收藏
下载资源

第9单元TCPWrapper与防火墙

上传人:博****1 文档编号:579284583 上传时间:2024-08-26 格式:PPT 页数:24 大小:309.03KB
返回 下载 相关 举报
第9单元TCPWrapper与防火墙_第1页
第1页 / 共24页
第9单元TCPWrapper与防火墙_第2页
第2页 / 共24页
第9单元TCPWrapper与防火墙_第3页
第3页 / 共24页
第9单元TCPWrapper与防火墙_第4页
第4页 / 共24页
第9单元TCPWrapper与防火墙_第5页
第5页 / 共24页
点击查看更多>>
资源描述

《第9单元TCPWrapper与防火墙》由会员分享,可在线阅读,更多相关《第9单元TCPWrapper与防火墙(24页珍藏版)》请在金锄头文库上搜索。

1、第九单元第九单元TCP-WrapperTCP-Wrapper与防火墙与防火墙学习目标学习目标Tcp-wrappersTcp-wrappers的配置的配置基于基于XinetdXinetd服务的访问控制服务的访问控制RHEL5RHEL5下软件防火墙(下软件防火墙(iptablesiptables)的配置)的配置1 1、Tcp-wrappersTcp-wrappers的配置的配置tcp_wrappertcp_wrapper原理原理tcp_wrappertcp_wrapper配置文件配置文件tcp_wrappertcp_wrapper访问控制判断顺序访问控制判断顺序查看一个服务是否支持查看一个服务是否

2、支持tcp_wrappertcp_wrapper后台进程列表描述后台进程列表描述客户端列表描述客户端列表描述tcp_wrappertcp_wrapper其它配置选项其它配置选项1.11.1、tcp_wrappertcp_wrapper原理原理TelnetTelnet、SSHSSH、FTPFTP、POPPOP和和SMTPSMTP等很多网络等很多网络服务都会用到服务都会用到TCP Wrapper,TCP Wrapper,它被设计为一个介它被设计为一个介于外来服务请求和系统服务回应的中间处理软于外来服务请求和系统服务回应的中间处理软件。件。基本处理过程基本处理过程当系统接收到一个外来服务请求的时候,

3、先由TCP Wrapper处理这个请求,TCP Wrapper根据这个请求所请求的服务和针对这个服务所定制的存取控制规则来判断对方是否有使用这个服务的权限,如果有,TCP Wrapper将该请求按照配置文件定义的规则转交给相应的守护进程去处理同时记录这个请求动作,然后自己就等待下一个请求的处理。1.21.2、tcp_wrappertcp_wrapper配置文件配置文件tcp_wrapper使用两个非常简单的配置文件来限使用两个非常简单的配置文件来限制客户机的访问。制客户机的访问。配置充许访问的客户端/etc/hosts.allow配置不充许访问的客户端/etc/hosts.deny此文件修改并

4、保存后立即生效。此文件修改并保存后立即生效。配置文件的语法结构配置文件的语法结构基本语法:基本语法:后台进程列表: 客户端列表sshd: 192.168.0.20 #/etc/hosts.deny1.31.3、tcp_wrappertcp_wrapper访问控制判断顺序访问控制判断顺序如果同时在如果同时在“hosts.allow”“hosts.allow”与与“hosts.deny”“hosts.deny”配置了配置了某个相反的限制,那么最终以哪一个文件为准某个相反的限制,那么最终以哪一个文件为准呢?呢?tcp_wrappertcp_wrapper中有访问控制判断顺序明确规定:中有访问控制判断

5、顺序明确规定:访问是否被明确许可,如果是则直接通过。否则才会判断访问是否被明确禁止,如果是则禁止通过。如果都没有,默认许可。1.41.4、查看一个服务是否支持封装、查看一个服务是否支持封装在Linux系统中有许多服务,包括基于System VSystem V服务、基于服务、基于XinetdXinetd服务。其中服务。其中 基于基于XinetdXinetd的服务的服务都是支持都是支持tcp_wrappertcp_wrapper,因为,因为xinetdxinetd服务本身就支服务本身就支持持tcp_wrappertcp_wrapper。而只有一部分的。而只有一部分的System VSystem V

6、服务服务支持支持tcp_wrappertcp_wrapper,如:,如:sshdsshd、vsftpdvsftpd等。等。用户可以通过下面的两种方式得知某服务是否支用户可以通过下面的两种方式得知某服务是否支持持tcp_wrappertcp_wrapper。strings 可执行工具路径 grep tcp_wrappers|hosts_accessldd 可执行工具路径grep libwrap1.51.5、后台进程列表描述、后台进程列表描述后台进程列表应该是后台进程列表应该是服务的可执行工具名(如: in.telnetd NO telnetd)允许指定多项服务后台进程应该是服务的可执行工具名后台

7、进程应该是服务的可执行工具名例如:telnet-server服务的可执行工具是in.telnetd,因此在/etc/hosts.allow及/etc/hosts.deny中应该写in.telnetd,而不是telnet或telnetd。1.61.6、客户端列表描述、客户端列表描述客户端描述可以包含:客户端描述可以包含:IP地址(192.168.0.254)域名或主机名(, www.wenhua.org )子网掩码(192.168.0.0/255.255.255.0或192.168.0.)1.71.7、tcp_wrappertcp_wrapper其它配置选项其它配置选项客户端描述通配符客户端描述

8、通配符ALL:所有LOCAL:所有主机名中不包含.的主机UNKNOWN:无法被解析的主机KNOWN:可以双向解析的主机PARANOID:正向解析与反向解析不匹配的主机EXCEPTEXCEPT(除了(除了XXXXXX)可用于服务列表与客户端列表可以层层套用范例:范例:除了192.168.0.0/24网段的主机 可以访问本机的服务外,其它主机都不能访问/etc/hosts.deny ALL:ALL EXCEPT 192.168.0.0/255.255.255.02 2、基于、基于xinetdxinetd的服务的服务xinetdxinetd服务支持两种访问限制服务支持两种访问限制基于主机基于时间在在

9、xinetdxinetd与与tcp_wrappertcp_wrapper都限制的情况下:都限制的情况下:先检查tcp_wrapper如果tcp_wrapper允许,再检查xinetd是否也允许如果tcp_wrapper不允许,则不会再检查基于xinetd的服务限制。2.2.配置配置xinetdxinetd访问限制访问限制可以写在可以写在/etc/xinetd.d/etc/xinetd.d/目录下的文件中目录下的文件中可以使用的控制语句:可以使用的控制语句:only_from = 客户端描述IP:192.168.0.1网段:192.168.0.0/24 或 192.168.0.0域:域名:no_

10、access = 客户端描述access_times = 时间控制语句描述控制语句描述only_from:只有在其后描述的主机才可以使用服务。no_access:禁止在其后描述的主机使用服务access_times:客户允许使用服务的时间3 3、RHEL5RHEL5下软件防火墙的配置下软件防火墙的配置防火墙的功能防火墙的功能包过滤防火墙工作原理包过滤防火墙工作原理LinuxLinux下软件防火墙(下软件防火墙(iptablesiptables)iptablesiptables组成结构组成结构保存与启动保存与启动iptalbesiptalbesiptablesiptables配置语法配置语法规则

11、配的顺序规则配的顺序3.13.1、防火墙的功能、防火墙的功能通过使用防火墙可以实现以下功能:通过使用防火墙可以实现以下功能:可以保护易受攻击的服务;控制内外网之间网络系统的访问; 集中管理内网的安全性,降低管理成本;提高网络的保密性和私有性;记录网络的使用状态,为安全规划和网络维护提供依据。3.23.2、包过滤防火墙工作原理、包过滤防火墙工作原理防火墙技术根据防范的方式和侧重点的不同而防火墙技术根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤防分为很多种类型,但总体来讲可分为包过滤防火墙、应用代理(网关)防火墙和状态(检测)火墙、应用代理(网关)防火墙和状态(检测)防火墙。

12、防火墙。包过滤防火墙工作在网络层,对数据包的源及包过滤防火墙工作在网络层,对数据包的源及目地目地 IP IP 具有识别和控制作用,对于传输层,也具有识别和控制作用,对于传输层,也只能识别数据包是只能识别数据包是 TCP TCP 还是还是 UDP UDP 及所用的端及所用的端口信息。现在的路由器、口信息。现在的路由器、 Switch Router Switch Router 以及以及某些操作系统已经具有用某些操作系统已经具有用 Packet Filter Packet Filter 控制的控制的能力。由于只对数据包的能力。由于只对数据包的 IP IP 地址、地址、 TCP/UDP TCP/UDP

13、 协议和端口进行分析,包过滤防火墙的处理速协议和端口进行分析,包过滤防火墙的处理速度较快,并且易于配置。度较快,并且易于配置。3.33.3、LinuxLinux下软件防火墙(下软件防火墙(iptablesiptables)LinuxLinux提供了一个非常优秀的软件防火墙工具提供了一个非常优秀的软件防火墙工具netfilter/iptablesnetfilter/iptables。它完全免费、功能强大、使。它完全免费、功能强大、使用灵活、可以对流入和流出的信息进行细化控用灵活、可以对流入和流出的信息进行细化控制,且可以在一台低配置机器上很好地运行。制,且可以在一台低配置机器上很好地运行。net

14、filter/iptabelsnetfilter/iptabels应用程序,被认为是应用程序,被认为是LinuxLinux中实中实现包过滤功能的第四代应用程序。现包过滤功能的第四代应用程序。netfilter/iptablesnetfilter/iptables可以实现防火墙、可以实现防火墙、NATNAT(网络(网络地址翻译)和数据包的分割等功能。地址翻译)和数据包的分割等功能。netfilternetfilter工工作在内核内部,而作在内核内部,而iptablesiptables则是让用户定义规则则是让用户定义规则集的表结构。集的表结构。3.43.4、iptablesiptables组成结构

15、组成结构iptablesiptables将防火墙的功能分成多个表将防火墙的功能分成多个表(tables)(tables)filter:用于一般的数据包过滤NAT:Network Address Translation/网络地址转换tablestables又包含多个链又包含多个链(chains)(chains),例如包过滤表中就,例如包过滤表中就包含了下面三个链:包含了下面三个链:INPUT /在此链中可添加对进来的数据包过滤的规则OUTPUT/在此链中可添加对出去的数据包过滤规则FORWARD/在此链中可添加要转发的数据包过滤规则每一个链中又包括了很多规则(每一个链中又包括了很多规则(rule

16、rule)。)。3.53.5、保存与启动、保存与启动iptalbesiptalbes当用户添加了新的规则到链中时,应当保存防当用户添加了新的规则到链中时,应当保存防火墙的规则以便下次启动计算机时也能生效。火墙的规则以便下次启动计算机时也能生效。service iptables save保存后的防火墙配置文件放在/etc/sysconfig/iptables启动防火墙启动防火墙service iptables startservice iptables stop3.63.6、iptablesiptables配置语法(表、命令)配置语法(表、命令)iptables iptables 指令语法如下:

17、指令语法如下:iptables -t table command match target常见的两个表即:“filter”与“nat”常用command选项-A chain:在chain中增添一条规则-D chain:在chain中删除一条规则-I chain:在指定的位置插入1条规则-R chain:替换规则列表中的某条规则-L chain:列出chain中的规则-F chain:清空chain中的规则-X chain:清除预设表filter中使用者自定链中的规则 -P chain:为chain指定新的默认策略ACCEPT:未经禁止全部许可DROP:未经许可全部禁止3.63.6、iptabl

18、esiptables配置语法配置语法( (匹配匹配) )iptablesiptables命令的可选命令的可选matchmatch部分指定信息包与规部分指定信息包与规则匹配所应具有的特征(如源地址、目的地址、则匹配所应具有的特征(如源地址、目的地址、协议等)。协议等)。匹配选项包括:匹配选项包括:-s :来源地址-d :目标地址-p :指定协议,可以是tcp/udp/icmp-dport :目标端口,需指定-p-sport :来源端口,需指定-p-i :是指进入的方向的网卡设备-o:代表出去的方向的网卡设备3.63.6、iptablesiptables配置语法配置语法( (目标目标) )目标是由

19、规则指定的操作,对与那些规则相匹配的数据目标是由规则指定的操作,对与那些规则相匹配的数据包执行这些操作。包执行这些操作。目标选项由选项目标选项由选项“-j”“-j”指定,包括以下目标:指定,包括以下目标:REJECT:拒绝DROP:忽略ACCEPT:许可例例1 1:拒绝:拒绝192.168.0.1192.168.0.1主机主机PingPing本机。本机。iptables -t filter -A INPUT s 192.168.0.1 p icmp -j REJECT例例2 2:只充许:只充许192.168.0.0/24192.168.0.0/24网段的主机可以通过网段的主机可以通过telne

20、ttelnet远程登录本机。远程登录本机。iptables -A INPUT s ! 192.168.0.11 -p tcp -dport 23 -j REJECT3.73.7、规则配的顺序、规则配的顺序规则配的顺序规则配的顺序规则从上到下读取,如果规则充许访问则直接通过,如果上一个规则明确禁止访问则直接拒绝访问。当上一个规则没有定义的时候则会比较下一个规则。练习练习1 1、不允许、不允许192.168.0.20192.168.0.20的主机来访问本机的的主机来访问本机的SSHSSH服务器。服务器。2 2、不允许、不允许主机访问本机主机访问本机的的telnettelnet服务器。服务器。3 3、不允许、不允许网域的主机访问本机的网域的主机访问本机的SMBSMB服务器。服务器。4 4、只允许、只允许192.168.0.0/24192.168.0.0/24网段的主机访问本机网段的主机访问本机的的FTPFTP服务器。服务器。5 5、不允许本机接收其它主机发来的邮件。、不允许本机接收其它主机发来的邮件。6 6、不允许本机发送邮件给其它主机。、不允许本机发送邮件给其它主机。7 7、不允许、不允许lonnylonny用户通过用户通过imapsimaps下载本机上的邮下载本机上的邮件。件。结束结束The EndThanks

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 工作计划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号