-t参数来选择操作的表,用户 可自定义表iptables使用方法 iptables -ADC chain rule-specification options iptables -RI chain rulenum rule-specification options iptables -D chain rulenum options iptables -LFZ chain options iptables -NX chain iptables -E old-chain-name new-chain-name iptables -P chain target options iptables -h 防火墙的常见策略防火墙的常见策略 设置默认拒绝规则 iptables -P INPUT -j DROP iptables -P OUTPUT
