6.1 Linux防火墙的发展
防火墙(firewall)实际上是一种访问控制技术,主要作用是通过限制网络或某一特定区域的通信,阻止对信息资源的非法访问和防止保密信息从受保护网络上非法输出。它是提供信息安全服务,实现网络和信息安全的基础设施。目前实现防火墙的主要技术有:数据包过滤和应用代理。
(1) 包过滤
包过滤(packet,filter)技术是在网络层中对数据包实施有选择的通过。依据系统内预先设定的过滤规则,检查数据流中每个数据包,根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素采确定是否允许数据包通过,其核心是安全策略即过滤规则的设计。
(2)应用代理
应用代理(application proxy)作用在应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用.内部网络只接受代理提出的服务请求,拒绝外部网络其它接点的直接请求. 在实际应用当中,构筑防火墙的“真正的解决方案”很少采用单一的技术,通常是多种解决不同问题的技术的有机组合.大多数防火墙将数据包过滤和应用代理服务器结合起来使用.
一、 Nefilter简介
从1.1内核开始,Linux开始具有包过滤功能了,2.0的内核中则采用iPfwadm来操作内核包过滤规则。1998年在2.2的内核中,以ipchains取代了ipfwadm。 ipchains是以内核级运行的C及C++代码,没有很好地提供从用户空间访问ipchains的接口,导致防火墙应用程序不能使用许多常用的语言编写,如Perl,Tcl或Java.这就限制Ipchains的可扩展性。认识到以上问题。Rusty Russell在l 998年启动了Netfilter计划创建一个通用的框架结构用于包的修改和处理.
二、
Netfilter的特点
Netfilter是Linux2.4.x内核中用于包处理的抽象、通用化的框架,它为每种网络协议(IPv4、IPv6等)定义一套钩子函数(hook),其中IPv4定义了5个钩子函数。内核的模块可以对每种协议注册多个钩子,这样当某个数据包通过Netfilter框架时。Netfilter检测是否有任何模块对该协议和钩子函数进行了注册。若有,则将该数据包传结这些模块处理。Netfilter提供了数据包过滤(filter表),网络地址转换(NAT表)及数据包处理(mangle表)三种数据包处理能力。
6.2 iptables的配置方法
(1) 对链的操作
建立一个新链 (-N)。
删除一个空链 (-X)。
改变一个内建链的原则 (-P)。
列出一个链中的规则 (-L)。
清除一个链中的所有规则 (-F)。
归零(zero) 一个链中所有规则的封包字节(byte) 记数器 (-Z)。
(2) 对规则的操作
加入(append) 一个新规则到一个链 (-A)的最后。
在链内某个位置插入(insert) 一个新规则(-I),通常是插在最前面。
在链内某个位置替换(replace) 一条规则 (-R)。
在链内某个位置删除(delete) 一条规则 (-D)。
删除(delete) 链内第一条规则 (-D)。
(3) 指定源地址和目的地址
通过--source/--s
最低0.47元/天 解锁文章
636
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
