資源描述:
《iptables手冊(cè)與示例》由會(huì)員上傳分享���,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫(kù)�����。
1��、iptables建立linux防火墻我們可以用LINUX建立一個(gè)企業(yè)級(jí)的防火墻嗎���?答案是肯定的����,不僅可以�����,而且功能強(qiáng)大。我們?cè)谶@里不打算涉及ipchains�,畢竟iptables可以做的更出色�����。iptables對(duì)包的處理和ipchains很不同����,已經(jīng)從鏈變成了堆疊表,更重要的是iptables可以是基于狀態(tài)的����,而不僅僅是包過(guò)濾的���。用它可以構(gòu)建強(qiáng)大的防火墻����,據(jù)說(shuō)曾經(jīng)有人用它寫過(guò)一萬(wàn)行的代碼�����,想來(lái)一定非常很出色����。防火墻的任務(wù)防火墻在實(shí)施安全的過(guò)程中��,至關(guān)重要的����。一個(gè)防火墻策略要符合四個(gè)目標(biāo)��,而每個(gè)目標(biāo)通常都不是一個(gè)單獨(dú)的設(shè)備或軟件來(lái)實(shí)現(xiàn)的����。大多數(shù)情況下防火墻的組件放在一起使用以滿足公司安全目的需求
2��、�。防火墻要能滿足以下四個(gè)目標(biāo):1>實(shí)現(xiàn)一個(gè)公司的安全策略防火墻的主要意圖是強(qiáng)制執(zhí)行你的安全策略�,比如你的安全策略需要對(duì)MAIL服務(wù)器的SMTP流量做限制,那么你要在防火墻上強(qiáng)制這些策略����。2>創(chuàng)建一個(gè)阻塞點(diǎn)防火墻在一個(gè)公司的私有網(wǎng)絡(luò)和分網(wǎng)間建立一個(gè)檢查點(diǎn)�。這種實(shí)現(xiàn)要求所有的流量都要經(jīng)過(guò)這個(gè)檢查點(diǎn)�����。一旦檢查點(diǎn)被建立�����,防火墻就可以監(jiān)視�,過(guò)濾和檢查所有進(jìn)出的流量�����。網(wǎng)絡(luò)安全中稱為阻塞點(diǎn)�����。通過(guò)強(qiáng)制所有進(jìn)出的流量都通過(guò)這些檢查點(diǎn)���,管理員可以集中在較少的地方來(lái)實(shí)現(xiàn)安全目的。3>記錄internet活動(dòng)防火墻還能強(qiáng)制記錄日志��,并且提供警報(bào)功能���。通過(guò)在防火墻上實(shí)現(xiàn)日志服務(wù)�,管理員可以監(jiān)視所有從外部網(wǎng)或互聯(lián)網(wǎng)的訪問(wèn)
3、����。好的日志是適當(dāng)網(wǎng)絡(luò)安全的有效工具之一�����。4>限制網(wǎng)絡(luò)暴露防火墻在你的網(wǎng)絡(luò)周圍創(chuàng)建了一個(gè)保護(hù)的邊界。并且對(duì)于公網(wǎng)隱藏了內(nèi)部系統(tǒng)的一些信息以增加保密性����。當(dāng)遠(yuǎn)程節(jié)點(diǎn)偵測(cè)你的網(wǎng)絡(luò)時(shí),他們僅僅能看到防火墻�。遠(yuǎn)程設(shè)備將不會(huì)知道你內(nèi)部網(wǎng)絡(luò)的布局以及都有些什么���。防火墻提高認(rèn)證功能和對(duì)網(wǎng)絡(luò)加密來(lái)限制網(wǎng)絡(luò)信息的暴露����。通過(guò)對(duì)所能進(jìn)入的流量進(jìn)行檢查��,以限制從外部發(fā)動(dòng)的攻擊�。一��、狀態(tài)究竟是什么首先讓我們看一下服務(wù)器/客戶機(jī)的交互原理��。服務(wù)器提供某特定功能的服務(wù)總是由特定的后臺(tái)程序提供的。在TCP/IP網(wǎng)絡(luò)中�,常常把這個(gè)特定的服務(wù)綁定到特定的TCP或UDP端口����。之后,該后臺(tái)程序就不斷地監(jiān)聽(tīng)(listen)該端口���,一旦接收
4����、到符合條件的客戶端請(qǐng)求���,該服務(wù)進(jìn)行TCP握手后就同客戶端建立一個(gè)連接,響應(yīng)客戶請(qǐng)求����。與此同時(shí)����,再產(chǎn)生一個(gè)該綁定的拷貝��,繼續(xù)監(jiān)聽(tīng)客戶端的請(qǐng)求���。-56-舉一個(gè)具體的例子:假設(shè)網(wǎng)絡(luò)中有一臺(tái)服務(wù)器A(IP地址為1.1.1.1)提供WWW服務(wù)����,另有客戶機(jī)B(2.2.2.2)�、C(3.3.3.3)��。首先�,服務(wù)器A運(yùn)行提供WWW服務(wù)的后臺(tái)程序(比如Apache)并且把該服務(wù)綁定到端口80��,也就是說(shuō),在端口80進(jìn)行監(jiān)聽(tīng)�����。當(dāng)B發(fā)起一個(gè)連接請(qǐng)求時(shí),B將打開(kāi)一個(gè)大于1024的連接端口(1024內(nèi)為已定義端口),假設(shè)為1037。A在接收到請(qǐng)求后���,用80端口與B建立連接以響應(yīng)B的請(qǐng)求,同時(shí)產(chǎn)生一個(gè)80端口綁定的拷貝����,繼
5��、續(xù)監(jiān)聽(tīng)客戶端的請(qǐng)求���。假如A又接收到C的連接請(qǐng)求(設(shè)連接請(qǐng)求端口為1071)�,則A在與C建立連接的同時(shí)又產(chǎn)生一個(gè)80端口綁定的拷貝繼續(xù)監(jiān)聽(tīng)客戶端的請(qǐng)求。如下所示�,因?yàn)橄到y(tǒng)是以源地址�����、源端口�、目的地址����、目的端口來(lái)標(biāo)識(shí)一個(gè)連接的����,所以在這里每個(gè)連接都是唯一的。服務(wù)器客戶端連接1:1.1.1.1:80<=>2.2.2.2:1037連接2:1.1.1.1:80<=>3.3.3.3:1071從上邊我們可以看出��,每個(gè)網(wǎng)絡(luò)連接包括以下信息:源地址��、目的地址、源端口和目的端口����,叫作套接字對(duì)(socketpairs)���;協(xié)議類型�����、連接狀態(tài)(TCP協(xié)議)和超時(shí)時(shí)間等。防火墻把這些信息叫作狀態(tài)(stateful)��,能夠
6��、檢測(cè)每個(gè)連接狀態(tài)的防火墻叫作狀態(tài)包過(guò)濾防火墻��。它除了能夠完成簡(jiǎn)單包過(guò)濾防火墻的包過(guò)濾工作外,還在自己的內(nèi)存中維護(hù)一個(gè)跟蹤連接狀態(tài)的表��,比簡(jiǎn)單包過(guò)濾防火墻具有更大的安全性��。這連接跟蹤的表是/proc/net/ip_conntrack(conntrack就是connectiontracking的首字母縮寫)�����,能容納多少記錄是被一個(gè)變量控制的��。默認(rèn)值取決于你的內(nèi)存大小,128MB可以包含8192條目錄�����,256MB是16376條���。你也可以在/proc/sys/net/ipv4/ip_conntrack_max里查看、設(shè)置���。注意:必須要加載ip_conntrack模塊后才可以看到/proc/net/ip
7、_conntrack表����。可以用modprobeip_conntrack來(lái)加載��。Ip_conntrack表如下圖:每一種特定的服務(wù)都有自己特定的端口��,一般說(shuō)來(lái)小于1024的端口多為保留端口��,或者說(shuō)是已定義端口��,低端口分配給眾所周知的服務(wù)(如WWW�����、FTP等等)����,從512到1024的端口通常保留給特殊的UNIXTCP/IP應(yīng)用程序����,具體情況請(qǐng)參考/etc/services文件或RFC1700�。 ip
