計算機網(wǎng)絡(luò)安全技術(shù) 高職網(wǎng)絡(luò)專業(yè) 薛慶水 朱元忠 第8章 訪問控制及防火墻-支持高清瀏覽

第8章訪問控制及防火墻6/7/2022尚輔網(wǎng)1本章要求6/7/2022尚輔網(wǎng)2了解訪問控制的基本原理和常用的防火墻技術(shù)理解防火墻的工作原理與體系結(jié)構(gòu)了解防火墻在不同網(wǎng)絡(luò)層次的應(yīng)用了解SOCKS

V5協(xié)議的基本框架常見的鑒別協(xié)議本章主要內(nèi)容6/7/2022尚輔網(wǎng)3訪問控制的基本原理常見操作系統(tǒng)的訪問控制防火墻技術(shù)8.1

訪問控制的基本原理6/7/2022尚輔網(wǎng)4

訪問控制服務(wù)的作用是保證只有被授權(quán)的用戶才能訪問網(wǎng)絡(luò)和利用資源。

訪問控制的基本原理是檢查用戶標(biāo)識、口令，根據(jù)授予的權(quán)限限制其對資源的利用范圍和程度。例如是否有權(quán)利用主機CPU運行程序，是否有權(quán)對數(shù)據(jù)庫進行查詢和修改等等。訪問控制服務(wù)通過訪問控制機制實現(xiàn)。

一般訪問控制包括三種類型：自主訪問控制、強制訪問控制和基于角色的訪問控制。自主訪問控制6/7/2022尚輔網(wǎng)5

自主訪問的含義是有訪問許可的主體能夠直接或間接地向其他主體轉(zhuǎn)讓訪問權(quán)。 自主訪問控制是在確認(rèn)主體身份以及（或）它們所屬的組的基礎(chǔ)上，控制主體的活動，實施用戶權(quán)限管理、訪問屬性（讀、寫、執(zhí)行）管理等，是一種最為普遍的訪問控制手段。

自主訪問控制的主體可以按自己的意愿決定哪些用戶可以訪問他們的資源，亦即主體有自主的決定權(quán)，一個主體可以有選擇地與其它主體共享他的資源。基于訪問控制矩陣的訪問控制表（ACL）是自主訪問控制中通常采用一種的安全機制。ACL是帶有訪問權(quán)限的矩陣，這些訪問權(quán)是授予主體訪問某一客體的。安全管理員通過維護ACL控制用戶訪問企業(yè)數(shù)據(jù)。對每一個受保護的資源，ACL對應(yīng)一個個人用戶列表或由個人用戶構(gòu)成的組列表，表中規(guī)定了相應(yīng)的訪問模式。當(dāng)用戶數(shù)量多、管理數(shù)據(jù)量大時，由于訪問控制的粒度是單個用戶，ACL會很龐大。當(dāng)組織內(nèi)的人員發(fā)生能變化（升遷、換崗、招聘、離職）、工作職能發(fā)生變化（新增業(yè)務(wù)）時，ACL的修改變得異常困難。采用ACL機制管理授權(quán)處于一個較低級的層次，管理復(fù)雜、代價高以至易于出錯。6/7/2022尚輔網(wǎng)6

自主訪問控制的主要特征體現(xiàn)在主體可以自主地把自己所擁有客體的訪問權(quán)限授予其它主體或者從其它主體收回所授予的權(quán)限，訪問通?；谠L問控制表（ACL）。

訪問控制的粒度是單個用戶。沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對客體的訪問權(quán)。

自主訪問控制的缺點是信息在移動過程中其訪問權(quán)限關(guān)系會被改變。如用戶A可將其對目標(biāo)O的訪問權(quán)限傳遞給用戶B，從而使不具備對O訪問

權(quán)限的B可訪問O。6/7/2022尚輔網(wǎng)7訪問能力表訪問控制表6/7/2022尚輔網(wǎng)8（1）訪問能力表6/7/2022尚輔網(wǎng)9基于行的自主訪問控制是在每個主體上都附加一個該主體可訪問的客體的明細表，也稱為訪問能力表。能力是一個提供給主體、對客體具有特定權(quán)限的不可偽造的標(biāo)志。只有當(dāng)一個主體對某個客體擁有準(zhǔn)許訪問的能力時，它才能訪問這個客體。SO0

rweO1

wO2rw┅能力機制的最大特點是能力的擁有者可以在主體中轉(zhuǎn)移能力，具有轉(zhuǎn)移或傳播權(quán)限的主體A可以將其能力的副本傳遞給Ｂ，Ｂ也可將能力傳遞給Ｃ，但為了防止能力的進一步擴散，Ｂ在傳遞能力副本給Ｃ時可移去其中的“轉(zhuǎn)移”權(quán)限，于是Ｃ將不能繼續(xù)傳遞能力。能力的轉(zhuǎn)移不受任何策略的限制，因此對于一個特定的客體不能確定所有有權(quán)訪問它的主體。所以訪問能力表不能實現(xiàn)完備的自主訪問控制，利用訪問能力表實現(xiàn)自主訪問控制的系統(tǒng)不是很多，其中只有少數(shù)系統(tǒng)試圖增加其他的措施實現(xiàn)完備的自主訪問控制。6/7/2022尚輔網(wǎng)10（2）訪問控制表6/7/2022尚輔網(wǎng)11

基于列的訪問控制是指按客體附加一份可訪問它的主體的明細表，也稱做訪問控制表，表中的每一項包括主體的身份以及對該客體的訪問權(quán)。

訪問控制表是目前采用最多的一種實現(xiàn)方式。訪問控制表可以對某個特定資源指定任意一個用戶的訪問權(quán)限，還可以將有相同權(quán)限的用戶分組，并授權(quán)組的訪問權(quán)限。還可以用通配符“*”來代替任何組名或主體標(biāo)識符。訪問控制表的主體標(biāo)識表示為ID.GN，其中ID是主體標(biāo)識符，GN是主體所在組的組名?！踉L問控制表需對每個資源指定可以訪問的用戶或組以及相應(yīng)的權(quán)限。當(dāng)用戶與資源數(shù)量很多時多，ACL中變的非常龐大。當(dāng)用戶調(diào)進/調(diào)出（如招聘、解聘）、用戶工作崗位變化（如任免、升遷、定期換崗等）、用戶工作職能變化（如增加新業(yè)務(wù)。當(dāng)網(wǎng)絡(luò)中）時，管理員需要修改用戶對所有資源的訪問權(quán)限，所有這些，使得訪問控制的授權(quán)管理變得費力而煩瑣，且容易出錯。O6/7/2022Wang.CLASS

rwe*.CLASS

rw尚輔網(wǎng)li.*r┅12強制訪問控制強制訪問控制是“強加”給訪問主體的，即系統(tǒng)強制主體服從訪問控制策略。強制訪問控制（MAC）的主要特征是對所有主體及其所控制的客體（例如：進程、文件、段、設(shè)備）實施強制訪問控制。強制訪問策略將每個用戶及文件賦于一個訪問級別，如，最高秘密級（Top

Secret），秘密級（Secret），機密級（Confidential）及無密級（Unclassified）。其級別為

T>S>C>U，系統(tǒng)根據(jù)主體和客體的敏感標(biāo)記來決定訪問模式。例如Bell-Lapadula安全模型所制定的原則是利用不上讀/不下寫來保證數(shù)據(jù)的保密性。即不允許低信任級別的用戶讀高敏感度的信息，也不允許高敏感度的信息寫入低敏感度區(qū)域，禁止信息從高級別流向低級別。而Biba安全模型所制定的原則是利用不下讀/不上寫來保證數(shù)據(jù)的完整性。在實際應(yīng)用中，完整性保護主要是為了避免應(yīng)用程序修改某些重要的系統(tǒng)信6/7/2022息。13尚輔網(wǎng)

強制訪問控制一般與自主訪問控制結(jié)合使用，并且實施一些附加的、更強的訪問限制。

一個主體只有通過了自主與強制性訪問限制檢查后，才能訪問某個客體。用戶可以利用自主訪問控制來防范其它用戶對自己客體的攻擊，由于用戶不能直接改變強制訪問控制屬性，所以強制訪問控制提供了一個不可逾越的、更強的安全保護層以防止其它用戶偶然或故意地濫用自主訪問控制。6/7/2022尚輔網(wǎng)14基于角色的訪問控制6/7/2022尚輔網(wǎng)15基于角色的訪問控制模型（RBAC

Model，Role-based

Access

Model）RBAC模型的基本思想是將訪問權(quán)限分配給一定的角色，用戶通過擔(dān)任不同的角色獲得角色所擁有的訪問權(quán)限。RBAC從控制主體的角度出發(fā)，根據(jù)管理中相對穩(wěn)定的職權(quán)和責(zé)任來劃分角色，將訪問權(quán)限與角色相聯(lián)系，這點與傳統(tǒng)的強制訪問控制和自主訪問控制將權(quán)限直接授予用戶的方式不同；通過給用戶分配合適的角色，讓用戶與訪問權(quán)限相聯(lián)系。角色成為訪問控制中訪問主體和受控對象之間的一座橋梁。RBAC一般模型6/7/2022尚輔網(wǎng)16用戶經(jīng)過系統(tǒng)認(rèn)證；

系統(tǒng)給通過認(rèn)證的用戶分派角色（該角色被分配了一定的權(quán)限）；用戶以該角色訪問系統(tǒng)資源；

訪問控制機制檢查角色的權(quán)限，決定是否允許訪問。

角色可以看作是一組操作的集合，不同的角色具有不同的操作集，這些操作集由系統(tǒng)管理員分配給角色。

依據(jù)RBAC策略，系統(tǒng)定義了各種角色，每種角色可以完成一定的職能，不同的用戶根據(jù)其職能和責(zé)任被賦予相應(yīng)的角色，一旦某個用戶成為某角色的成員，則此用戶可以完成該角色所具有的職能。6/7/2022尚輔網(wǎng)17

系統(tǒng)管理員負責(zé)授予用戶各種角色的成員資格或撤消某用戶具有的某個角色。

同一個用戶可以扮演多種角色，比如一個用戶可以是老師，同時也可以作為進修的學(xué)生。同樣，一個角色可以擁有多個用戶成員，這與現(xiàn)實是一致的，一個人可以在同一部門中擔(dān)任多種職務(wù)，而且擔(dān)任相同職務(wù)的可能不止一人。

RBAC中引進了角色的概念，用角色表示訪問主體具有的職權(quán)和責(zé)任，簡化了權(quán)限設(shè)置的管理，從這個角度看，RBAC很好地解決了目前管理信

息系統(tǒng)中用戶數(shù)量多、變動頻繁的問題。6/7/2022尚輔網(wǎng)18相比較而言，RBAC是實施面向企業(yè)的安全策略的一種有效的訪問控制方式，其具有靈活性、方便性和安全性的特點，目前在大型數(shù)據(jù)庫系統(tǒng)的權(quán)限管理中得到普遍應(yīng)用。角色由系統(tǒng)管理員定義，角色成員的增減也只能由系統(tǒng)管理員來執(zhí)行，即只有系統(tǒng)管理員有權(quán)定義和分配角色。用戶與客體無直接聯(lián)系，他只有通過角色才享有該角色所對應(yīng)的權(quán)限，從而訪問相應(yīng)的客體。因此用戶不能自主地將訪問權(quán)限授給別的用戶，這是基于角色的訪問控制與自主訪問控制的根本區(qū)別所在?；诮巧脑L問控制與強制訪問控制的區(qū)別在于：強制訪問控制是基于多級安全需求的，而基于角色的訪問控制則不是。6/7/2022尚輔網(wǎng)198.2

常見操作系統(tǒng)的訪問控制6/7/2022尚輔網(wǎng)20Windows

2000中的訪問控制Linux中的訪問控制8.2.1

Windows

2000中的訪問控制6/7/2022尚輔網(wǎng)21Windows

2000的安全模型Windows

2000登錄認(rèn)證過程1．Windows

2000的安全模型6/7/2022尚輔網(wǎng)22本地的Windows

2000安全子系統(tǒng)包括的關(guān)鍵組件安全標(biāo)識符:分配給所有用戶、組和計算機的統(tǒng)計上的全局惟一的48位數(shù)字，為了保證SID的惟一性，在生成的時候結(jié)合計算機名、當(dāng)前時間和當(dāng)前用戶模式、線程使用CPU時間的總量。SID像這樣：S－1－5－21－1649288664－1549824960－1244863647－500可以使用whoami這樣的工具(包含在Windows

2000Resource

Kit中)來查看與登錄會話相關(guān)的SID。訪問令牌：由用戶的SID、用戶所屬組的SID和用戶名組成。安全描述符由對象所有者的SID、POSIX子系統(tǒng)使用的組SID、訪問控制列表和系統(tǒng)訪問控制列表組成。（4）訪問控制條目（Access

Control

Entry，ACE）包6/7/2022含用戶或組的SID和分配給尚輔網(wǎng)對象的權(quán)限。232．Windows

2000登錄認(rèn)證過程6/7/2022尚輔網(wǎng)24首先，Windows2000必須通過身份認(rèn)證來確定自己是否在與合法的安全主體打交道。最簡單的例子是通過控制臺登錄到Windows

2000的用戶。用戶按下標(biāo)準(zhǔn)的CTRL+ALT+DEL組合鍵以打開Windows

2000安全登錄窗口，然后輸入賬戶名稱和口令。安全登錄窗口將輸入的憑據(jù)傳遞給負責(zé)驗證的用戶模式組件。假設(shè)憑據(jù)是有效的，本地安全授權(quán)（LSA）將創(chuàng)建一個訪問令牌（包括用戶SID、用戶所屬組的SID和用戶名），并將之綁定到用戶登錄會話上，此后用戶每新建一個進程，都將訪問令牌復(fù)制作為新進程的訪問令牌。當(dāng)用戶或用戶生成的進程要訪問資源時，安全引用監(jiān)視器（SRM）將利用訪問令牌上的SID到安全描述符中查看系統(tǒng)訪問控制表，從而決定用戶是否有權(quán)訪問該資源。8.2.2

Linux中的訪問控制6/7/2022尚輔網(wǎng)25Linux系統(tǒng)以文件方式訪問設(shè)備和目錄，系統(tǒng)的訪問控制方法非常簡單，它把用戶分成四類：根用戶、文件的擁有者、組成員和其他用戶。根用戶（root）：在系統(tǒng)里具有最大的權(quán)利，幾乎可以控制整個系統(tǒng)，獨有很多重要的能力；文件的擁有者（owner）：一般可以讀寫執(zhí)行文件，比

其他用戶具有更高的權(quán)限，多數(shù)情況下是文件的創(chuàng)建者，但并不完全如此；組（usergroup）：所有者所在組，一個用戶可以同時在多個組中。組可以按不同的需求設(shè)定，便于設(shè)置訪問權(quán)限；其他用戶（other

user）：不屬于前三類的用戶。在linux中，主體對文件具有三種訪問權(quán)限：讀（r）：用戶可以讀文件；寫（w）：用戶可以創(chuàng)建或修改文件；執(zhí)行（x）：用戶可以運行可執(zhí)行程序。Linux系統(tǒng)每個文件有10個標(biāo)志位來表示訪問權(quán)限(access

rights)：第1個標(biāo)志：d(目錄),b(塊系統(tǒng)設(shè)備),c(字符設(shè)備),.(普通文件)第2-4個標(biāo)志：所有者的讀、寫、執(zhí)行權(quán)限第5-7個標(biāo)志：所有者所在組的讀、寫、執(zhí)行權(quán)限第8-10個標(biāo)志：其他用戶的讀、寫、執(zhí)行權(quán)限6/7/2022尚輔網(wǎng)26用chmod命令修改權(quán)限：可以用字符方式和數(shù)字方式來描述，例如$chmod

644

test將目錄test的權(quán)限修改為644，即所有者具有讀、寫權(quán)限，所有者所在組只有讀的權(quán)限，其他用戶只有讀的權(quán)限。Linux系統(tǒng)權(quán)限管理不靈活，只能對所有者、所有者所在組和其他用戶分配權(quán)限，無法做到進一步的細致化，POSIX

ACLs

for

Linux軟件包，可以做到用訪問控制表來管理權(quán)限，但需要重新編譯內(nèi)核。6/7/2022尚輔網(wǎng)278.3

防火墻技術(shù)6/7/2022尚輔網(wǎng)28防火墻的概念防火墻的技術(shù)分類防火墻的主要技術(shù)參數(shù)防火墻基本體系結(jié)構(gòu)防火墻的部署防火墻設(shè)置案例Linux內(nèi)核防火墻8.3.1防火墻的概念6/7/2022尚輔網(wǎng)29防火墻的本義是指古代構(gòu)筑和使用木制結(jié)構(gòu)房屋的時候，為防止火災(zāi)的發(fā)生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構(gòu)筑物就被稱之為“防火墻”。我們通常所說的網(wǎng)絡(luò)防火墻是借鑒了古代真正用于防火的防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火墻可以使企業(yè)內(nèi)部局域網(wǎng)（LAN）網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，用來保護內(nèi)部網(wǎng)絡(luò)。典型的防火墻具有以下三個方面的基本特性：內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻；只有符合安全策略的數(shù)據(jù)流才能通過防火墻；防火墻自身應(yīng)具有非常強的抗攻擊免疫力。8.3.2防火墻的技術(shù)分類6/7/2022尚輔網(wǎng)30包過濾型防火墻應(yīng)用級網(wǎng)關(guān)型防火墻電路級網(wǎng)關(guān)防火墻1.包過濾型防火墻6/7/2022尚輔網(wǎng)31（1）靜態(tài)包過濾這種類型的防火墻其工作原理是根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報頭信息進行制訂。一般說來，靜態(tài)包過濾規(guī)則不保持前后連接信息，過濾決定是根據(jù)當(dāng)前數(shù)據(jù)包的內(nèi)容。管理員可以設(shè)計一個可接受機器和服務(wù)的列表，以及一個不可接受機器和服務(wù)的列表。在主機和網(wǎng)絡(luò)一級，利用包過濾器很容易實現(xiàn)允許或禁止訪問。（2）動態(tài)包過濾這種類型的防火墻采用動態(tài)設(shè)置包過濾規(guī)則的方法，避免了靜態(tài)包過濾所具有的問題。這種技術(shù)后來發(fā)展成為所謂包狀態(tài)監(jiān)測（StatefulInspection）技術(shù)。采用這種技術(shù)的防火墻對

通過其建立的每一個連接都進行跟蹤，提取相關(guān)的通信和狀態(tài)信息，并在動態(tài)連接表中進行狀態(tài)及上下文信息的存儲和更新。6/7/2022尚輔網(wǎng)32包過濾型防火墻的優(yōu)點6/7/2022尚輔網(wǎng)33

性能優(yōu)于其他類型的防火墻，因執(zhí)行較少計算，容易硬件實現(xiàn)。不需對客戶端計算機進行專門配置。通過NAT，可以對外部屏蔽內(nèi)部IP。包過濾型防火墻的缺點：無法識別應(yīng)用層協(xié)議。處理包內(nèi)信息的能力有限。安全性較差，存在安全隱患。2.應(yīng)用級網(wǎng)關(guān)型防火墻6/7/2022尚輔網(wǎng)34

應(yīng)用層網(wǎng)關(guān)（Application

Gateway）防火墻是通過一種代理（Proxy）技術(shù)參與到一個TCP連接的全過程。應(yīng)用層網(wǎng)關(guān)通常被配置為雙宿主網(wǎng)關(guān)，具有兩個網(wǎng)絡(luò)接口卡，跨接內(nèi)部網(wǎng)和外部網(wǎng)，網(wǎng)關(guān)可以與兩個網(wǎng)絡(luò)通信，因此是安裝傳遞數(shù)據(jù)軟件的理想位置。這種軟件就稱為代理，通常是為其所提供的服務(wù)定制的。應(yīng)用層網(wǎng)關(guān)防火墻的最突出的優(yōu)點就是安全。由于每一個內(nèi)外網(wǎng)絡(luò)之間的連接都要通過Proxy的介入和轉(zhuǎn)換，通過專門為特定的服務(wù)如Http編寫的安全化的應(yīng)用程序進行處理，然后由防火墻本身提交請求和應(yīng)答，沒有給內(nèi)外網(wǎng)絡(luò)的計算機以任何直接會話的機會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。包過濾類型的防火墻是很難徹底避免這一漏洞的。應(yīng)用層網(wǎng)關(guān)防火墻的最大缺點就是速度相對比較慢，當(dāng)用戶對內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時，（比如要求達到75-100Mbps時）代理防火墻就會成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸。6/7/2022尚輔網(wǎng)353.電路級網(wǎng)關(guān)防火墻6/7/2022尚輔網(wǎng)36電路級網(wǎng)關(guān)防火墻是一個通用的代理服務(wù)器。

與應(yīng)用級網(wǎng)關(guān)技術(shù)相比，其優(yōu)點是不需要對不同的應(yīng)用設(shè)置不同的代理模塊，但需要對客戶端做適當(dāng)修改。但具有資源占用大，速度慢的缺點。

電路級網(wǎng)關(guān)的實現(xiàn)典型是Socks，目前已發(fā)展到第5版，支持多種認(rèn)證協(xié)議。8.3.3防火墻的主要技術(shù)參數(shù)6/7/2022尚輔網(wǎng)37功能指標(biāo)網(wǎng)絡(luò)接口：防火墻所能保護的網(wǎng)絡(luò)類型，如以太網(wǎng)，快速以太網(wǎng)，千兆以太網(wǎng)等。協(xié)議支持：一般支持IP，IPX，Appletalk等協(xié)議。加密算法：DES，3DES，AES，IDEA等認(rèn)證支持：RADIUS認(rèn)證，證書、口令方式認(rèn)證。訪問控制：包過濾，時間等。安全功能：病毒掃描，內(nèi)容過濾等。管理功能：遠程管理，本地管理等。審計和報表：審計分析的能力。性能指標(biāo)最大吞吐量：在只有一條默認(rèn)允許規(guī)則和不丟包的情況下能達到的最大吞吐率。轉(zhuǎn)送速率：檢查防火墻在通常安全規(guī)則發(fā)生作用的情況下，能以多快的速度轉(zhuǎn)送正常的網(wǎng)絡(luò)通信量。最大規(guī)則數(shù)：檢查在添加大量規(guī)則的情況下，防火墻性能變化情況。并發(fā)連接數(shù)：單位時間內(nèi)能建立起的最大

TCP連接數(shù)，即每秒的連接數(shù)。6/7/2022尚輔網(wǎng)38安全指標(biāo)防火墻的安全指標(biāo)包括入侵實時警告、實時入侵防范、抗攻擊性要求和防火墻所采用操作系統(tǒng)的安全性。6/7/2022尚輔網(wǎng)398.3.4防火墻基本體系結(jié)構(gòu)6/7/2022尚輔網(wǎng)40雙宿/多宿主機模式屏蔽子網(wǎng)模式屏蔽主機模式1．雙宿/多宿主機模式6/7/2022尚輔網(wǎng)412．屏蔽子網(wǎng)模式6/7/2022尚輔網(wǎng)423．屏蔽主機模式6/7/2022尚輔網(wǎng)438.3.5防火墻的部署6/7/2022尚輔網(wǎng)441、根據(jù)公司的安全性要求，將網(wǎng)絡(luò)劃分為若干安全區(qū)域；2、在安全區(qū)域之間設(shè)置針對網(wǎng)絡(luò)通信的訪問控制點；3、根據(jù)控制點制定邊界安全策略，采用合適的防火墻技術(shù)；4、配置對應(yīng)的安全策略；5、測試；6、運行和維護。8.3.6防火墻設(shè)置案例6/7/2022尚輔網(wǎng)45天網(wǎng)防火墻個人版簡介天網(wǎng)防火墻包過濾規(guī)則的設(shè)置1．天網(wǎng)防火墻個人版簡介6/7/2022尚輔網(wǎng)46 天網(wǎng)防火墻個人版SKYNET

Personal

FireWall（以下簡稱天網(wǎng)防火墻）是由天網(wǎng)安全實

驗室研發(fā)制作給個人計算機用戶使用的網(wǎng)絡(luò)安全程序工具。天網(wǎng)安全實驗室自1999年推出天網(wǎng)

防火墻個人版V1.0后，連續(xù)推出了V1.01、V2.0、V2.45、V2.50、V2.60等更新版本。

天網(wǎng)防火墻是國內(nèi)外針對個人用戶最好的中文軟件防火墻之一，可以攔截來歷不明、有害、敵意訪問或攻擊行為。2．天網(wǎng)防火墻包過濾規(guī)則的設(shè)置天網(wǎng)防火墻控制面板6/7/2022尚輔網(wǎng)47IP規(guī)則設(shè)置界面6/7/2022尚輔網(wǎng)48增加IP規(guī)則6/7/2022尚輔網(wǎng)49導(dǎo)入IP規(guī)則6/7/2022尚輔網(wǎng)508.3.7

Linux內(nèi)核防火墻6/7/2022尚輔網(wǎng)51

Linux中實現(xiàn)包過濾功能的應(yīng)用程序是

netfilter/filter/iptables包含在

Linux2.4以后的內(nèi)核中，它可以實現(xiàn)防火墻、

NAT（網(wǎng)絡(luò)地址翻譯）和數(shù)據(jù)包的分割等功能。

netfilter工作在內(nèi)核內(nèi)部，而iptables則是讓用戶定義規(guī)則集的表結(jié)構(gòu)。netfilter/iptables從ipchains和ipwadfm（IP防火墻管理）演化而來，功能更加強大。netfilter是通過IPTables工具來控制的。啟動和停止iptables6/7/2022尚輔網(wǎng)52

在Red

Hat

9.0中，安裝的版本是iptablesv1.2.7a。如果系統(tǒng)沒有安裝iptables，則可以從下載。使用

IPTables的第一步是啟動IPTables服務(wù)。使用以下命令進行：

#service

iptables

start查看規(guī)則集6/7/2022尚輔網(wǎng)53運行man

iptables來查看所有命令和選項。運行iptables--help來查看快速幫助。

要查看系統(tǒng)中現(xiàn)有的iptables規(guī)則集，可以運行以下命令：#iptables

–L增加規(guī)則6/7/2022尚輔網(wǎng)54

要在現(xiàn)存規(guī)則鏈的任意處插入一條規(guī)則，使用-

I，后面是將要插入規(guī)則的鏈的名稱，然后是要放置規(guī)則的位置號碼（1,2,3,...,n）。例