Linux IP 防火墻及其原理

LinuxIP防火墻及其原理IP防火墻簡介需求Internet&Intranet

安全I(xiàn)nternet應(yīng)用的擴(kuò)展防火墻的作用限制進(jìn)入控制點(diǎn)防止進(jìn)攻者接近內(nèi)部限制內(nèi)部用戶防火墻的弱點(diǎn)內(nèi)部問題LinuxIPFirewall原理入轉(zhuǎn)發(fā)出本機(jī)De-masqmasqinputoutput注解:Masq是只對傳送這個(gè)動(dòng)作和用戶自定義的Chain有效的處理Input,output,forwardInputInputoutputoutputforwardforward注解:LINUX系統(tǒng)中比較出名的防火墻模式是IPChains，它屬于一種數(shù)據(jù)包過濾防火墻。使用IPChains基本上能夠達(dá)到較好的保護(hù)網(wǎng)絡(luò)系統(tǒng)免受外界網(wǎng)絡(luò)的干擾。在系統(tǒng)缺省情況下會有三個(gè)內(nèi)建的Chains:input、output、forward分別處理出入及傳送的規(guī)則。IPMasquerade[NAT]注解:NAT（NetworkAddressTranslation）即網(wǎng)絡(luò)地址翻譯又名網(wǎng)絡(luò)地址轉(zhuǎn)換，將內(nèi)部的原地址（該地址稱為保留地址，不可在互聯(lián)網(wǎng)上路由的IP地址）轉(zhuǎn)換為目的地址00，以便達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)信息的目的。IPMasquerade(NAT]原理防火墻09外部地址202.112.199內(nèi)部用戶:6012偽裝:601209:6000109:60001注解:防火墻（FireWall）的內(nèi)口IP地址：；外口IP地址：09，內(nèi)部用戶準(zhǔn)備利用IP地址為：的主機(jī)并且采用6012端口，通過防火墻的NAT功能去訪問IP地址為：9的服務(wù)器，防火墻最終將用戶IP地址轉(zhuǎn)換成09并且將端口轉(zhuǎn)換成6001。IPAccounting2.0.x專門的計(jì)費(fèi)鏈2.2.x每條規(guī)則一個(gè)文件/proc/net/ipv4/...Libipfwc(ipchains)注解:不同版本的LINUX其實(shí)現(xiàn)的機(jī)制和IPChains的運(yùn)行規(guī)則是不同，所以請各位在具體應(yīng)用中要特別注意加以區(qū)別。比如在Linux

2.4

內(nèi)核中就主要采用IPtables

，IPtables新增很多功能

，如：內(nèi)置規(guī)則的重新定義，簡單化規(guī)則管理；采用狀態(tài)機(jī)制（STATEFUL），對規(guī)則允許的包在回復(fù)時(shí)就直接通過不同進(jìn)行規(guī)則匹配；采用IPtables非常輕松實(shí)現(xiàn)NAT和重定向功能。防火墻規(guī)則配置的基本準(zhǔn)則.一切未被允許的就是禁止的。防火墻應(yīng)該封鎖所有的信息流，然后對希望提供的服務(wù)逐項(xiàng)開放。優(yōu)點(diǎn):實(shí)用,安全.缺點(diǎn):可靠性高于易用性..一切未被禁止的就是允許的。防火墻應(yīng)該轉(zhuǎn)發(fā)所有的信息流，然后逐項(xiàng)屏蔽有害的服務(wù)。優(yōu)點(diǎn):靈活,缺點(diǎn)安全可靠性不高

LinuxIP防火墻的規(guī)則匹配按規(guī)則鏈來進(jìn)行匹配使用src,dst,port,ip-opt,來匹配使用-jtarget來動(dòng)作從頭到尾的匹配方式匹配成功馬上停止立刻使用該規(guī)則的target[-j]Accept,Deny,reject,etc.IPChains簡介[1]ipchains1.3.9規(guī)則[build-inChains]input,output,forward目標(biāo)(targets]AcceptRejectDenyMASQREDIRECTRETURN操作規(guī)則Add,Delete,Append.-X,DeleteAllIpchains簡介[2]規(guī)則匹配協(xié)議,-p[!]protocol,-ptcp,icmp,udp,all,地址源地址&端口-s[!]address[[!]port]目的地址&端口-d[!]address[[!]port]SYN位.[!]-y,第一個(gè)tcp請求包網(wǎng)絡(luò)接口

-i[!]name,-ieth0雙向

,-bipchains---例子例子input確省拒絕ipchains-PinputACCEPT不允許進(jìn)入防火墻ipchains-Ainput-jDENY-s從10.11.11.x來的包要作NATipchains-Aforward-jMASQ-s/24Ipchains例子[2]允許內(nèi)部用戶訪問外部,不允許外部訪問內(nèi)部ipchains-Aoutput-y-s-ieth0-jACCEPTipchains-Ainput-y-jDENY-ieth0不允許內(nèi)部用戶訪問8ipchains-Ainput-d8-ieth1-jDENY更復(fù)雜的例子/~xhg/ipchains-HOWTOs利用LinuxIP防火墻抵擋攻擊PingofDeath發(fā)不合法的巨大的icmp包利用TCPstack的漏洞.方法,阻止icmpfragmentsTeardropandBonkoverlappingfragments方法,kerneldefragements.FragmentBombs方法同上.IPSpoofProtection內(nèi)部地址不允許外部訪問傳統(tǒng)的防火墻配置非軍事區(qū)Dmz內(nèi)/外部可以訪問有外部IP,轉(zhuǎn)發(fā)防火墻firewall外部地址內(nèi)部可以訪問DMZ內(nèi)部用戶惡意用戶一種新型的防火墻虛擬DMZ外部可以訪問內(nèi)部IP單一映象外部可以訪問內(nèi)部IP優(yōu)點(diǎn)屏蔽了DMZ的結(jié)構(gòu)內(nèi)部IP可擴(kuò)展性,Cl