欢迎来到天天文库
浏览记录
ID:51964028
大小:2.98 MB
页数:41页
时间:2020-03-26
《Linux网络操作系统配置与管理 教学课件项目8 Linux安全配置.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、项目8Linux安全配置阿福的任务天成公司的Web网站开通之后,网站的访问量一天比一天大。公司也通过网站得到了好几笔订单。老板在暗暗高兴的同时,又产生了新的担心。网络上存在很多威胁,黑客、木马、病毒……公司的网站会不会受到攻击和破坏呢?害人之心不可有,防人之心不可无。咱们防着点吧。额~咱们合计合计、、、阿福的工作计划任务1配置Linux防火墙任务2配置SELinux任务1配置Linux防火墙什么是防火墙防火墙是一种非常重要的网络安全工具,利用防火墙可以保护企业内部网络免受外网的威胁,作为网络管理员,掌握防火墙
2、的安装与配置非常重要。防火墙分成2种:包过滤型防火墙代理服务器型防火墙包过滤型防火墙数据包过滤(PacketFiltering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(AccessControlTable)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,
3、因此,在原有网络上增加这样的防火墙几乎不需要任何额外的费用。包过滤型防火墙代理服务器型防火墙代理服务器型防火墙是应用网关型防火墙,通常工作在应用层。代理服务器实际上是运行在防火墙上的一种服务器程序。服务器监听客户机的请求,如申请浏览网页等。当内网的客户机请求与外网的真实服务器连接时,客户端首先连接代理服务器,然后再由代理服务器与外网真实的服务器建立连接,取得客户想要的信息,代理服务器再把信息返回给客户。代理服务器型防火墙包过滤技术数据包过滤是通过对数据包的IP头和TCP或UDP头的检查来实现的,主要信息有:源
4、、目标IP地址TCP和UDP的源、目的端口号协议类型ICMP消息类型TCP报头中的ACK位、序列号、确认号IP校验和包过滤技术包过滤型防火墙的工作过程:(1)数据包从外网传送给防火墙后,防火墙在IP层向TCP层传输数据前,将数据包转发给包检查模块进行处理。(2)首先与第一条过滤规则进行比较。(3)如果与第一条规则匹配,则进行审核,判断是否允许传输该数据包,如果允许则传输,否则查看该规则是否阻止该数据包通过,如果阻止则将该数据包丢弃。(4)如果与第一条过滤规则不同,则查看是否还有下一条规则。如果有,则与下一条规
5、则匹配,如果匹配成功,则进行与(3)相同的审核过程。(5)依此类推,一条一条规则匹配,直到最后一条过滤规则。如果该数据包与所有的过滤规则均不匹配,则采用防火墙的默认访问控制策略策略(丢掉该数据包,或允许该数据包通过)。Netfilter/iptables架构从1.1内核开始,Linux就已经具有包过滤功能了,随着Linux内核版本的不断升级Linux下的包过滤系统经历了如下3个阶段:在2.0的内核中,采用ipfwadm来操作内核包过滤规则。在2.2的内核中,采用ipchains来控制内核包过滤规则。在2.4之
6、后的内核中,采用一个全新的内核包过滤管理工具——iptables。iptables作为一个管理内核包过滤的工具,iptables可以加入、插入或删除核心包过滤表格(链)中的规则。实际上真正来执行这些过滤规则的是Netfilter(Linux核心中一个通用架构)及其相关模块(如iptables模块和nat模块等)。RHEL6使用2.6版本的内核,并且内核的编译选项中包含对Netfilter的支持,同时iptables软件包是默认安装的,所以可以直接使用。Netfilter/iptables架构Netfilter
7、是Linux核心中的一个通用架构,它提供了一系列的“表”(tables),每个表由若干“链”(chains)组成,而每条链中可以有一条或数条规则(rule)组成。因此,可以理解netfilter是表的容器,表是链的容器,而链又是规则的容器。Netfilter/iptables架构Netfilter总体结构系统缺省的表为“filter”,该表中包含了INPUT、FORWARD和OUTPUT3个链。每一条链中可以有一条或数条规则,每一条规则都是这样定义的:“如果数据包头符合这样的条件,就这样处理这个数据包”。当一
8、个数据包到达一个链时,系统就会从第一条规则开始检查,看是否符合该规则所定义的条件:如果满足,系统将根据该条规则所定义的方法处理该数据包;如果不满足则继续检查下一条规则。最后,如果该数据包不符合该链中所有规则的话,系统就会根据该链预先定义的策略(policy)来处理该数据包。路由选择FORWARD链INPUT链OUTPUT链本地处理进程入站包出站包数据包在Filter表中的流程图有数据包进入系统时,系
此文档下载收益归作者所有