彩世界平台-彩世界时时app-彩世界开奖app苹果下载

热门关键词: 彩世界平台,彩世界时时app,彩世界开奖app苹果下载

您的位置:彩世界平台 > 网站首页 > 全面讲解Linux防火墙入门知识

全面讲解Linux防火墙入门知识

发布时间:2019-09-05 18:31编辑:网站首页浏览(101)

    科技的发展,时代的进步,现在Linux越来越成为主流,这样就很多人开始学习Linux系统,这里为你讲解Linux防火墙入门:基本观念,为你在Linux防火墙时起一定的作用。

    网络时代到来,也伴随着受到病毒攻击的次数也越来越多,所以我们也需要了解网络安全,要安全防火墙。如果你应用Linux防火墙,你了解Linux防火墙。本文为你讲解。防火墙(Firewall)是在一个可信的网络和不可信的网络之间建立安全屏障的软件或硬件产品。

    封包过滤
    所谓封包过滤,是一种小软件,它藉以检查 IP 封包的表头,来决定该封包的命运(接受/转向/丢弃/拒绝)。在 Linux 中,封包过滤的功能,已整合进入 Linux 核心(kernel)之中。
    如何得知核心目前是有支持封包过滤功能呢?

    Linux操作系统内核具有包过滤能力,系统管理员通过管理工具设置一组规则即可建立一个基于Linux防火墙,用这组规则过滤被主机接收、发送的包或主机从一个网卡转发到另一个网卡的包,无须花费额外资金购买专门的防火墙产品,比较适用于某些中小企业或部门级用户。

    查看此檔 /proc/net/ip_fwchains 是否存在便知(适用 Linux kernel 2.1.x~2.x)。
    若此檔不存在,则核心必须重新制作,打开封包过滤选项,重新编译安装之。
    封包过滤程序,即根据 IP 封包的表头中的来源IP、目的IP、封包型态、取自TCP/UPD表头的 port 及其它一些旗标信息,来决定此封包最后的命运。

    一、防火墙的类型和设计策略

    至目前为止,Linux 核心封包过滤已发展到了第四代:
    第 1 代 : Linux 1.x 移植自 BSD 的 ipfw第 2 代 : Linux 2.0 ipfwadm第 3 代 : Linux 2.1~2.x ipchains第 4 代 : Linux 2.4~ iptables
    服务信道 (Service Ports)
    所谓服务信道(port)是指:主机中应用程序对外服务的管道。
    port 的范围从 0 到 65535。1~1023 保留给系统专用,仅有 root 权限者才能使用,称之为:privileged ports (特权信道)。1024 ~ 65535 则称为 unprivileged ports (非特权信道)。

    在构造防火墙时,常采用2种方式,包过滤和应用代理服务。包过滤是指建立包过滤规则,根据这些规则及IP包头的信息,在网络层判定允许或拒绝包的通过。如允许或禁止FTP的使用,但不能禁止FTP特定的功能例如Get和Put的使用)。应用代理服务是由位于内部网和外部网之间的代理服务器完成的,它工作在应用层,代理用户进、出网的各种服务请求,如FTP和Telenet等。

    非特权信道有二种用途:
    ·开放给系统中其它应用服务程序使用,如 mysql 用 3306, X11 用 6000。
    ·当使用 client 端程序(如 ssh),连接到其它 server 主机的服务时(如 ssh server),系统会在 1024 ~ 65535 中,随机抽出一个未被占用的 port,指定给 client 联机端,来当作 client 端这边的通讯 port,此时 client端的IP、port 以及 server端的IP、port,四者形成联机时唯一的连结识别,当双方完成联机所需的沟通时,我们说:client 端和 server 端的联机,已经建立(ESTABLISHED)。(我们称这四者形成一组 socket pair。)

    目前,防火墙一般采用双宿主机Dual-homed Firewall)、屏蔽主机(Screened Host Firewall)和屏蔽子网(Screened Subnet Firewall)等结构。双宿主机结构是指承担代理服务任务的计算机至少有2个网络接口连接到内部网和外部网之间。屏蔽主机结构是指承担代理服务任务的计算机仅仅与内部网的主机相连。屏蔽子网结构是把额外的安全层添加到屏蔽主机的结构中,即添加了周边网络,进一步把内部网和外部网隔开。

    封包的种类
    有三种 IP 封包,我们称之为 IP 网络讯息。这三种封包,正是封包过滤型防火墙所要专注的对象。它们各有不同的特性,如下所示:
    ·ICMP (network layer / IP control / status messages)
    ·UDP (request / response)
    ·TCP (syn, syn/ack, ack 三向交握)

    防火墙规则用来定义哪些数据包或服务允许/拒绝通过,主要有2种策略。一种是先允许任何接入,然后指明拒绝的项; 另一种是先拒绝任何接入,然后指明允许的项。一般地,我们会采用第2种策略。因为从逻辑的观点看,在防火墙中指定一个较小的规则列表允许通过防火墙,比指定一个较大的列表不允许通过防火墙更容易实现。从Internet的发展来看,新的协议和服务不断出现,在允许这些协议和服务通过防火墙之前,有时间审查安全漏洞。

    私有 IP 空间
    RFC 1918 里规定了三段范围的 IP,供私有网络(private network)实验用途使用,在公开的网络上它们不会被路由,正因为这种特性,因此极适合拿它们当作内部网络的 IP,从而达到保护内部网络的目的。列出如下:
    ·Class A : 10.0.0.0/8 (整个 10.0.0.0 的 A Class 的 IP,约 1 千 6 百多万个可用 IP
    ·Class B : 172.16.0.0/12 (共 16 个 B Class 的 IP,由 172.16.0.0 ~ 172.31.0.0,约一百万个可用 IP)
    ·Class C : 192.168.0.0/16 (共有 255 个 C Class 的 IP,即:192.168.1.0 ~ 192.168.255.0,约 65000 个可用 IP

    二、基于Linux操作系统防火墙的实现

    本文由彩世界平台发布于网站首页,转载请注明出处:全面讲解Linux防火墙入门知识

    关键词:

上一篇:iptables (Linux 防火墙)

下一篇:没有了