返回
Netfilter ipta

Netfilter ipta

ID:37581959

大小:3.50 MB

页数:67页

时间:2019-05-25

Netfilter ipta_第1页
Netfilter ipta_第2页
Netfilter ipta_第3页
Netfilter ipta_第4页
Netfilter ipta_第5页
资源描述:

《Netfilter ipta》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、0102030405060708第2章LinuxNetfilter/iptables第2章Netfilter/iptables22501第1章简要介绍了防火墙的原理及部署要领,本章将循序渐进地介绍Linux防火墙的核心部分,并采用深入浅出的方式完整描述Linux防火墙的四大功能,分别是:filter、nat、mangle及raw,最后再结合我所设计的实际示例进行讨论。022.1何谓内核03内核(Kernel)指的是操作系统的内核。内核的功能到底是什么呢?其实内核对于操作系04统来说,是极为重要的部分,其主要用来执行系统资源的分配及调

2、度。例如,当一个应用程序运行时所使用内存区段的起始和终止位置,或者在现在这个时刻哪个应用程序可以访问硬盘等,都由内核来负责分配;而一个操作系统稳定与否,内核的优劣将是关键的指标。05虽然Linux是自由软件,但这并不代表Linux上不了台面,正好相反,Linux拥有很多商用版本的UNIX操作系统尚不具备的高级功能。Linux防火墙就是一个很好的例子,无论其扩展06性、稳定性还是安全性,绝对堪称业界的翘楚。Linux内置的防火墙因其发展年代的不同,会有所差异,如表2-1所示。表2-1 内核版本与防火墙机制的对应表07内核版本主要的防火

3、墙机制Kernel2.0ipfwadm08Kernel2.2ipchainsLinuxKernel2.4/2.6Netfilter/iptables网络安全技术与实现(第在此要澄清一个概念,就是Linux这个名词的含义,很多人都曾说“我所使用的是Linux操作系统”,但这样的叙述并不是很正确,事实上,我们所使用的CentOS(或者FedoraLinux、SuseLinux、RedHadEnterpriseLinux等)都由两大部分共同组成。如图2-1所示,图的底部是内核,上部则是由应用程序所组合而成,只有这两个部分结合在一起,才会是

4、一个完整的操作系统;而其中内核是由LinusTorvalds所带领的团队开发完成的(其官方网站是http://www.kernel.org),而应用程序部分则由因特网上无私的程序设计师们所贡献的,而其中又以2版)GNU这个计划贡献得最多,因此一个完整的操作系统应该包含“Linus所带领的团队”,再加上“GNU这个计划”的心血结晶而成,所以这个系统比较正确的名称应该是GNU/Linux。因此,千万别再说你所学的系统叫Linux,因为Linux所指的只是“内核”部分而已。图2-1 Linux系统的组成26012.2何谓Netfilter

5、02由于Linux的高安全性、高稳定性以及高性能的特性,加上Linux的源代码完全开放,因而让Linux拥有极为广泛的使用群体,例如,航天工业、军事工业甚至IT产业都有Linux的身影。但不管Linux多么强大,也不可能完全满足每种产业的需要,所幸Linux的源代码是完03全公开的,程序设计师可以依据自己的需要,在Linux内额外添加所需的功能,这样的例子比比皆是。Netfilter就是在这种模式下诞生的,也因为这样的特性,Linux才会如此快速04地成长。Netfilter可以说是Linux的第三代防火墙,在此之前,还有ipfwa

6、dm及ipchains两种防火墙。但由于Netfilter防火墙比ipfwadm及ipchains出色得多,因此Linux组织就将Netfilter作为05其默认防火墙。虽然Netfilter是自由软件,但其功能、稳定性、安全性及可扩展性却丝毫不逊于商用版的防火墙,甚至Netfilter有许多高级功能是商用版防火墙所不及的。例如,06Netfilter在网络层位置就可以直接检查单一数据包所承载的数据内容,而无需用到应用层防火墙。072.3Netfilter与Linux的关系08Netfilter与Linux是两个相互独立的组织,事实

7、上,在Linux2.4早期的版本中,并没有包第含Netfilter的功能,是到后期的版本,Linux这个组织才把Netfilter的功能收录进来。下面通过2章图2-2来说明Netfilter、Linux、GNU/Linux发行组织以及使用者之间的一些关系。从图2-2可以看到,Linux是由www.kernel.org这个组织所开发的,而Netfilter却是由www.Netfilter/iptablesnetfilter.org组织为Linux所开发的一个新功能,但因为这个功能设计得非常完善,因此www.kernel.org这个组织

8、每隔一段时间就会到www.netfilter.org下载最新版本的Netfilter源代码,并且将之加入到自己所开发的Linux系统中。但www.kernel.org上所存放的都只是Linux的程序源代码,而这些源代码只有经过编译,才

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。