第05章 防火墙.ppt

第5章防火墙
防火墙的作用
iptables的安装和调试
防火墙的配置策略

综合应用实例
本章提要
 Linux防火墙的基本概念
实验网络环境的构建
使用iptables配置防火墙
 netfilter/iptables/NAT综合应用实例
防火墙的作用
防火墙是网络安全防范措施的统称。防火墙通过特定的硬件和软件系统在两个网络之间执行访问控制策略,从而达到保护网络之间通信安全的目的。
Linux防火墙的基本技术

Linux防火墙有三种典型的软件工具:
(1)基于Linux —ipwadm;
(2)基于Linux —ipchains;
(3)基于Linux (IPv4)和ip6tables。

包过滤型防火墙的规则是由一组接收和禁止规则列表组成,规则列表中定义了数据包是否可以通过网络接口。

(1)远程源地址过滤
(2)本地目的地址过滤
(3)远程源端口过滤
(4)本地目的地址过滤
(5)输入包的TCP连接状态过滤
(6)对刺探和扫描的过滤
(7)针对拒绝服务攻击(DOS攻击)的过滤
优化对外提供服务的主机
优化路由及网络结构
追踪攻击数据包
采取有效的防范手段
(8)过滤输入数据包
源路由数据包
数据包分段

(1)本地源地址过滤
(2)远程目的地址过滤
(3)本地源端口过滤
(4)远程目的地址过滤
(5)TCP连接状态过滤
Linux防火墙管理工具
filter
为每种网络协议(IPv4和IPv6等)定义一套挂钩函数(IPv4定义了5个挂钩函数),这些挂钩函数在数据包流过协议栈的几个关键点被调用。
内核的任何模块可以对每种协议的一个或多个挂钩进行注册,实现挂接。
那些排队的数据包被传递给用户空间进行异步处理。