首页 | 资讯中心 | 技术与方案 | IT培训 | ChinaITLab网校 | 在线实验 | 虚拟考场 | IT社区
Linux 防火墙入门技术专题  
   




    本文将介绍如何利用 Linux 来建构一个简易的校园网络防火墙系统。
希望能达成以下效益:
· 利用它来保护整个校园网路络的安全
· 或者,从校园网络中,切出一块干净的网段,利用该网段,来保护某些主机,使其不受外部网络的攻击。
期待此研习,能让台南县中小学网管们,强化网路控管的能力,减轻网络管理的负担。
简介


前言
    一旦连上网络,就充满各种危机。许多人基于各式各样的理由,想侵入你的系统,这种人俗称为 cracker。尤有甚者,近年来,cracker 圈里流行一种结合病毒行为及系统漏洞的入侵工具,称为网虫(Netwrom),它以类似网络机器人(robot)的模式,到处扫射咬噬,已形成泛滥。比如:Lion、CodeRed、Nimda 等。现在你只要将一台新安装好的Win平台的机器连上网络,不消几分钟之内,即可钓中一堆 CoreRed 或 Nimda 咬噬的封包。

 
网络拓朴

   
    所谓网络拓朴(Topology),简单地说,是指网络的架构,什么地方摆放路由器、什么地方摆放主机、集线器、封包路由如何安排等细节,经由一番规划之后所呈现的网络结构。内部网络欲引入防火墙系统,经常必须改变网络拓朴,针对防火墙的特性,及欲达成的目标效益,选择最恰当的结构组成。因此之故,网络拓朴做一番变动,是必然的结果,各位要先有点心理准备才行。心理层有了准备之后,一切也会自然起来,不致于有无谓的害怕。
所需配备
 

    以下介绍需要的配备:
· 一部 PC (P100以上等级) + 二片网络卡(100M) , 硬盘不必太大 (当然 PC 的等级越高越好,不过太高也是一种浪费)
· 交换式集线器 + 若干条 RJ45 网络线
· RedHat 7.2 (或 RedHat 6.x)
基本观念

   

    好了!以下介绍防火墙入门时,所需要的一些基本观念。
TCP/IP
Figure 2. TCP/IP 四层架构
架设步骤
 
    以下介绍防火墙的架设步骤
1.备妥硬件及连接线
2.按预定的网络拓朴串接
3.安装OS,打开核心支持
4.设定防火墙规则
.........
ipchains manpage
ipchains 的 manpage
IPCHAINS(8) IPCHAINS(8)
NAME
ipchains - IP firewall administration
SYNOPSIS
ipchains -[ADC] chain rule-specification [options]
ipchains -[RI] chain rulenum rule-specification [options]
ipchains -D chain rulenum [options]
ipchains -[LFZNX] [chain] [options]
ipchains -P chain target [options]
ipchains -M [ -L | -S ] [options]
ipchains 的结构
 

    以下我们就来看看Figure 11. ipchains 结构图
iptables manpage

   
    IPTABLES(8)封包过滤管理语法 iptables -[ADC] chain rule-specification [options] iptables -[RI] chain rulenum rule-specification [options] iptables -D chain rulenum [options] iptables -[LFZ] [chain] [options] iptables -[NX] chain iptables -P chain target [options] iptables -E old-chain-name new-chain-nameDESCRIPTION Iptables is used to set up, maintain, and inspect the tables of IP packet fil ter rules in the Linux kernel. Several different tables may be defined. Each table contains a number of built-in chains and may also contain user-defined chains. Each chain is a list of rules which can match a set of packets. Each rule specifies what to do with a packet that matches. This is called a `target', which may be a jump to a user-defined chain in the same table.描述 iptables 是用来设定、维护、检验 Linux 核心中的 IP 封包过滤规则表。 在核心中,可以定义许多不同的规则表。

ipchains 入门
 
    ipchains 的规则链
以下介绍 ipchains 的基本用法
ipchains 中的指令,皆需要区分大小写。
ipchains 把封包过滤规则分成四个类别,每一个类别可以是许多过滤规则的集合,称之为 "规则链"(chains),而封包过滤的过程,每个封包会进入其所属的链中,进行比对的动作,若某一条规则符合,就执行该规则所指定的目标动作(TARGET),如......
iptables 结构图
    以下我们再来看看Figure 17.到Figure 19 iptables 结构图。
iptables 入门
 

    这一节开始说明 iptables 的观念及用法
iptables 中的指令,均需区分大小写。
ipchains 和 iptables 在语法上的主要的差异,注意如下:
防火墙注意事项

   
Bastion firewall
1. 防火墙主机,应该把大部份的服务关闭,仅保留 DHCP Server 及 SSH Server, 并且要限制连线范围。2. 防火墙第一片网卡,正常情形之下,设为真实 IP (除非这台防火墙是第二层的防火墙)。3. 防火墙的 Enable Routing 要打开 (linuxconf -> config -> Routing and gateways -> Set Defaults)4. 防火墙的 gateway 设贵校的路由器 IP5. 防火墙的第二片网卡,设私有 IP......
设定档
 

开机自动叫用 rc.firewall
在 /etc/rc.d/rc.local 档末,加入以下指令:
if [ -f /etc/rc.d/rc.firewall ]; then . /etc/rc.d/rc.firewallfi
该档属性: chmod ug+rwx rc.firewall
(即 chmod 774 rc.firewall)
该档 Owner 应为: root.root
练习时,可下 sh rc.firewall 或 ./rc.firewall
以下指令档,仅供参考,它们并不完整,未必能符合您的需要,您必须要再修改才能使用。

设定工具

Knetfilter (a KDE frontend for iptables)
IPMENU (Netfilter/IPtables Rule Editor)
Firewall Builder
NARC (for iptables)
gfcc (GTK+ Firewall Control Center) 可用来设定 ipchains)
RedHat 6.x/7.x 中附有 lokkit 及 firewall-config 工具, 可方便设定 ipchains 规则

热点技术专题
NAT
IIS
VPN
FTP建站
WEB防范
三层交换
无盘终端
VLAN
MPLS
互联与共享
Linux 架站
网络基础
DoS拒绝服务攻击
IDS 入侵检测系统
注册表大全
I-mail服务器
Win2000活动目录
Sniffer
PGP
SSH
SSL
以太网
综合布线
ADSL
VOIP
网吧技术

站内技术专题搜索

强力搜索
关键字:
全国各地培训机构免费咨询热线:800-830-5807  网站投诉电话:86-755-83441580
常年法律顾问:郑凡律师 本站已申请法律保护,盗版或抄袭本站者将受到严厉的法律制裁,举报盗版本站者属实重酬
《中华人民共和国电信与信息服务业务经营许可证》编号粤ICP备030007
《深圳市软件企业协会》成员 《深圳市软件行业协会》理事单位 《中国互联网行业协会》成员
深圳市拓普思信息科技有限公司  版权所有