《網(wǎng)絡(luò)安全》全套電子課件教案-09.Linux IP 防火墻及其原理

1、 Linux IP 防火墻及其原理IP 防火墻簡介需求Internet & Intranet 平安Internet 應(yīng)用的擴(kuò)展防火墻的作用限制進(jìn)入控制點(diǎn)防止進(jìn)攻者接近內(nèi)部限制內(nèi)部用戶防火墻的弱點(diǎn)內(nèi)部問題Linux IP Firewall 原理入轉(zhuǎn)發(fā)出本機(jī)De-masqmasqinputoutput注解:Masq是只對傳送這個動作和用戶自定義的Chain有效的處理Input , output , forwardInput Input output output forward forward 注解:LINUX系統(tǒng)中比較知名的防火墻模式是IPChains，它屬于一種數(shù)據(jù)包過濾防火墻。使用IPCha

2、ins根本上能夠到達(dá)較好的保護(hù)網(wǎng)絡(luò)系統(tǒng)免受外界網(wǎng)絡(luò)的干擾。在系統(tǒng)缺省情況下會有三個內(nèi)建的Chains:input、output、forward分別處理出入及傳送的規(guī)那么。IP Masquerade NAT 注解:NATNetwork Address Translation即網(wǎng)絡(luò)地址翻譯又名網(wǎng)絡(luò)地址轉(zhuǎn)換，將內(nèi)部的原地址該地址稱為保存地址，不可在互聯(lián)網(wǎng)上路由的IP地址轉(zhuǎn)換為目的地址00，以便到達(dá)保護(hù)內(nèi)部網(wǎng)絡(luò)信息的目的。IP Masquerade (NAT 原理防火墻外部地址內(nèi)部用戶:6012偽裝:601209:6000109:60001注解:防火墻FireWall的內(nèi)口IP地址：；外口IP地址：0

3、9，內(nèi)部用戶準(zhǔn)備利用IP地址為：的主機(jī)并且采用6012端口，通過防火墻的NAT功能去訪問IP地址為：9的效勞器，防火墻最終將用戶IP地址轉(zhuǎn)換成09并且將端口轉(zhuǎn)換成6001。IP Accounting2.0.x專門的計費(fèi)鏈2.2.x每條規(guī)那么一個文件/proc/net/ipv4/.Libipfwc (ipchains)注解:不同版本的LINUX其實(shí)現(xiàn)的機(jī)制和IPChains的運(yùn)行規(guī)那么是不同，所以請各位在具體應(yīng)用中要特別注意加以區(qū)別。比方在Linux2.4內(nèi)核中就主要采用IPtables，IPtables新增很多功能，如：內(nèi)置規(guī)那么的重新定義，簡單化規(guī)那么管理；采用狀態(tài)機(jī)制STATEFUL，對規(guī)

4、那么允許的包在回復(fù)時就直接通過不同進(jìn)行規(guī)那么匹配；采用IPtables非常輕松實(shí)現(xiàn)NAT和重定向功能。防火墻規(guī)那么配置的根本準(zhǔn)那么.一切未被允許的就是禁止的。防火墻應(yīng)該封鎖所有的信息流，然后對希望提供的效勞逐項開放。優(yōu)點(diǎn) : 實(shí)用,平安.缺點(diǎn): 可靠性高于易用性.一切未被禁止的就是允許的。防火墻應(yīng)該轉(zhuǎn)發(fā)所有的信息流，然后逐項屏蔽有害的效勞。優(yōu)點(diǎn):靈活,缺點(diǎn)平安可靠性不高Linux IP 防火墻的規(guī)那么匹配按規(guī)那么鏈來進(jìn)行匹配 使用src,dst,port,ip-opt , 來匹配使用 -j target 來動作從頭到尾的匹配方式匹配成功馬上停止立刻使用該規(guī)那么的target -j Accept

5、, Deny, reject ,etc.IP Chains 簡介 1 ipchains規(guī)那么build-in Chains input ,output,forward目標(biāo)(targetsAccept RejectDenyMASQREDIRECTRETURN操作規(guī)那么Add ,Delete , Append.-X, Delete All Ipchains 簡介 2規(guī)那么匹配協(xié)議, -p ! protocol, -p tcp , icmp,udp, all, 地址源地址 & 端口 -s! address ! port目的地址&端口 -d! address ! portSYN 位. ! -y ,第一

6、個tcp請求包網(wǎng)絡(luò)接口 -i ! name , -i eth0雙向 , -b ipchains - 例子例子input 確省拒絕ipchains -P input ACCEPT不允許進(jìn)入防火墻ipchains從10.11.11.x來的包要作 NATipchains Ipchains 例子 2允許內(nèi)部用戶訪問外部,不允許外部訪問內(nèi)部ipchains -A output -y -s -i eth0 -j ACCEPTipchains -A input -y -j DENY -i eth0ipchains -A input -d 8 -i eth1 -j DENY更復(fù)雜的例子 :/gem.ncic.

7、ac /xhg/ipchains-HOWTOs利用Linux IP 防火墻抵擋攻擊Ping of Death 發(fā)不合法的巨大的icmp包利用TCP stack的漏洞.方法, 阻止icmp fragmentsTeardrop and Bonk overlapping fragments方法, kernel defragements.Fragment Bombs 方法同上.IP Spoof Protection內(nèi)部地址不允許外部訪問傳統(tǒng)的防火墻配置非軍事區(qū)Dmz 內(nèi)/外部可以訪問有外部 IP, 轉(zhuǎn)發(fā)防火墻 firewall外部地址內(nèi)部可以訪問DMZ內(nèi)部用戶惡意用戶一種新型的防火墻虛擬 DMZ外部可以訪問內(nèi)部IP單一映象外部可以訪問內(nèi)部IP優(yōu)點(diǎn)屏蔽了DMZ的結(jié)構(gòu)內(nèi)部I