网络安全技术报告-Linux下的防火墙技术与搭建1
需积分: 0 3 浏览量
2022-08-08
19:33:58
上传
评论
收藏 1.1MB DOCX 举报
1
Linux 下的防火墙技术与搭建
袁昊男 2018091618008
【摘要】防火墙是整个数据包要进入主机前的第一道关卡。为了保护网络的安全,
Linux 系统中提供了可靠的防火墙机制 Netfilter,并在此基础上提供了 Iptables 实
现数据包的过滤。本文主要介绍 Iptables 内的 filter 和 NAT 功能,并实现使用
Netfilter 搭建防火墙。
【关键词】防火墙;Netfilter;Iptables;Linux
1 概述
网络安全除了关注网络上的软件漏洞和安全通报之外,还要求能根据环境的
需要,设置符合自身要求的数据包防控机制。防火墙就是可以对流进流出网络的
数据包进行分析和过滤一种安全机制,而在 Linux 系统中本身就提供了 Netfilter
防火墙功能,该功能分析进入网络的数据包,将数据包的头部数据提取出来,以
决定该连接为放行或者抵挡。该方式可以直接分析数据包头部数据,包括硬件地
址(MAC)、软件地址(IP)、TCP、UDP 以及 ICMP 等数据包信息,因此用
途非常广泛。
Iptables 是 Linux 内部集成的信息包过滤系统,是 Linux 内核中的一个通用
框架,该框架定义了数据包过滤子系统的系统功能,提供了 Filter、NAT 和 Mangle
这 3 个链表,默认使用的是 Filter 表。每个表中包括若干条内建的链(Chain),
用户也可在表中创建自定义链。在每条链中,可定义一条或多条过滤规则
(Rule),即链是规则的一个列表。每条规则应指定所要检查的包的特征以及如
何处理与之匹配的包的关系,这种处理被称为目标(Target)。目标值可以是用
户自定义的一个链名,可以根据该链的名字跳转到同一个表内的链里,以便对该
链内的规则进行检查,目标还可以是 ACCEPT、DROP、REJECT 等。
2 Iptables 中的表
2.1 Filter 表
Filter 表主要与进入 Linux 本机的数据包有关,是 Iptables 中默认存在的表之
一。该表内建有 3 个链:INPUT 链用于处理目标地址是本机的数据包;FORWARD
链用于处理要通过或转发的数据包,即目标地址不是本机的数据包;OUTPUT
链用于处理本地进程生成的要外发的数据包。当一个数据包从网卡进入防火墙时,
评论0