防火墻策略如何設(shè)置
防火墻策略如何設(shè)置
防火墻的策略設(shè)置是怎么樣的呢?你會(huì)設(shè)置嗎?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的防火墻策略設(shè)置介紹!希望對(duì)你有幫助!
防火墻策略設(shè)置介紹一:
這個(gè)策略的意思是"在filter表中(這個(gè)在策略中省略了)的INPUT鏈的首行,插入一條允許訪問(wèn)本機(jī)22號(hào)端口的策略”
這條策略中沒(méi)有指定源地址,也就是說(shuō)允許任何主機(jī)訪問(wèn)本機(jī)的22號(hào)端口(ssh服務(wù))
有四個(gè)表,一般只用到兩個(gè):filter, nat ;有五條鏈:INPUT OUTPUT FORWARD PREROUTING POSTROUNG
filter表包括三條連:INPUT,OUTPUT,FORWARD,主要是做過(guò)濾用的,比如對(duì)數(shù)據(jù)流入做過(guò)濾(INPUT鏈上做規(guī)則,比如你的例子);對(duì)數(shù)據(jù)流出做過(guò)濾(OUTPUT上鏈做規(guī)則),對(duì)需要轉(zhuǎn)發(fā)的數(shù)據(jù)做過(guò)濾(FORWARD上鏈做規(guī)則—)
nat表包括三條連:PREROUTING,POSTROUTING,OUTPUT,是做地址轉(zhuǎn)換。讓內(nèi)網(wǎng)用戶訪問(wèn)互聯(lián)網(wǎng)(POSTROUGING鏈上作策略),讓外網(wǎng)用戶(互聯(lián)網(wǎng)用戶)訪問(wèn)內(nèi)網(wǎng)服務(wù)器(PREROUITNG鏈上作策略)
防火墻策略設(shè)置介紹二:
Linux 為增加系統(tǒng)安全性提供了防火墻保護(hù)。防火墻存在于你的計(jì)算機(jī)和網(wǎng)絡(luò)之間,用來(lái)判定網(wǎng)絡(luò)中的遠(yuǎn)程用戶有權(quán)訪問(wèn)你的計(jì)算機(jī)上的哪些資源。一個(gè)正確配置的防火墻可以極大地增加你的系統(tǒng)安全性。防火墻作為網(wǎng)絡(luò)安全措施中的一個(gè)重要組成部分,一直受到人們的普遍關(guān)注。LINUX是這幾年一款異軍突起的操作系統(tǒng),以其公開(kāi)的源代碼、強(qiáng)大穩(wěn)定的網(wǎng)絡(luò)功能和大量的免費(fèi)資源受到業(yè)界的普遍贊揚(yáng)。LINUX防火墻其實(shí)是操作系統(tǒng)本身所自帶的一個(gè)功能模塊。通過(guò)安裝特定的防火墻內(nèi)核,LINUX操作系統(tǒng)會(huì)對(duì)接收到的數(shù)據(jù)包按一定的策略進(jìn)行處理。而用戶所要做的,就是使用特定的配置軟件(如iptables)去定制適合自己的“數(shù)據(jù)包處理策略”。
包過(guò)濾:
對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾可以說(shuō)是任何防火墻所具備的最基本的功能,而LINUX防火墻本身從某個(gè)角度也可以說(shuō)是一種“包過(guò)濾防火墻”。在LINUX防火墻中,操作系統(tǒng)內(nèi)核對(duì)到來(lái)的每一個(gè)數(shù)據(jù)包進(jìn)行檢查,從它們的包頭中提取出所需要的信息,如源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)等,再與已建立的防火規(guī)則逐條進(jìn)行比較,并執(zhí)行所匹配規(guī)則的策略,或執(zhí)行默認(rèn)策略。
值得注意的是,在制定防火墻過(guò)濾規(guī)則時(shí)通常有兩個(gè)基本的策略方法可供選擇:一個(gè)是默認(rèn)允許一切,即在接受所有數(shù)據(jù)包的基礎(chǔ)上明確地禁止那些特殊的、不希望收到的數(shù)據(jù)包;還有一個(gè)策略就是默認(rèn)禁止一切,即首先禁止所有的數(shù)據(jù)包通過(guò),然后再根據(jù)所希望提供的服務(wù)去一項(xiàng)項(xiàng)允許需要的數(shù)據(jù)包通過(guò)。一般說(shuō)來(lái),前者使啟動(dòng)和運(yùn)行防火墻變得更加容易,但卻更容易為自己留下安全隱患。
通過(guò)在防火墻外部接口處對(duì)進(jìn)來(lái)的數(shù)據(jù)包進(jìn)行過(guò)濾,可以有效地阻止絕大多數(shù)有意或無(wú)意地網(wǎng)絡(luò)攻擊,同時(shí),對(duì)發(fā)出的數(shù)據(jù)包進(jìn)行限制,可以明確地指定內(nèi)部網(wǎng)中哪些主機(jī)可以訪問(wèn)互聯(lián)網(wǎng),哪些主機(jī)只能享用哪些服務(wù)或登陸哪些站點(diǎn),從而實(shí)現(xiàn)對(duì)內(nèi)部主機(jī)的管理??梢哉f(shuō),在對(duì)一些小型內(nèi)部局域網(wǎng)進(jìn)行安全保護(hù)和網(wǎng)絡(luò)管理時(shí),包過(guò)濾確實(shí)是一種簡(jiǎn)單而有效的手段。
代理:
LINUX防火墻的代理功能是通過(guò)安裝相應(yīng)的代理軟件實(shí)現(xiàn)的。它使那些不具備公共IP的內(nèi)部主機(jī)也能訪問(wèn)互聯(lián)網(wǎng),并且很好地屏蔽了內(nèi)部網(wǎng),從而有效保障了內(nèi)部主機(jī)的安全。
IP偽裝:
IP偽裝(IP Masquerade)是LINUX操作系統(tǒng)自帶的又一個(gè)重要功能。通過(guò)在系統(tǒng)內(nèi)核增添相應(yīng)的偽裝模塊,內(nèi)核可以自動(dòng)地對(duì)經(jīng)過(guò)的數(shù)據(jù)包進(jìn)行“偽裝”,即修改包頭中的源目的IP信息,以使外部主機(jī)誤認(rèn)為該包是由防火墻主機(jī)發(fā)出來(lái)的。這樣做,可以有效解決使用內(nèi)部保留IP的主機(jī)不能訪問(wèn)互聯(lián)網(wǎng)的問(wèn)題,同時(shí)屏蔽了內(nèi)部局域網(wǎng)。
防火墻策略設(shè)置介紹三:
iptables -A OUTPUT -o eth0 -d 192.168.100.250 -s 192.168.1.1 -p tcp --sport 22 -j ACCEPT
看了“ 防火墻策略如何設(shè)置”文章的還看了: