本文只讲述防火墙有关理论知识, 相关实例请参见redking 大侠的RH253Linux服务器架设笔记十-Iptables防火墙<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
我爱敏敏大侠的
Iptables学习心得
注:相关图品打包上传,有需要者可以下载.
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合,是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力. 防火墙是提供信息安全服务,实现网络和信息安全的基础设施.
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全.
使用防火墙地作用如下:
(1)防火墙是网络安全的屏障
(2)防火墙可以强化网络安全策略
(3)对网络存取和访问进行监控审计
(4)防止内部信息的外泄
防火墙的三种类型
1.数据包过滤型防火墙
数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择, 选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table). 通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过. 数据包过滤防火墙逻辑简单, 价格便宜, 易于安装和使用, 网络性能和透明性好, 通常安装在路由器上. 路由器是内部网络与Internet连接必不可少的设备, 因此, 在原有网络上增加这样的防火墙几乎不需要任何额外的费用.
数据包过滤防火墙有两个主要缺点:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒.
2.应用级网关型防火墙
应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能. 它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告.
数据包过滤和应用网关防火墙有一个共同的特点,就是仅仅依靠特定的逻辑判定是否允许数据包通过.一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击.
3.代理服务型防火墙
代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels), 现在改为MASQUERADE,并且使用不同的语法.REDIRECT保留原名称,但也改变了所使用的语法. |