第十八章：防火墙设置.ppt

1、第三部分：网络与安全管理 第十八章：防火墙设置,本章目标,了解Linux防火墙，并掌握Linux防火墙配置工具iptables的一般应用。,防火墙分类（一）,软件防火墙（个人防火墙）： 如：天网、各杀毒软件厂商的个人防火墙软件等硬件防火墙（PC架构，依赖于小型化的OS系统）： 如：首创前锋红旗防火墙等 芯片级防火墙（基于ASIC芯片）： 如：NetScreen、Cisco PIX、Cisco ASA等,包过滤防火墙： 包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。 应用网关防火墙： 不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱。 状态检测防

2、火墙： 不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。 复合型防火墙： 可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。,防火墙分类（二）,防火墙术语（一）,网关： 防火墙可以起到网关的作用。 DMZ（Demilitarized Zone ）： 内部网中需要向外提供服务的服务器往往放在一个单独的网段，这个网段便是非军事化区。防火墙一般配备三块网卡，在配置时一般分别连接内部网，internet和DMZ。 吞吐量： 防火墙对数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。 最大

3、连接数： 和吞吐量一样，数字越大越好。最大连接数更贴近实际网络情况，网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源，因此最大连接数成为考验防火墙这方面能力的指标。,防火墙术语（二）,数据包转发率： 防火墙对数据流量的处理速度。 SSL： Secure Sockets Layer是由Netscape公司开发的一套Internet数据安全协议，当前版本为3.0。广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。 网络地址转换： 网络地址转换（NAT）是一种将一个IP地址域映射到另一个

4、IP地址域技术，可为主机提供透明路由。NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。堡垒主机： 一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。,防火墙默认策略,防火墙用于实现访问控制策略。设置默认防火墙策略的两个基本方法：默认禁止一切，明确地允许被选择的数据包通过。默认接受一切，明确地禁止被选择的数据包通过。,netfilter/iptables的典型应用,netfilter/iptables的典型应用作为主机防火墙实现外部网络与主机之间的访问控制

5、作为网络防火墙提供外部网络与内部网络的访问控制作为网关服务器实现（NAT）功能，实现内部网络共享上网netfilter/iptables可以在Linux系统中实现网络防火墙的各种常用功能,检查防火墙安装,检查iptables是否安装：# rpm -qa | grep “iptables“ 如果安装，则显示：iptables-1.2.11-3.1.RHEL4iptables（2.4.x & 2.6.x）是“IPv4包过滤和NAT的管理工具”，习惯性指代Linux的防火墙。Netfilter是用来实现Linux内核中防火墙的Linux内核空间程序代码段。（直接编译进内核，或成为内核的模块） 官方网

6、站： http:/filter.org/ipfwadm（2.0.x）和ipchains（2.2.x）是早期的IPFW（IP防火墙）管理工具,iptables软件包中的管理命令,/sbin/iptables 是主要的管理命令，对网络防火墙功能的管理都是通过iptables命令实现的/sbin/iptables-save 命令可以将当前系统中的防火墙设置进行保存/sbin/iptables-restore 命令可以将使用iptables-save命令保存的防火墙策略配置恢复到当前系统中,iptables服务的启动与停止,iptables服务启动脚本/etc/rc.d/init.d/iptables

7、 iptables配置文件与策略设置文件 iptables配置文件/etc/sysconfig/iptables-config 策略设置文件/etc/sysconfig/iptables iptables服务的启动与停止 #chkconfig iptables off/on# service iptables start/stop/restart,策略保存,iptables命令的设置在系统中即时生效 使用iptables命令手工进行的防火墙策略设置如果不进行保存将在系统下次启动时丢失保存策略：iptables-save命令缺省只将配置信息显示到标准输出# iptables-save 如果保存输

8、出，可进行输出重定向# iptables-save iptables.v1.0,策略恢复,iptables-restore命令从标准输入或输入重定向获取设置#iptables-restore iptables.v1.0 iptables-restore命令可快速恢复指定版本的防火墙配置#iptables-restore iptables.v1.0 #iptables-restore iptables.v2.0,/etc/sysconfig/iptables,在保存防火墙当前配置前应先将原有配置进行备份# cp /etc/sysconfig/iptables iptables.bakiptabl

9、es脚本的save命令可以保存防火墙配置# service iptables save 内容将保存在“/etc/sysconfig/iptables” ，原内容被覆盖,iptables规则链,iptables缺省具有5条规则链,iptables规则表,iptables缺省具有3个规则表Filter： 用于设置包过滤NAT： 用于设置地址转换Mangle： 用于设置网络流量整形等应用不同的规则表由不同的规则链组成:Filter： INPUT、FORWARD、OUTPUTNAT：PREROUTING、POSTROUTING、OUTPUTMangle：PREROUTING、POSTROUTING、I

10、NPUT、OUTPUT、FORWARD,查看防火墙当前配置,使用iptables命令查看防火墙当前配置# iptables -L 使用service命令查看防火墙当前配置#service iptables status,iptables命令的操作对象,Page 18/47,规则表（table）: 由规则链的集合组成，不同的规则表用于实现不同类型的功能规则链（chain）: 由规则的集合组成，保存在规则表中；在规则表中不同的规则链代表了不同的数据包流向规则（rule）: 是最基本的设置项，用于对防火墙的策略进行设置；流经某个数据链的数据将按照先后顺序经过规则的“过滤”,iptables命令格式,

11、iptables命令格式：iptables -t table -AD chain rule-specification optionsiptables -t table -I chain rulenum rule-specification optionsiptables -t table -R chain rulenum rule-specification optionsiptables -t table -D chain rulenum optionsiptables -t table -LFZ chain optionsiptables -t table -N chainiptable

12、s -t table -X chainiptables -t table -P chain target optionsiptables -t table -E old-chain-name new-chain-name,iptables命令选项,iptables命令选项：-t 指定规则表 -L chain 显示规则链中的规则 -F chain 清空规则链（或指定）中的规则 -N 创建用户自定义规则链 -X chain 删除规则链（或指定） -P 设置规则链的默认规则 -E 重命名规则链-A chain rule-specification 指定规则链中添加规则 -D chain rule-s

13、pecification 指定规则链中删除规则 -I chain rulenum rule-specification 指定规则链中插入规则 -R chain rulenum rule-specification 指定规则链中替换规则 ,iptables命令参数,iptables命令参数： -p !protocol 指定协议 -s !address /mask 指定源IP地址 -d !address /mask 指定目标IP地址 -j target 指定跳转目标（动作/自定义规则链） -i ! name 指定进接口 -o ! name 指定出接口 -sport port 指定源端口 -dpor

14、t port 指定目标端口 -sports port,port,port. 指定多个源端口 -dports port,port,port. 指定多个目录端口 -ports port,port,port. 指定多个双向端口 -icmp-type ! typename 指定icmp类型 -mac-source ! address 指定源MAC地址 -tcp-flags ! mask comp 指定TCP协议标志 ,iptables命令的使用（一）,查看规则表的内容 基本语法:iptables -t table -L chain options不指定表名称时查看filter表的内容#iptables

15、 -L 查看指定的规则表#iptables -t filter -L#iptables -t nat -L #iptables -t mangle -L,iptables命令的使用（二）,清空表中的规则 命令格式：iptables -t table -F chain options清空filter表中的所有规则# iptables -F 清空指定表中的所有规则#iptables -t filter -F#iptables -t nat -F#iptables -t mangle -F,iptables命令的使用（三）,删除表中的自定义规则链 命令格式：iptables -t table -X

16、chain删除filter表中的规则链#iptables -X 删除指定表中的规则链#iptables -t filter -X#iptables -t nat -X#iptables -t mangle -X,iptables命令的使用（四）,设置默认规则： #iptables -t filter -P INPUT DROP #iptables -t filter -P FORWARD ACCEPT #iptables -t filter -P OUTPUT ACCEPT#iptables -t nat -P PREROUTING ACCEPT #iptables -t mangle -P

17、PREROUTING ACCEPT 只有内建规则链才能够设置“缺省策略” 将filter表的INPUT缺省策略设置为“DROP”，比较严谨 数据包的过滤由上至下进行前允许后拒绝 两条规则都有效前拒绝后允许 后条规则无效,iptables命令的使用（五）,添加规则： 命令格式：iptables -t table -A chain rule-specification options在INPUT规则链中添加规则，允许来自“lo”网络接口中所有数据包 # iptables -A INPUT -i lo -j ACCEPT 在INPUT规则链中添加规则，允许“eth0”网络接口中来自“192.168.

18、1.0/24”子网的所有数据包# iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT,iptables命令的使用（六）,删除规则： 命令格式：iptables -t table -D chain rule-specification options删除规则的iptables命令与添加规则的命令格式类似 删除INPUT规则表中已有的规则# iptables -D INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT,实例2-1,# iptables -F # iptables -X # iptables -Z

19、# iptables -P INPUT DROP # iptables -A INPUT -i lo -j ACCEPT # iptables -A INPUT -i eth0 -p tcp -dport 22 -j ACCEPT # iptables -A INPUT -i eth0 -p tcp -dport 80 -j ACCEPT # iptables -A INPUT -i eth0 -p tcp -dport 3128 -j ACCEPT # service iptables save,防火墙配置实例2-2,设置Linux作为网关服务器: 配置需求: eth0网络接口与公司的内部网

20、络相连,IP地址为192.168.0.1/24 ppp0是linux主机的拨号网络接口，与互联网相通 局域网中主机通过Linux网关服务器与外部互联网进行通信 关键配置命令： #iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE配置需求: eth1网络接口与公司的内部网络相连,IP地址为192.168.0.1/24 eth0是linux主机的外网接口，与互联网相通 局域网中主机通过Linux网关服务器与外部互联网进行通信 关键配置命令: #iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE,本章总结,Linux防火墙Netfilter具有强大的功能，使用Linux防火墙配置工具iptables可以配置具有复杂功能的防火墙，用以保护服务器、保护其它服务器、使局域网主机共享上网等。,