《Linux 网络服务器应用教程 教学课件 ppt 作者 王兴 主编 第十一章安全管理》由会员分享,可在线阅读,更多相关《Linux 网络服务器应用教程 教学课件 ppt 作者 王兴 主编 第十一章安全管理(54页珍藏版)》请在金锄头文库上搜索。
1、第11章 安全管理,本章主要讲述Linux下的Netfilter安全子系统的结构、功能,以及Iptables工具的使用;Ipsec VPN的结构、分类及设置方法。 学习目标: 了解安全威胁 熟悉Netfilter的特点和结构 掌握Iptables的使用 掌握IPsec VPN的设置,11.1 计算机面临的安全威胁概述,目前网络中存在的对信息系统构成的威胁主要表现在如下几个方面: 非授权访问:没有预先经过同意或认可,就使用网络或计算机资源被看作非授权访问,或擅自扩大权限,越权访问信息等。 计算机网络面临的安全威胁主要有:信息泄漏或丢失;破坏数据完整性;恶意添加、修改数据;拒绝服务攻击;网络病毒及
2、木马。,11.2 Linux下的防火墙,11.2.1常见的防火墙类型 常见的防火墙有以下三种类型 1.网络地址转换(NAT)型防火墙 2.包过滤(Packet filter)型防火墙 3.代理(proxy)型防火墙,11.2.2 Iptables概述,Netfilter 是集成到Linux2.4及以后版本核心中的安全子系统,可以提供包过滤、网络地址转换、端口地址转换和其他的包处理功能。Iptables有一个通用的表结构用来存放各种规则,表里的每一条规则包含两部分:一个分类器和一个相关联的动作,在Netfilter中动作也被称作目标。 Iptables的主要特征: 支持IPv4和IPv6的无状态
3、包过滤; 支持IPv4和IPv6的有状态包过滤; 支持IPv4的网络地址转换和端口转换(NAT和NAPT); 灵活、可扩展的架构; 为第三方提供了多个层次的API接口; 丰富的模块/插件,利用Netfilter可以完成的工作: 基于有状态或者无状态包过滤技术构建Internet防火墙; 利用NAT和伪装技术为内部私有地址网络提供外部网络连接; 利用NAT技术实现透明代理; 配合Iproute2系统,可以构建复杂的QoS和策略路由; 对数据包做进一步的操作,如修改IP头中的TOS/DECP/ECN标志。,11.2.3 图形界面的防火墙设置工具,在Gnome中选择菜单“系统”|“管理”|“安全级和
4、防火墙”,或者直接在终端窗口中执行,命令如下: rootlocalhost #system-config-selinux 此工具只能对防火墙做基本的设置,如图11-1所示,如果要做复杂的设置,必需使用命令行工具Iptalbes。,图11-1 SeLinux设置,在图形界面中,如果要开放某种服务,可以选中该服务,也可以把要开放的服务所用的端口号加入“other ports”。防火墙的配置文件为/etc/sysconfig/iptables。实际上图形界面和Iptables的控制作用是一样的。,11.2.4 Iptables的安装,Iptables的正常工作需要 Linux核心的支持,在利用mak
5、e menuconfig编译内核时打开内核选项:NetworkingNetworking optionsNetwork packet filtering(replace ipchains) IP:Netfilter configuration,按需要选择把相应功能,编译并且安装新内核。 到http:/filter.org网站下载最新的Iptables源代码包。最新的源代码包为iptables-1.4.0.tar.bz2。 #tar jxvf iptables-1.4.0.tar.bz2 #cd iptables-1.4.0 #make ;编译 # make install ;安装 #make
6、install-devel ;安装开发包,对开发者有用,11.2.5 启动和停止服务,启动Iptables的服务: #/sbin/service iptables start 重启动Iptables的服务: #/sbin/service iptables restart 设置为系统启动时自动启动该服务: #/sbin/chkconfig level 345 iptables on 停止该服务: /sbin/service ipchains stop,11.2.6 Iptables规则的保存和恢复,iptables-save用来保存当前内存空间的策略,iptables-restore用来将ipt
7、ables配置文件的策略写入内存空间。 iptables-save的命令格式如下: iptables-save c /etc/sysconfig/iptables 或者 sevice iptables save 该命令表示将内存中的规则写入/etc/sysconfig/iptables文件中,同时将当前内存中针对每条策略的流量统计值写入该文件。 iptables-save t nat /etc/sysconfig/iptables 这条命令只保存当前内存中的nat表。,iptables-restore /etc/sysconfig/iptables 这条命令表明将/etc/sysconfig/
8、iptables配置文件中的内容写入内存空间,并覆盖当前内存空间中的所有配置。如果不希望更改当前内存空间中的配置,可以添加-n参数,如下: iptables-restore n /etc/sysconfig/iptables 这表明配置文件只将内存空间中没有的策略添加到内存空间。 另一种运行iptables的方法是使用脚本。,11.2.7 Netfilter的工作原理和基础结构,1. Netfilter的工作原理 Netfilter分为两部分:核心空间和用户空间。在核心空间,Netfilter从底层实现了数据包过滤的各种功能,比如NAT、状态检测以及高级的数据包策略匹配等;在用户空间,Netf
9、ilter为用户提供了控制核心空间工作状态的命令集。 当一个包从以太网卡进入防火墙,Netfilter会对包进行处理,当包匹配了某个表的一条规则的时,会触发一个目标或动作。 ACCPET:余下的规则不再进行匹配而直接将数据包导向目的地; DROP:数据包被阻止,并且不向源主机发送任何回应信息; QUEUE:该数据包被传递到用户空间; REJECT:数据包被丢弃,并且向源主机发送一个错误信息。 每条链都有一个默认的策略,可以是ACCEPT、DROP、REJECT或者QUEUE。,2基础结构 Netfilter中有三类表,分别是filter、nat和mangle,每个表里包含若干个链(chains
10、),每条链里包含若干条规则(rules)。Linux系统收到的或送出的数据包,至少要经过一个表,一个数据包也可能经过每个表里的多个规则,这些规则的结构和目标可以很不相同,但都可以对进入或者送出本机的数据包的特定IP地址或IP地址集合进行控制。特别强调Iptables不依赖于DNS进行工作,所以在Iptables规则中不能出现域名,只能是IP地址,关系如图11-2所示。,图11-2 Netfilter的数据包处理结构,11.2.8 Iptables语法规则,Iptables的语法如下: Iptalbes -t 要操作的表 要操作的链 规则的标识号 匹配条件 -j 匹配以后要进行的动作 操作命令及
11、使用形式: -A:APPEND,在指定链的末尾添加一条新规则。 命令形式: -A ,【例1】在filter表的INPUT链的末尾追加一条规则。 iptables t filter A INPUT j DROP -I:Insert,在指定的链里插入一条新规则。 命令形式:I 规则号码 【例2】在filter表的INPUT链的链首插入一条规则。 #iptables t filter -I INPUT -J ACCEPT 因为filter是默认的表,所以上边的命令也可以写成: #iptables -I INPUT -J ACCEPT 【例3】在filter表的INPUT链里插入一条新规则,序号为5
12、。 #iptables -t filter -I INPUT 5 ACCEPT -D:删除指定的规则。若规则列表中有多条内容相同的规则,则只删除第一条;必需保证被删除的规则是存在的,否则报错。 命令形式:-D ,【例4】删除filter表的第5条规则。 #iptables t filter -D INPUT 5 【例5】从INPUT链中删除内容为“-s 211.84.150.137 j DROP”的规则。 #iptables t filter -D INPUT - s 211.84.150.137 j DROP -P:Policy,设置某个链的默认规则。 命令形式:-P #iptables t
13、 filter P INPUT REJECT 当数据包没有被链的所有规则匹配时,则按链的默认规则处理。此规则前不能加“-j”参数。 -F:清空指定表里的所有规则。 【例6】清空filter表的所有规则。 #iptables F 【例7】清空nat表里POSTROUTING链里的所有规则。 #iptables t nat -F POSTROUTING -R :REPLACE,替换指定的规则。 命令形式:-R ,11.2.9 Iptables的状态机制,iptables共有四种状态,分别被称为NEW、ESTABLISHED、INVALID、RELATED,这四种状态对于TCP、UDP、ICMP三种
14、协议均有效。 NEW:说明这个包是防火墙收到的第一个包,这是conntrack模块看到的某个连接的第一个包。 ESTABLISHED:已经注意到两个方向上的数据传输,而且会继续匹配这个连接的包。只要发送并接到应答,连接就是ESTABLISHED的。一个连接要从NEW变为ESTABLISHED,只需要接到应答包即可,不管这个包是发往防火墙的,还是要由防火墙转发的。ICMP的错误和重定向等信息包也被看作是ESTABLISHED,只要它们是用户所发出的信息的应答。,RELATED:当一个连接和某个已处于ESTABLISHED状态的连接有关系时,就被认为是RELATED的了。也就是说一个连接要想是RE
15、LATED的,首先要有一个ESTABLISHED的连接。这个ESTABLISHED连接再产生一个主连接之外的连接,这个新的连接就是RELATED的。 INVALID:说明数据包不能被识别属于哪个连接或没有任何状态。有几个原因可以产生这种情况,比如内存溢出、收到不知属于哪个连接的ICMP错误信息等。一般地,系统丢弃(DROP)这个状态的任何东西,因为防火墙认为这是不安全的。 Netfilter可以根据连接的状态对数据包进行过滤,这是一个非常好的特性。,11.2.10 配置实例,iptables的所有命令都是以iptables开头,其总体的命令结构如下: iptables -t table com
16、mand match target/jump 1限制内网用户访问外网 使用的参数: Filter表的FORWARD链 匹配条件参数: -s、d 、-p 、sport和 port。 目标:ACCEPT 或 DROP,【例26】禁止地址为192.168.1.100的计算机上网。 #iptables A FORWARD s 192.168.1.100 j DROP 【例27】禁止MAC地址为02:01:00:00:3F的计算机上网。 #iptables A FORWARD m mac mac-source 02:01:00:00:3F j DROP 【例28】禁止内网用户访问白宫政府网站。 #iptables A FORWARD d www.whitehouse.gov j DROP,2.对外网开放内部服务器 需要提前准备好如下参数: 服务协议(TCP/UDP) 对外服务的端口 内部服务的私网IP 内
