linux防火墙配置.pptVIP

  1. 1、本文档共19页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
linux防火墙配置

第9章 Linux防火墙配置 随着Internet规模的迅速扩大,安全问题也越来越重要,而构建防火墙是保护系统免受侵害的最基本的一种手段。虽然防火墙并不能保证系统绝对的安全,但由于它简单易行、工作可靠、适应性强,还是得到了广泛的应用。本章主要介绍与Linux系统紧密集成的iptables防火墙的工作原理、命令格式、以及一些应用实例。 9.1 iptables防火墙介绍 netfilter/iptables是Linux系统提供的一个非常优秀的防火墙工具,它完全免费、功能强大、使用灵活、占用系统资源少,可以对经过的数据进行非常细致的控制。本节首先介绍有关iptables防火墙的基本知识,包括netfilter框架、iptables防火墙结构与原理、iptables命令格式等内容。 9.1.1 netfilter框架 netfilter位于Linux网络层和防火墙内核模块之间,如图9-1所示。 9.1.2 iptables防火墙内核模块 netfilter框架为内核模块参与IP层数据包处理提供了很大的方便,内核的防火墙模块正是通过把自己的函数注册到netfilter的钩子函数这种方式介入了对数据包的处理。 9.1.3 iptables命令格式 在RHEL5中,iptables命令由iptables-1.3.5-1.2.1软件包提供,默认时,系统已经安装了该软件包,因此,用户可以直接输入iptables命令对防火墙中的规则进行管理。iptables命令相当复杂,具体格式如下所示: iptables [-t 表名] 命令 [链名] [规则号] [规则] [-j 目标] “-t”选项用于指定所使用的表,iptables防火墙默认有filter、nat和mangle三张表,也可以是用户自定义的表。表中包含了分布在各个位置的链,iptables命令所管理的规则就是存在于各种链中的。该选项不是必需的,如果未指定一个具体的表,则默认使用的是filter表。 9.2 iptables主机防火墙 主机防火墙主要用于保护防火墙所在的主机免受外界的攻击,当一台服务器为外界提供比较重要的服务,或者一台客户机在不安全的网络环境中使用时,都需要在机子上安装防火墙。本节主要介绍iptables主机防火墙规则的配置,包括iptables防火墙的运行与管理、RHEL 5默认防火墙规则的解释、用户根据需要添加自己的防火墙规则等内容。 9.2.1 iptables防火墙的运行与管理 RHEL 5默认安装时,已经在系统中安装了iptables软件包,可以用以下命令查看: [root@localhost ~]# rpm -qa | grep iptables iptables-1.3.5-1.2.1 iptables-ipv6-1.3.5-1.2.1 # 1.规则列 2.规则解释 3.补充解释 9.2.3 管理主机防火墙规则 可以有很多功能种类的防火墙,有些是安装在某一台主机上,主要用于保护主机本身的安全;有些是安装在网络中的某一结点,专门用于保护网络中其它机子的安全;也有一些可以为内网的客户机提供NAT服务,使内网的客户机共用一个公网IP,以便节省IP地址资源。 当一台服务器为外界提供比较重要的服务,或者一台客户机在不安全的网络环境中使用时,都需要在机子上安装防火墙,以最大限度地防止主机受到外界的攻击。 9.2.4 常用的主机防火墙规则 设置主机防火墙时,一般采取先放行,最后全部禁止的方法。也就是说,根据主机的特点,规划出允许进入主机的外界数据包,然后设计规则放行这些数据包。如果某一数据包与放行数据包的规则都不匹配,则与最后一条禁止访问的规则匹配,被拒绝进入主机。下面列出一些主机防火墙中常用的iptables命令及其解释,这些命令添加的规则都放在filter表的INPUT链中。 9.2.5 使用图形界面管理主机防火墙规则 在RHEL 5桌面环境下,选择“系统”|“管理”|“安全级别和防火墙”后,将出现图9-4所示的对话框。 9.3 iptables网络防火墙配置 与主机防火墙不一样,网络防火墙主要用于保护内部网络的安全,此时,一般由一台专门的主机承担防火墙角色,有时还要承担网络地址转换(NAT)的功能,其配置要比主机防火墙复杂。本节主要讲述有关网络防火墙的过滤配置,以及通过给数据包做标志的方法进行策略路由的例子。 9.3.1 保护服务器子网的防火墙规则 与主机防火墙不一样,保护网络的防火墙一般有多个网络接口,而且绝大部分的规则应该添加在filter表的FORWARD链中,其配置要比主机防火墙复杂得多。 9.3.2 保护内部客户机的防火墙规则 上一小节介绍的是针对服务器子网的防火墙配置,侧重点是如何对其进行保护,因此,规则排列的特点是先放行

文档评论(0)

118books + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档