防火墻之詳解

創(chuàng)新互聯(lián)公司堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時(shí)代的繁昌網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

一、防火墻的介紹

防火墻是指隔離在本地網(wǎng)絡(luò)與外界我網(wǎng)絡(luò)之間的一道防御系統(tǒng)，通常用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，特別是接入Internet的網(wǎng)絡(luò)，它是唯一進(jìn)出不同網(wǎng)絡(luò)安全域之間信息的通道，能根據(jù)安全策略控制信息流出入網(wǎng)絡(luò)，如允許，拒絕，監(jiān)測(cè)等等，它是一種在Internet上非常有效的安全模式，通過(guò)它能隔離風(fēng)險(xiǎn)區(qū)域的鏈接，同時(shí)又不會(huì)妨礙用戶對(duì)風(fēng)險(xiǎn)區(qū)域的訪問(wèn)，從而有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全，防火墻的主要功能是根據(jù)IP

和TCP兩個(gè)報(bào)文實(shí)現(xiàn)的。

二、防火墻的特征以及功能

防火墻的特征：

（1）雙向流通信息必須經(jīng)過(guò)它

（2）只有符合安全策略授權(quán)的信息流才被允許通過(guò)

（3）系統(tǒng)本身具有很高的抗***性能

   防火墻的功能：

（1）提供網(wǎng)絡(luò)安全的屏障

（2）強(qiáng)化網(wǎng)絡(luò)安全策略

（3）監(jiān)控審計(jì)網(wǎng)絡(luò)的存取和訪問(wèn)

（4）防止內(nèi)部信息外漏

三、防火墻的一些規(guī)則

    （1）匹配函數(shù)：如：IP：源IP，目標(biāo)IP

TCP:SPORT,DPORT，標(biāo)準(zhǔn)位：

UDP:SPORT,DPORT

ICMP:icmp—type

 （2）數(shù)據(jù)報(bào)文過(guò)濾： Linux2.0  ipfw/firewall

    Linux2.2ipchain/firewall

    Linux2.4iptables/netfilter

     （3）hook function:鉤子函數(shù) prerouting、input、output、forward、postrouting

 （4）規(guī)則鏈：PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING

四、三種表的作用和內(nèi)置鏈以及在各種表的功能

（1）：filter（過(guò)濾數(shù)據(jù)包）

              INPUT:應(yīng)用于發(fā)往本機(jī)的數(shù)據(jù)包

DORWARD:應(yīng)用于路由經(jīng)過(guò)本地的數(shù)據(jù)包

OUTPUT：本地產(chǎn)生的數(shù)據(jù)包

（2）：nat（網(wǎng)絡(luò)地址轉(zhuǎn)換）

PREROUTING:修改剛剛到達(dá)防火墻時(shí)數(shù)據(jù)包的目的地址

OUTPUT：修改本地產(chǎn)生的數(shù)據(jù)包的目的地址

POSTROUTING：修改要離開防火墻的數(shù)據(jù)包的源地址

（3）：mangle（修改數(shù)據(jù)包）

PREROUTING:在數(shù)據(jù)包進(jìn)入防火墻之后路由判斷之前，改變數(shù)據(jù)包

OUTPUT：在確定數(shù)據(jù)包的目的之前更改數(shù)據(jù)包

POSTROUTING：在確定數(shù)據(jù)包的目的之后更改數(shù)據(jù)包

INPUT:數(shù)據(jù)包被路由到本地之后，用戶程序看到之前改變數(shù)據(jù)包

五、iptables介紹

    可以使用自定鏈，但只在被調(diào)用時(shí)才能發(fā)揮作用，而且如果沒(méi)有自定義鏈中的任何規(guī)則匹配，還應(yīng)該有返回機(jī)制，可以用刪除自定義的空鏈，可以默認(rèn)鏈無(wú)法刪除。

每個(gè)規(guī)則都有兩個(gè)內(nèi)置的計(jì)數(shù)器：1、被匹配的報(bào)文個(gè)數(shù)；2、被匹配的報(bào)文大小之和

   Iptables的規(guī)則：匹配標(biāo)準(zhǔn)，處理動(dòng)作

     例如：iptables [-t TABLE] COMMAND CHAIN [num] 匹配條件 -j 處理動(dòng)作

  匹配標(biāo)準(zhǔn)：

     1、通用匹配

-s，--src：指定源地；-d, --dst:指定目標(biāo)地址；-p {tcp|udp|icmp}指定協(xié)議

-i：INTERFACE:指定數(shù)據(jù)報(bào)文流入的接口

    可用于定義標(biāo)準(zhǔn)的鏈：PREROUTING,INPUT,FORWARD

-o INTERFACE:指定數(shù)據(jù)報(bào)文流出的接口

   可用于定義標(biāo)準(zhǔn)的鏈：OUTPUT,POSTROUTING,FORWAD

2、擴(kuò)展匹配

隱含擴(kuò)展：不用特別指明有哪個(gè)模塊進(jìn)行的擴(kuò)展，因?yàn)榇藭r(shí)使用-p {tcp|udp|icmp}

-p tcp

 --sport PORT[-PORT]:源端口  --dport PORT[-PORT]：目標(biāo)端口

例如：源地址為172.16.38.1，sshd為22/tch

--tcp-flags mask comp:只檢查mask指定的標(biāo)志位，是逗號(hào)分隔的標(biāo)志位列表：comp，此列表中出現(xiàn)的標(biāo)記必須為1，comp中沒(méi)出現(xiàn)，而mask中出現(xiàn)的，必須為0；

--tcp-flags SYN,FIN,ACK,RST SYN,ACK

--syn

p icmp  --icmp-type0:echo-reply  8:echo-repy

-p udp  --sport  --dport

顯示擴(kuò)展，必須指明有哪個(gè)模塊進(jìn)行的擴(kuò)展，在iptables中使用-m選項(xiàng)可完成此功能

-m EXTESTLON --spe-opt

state:狀態(tài)擴(kuò)展

結(jié)合ip_conntrack追蹤會(huì)話的狀態(tài)

NEW:新鏈接請(qǐng)求  ESTABLISHED：已建立的鏈接

INVALID:非法鏈接  RELATED：相關(guān)聯(lián)的

-m state --state NEW -j ACCEPT

multiport:離散的多端口匹配擴(kuò)展

--source-ports   --destination-ports   --ports

六、iptables的命令：

管理規(guī)則：

-A：附加一條規(guī)則，添加在鏈的尾部

-I：CHAIN [num]插入一條規(guī)則，插入為對(duì)應(yīng)CHAIN上的第num條；

-D CHAIN [num]：刪除指定鏈中的第num條規(guī)則

-R CHINA [num]:替換指定的規(guī)則；

管理鏈：

-F：[CHAIN]:flush:清空指定規(guī)則鏈，如果省略CHAIN,則可以實(shí)現(xiàn)刪除對(duì)應(yīng)表中的所有鏈

-P: CHAIN：設(shè)定指定鏈的默認(rèn)策略；

           -N：自定義一個(gè)新的空鏈

           -X：刪除一個(gè)自定義的空鏈

           -Z：置零指定鏈中所有規(guī)則的計(jì)數(shù)器

           -E：重命名自定義的鏈

查看類：

Lsmod | grep []

-L：顯示指定表中的規(guī)則；

          -n：以數(shù)字格式顯示主機(jī)地址和端口號(hào)

              -v：顯示鏈及規(guī)則的詳細(xì)信息

              -x：顯示計(jì)數(shù)器的精確值

              --lline-numbers：顯示規(guī)則號(hào)碼

七、iptables動(dòng)作（target）

-J

ACCEPT:放行DROP：丟棄 REJECT：拒絕 DNAT：(目標(biāo)地址轉(zhuǎn)換)

SNAT：原地址轉(zhuǎn)換REDIRECT：端口重定向 MASQUERADE：地址偽裝

NOTRACK(不做任何追蹤)LOG：日志 MARK：打標(biāo)機(jī)