返回
Linux防火墙及其配置.ppt

Linux防火墙及其配置.ppt

ID:55829061

大小:364.50 KB

页数:24页

时间:2020-06-09

Linux防火墙及其配置.ppt_第1页
Linux防火墙及其配置.ppt_第2页
Linux防火墙及其配置.ppt_第3页
Linux防火墙及其配置.ppt_第4页
Linux防火墙及其配置.ppt_第5页
资源描述:

《Linux防火墙及其配置.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、LINUX防火墙及其配置许永全15610093内容防火墙概述Iptables防火墙的安装和配置防火墙概述在计算机网络中,防火墙是一种装置,它是由软件或硬件设备组合而成,通常处于企业的内部局域网与Internet之间,限制Internet用户对内部网络的访问以及管理内部用户访问Internet的权限。它实际上是一种隔离技术,是在两个网络通讯时执行的一种访问控制策略,它能允许“可以访问”的人和数据进入网络,同时将“不允许访问”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问网络。如果不通过防火墙,公司内部的人就无法访问Int

2、ernet,Internet上的人也无法和公司内部的人进行通信。防火墙的功能防火墙由于处于网络边界的特殊位置,因而被设计集成了非常多的安全防护功能和网络连接管理功能。1.防火墙的访问控制功能2.防火墙的防止外部攻击3.防火墙的地址转换4.防火墙的日志与报警5.防火墙的身份认证防火墙技术按照实现技术分类防火墙的基本类型有:包过滤型;代理服务型;状态检测型。防火墙的包过滤技术包过滤(PacketFilter)通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。包过滤是一种安全筛选机制,它控制哪些数据包可以进出网络而哪些

3、数据包应被网络所拒绝。防火墙的应用代理技术代理服务(ProxyService)系统一般安装并运行在双宿主机上。双宿主机是一个被取消路由功能的主机,与双宿主机相连的外部网络与内部网络之间在网络层是被断开的。这样做的目的是使外部网络无法了解内部网络的拓扑。这与包过滤防火墙明显不同,就逻辑拓扑而言,代理服务型防火墙要比包过滤型更安全。防火墙的状态检测技术状态检测防火墙在网络层由一个检测模块截获数据包,并抽取与应用层状态有关的信息,并以此作为依据决定对该连接是接受还是拒绝。检测模块维护一个动态的状态信息表,并对后续的数据包进行检查。

4、一旦发现任何连接的参数有意外的变化,该连接就被中止。这种技术提供了高度安全的解决方案,同时也具有较好的适应性和可扩展性。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性。状态检测检查OSI七层模型的所有层,以决定是否过滤,而不仅仅对网络层检测,状态检测型防火墙如图所示。状态检测技术首先由CheckPoint公司提出并实现。目前许多包过滤防火墙中都使用多层状态检测。IPTABLES简介Netfilter/iptables(以下简称为iptables)组成Linux平台下的包过滤防火墙,与大多数Linux下的软件一样,这

5、个包过滤防火墙是免费的,它可以替代昂贵的商业级防火墙,完成数据包过滤、数据包重定向和网络地址转换(NAT)等功能。IPTABLES简介(续)iptables/netfilter包过滤防火墙其实由两个组件构成,一个是netfilter、一个是iptables。iptables只是一个管理内核包过滤的根据,它可以加入、插入或删除核心包过滤表格(链)中的规则,这些规则告诉内核中的netfilter组件如何去处理信息包。也就是说,实际上真正执行这些过滤规则的是netfilter及相关模块(如iptables模块和nat模块)。net

6、filter是Linux内核中的一个通用架构,它提供了一系列的表(tables),每个表由若干个链(chains)组成,而每个链可以由一条或若干条规则(rule)组成。可以这样理解,netfilter是表的容器,表是链的容器,而链又是规则的容器。IPTABLES简介(续)系统缺省的表为“filter”,该表中包含了INPUT、FORWARD、OUTPUT等3个链。每一个链中有一条或数条规则,每一条规则都是这样定义的“如果数据包头符合这样的条件,就这样处理数据包”。当一个数据包到达一个链时,系统就会从第一条规则开始检查,看是否

7、符合该规则所定义的条件:如果满足,系统将根据该条规则所定义的方法处理该数据包;如果不满足则继续检查下一条规则。最后,如果该数据包不符合该链中任一条规则,系统就会根据该链预先定义的策略(policy)来处理该数据包。IPTABLES的规则、链和表在使用iptables之前,必须先理解规则、链和表的概念。下面就开始分别介绍这3个概念。IPTABLES的规则(RULES)规则就是网络管理员预定义的条件,规则一般定义为“如果数据包符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目

8、的地址、传输协议(TCP、UDP和ICMP)和服务类型(如HTTP、FTP和DNS)。当数据包与规则匹配时,iptables就会根据规则所定义的方法来处理这些数据包,如允许通过(ACCEPT)、拒绝(REJECT)和丢弃(DROP)等。配置防火墙主要就是添加、修改和删除这些规则。IPTAB

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。