收藏
下载资源

第7章防火墙ipchains和iptables

上传人:桔**** 文档编号:568402960 上传时间:2024-07-24 格式:PPT 页数:41 大小:218.50KB
返回 下载 相关 举报
第7章防火墙ipchains和iptables_第1页
第1页 / 共41页
第7章防火墙ipchains和iptables_第2页
第2页 / 共41页
第7章防火墙ipchains和iptables_第3页
第3页 / 共41页
第7章防火墙ipchains和iptables_第4页
第4页 / 共41页
第7章防火墙ipchains和iptables_第5页
第5页 / 共41页
点击查看更多>>
资源描述

《第7章防火墙ipchains和iptables》由会员分享,可在线阅读,更多相关《第7章防火墙ipchains和iptables(41页珍藏版)》请在金锄头文库上搜索。

1、第第7章章 防火墙防火墙(ipchains和和iptables)7.1 Linux防火墙应用防火墙应用7.2 应用应用ipchains做防火墙做防火墙7.3 应用应用iptables做防火墙做防火墙本章提要本章提要 Linux防火墙的基本概念防火墙的基本概念 实验网络环境的构建实验网络环境的构建 使用使用ipchains配置防火墙配置防火墙 使用使用iptables配置防火墙配置防火墙 Netfilter/Iptable/NAT综合应用实例综合应用实例7.1 Linux防火墙应用防火墙应用防火墙是一类安全防范措施的统称,防火墙是一类安全防范措施的统称,是计算机网络系统总体安全策略的重要组是计算

2、机网络系统总体安全策略的重要组成部分。防火墙通过特定的硬件和软件系成部分。防火墙通过特定的硬件和软件系统在两个网络之间执行访问控制策略,从统在两个网络之间执行访问控制策略,从而达到保护网络之间通信安全的目的。而达到保护网络之间通信安全的目的。7.1.1 Linux防火墙的基本技术7.1.1.1 Linux防火墙概述包过滤是防火墙的基本功能,包过滤技术包过滤是防火墙的基本功能,包过滤技术一般在网络层对数据包进行选择,其依据是系统一般在网络层对数据包进行选择,其依据是系统内设置的过滤逻辑规则,称之为访问控制表。通内设置的过滤逻辑规则,称之为访问控制表。通过检查数据流中每个数据包的地址、协议、端口过

3、检查数据流中每个数据包的地址、协议、端口和协议状态等信息,来决定是否允许该数据包通和协议状态等信息,来决定是否允许该数据包通过。由包过滤技术所实现的数据包过滤防火墙比过。由包过滤技术所实现的数据包过滤防火墙比较实用,本章主要应用包过滤型防火墙技术。较实用,本章主要应用包过滤型防火墙技术。状态检测是在传统数据包过滤的功能状态检测是在传统数据包过滤的功能上进行的扩展,也称为动态数据包过滤,上进行的扩展,也称为动态数据包过滤,是是Linux 2.4内核提出的新功能。内核提出的新功能。 7.1.1.2 包过滤型防火墙包过滤型防火墙的规则是由一组接收包过滤型防火墙的规则是由一组接收和禁止规则列表组成,规

4、则列表中定义了和禁止规则列表组成,规则列表中定义了数据包是否可以通过网络接口。数据包是否可以通过网络接口。7.1.1.3 输入包过滤输入和输出规则链的工作原理是基于输入和输出规则链的工作原理是基于源地址、目的地址、源端口、目的端口和源地址、目的地址、源端口、目的端口和TCP状态标识决定是否过滤,这些信息是状态标识决定是否过滤,这些信息是过滤规则所分析的直接信息。过滤规则所分析的直接信息。1远程源地址过滤(1)假冒本地)假冒本地IP地址地址(2)回环接口地址)回环接口地址(3)声称)声称A、B、C类内部专用类内部专用IP地址地址(4)D类类IP地址地址(5)E类类IP地址地址(6)畸形广播地址)

5、畸形广播地址2本地目的地址过滤本地目的地址过滤3远程源端口过滤远程源端口过滤4本地目的地址过滤本地目的地址过滤5输输入入包包的的TCP连连接接状状态态过过滤滤6对刺探和扫描的过滤对刺探和扫描的过滤7 针 对 拒 绝 服 务 攻 击(DOS攻击)的过滤(1)优化对外提供服务的主机)优化对外提供服务的主机(2)优化路由及网络结构)优化路由及网络结构(3)追踪攻击数据包)追踪攻击数据包(4)采取有效的防范手段)采取有效的防范手段8过滤输入数据包(1)源路由数据包)源路由数据包(2)数据包分段)数据包分段7.1.1.4 输出包过滤1本地源地址过滤2远程目的地址过滤3本地源端口过滤4远程目的地址过滤5T

6、CP连接状态过滤7.1.2 Linux防火墙管理工具7.1.2.1 ipchains7.1.2.2 netfilter与iptables1netfilternetfilter提供了一个抽象、通用化的框提供了一个抽象、通用化的框架,它定义一个数据包过滤子系统。架,它定义一个数据包过滤子系统。 netfiher框架包含以下三部分。框架包含以下三部分。(1)为每种网络协议()为每种网络协议(1Pv4、IPv6等)定义一套挂钩函数(等)定义一套挂钩函数(1Pv4定义了定义了5个个挂钩函数),这些挂钩函数在数据包流过挂钩函数),这些挂钩函数在数据包流过协议栈的几个关键点被调用。在这几个点协议栈的几个关键

7、点被调用。在这几个点中,协议栈将把数据包及挂钩函数标号作中,协议栈将把数据包及挂钩函数标号作为参数调用为参数调用netfilter框架。框架。(2)内核的任何模块可以对每种协议)内核的任何模块可以对每种协议的一个或多个挂钩进行注册,实现挂接。的一个或多个挂钩进行注册,实现挂接。这样当某个数据包被传递给这样当某个数据包被传递给netfilter框架时,框架时,内核能检测是否有模块对该协议和挂钩函内核能检测是否有模块对该协议和挂钩函数进行了注册。若已经注册就调用该模块数进行了注册。若已经注册就调用该模块注册时使用的回调函数。这样,这些模块注册时使用的回调函数。这样,这些模块就有机会检查、修改或丢弃

8、该数据包,并就有机会检查、修改或丢弃该数据包,并且指示且指示netfilter将该数据包传入用户空间的将该数据包传入用户空间的队列。队列。(3)那些排队的数据包被传递给用户)那些排队的数据包被传递给用户空间进行异步处理。空间进行异步处理。 2 netfilter的 配 置 工 具iptables(1)数据包过滤)数据包过滤(2)网络地址转换)网络地址转换(3)数据包处理)数据包处理7.1.3 实验网络系统配置7.1.3.1 实验网络系统的硬件7.1.3.2 实验网络系统的软件7.1.3.3 实验网络环境的基本配置与测试7.2 应用应用ipchains做防火墙做防火墙7.2.1 内核配置7.2.

9、2 ipchains应用规则7.2.2.1 熟悉ipchains规则ipchains规则包含三个要素:规则包含三个要素:1该规则属于的链的名字;该规则属于的链的名字;2该规则的匹配器,指定哪个数据包该规则的匹配器,指定哪个数据包匹配的规范或一组规范,也指定何时使用匹配的规范或一组规范,也指定何时使用这个规则;这个规则;3目标目标(target),当规则匹配一个数,当规则匹配一个数据包真正要执行的任务。据包真正要执行的任务。有有7种可能的目标,如表种可能的目标,如表7-2所示。所示。7.2.2.2 ipchains工具的应用方法7.2.3 配置实例7.2.3.1 初始化防火墙7.2.3.2 激活

10、DNS服务7.2.3.3 激活公用TCP服务7.2.3.4 ipchains规则脚本程序实例7.2.4 常见问题分析7.2.4.1 安装调试防火墙1安装防火墙的问题2运行防火墙规则的问题3调试时需注意的问题7.2.4.2 查看防火墙规则1列出已经定义的规则2列出输入规则链中的规则举例 3列出输出规则链中的规则举例 7.2.4.3 单数据测试7.3 应用应用iptables做防火墙做防火墙7.3.1 内核配置使用使用iptables做防火墙,必须将这种类做防火墙,必须将这种类型的功能支持编译到型的功能支持编译到Linux内核中。在规内核中。在规范的内核源代码中已经被缺省激活的网络范的内核源代码中

11、已经被缺省激活的网络选项之外,为了配合选项之外,为了配合iptables的配置,表的配置,表7-6中的网络选项也要被激活。中的网络选项也要被激活。7.3.2 iptables应用规则7.3.2.1 iptables规则iptables规则包含四个要素:规则包含四个要素:1该规则属于的表;该规则属于的表;2该规则属于的链;该规则属于的链;3该规则的匹配器,指定哪个数据包该规则的匹配器,指定哪个数据包匹配的规范或一组规范,也指定何时使用匹配的规范或一组规范,也指定何时使用这个规则;这个规则;4目标(目标(target),当规则匹配一个),当规则匹配一个数据包真正要执行的任务。数据包真正要执行的任务

12、。7.3.2.2 iptables工具的应用方法1iptables的调用语法iptables命令包括五个部分:命令包括五个部分:(1)工作在哪个表上;)工作在哪个表上;(2)使用该表的哪个链;)使用该表的哪个链;(3)具体操作(增加、插入、删除、)具体操作(增加、插入、删除、修改、清空链表等);修改、清空链表等);(4)对特定规则的目标动作;)对特定规则的目标动作;(5)匹配数据包条件。)匹配数据包条件。iptables的调用语法格式如下:的调用语法格式如下:iptables -t table -operation chain rule-spec|num options2索引在应用在应用ipt

13、ables工具时,可根据如下索工具时,可根据如下索引查到关于引查到关于iptables的使用方法。的使用方法。iptables -AD chain rule-specification optionsiptables -RI chain rulenum rule-specification optionsiptables -D chain rulenum optionsiptables -LFZ chain optionsiptables -NX chainiptables -E old-chain-name new-chain-nameiptables -P chain target optionsiptables -h (print this help information)3iptables命令和选项iptables命令的参数和说明见表命令的参数和说明见表7-8。4基于状态的匹配iptables可以使用状态模块,基于数据可以使用状态模块,基于数据包的状态创建规则匹配。创建规则的格式包的状态创建规则匹配。创建规则的格式如下:如下:iptables -m state -state ! state,state,状态匹配模块见表状态匹配模块见表7-10。7.3.3 配置实例

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 医学/心理学 > 基础医学

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号