Linux操作系統(tǒng)配置與管理課件:Linux防火墻_第1頁(yè)
Linux操作系統(tǒng)配置與管理課件:Linux防火墻_第2頁(yè)
Linux操作系統(tǒng)配置與管理課件:Linux防火墻_第3頁(yè)
Linux操作系統(tǒng)配置與管理課件:Linux防火墻_第4頁(yè)
Linux操作系統(tǒng)配置與管理課件:Linux防火墻_第5頁(yè)
已閱讀5頁(yè),還剩9頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

Linux操作系統(tǒng)配置與管理

Linux防火墻

學(xué)習(xí)要點(diǎn)TCPWrappers的工作原理及配置IPTables的構(gòu)成IPTables的配置13.1TCPWrappers

13.1.1TCPWrappers簡(jiǎn)介TCPWrappers本意指的是針對(duì)使用TCP協(xié)議的封裝,實(shí)質(zhì)上是對(duì)使用TCP協(xié)議的應(yīng)用程序進(jìn)行檢測(cè),同時(shí)也提供對(duì)系統(tǒng)的保護(hù)。它是一層額外的防護(hù),通過(guò)它可以實(shí)現(xiàn)基于IP的存取控制,同時(shí)提供日志支持和消息反饋。13.1TCPWrappers

13.1.2TCPWrappers配置1.判斷某個(gè)服務(wù)是否支持TCPWrappers。可以通過(guò)命令檢測(cè)

ldd/usr/sbin/sshd|greplibwrap2.工作原理tcpwrappers使用兩個(gè)文件來(lái)進(jìn)行訪問控制,一個(gè)是/etc/hosts.allow,另外一個(gè)是/etc/hosts.deny13.1TCPWrappers

13.1.2TCPWrappers配置(1)當(dāng)有客戶端請(qǐng)求時(shí)首先檢查/etc/hosts.allow如有匹配的,就允許或者拒絕訪問(跳過(guò)/etc/hosts.deny這個(gè)文件的檢查)沒有匹配的,就去檢查/etc/hosts.deny文件,如果有匹配的,就拒絕這個(gè)訪問(2)如果這兩個(gè)文件都沒有找到匹配,默認(rèn)是允許訪問的。3.TCPWrappers的使用方法服務(wù)列表:地址列表:選項(xiàng)13.2IPTables防火墻

IPTables防火墻由Netfilter項(xiàng)目開發(fā)的,是在Linux2.4內(nèi)核及以后版本中集成在Linux中了,主要以包過(guò)濾控制為主,同時(shí)也提供了協(xié)議狀態(tài)跟蹤可這一效率更高的工作方式,它可以根據(jù)管理員的要求靈活的進(jìn)行配置,使用起來(lái)很方便,而且控制效果很好,可以對(duì)網(wǎng)絡(luò)的安全起到很好的防護(hù)作用13.2IPTables防火墻

13.2.1IPTables構(gòu)成

1.netfilter:也稱為內(nèi)核空間(kernelspace),是內(nèi)核的一部份,由一些信息包過(guò)濾表組成,這些表包含內(nèi)核用來(lái)控制信息包過(guò)濾處理的規(guī)則集。2.Iptables:是一種工具,也稱為用戶空間(userspace),它使添加、修改和刪除信息包過(guò)濾表中的規(guī)則變得更容易。13.2IPTables防火墻

13.2.1IPTables構(gòu)成netfilter是Linux核心中一個(gè)通用架構(gòu),它提供了一系列的“表”(tables),每個(gè)表由若干“鏈”(chains)組成,而每條鏈中可以有一條或數(shù)條規(guī)則(rule)組成。我們可以這樣來(lái)理解,netfilter是表的容器,表是鏈的容器,而鏈又是規(guī)則的容器。IPTables包含3個(gè)表,分別是Filter、NAT、Manage表,通過(guò)這幾個(gè)表可以設(shè)置防火墻對(duì)數(shù)據(jù)包進(jìn)行篩選、改寫。這幾個(gè)表又包含若干鏈,用于存放規(guī)則在IPTables的使用中會(huì)出現(xiàn)4鐘狀態(tài),分別是NEW、ESTABLISHED、RELATED和INVALID13.2IPTables防火墻

13.2.2字符界面下的IPTables的配置

IPTables的命令格式如下:iptables[-ttable]command[chain][match][-jtarget/jump]從語(yǔ)法從可以看到配置IPTables需要配置表選項(xiàng)、命令選項(xiàng)、匹配選項(xiàng)、動(dòng)作選項(xiàng)

13.2IPTables防火墻

13.2.2字符界面下的IPTables的配置

1.表IPTables可以使用Filter、NAT、Manage表,默認(rèn)情況下使用的是Filter表(1)Filter表:用于數(shù)據(jù)包過(guò)濾(2)NAT表:用于網(wǎng)絡(luò)地址轉(zhuǎn)換。在該表不做數(shù)據(jù)包的過(guò)濾,如果第一個(gè)數(shù)據(jù)包被允許通過(guò),后續(xù)數(shù)據(jù)包就可以自動(dòng)做相同的操作,不需要再經(jīng)過(guò)該表。(3)Manage表:該表主要用來(lái)修改數(shù)據(jù)包。例如修改TTL(存活時(shí)間)、TOS(服務(wù)質(zhì)量)、以及給數(shù)據(jù)包的加上標(biāo)記。13.2IPTables防火墻

13.2.2字符界面下的IPTables的配置

2.command和chaincommand指的是對(duì)所針對(duì)的規(guī)則做哪些操作。chain是一個(gè)檢查清單,它會(huì)利用預(yù)先設(shè)定的規(guī)則對(duì)數(shù)據(jù)包進(jìn)行判斷,有如下5個(gè)鏈:PREROUTING、FORWARD、INPUT、OUTPUT、POSTROUTING

13.2IPTables防火墻

13.2.2字符界面下的IPTables的配置

3.match總共有五內(nèi)匹配。第一類是通用的匹配,適用于所有的規(guī)則;第二類是TCPmatches,用于TCP數(shù)據(jù)包;第三類是UDPmatches,用在UDP數(shù)據(jù)包;第四類是ICMPmatches,針對(duì)ICMP包的;第五類針對(duì)的是狀態(tài)(state),所有者(owner)和訪問的頻率限制(limit)等。13.2IPTables防火墻

13.2.2字符界面下的IPTables的配置

4.target/jump該選項(xiàng)表示被匹配到的數(shù)據(jù)包將跳轉(zhuǎn)的哪個(gè)目標(biāo)去,并執(zhí)行那個(gè)目標(biāo)相應(yīng)的動(dòng)作-j參數(shù)用來(lái)指定要進(jìn)行的處理動(dòng)作,常用的處理動(dòng)作包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論