09.Linux IP 防火墙及其原理.ppt

Linux IP 防火墙及其原理 IP 防火墙简介 需求 Internet Intranet 安全 Internet 应用的扩展 防火墙的作用 限制进入控制点 防止进攻者接近内部 限制内部用户 防火墙的弱点 内部问题 Linux IP Firewall 原理 Input , output , forward IP Masquerade [ NAT ] IP Masquerade (NAT] 原理 IP Accounting 2.0.x 专门的计费链 2.2.x 每条规则一个 文件 /proc/net/ipv4/... Libipfwc (ipchains) 防火墙规则配置的基本准则 .一切未被允许的就是禁止的。 防火墙应该封锁所有的信息流，然后对希望提供的服务逐项开放。 优点 : 实用,安全. 缺点: 可靠性高于易用性. .一切未被禁止的就是允许的。 防火墙应该转发所有的信息流，然后逐项屏蔽有害的服务。 优点:灵活, 缺点安全可靠性不高 Linux IP 防火墙的规则匹配 按规则链来进行匹配 使用src,dst,port,ip-opt , 来匹配 使用 -j target 来动作 从头到尾的匹配方式 匹配成功马上停止 立刻使用该规则的target [ -j ] Accept, Deny, reject ,etc. IP Chains 简介 [1] ipchains 1.3.9 规则[build-in Chains] input ,output,forward 目标(targets] Accept Reject Deny MASQ REDIRECT RETURN 操作规则 Add ,Delete , Append. -X, Delete All Ipchains 简介 [2] 规则匹配 协议, -p [!] protocol, -p tcp , icmp,udp, all, 地址 源地址 端口 -s[!] address [[!] port] 目的地址端口 -d[!] address [[!] port] SYN 位. [!] -y ,第一个tcp请求包 网络接口 -i [!] name , -i eth0 双向 , -b Ipchains 例子 [2] 允许内部用户访问外部,不允许外部访问内部 ipchains -A output -y -s -i eth0 -j ACCEPT ipchains -A input -y -j DENY -i eth0 不允许内部用户访问8 ipchains -A input -d 8 -i eth1 -j DENY 更复杂的例子 /~xhg/ipchains-HOWTOs 利用Linux IP 防火墙抵挡攻击 Ping of Death 发不合法的巨大的icmp包利用TCP stack的漏洞. 方法, 阻止icmp fragments Teardrop and Bonk overlapping fragments 方法, kernel defragements. Fragment Bombs 方法同上. IP Spoof Protection 传统的防火墙配置 非军事区Dmz 内/外部可以访问 有外部 IP, 转发 防火墙 firewall 外部地址 内部可以访问 内部地址 不允许外部访问 一种新型的防火墙 虚拟 DMZ 外部可以访问 内部IP 单一映象 外部可以访问 内部IP 优点 屏蔽了DMZ的结构 内部IP 可扩展性, Cluster的结构 IP Firewall 内部用户控制 防火墙功能 计费功能 ip 级 user 级 管理功能 容易使用 身份认证 VPN * * 入 转发 出 本机 De-masq masq input output 注解:Masq是只对传送这个动作和用户自定义的Chain有效的处理 Input Input output output forward forward 注解:LINUX系统中比较出名的防火墙模式是IPChains，它属于一种数据包过滤防火墙。使用IPChains基本上能够达到较好的保护网络系统免受外界网络的干扰。在系统缺省情况下会有三个内建的Chains:input、output、forward分别处理出入及传送的规则。 注解:NAT（Network Address Translation）即网络地址翻译又名网络地址转换，将内部的原地址（该地址称为保留地址，不可在互联网上路由的IP地址）转换为目的地址00，以便达到保护内部网络信息的目的。 防火墙 09 外部地址 202.112.199 内部用户 :6012 伪装 :6012 09:60001 09:60001 注解:防火墙（F