没有合适的资源?快使用搜索试试~ 我知道了~
Linux防火墙的设置分享.pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 112 浏览量
2021-12-31
10:17:44
上传
评论
收藏 561KB PDF 举报
温馨提示
Linux防火墙的设置分享.pdf
资源详情
资源评论
资源推荐
基于 Linux 的防火墙的配置
摘 要:介绍了防火墙的基本概念及其主要功能, 分析了与 Linux 系统紧密集成
的 iptables 防火墙的架构、构建工作原理、命令格式及其与内核的交互,最后
给出了 iptables 构建防火墙的一个实例。
关键词: 防火墙; Linux ;iptables
1 引 言
因特网的个人用户和集体用户正在快速增长, 因特网在全世界范围内可共享
的信息也越来越丰富, 同时随之而来的是信息系统的安全性显得越来越重要。 特
别是近来, 黑客入侵和网络病毒大爆发时有发生, 各国政府都在加强在网络安全
技术方面的研究。 为了有效隔离来自 Internet 的外部入侵, 防火墙 (firewall) 技术
正在普及中。除了信息加密技术外,防火墙是当前最重要的一种网络安全技术。
防火墙实际上是一种访问控制技术, 主要作用是通过限制网络或某一特定区
域的通信,阻止对信息资源的非法访问和防止保密信息从受保护网络上非法输
出。它是提供信息安全服务,实现网络和信息安全的基础设施。
1.1 课程设计目的
在学习完计算机网络技术和 Linux 操作系统两门课程后,为了对所学的知识
有一个全面的认识和系统的了解, 通过此次课程设计的实际运用以便达到这些要
求。
1.2 Linux 防火墙的简单介绍
netfilter/iptables 是 Linux 系统提供的一个非常优秀的防火墙工具,它完全免
费、功能强大、 使用灵活、 占用系统资源少, 可以对经过的数据进行非常细致的
控制。本节首先介绍有关 iptables防火墙的基本知识, 包括 netfilter 框架、iptables
防火墙结构与原理、 iptables命令格式等内容。
2 Linux 防火墙的功能
目前市场上有许多商用防火墙软件出售 ,但它们大多价格高昂, 使许多个人及
小企业用户难以承受。 Linux 的出现给了我们一个新的选择。 它提供了一套完全
免费的解决方案 ,其内置防火墙功能非常强大, 甚至超过了许多昂贵的商用软件。
1.1 包过滤功能
根据数据包的包头中某些标志性的字段,对数据包进行过滤。当数据包到达
防火墙时, 防火墙根据包头中的某些字段中的一些或全部进行判断, 决定接受还
是丢弃数据包。 包过滤可能发生在以下几个时刻: 接收到数据包时, 发送数据包
时以及转发数据包时。 Linux 中过滤包的方法如下:
(1)将包头和过滤规则逐一进行匹配。
(2)第一条与包匹配的规则将决定以下采取的行动:首先,此规则指定的
策略将被应用到该包上。应用在一个包的策略包括以下几种:接受 (Accept),即
允许包通过该过滤器;抛弃 (Reject),即丢掉该包并发一个“主机不可到达”的
ICMP 报文回发送者;拒绝 (Deny),即丢掉该包且不发任何返回信息。
其次,修改此规则对应的包和字节计数器的值;再次,一些关于包的信息会
有选择性地被写入日志中。 有的规则中可能含有参数来定义如何改写包头的服务
类型 (TOS)字段,用于确定不同包的优先级。
(3)如果没有与包相匹配的过滤规则,则将对该包采取缺省的过滤规则。
Linux 的包过滤规则可包含如下一些信息:
● 源地址和目的地址以及子网掩码, 其中子网掩码中的 0 表示可以匹配任
何地址;
● 包的类型可以是 TCP,UDP,ICMP 或“any”;
● 源和目的端口号,一条规则中可以指定 10 个以上的端口,也允许指定
端口范围;
● ICMP 报文类型;
● 包中的 ACK 和 SYN 标志,这是为了防止在某个特定方向上建立新的链
接;
● 某块网卡的名字或 IP 地址,这样可以指定在特定的网卡上进出包;
● 指定是否修改包头的 TOS 字段;
● 用一个标志来确定包的一些基本信息是否要被写入日志中。
1.2 代理服务功能
一个完整的防火墙解决方案不仅包括包过滤器 ,而且应该包括某种类型的应
用层代理服务器。所谓代理服务,是指在防火墙上运行某种软件 (称为代理程序),
如果内部网需要与外部网通信, 首先要建立与防火墙上代理程序的连接, 把请求
发送到代理程序; 代理程序接收该请求, 建立与外部网相应主机的连接, 然后把
内部网的请求通过新连接发送到外部网相应主机。 反之亦然。 概括的说, 就是内
部网和外部网的主机之间不能建立直接的连接,而是要通过代理服务进行转发。
代理服务器具有用户级的身份验证, 完备的日志记录和帐号管理等较包过滤器更
加安全的功能。 然而,许多代理机制需要客户端修改软件或修改用户接口, 使用
户意识到正在使用代理服务器。而 Linux 内核支持透明代理服务功能,透明代
理用一种完全透明的方式,将一个经过本防火墙的连接重定向到本地代理服务
器。客户端 (用户和软件 )完全不知道他们的连接被一个代理进程处理,他们认为
自已在直接和指定的服务器对话。
1.3 包伪装功能
Linux 核心提供了一个用于防火墙解决方案的附加功能: IP 包伪装。 IP 包
伪装是 Linux 中的一种网络功能, 它只能用于 TCP/UDP 包,它能使没有 Internet
地址的主机通过有 Internet 地址的主机访问 Internet。如果一台 Linux 服务器用
IP包伪装功能连接到 Internet 上,那私接上它的电脑即使没有获得正式指定
的 IP地址也可以接入 Internet.这些电脑可以隐藏在 Linux 服务器后面存取 Internet
上的信息而不被发现,看起来就好象是服务器在使用 Internet。 Linux 服务器实
现代理功能的方法如下: 当一个内部主机向外发包时, Linux 服务器在转发此 IP
包之前,用自已 IP 地址替换此包的源 IP 地址,并临时产生一个本机端口号来
替换此包的 TCP/UDP 头中的源端口号;同时,内核会记录下此替换。当外部的
返回包到来时 (送往防火墙主机的临时端口 ),服务器能自动识别它,将此返回包
的 IP 地址和端口号替换成内部主机的地址和端口号, 发给内部主机。 分组过滤
方式如下图 2.1 所示。
剩余12页未读,继续阅读
hyh15959933972
- 粉丝: 0
- 资源: 8万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0