基于Linux系统的包过滤防火墙
来源:asp之家 发布时间:2009-09-19 20:21:00
包过滤防火墙是用一个软件查看所流经的数据包的包头(header),由此决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会接受(ACCEPT)这个包(让这个包通过),也可能执行其它更复杂的动作。
第1 章、基于路由器的包过滤防火墙
1.1 包过滤防火墙的一般概念
1.1.1 什么是包过滤防火墙
包过滤防火墙是用一个软件查看所流经的数据包的包头(header),由此决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会接受(ACCEPT)这个包(让这个包通过),也可能执行其它更复杂的动作。
在Linux系统下,包过滤功能是内建于核心的(作为一个核心模块,或者直接内建),同时还有一些可以运用于数据包之上的技巧,不过最常用的依然是查看包头以决定包的命运。
1.1.2 包过滤防火墙的工作层次
包过滤是一种内置于Linux内核路由功能之上的防火墙类型,其防火墙工作在网络层。
1.1.3 包过滤防火墙的工作原理
(1)使用过滤器。数据包过滤用在内部主机和外部主机之间,过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。用于过滤数据包的路由器被称为过滤路由器。
数据包过滤是通过对数据包的IP头和TCP头或UDP头的检查来实现的,主要信息有:
* IP源地址
* IP目标地址
* 协议(TCP包、UDP包和ICMP包)
* TCP或UDP包的源端口
* TCP或UDP包的目标端口
* ICMP消息类型
* TCP包头中的ACK位
* 数据包到达的端口
* 数据包出去的端口
在TCP/IP中,存在着一些标准的服务端口号,例如,HTTP的端口号为80。通过屏蔽特定的端口可以禁止特定的服务。包过滤系统可以阻塞内部主机和外部主机或另外一个网络之间的连接,例如,可以阻塞一些被视为是有敌意的或不可信的主机或网络连接到内部网络中。
(2)过滤器的实现。数据包过滤一般使用过滤路由器来实现,这种路由器与普通的路由器有所不同。
普通的路由器只检查数据包的目标地址,并选择一个达到目的地址的最佳路径。它处理数据包是以目标地址为基础的,存在着两种可能性:若路由器可以找到一个路径到达目标地址则发送出去;若路由器不知道如何发送数据包则通知数据包的发送者“数据包不可达”。
过滤路由器会更加仔细地检查数据包,除了决定是否有到达目标地址的路径外,还要决定是否应该发送数据包。“应该与否”是由路由器的过滤策略决定并强行执行的。
路由器的过滤策略主要有:
* 拒绝来自某主机或某网段的所有连接。
* 允许来自某主机或某网段的所有连接。
* 拒绝来自某主机或某网段的指定端口的连接。
* 允许来自某主机或某网段的指定端口的连接。
* 拒绝本地主机或本地网络与其它主机或其它网络的所有连接。
* 允许本地主机或本地网络与其它主机或其它网络的所有连接。
* 拒绝本地主机或本地网络与其它主机或其它网络的指定端口的连接。
* 允许本地主机或本地网络与其它主机或其它网络的指定端口的连接。
1.1.4 包过滤器操作的基本过程
下面做个简单的叙述:
(1)包过滤规则必须被包过滤设备端口存储起来。
(2)当包到达端口时,对包报头进行语法分析。大多数包过滤设备只检查IP、TCP、或UDP报头中的字段。
(3)包过滤规则以特殊的方式存储。应用于包的规则的顺序与包过滤器规则存储顺序必须相同。
(4)若一条规则阻止包传输或接收,则此包便不被允许。
(5)若一条规则允许包传输或接收,则此包便可以被继续处理。
(6)若包不满足任何一条规则,则此包便被阻塞。
1.1.5 包过滤技术的优缺点
(1)优点:
→对于一个小型的、不太复杂的站点,包过滤比较容易实现。
→因为过滤路由器工作在IP层和TCP层,所以处理包的速度比代理服务器快。
→过滤路由器为用户提供了一种透明的服务,用户不需要改变客户端的任何应用程序,也不需要用户学习任何新的东西。因为过滤路由器工作在IP层和TCP层,而IP层和TCP层与应用层的问题毫不相关。所以,过滤路由器有时也被称为“包过滤网关”或“透明网关”,之所被称为网关,是因为包过滤路由器和传统路由器不同,它涉及到了传输层。
→过滤路由器在价格上一般比代理服务器便宜。
(2)缺点:
→一些包过滤网关不支持有效的用户认证。
→规则表很快会变得很大而且复杂,规则很难测试。随着表的增大和复杂性的增加,规则结构出现漏洞的可能 性也会增加。
→这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题,会使得网络大门敞开,而用户其至可能还不知道。
→在一般情况下,如果外部用户被允许访问内部主机,则它就可以访问内部网上的任何主机。
→包过滤防火墙只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机伪装外部主机的IP欺骗却不可能阻止,而且它不能防止DNS欺骗。
虽然,包过滤防火墙有如上所述的缺点,但是在管理良好的小规模网络上,它能够正常的发挥其作用。一般情况下,人们不单独使用包过滤网关,而是将它和其他设备(如堡垒主机等)联合使用。
1.2 Netfilter/iptables架构
1.2.1 Linux下的包过滤防火墙管理工具
从1.1内核开始,Linux系统就已经具有包过滤功能了,随着Linux内核版本的不断升级,Linux下的包过滤系统经历了如下3个阶段:
→ 在2.0的内核中,采用ipfwadm来操作内核包过滤规则。
→ 在2.2的内核中,采用ipchains来控制内核包过滤规则。
→ 在2.4内核中,采用一个全新的内核包过滤管理工具—iptables.
Linux因其健壮性、可靠性、灵活性以及几乎无限范围的可定制性而在IT界变得非常受欢迎。Linux具有许多内置的能力,使开发人员可以根据自己的需要定制其工具、行为和外观,而无需昂贵的第三方工具。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,所要用到的一种内置能力就是针对网络上Linux系统的防火墙配置。可以在Netfilter/iptablesIP信息包过滤系统(它集成在2.4.x版本的Linux内核中)的帮助下运用这种能力。Netfilter/iptables是与最新的2.4.x版本Linux内核集成的IP信息包过滤系统。
猜你喜欢
- 1.下载httpd软件,编译Apache:。/configure ——enable-ssl(使之支持SSL)makemake install
- 最近几个月,搜索不收录新的网站,不更新已有的网站,或者减少收录,或者降权的声音在各个论坛里经常发生,站长们也都是有苦难言,以前曾经写过具体的
- 齐毛鸭对个人网站的思考一直在继续。个人网站的技术门槛已经越来越低。而齐毛鸭也发现,越来越多的个人网站缺的不是技术而是定位。个人网站不同于博客
- 运行Sendmail的服务器群集能够在有竞争力的价格上提供高性能和高可用性。对于经验丰富的系统管理员,这一贯是常用的做法。本文描述了我们的研
- 在点石看了KYW的中国SEOer的级别,觉得很有趣,于是想写一篇中国网络赚钱的级别。和KYW不同的是他是高手可以站在一个很高的层面看待各类人
- 基于Windows平台下IIS运行的网站总给人一种感觉就是脆弱。早期的IIS确实存在很多问题,不过我个人认为自从Windows Server
- 伴随着康盛创想(Comsenz)2010年核心产品Discuz! X1的正式发布,如何更快应用新的模板机制改版已经成为站长建站普遍关注的焦点
- 一个网站的用户体验高低是由页面各元素的设计决定的,如表单、网页文字、功能等。网页文字是网页中所占分量最大的要素,所以其设计得好坏直接整个页面
- 很多站长一天发200个论坛,也有站长一天内2个网上线。当然啦,勤能补拙是真理,但是不能把自己累死啊,这么累做包身工都比做网站赚钱啊!今天小弟
- 这博客也好久没有来写文章了!因为把网站的新闻交给了别人来做,我每天都把主要精力放在了探搜“搜索引擎的排名&rdq
- 然后运行命令:[root@ftpdrc3.d]#chkconfig--level35proftpdon则下次系统启动以后,proftpd将自
- Sendmail作为免费的邮件服务器软件,已被广泛应用于Internet各种操作系统的服务器中。如:Solaris,HPUX,AIX,IRI
- 核心--常规设置---全局参数弹出式菜单显示:头部导航(头部导航弹出下拉菜单显示分类,如:统计排行);版块导航(帖子列表页面、发帖页面弹出下
- 本期教程笔者为大家讲解在Discuz! 7.1下如何给通过WAP发布的帖子加标记。如果回复或者主题是通过wap发布的,则在帖子信息中显示出来
- 北京时间12月3日消息,据国外媒体报道,MySpace音乐(MySpace Music)将于当地时间周四登陆英国。MySpace Music
- “焦点间谍”木马家族最新成员TrojanSpy.Pophot.clh“焦点间谍”变种clh为牟取暴利篡改用户浏览器首页,赚取超高流量。Tro
- 英语网站宣传对于有的人说简单是因为他懂英语。对于有的人说难是因为他不会英语或者懂一点点英语,但是英语推广不只要懂英语还要懂推广的技术和长时间
- 本安装及设置教程适用于使用Windows2003为操作系统的服务器,目的是让服务器支持常见网络编程语言包括ASP、PHP、.Net1.1、.
- 北京时间11月21日消息,据国外媒体报道,谷歌联合创始人塞吉·布林(Sergey Brin)表示,谷歌的两大操作系统A
- 如果你有自己的主页,需要经常将自己制作的网页文件上传到几个固定的站点,相信你一定会喜欢下面介绍的“可以编程序&r