收藏
下载资源

tcp-wrapper与防火墙

上传人:san****019 文档编号:70810276 上传时间:2019-01-18 格式:PPT 页数:24 大小:309.01KB
返回 下载 相关 举报
tcp-wrapper与防火墙_第1页
第1页 / 共24页
tcp-wrapper与防火墙_第2页
第2页 / 共24页
tcp-wrapper与防火墙_第3页
第3页 / 共24页
tcp-wrapper与防火墙_第4页
第4页 / 共24页
tcp-wrapper与防火墙_第5页
第5页 / 共24页
点击查看更多>>
资源描述

《tcp-wrapper与防火墙》由会员分享,可在线阅读,更多相关《tcp-wrapper与防火墙(24页珍藏版)》请在金锄头文库上搜索。

1、第九单元,TCP-Wrapper与防火墙,学习目标,Tcp-wrappers的配置 基于Xinetd服务的访问控制 RHEL5下软件防火墙(iptables)的配置,1、Tcp-wrappers的配置,tcp_wrapper原理 tcp_wrapper配置文件 tcp_wrapper访问控制判断顺序 查看一个服务是否支持tcp_wrapper 后台进程列表描述 客户端列表描述 tcp_wrapper其它配置选项,1.1、tcp_wrapper原理,Telnet、SSH、FTP、POP和SMTP等很多网络服务都会用到TCP Wrapper,它被设计为一个介于外来服务请求和系统服务回应的中间处理软

2、件。 基本处理过程 当系统接收到一个外来服务请求的时候,先由TCP Wrapper处理这个请求,TCP Wrapper根据这个请求所请求的服务和针对这个服务所定制的存取控制规则来判断对方是否有使用这个服务的权限,如果有,TCP Wrapper将该请求按照配置文件定义的规则转交给相应的守护进程去处理同时记录这个请求动作,然后自己就等待下一个请求的处理。,1.2、tcp_wrapper配置文件,tcp_wrapper使用两个非常简单的配置文件来限制客户机的访问。 配置充许访问的客户端 /etc/hosts.allow 配置不充许访问的客户端 /etc/hosts.deny 此文件修改并保存后立即生

3、效。 配置文件的语法结构 基本语法: 后台进程列表: 客户端列表 sshd: 192.168.0.20 #/etc/hosts.deny,1.3、tcp_wrapper访问控制判断顺序,如果同时在“hosts.allow”与“hosts.deny”配置了某个相反的限制,那么最终以哪一个文件为准呢? tcp_wrapper中有访问控制判断顺序明确规定: 访问是否被明确许可,如果是则直接通过。 否则才会判断访问是否被明确禁止,如果是则禁止通过。 如果都没有,默认许可。,1.4、查看一个服务是否支持封装,在Linux系统中有许多服务,包括基于System V服务、基于Xinetd服务。其中 基于Xi

4、netd的服务都是支持tcp_wrapper,因为xinetd服务本身就支持tcp_wrapper。而只有一部分的System V服务支持tcp_wrapper,如:sshd、vsftpd等。 用户可以通过下面的两种方式得知某服务是否支持tcp_wrapper。 strings 可执行工具路径 grep tcp_wrappers|hosts_access ldd 可执行工具路径grep libwrap,1.5、后台进程列表描述,后台进程列表应该是 服务的可执行工具名(如: in.telnetd NO telnetd) 允许指定多项服务 后台进程应该是服务的可执行工具名 例如:telnet-se

5、rver服务的可执行工具是in.telnetd,因此在/etc/hosts.allow及/etc/hosts.deny中应该写in.telnetd,而不是telnet或telnetd。,1.6、客户端列表描述,客户端描述可以包含: IP地址(192.168.0.254) 域名或主机名(, www.wenhua.org ) 子网掩码(192.168.0.0/255.255.255.0或192.168.0.),1.7、tcp_wrapper其它配置选项,客户端描述通配符 ALL:所有 LOCAL:所有主机名中不包含.的主机 UNKNOWN:无法被解析的主机 KNOWN:可以双向解析的主机 PARA

6、NOID:正向解析与反向解析不匹配的主机 EXCEPT(除了XXX) 可用于服务列表与客户端列表 可以层层套用 范例: 除了192.168.0.0/24网段的主机 可以访问本机的服务外,其它主机都不能访问/etc/hosts.deny ALL:ALL EXCEPT 192.168.0.0/255.255.255.0,2、基于xinetd的服务,xinetd服务支持两种访问限制 基于主机 基于时间 在xinetd与tcp_wrapper都限制的情况下: 先检查tcp_wrapper 如果tcp_wrapper允许,再检查xinetd是否也允许 如果tcp_wrapper不允许,则不会再检查基于x

7、inetd的服务限制。,2.配置xinetd访问限制,可以写在/etc/xinetd.d/目录下的文件中 可以使用的控制语句: only_from = 客户端描述 IP:192.168.0.1 网段:192.168.0.0/24 或 192.168.0.0 域: 域名: no_access = 客户端描述 access_times = 时间 控制语句描述 only_from:只有在其后描述的主机才可以使用服务。 no_access:禁止在其后描述的主机使用服务 access_times:客户允许使用服务的时间,3、RHEL5下软件防火墙的配置,防火墙的功能 包过滤防火墙工作原理 Linux下软

8、件防火墙(iptables) iptables组成结构 保存与启动iptalbes iptables配置语法 规则配的顺序,3.1、防火墙的功能,通过使用防火墙可以实现以下功能: 可以保护易受攻击的服务; 控制内外网之间网络系统的访问; 集中管理内网的安全性,降低管理成本; 提高网络的保密性和私有性; 记录网络的使用状态,为安全规划和网络维护提供依据。,3.2、包过滤防火墙工作原理,防火墙技术根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤防火墙、应用代理(网关)防火墙和状态(检测)防火墙。 包过滤防火墙工作在网络层,对数据包的源及目地 IP 具有识别和控制作用,对于传输层

9、,也只能识别数据包是 TCP 还是 UDP 及所用的端口信息。现在的路由器、 Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析,包过滤防火墙的处理速度较快,并且易于配置。,3.3、Linux下软件防火墙(iptables),Linux提供了一个非常优秀的软件防火墙工具netfilter/iptables。它完全免费、功能强大、使用灵活、可以对流入和流出的信息进行细化控制,且可以在一台低配置机器上很好地运行。 netfilter/iptabels应用程序,被认为是Linux中实现包过

10、滤功能的第四代应用程序。 netfilter/iptables可以实现防火墙、NAT(网络地址翻译)和数据包的分割等功能。netfilter工作在内核内部,而iptables则是让用户定义规则集的表结构。,3.4、iptables组成结构,iptables将防火墙的功能分成多个表(tables) filter:用于一般的数据包过滤 NAT:Network Address Translation/网络地址转换 tables又包含多个链(chains),例如包过滤表中就包含了下面三个链: INPUT /在此链中可添加对进来的数据包过滤的规则 OUTPUT/在此链中可添加对出去的数据包过滤规则 FO

11、RWARD/在此链中可添加要转发的数据包过滤规则 每一个链中又包括了很多规则(rule)。,3.5、保存与启动iptalbes,当用户添加了新的规则到链中时,应当保存防火墙的规则以便下次启动计算机时也能生效。 service iptables save 保存后的防火墙配置文件放在/etc/sysconfig/iptables 启动防火墙 service iptables start service iptables stop,3.6、iptables配置语法(表、命令),iptables 指令语法如下: iptables -t table command match target 常见的两个表

12、即:“filter”与“nat” 常用command选项 -A chain:在chain中增添一条规则 -D chain:在chain中删除一条规则 -I chain:在指定的位置插入1条规则 -R chain:替换规则列表中的某条规则 -L chain:列出chain中的规则 -F chain:清空chain中的规则 -X chain:清除预设表filter中使用者自定链中的规则 -P chain:为chain指定新的默认策略 ACCEPT:未经禁止全部许可 DROP:未经许可全部禁止,3.6、iptables配置语法(匹配),iptables命令的可选match部分指定信息包与规则匹配所应

13、具有的特征(如源地址、目的地址、协议等)。 匹配选项包括: -s :来源地址 -d :目标地址 -p :指定协议,可以是tcp/udp/icmp -dport :目标端口,需指定-p -sport :来源端口,需指定-p -i :是指进入的方向的网卡设备 -o:代表出去的方向的网卡设备,3.6、iptables配置语法(目标),目标是由规则指定的操作,对与那些规则相匹配的数据包执行这些操作。 目标选项由选项“-j”指定,包括以下目标: REJECT:拒绝 DROP:忽略 ACCEPT:许可 例1:拒绝192.168.0.1主机Ping本机。 iptables -t filter -A INPU

14、T s 192.168.0.1 p icmp -j REJECT 例2:只充许192.168.0.0/24网段的主机可以通过telnet远程登录本机。 iptables -A INPUT s ! 192.168.0.11 -p tcp -dport 23 -j REJECT,3.7、规则配的顺序,规则配的顺序 规则从上到下读取,如果规则充许访问则直接通过,如果上一个规则明确禁止访问则直接拒绝访问。 当上一个规则没有定义的时候则会比较下一个规则。,练习,1、不允许192.168.0.20的主机来访问本机的SSH服务器。 2、不允许主机访问本机的telnet服务器。 3、不允许网域的主机访问本机的SMB服务器。 4、只允许192.168.0.0/24网段的主机访问本机的FTP服务器。 5、不允许本机接收其它主机发来的邮件。 6、不允许本机发送邮件给其它主机。 7、不允许lonny用户通过imaps下载本机上的邮件。,结束,The End Thanks,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号