包过滤防火墙与NAT.ppt

包过滤防火墙与NAT应用;1. 什么是防火墙 说穿了，其实防火墙就是在管制进入到我们网域内的主机的资料封包的一种机制，例如我们这一节要学习的 iptables 就是一种防火墙机制了。当然了，更广义的来说，只要能够分析与过滤进入我们管理之网域的封包资料，就可以称为防火墙，所以这个防火墙又可以分为硬件防火墙与本机的软件防火墙啊！;2. 防火墙的主要类别 除了以软件及硬件作为防火墙的分类之外，基本上，我们也可以使用防火墙对于封包的抵挡机制来进行分类。主要可以分为两大类，分别是代理服务器以及IP Filter。 3. 防火墙的一般线路布线与抵挡技巧 防火墙除了可以『保护防火墙机制(iptables)本身所在的那部主机』之外，还可以『保护防火墙后面的主机或 PC』。 在简单的局域网络规划中， Firewall 搭配 Router ( 就是 NAT 主机的架构 ) 也是相当常见的一种规划！这种规划对于内部私有网域的安全也有一定程度的保护作用。;4. 目前常见的防火墙规划 （1）单一Linux主机兼任防火墙功能 我们的网域里面仅有一部Linux主机，该主机负责我们整个LAN里面所有个人计算机对外的联机，所以他也是我们LAN里面的Router。该防火墙一般会有两个接口，一个对内一个对外，同时，也可以直接在 Linux 防火墙上面架设网站，这是目前针对小型的企业所常见的网络配置状态。 ;这种配置的好处： 安全维护在内部可以开放的权限较大！ 安全机制的设定可以针对 Linux 主机来维护即可！ 对外只看的到 Linux 主机，所以对于内部可以达到有效的安全防护！;（2）单一Linux防火墙，但LAN内另设防火墙 一般来说，我们的防火墙对于LAN的防备都不会设定的很严格，因为是我们自己的LAN！所以是信任网域之一！不过，最常听到的入侵方法也是使用这样的一个信任漏洞！因为不能保证所有使用企业内部计算机的使用者都是公司的员工，也无法保证您的员工不会搞破坏！;（3）在防火墙后端的主机设定 还有一种更有趣的设定，那就是将提供网络服务的主机放在防火墙后面，这有什么好处呢？;上面是目前比较常见的几种防火墙的配置方法。那么如何进行封包的抵挡设定呢？一个数据封包的内容，如图所示： 由于防火墙可以分析网络上传送过来的数据封包，并取得分析该资料封包的表头数据，亦即可以分析上面图示中的目的地与来源地的 IP, port, 是否主动联机等等的其它信息！所以经由分析这些资料后，我们不难发现抵挡的方法可以有几个动作： （1）拒绝让封包进入主机的某些 port （2）拒绝让某些来源 IP 的封包进入 （3）拒绝让带有某些特殊旗标( flag )的封包进入 （4）分析硬件地址(MAC)来提供服务;5. 防火墙的使用限制 防火墙虽然可以防止不受欢迎的封包进入我们的网络当中，不过，某些情况下，他并不能保证我们的网络一定就很安全。举几个例子来谈一谈： 防火墙并不能很有效的抵挡病毒或木马程序； 防火墙对于来自内部LAN的攻击较无承受力。 所以啦，在我们的 Linux 主机实地上网之前，还是得先： 关闭几个不安全的服务； 升级几个可能有问题的套件； 架设好最起码的安全防护：防火墙;6. Linux 核心版本与防火墙机制 Linux 的封包过滤机制是慢慢演进形成目前的 iptables 的，在核心不为 2.4 的时代，使用的防火墙机制是不同的！ Version 2.0：使用 ipfwadm 这个防火墙机制； Version 2.2：使用的是 ipchains 这个防火墙机制； Version 2.4：主要是使用 iptables 这个防火墙机制，而为了兼容于 ipchains ，因此在 Version 2.4 版本中，同时将 ipchains 编译成为模块，好让使用者仍然可以使用来自 2.2 版的 ipchains 的防火墙规划。 iptables 与 ipchains 两者不能同时执行！;7. iptables 的表格与封包进入的流程 只要是防火墙机制，通常都是以『针对封包的分析规则来规范每种封包的通过与否，以及应该进行的动作』，同样的道理，iptables 的工作方向，必须要依规则的顺序来分析封包。;事实上，上图就是iptables的『一张表格里面的一条链(chains)』，可以想象一下，iptables的规则都是写在『表格, table』里面的，而每个表格又依据封包的行进路线，而可大略分为三条链：『进入、输出、转递』等。 在 iptables 里面有两个经常用到的内建表格，分别是针对主机的 filter 以及针对防火墙后端的主机设定的 nat 两个，这两个表格又分别具有三条链，分别是： filter：主要跟 Linux 本机有关，这个是预设的 table ！ INPUT：主