Linux基础教程课件第8章网络安全

第8章网络安全通过对本章的学习，读者应该掌握以下主要内容：Ø计算机网络安全的基本概念及Linux系统安全Ø

防火墙技术基本知识Ø

用iptables实现包过滤型防火墙第8章网络安全通过对本章的学习，读者应该掌握以下主要内容：18.1计算机网络安全基础知识8.1.1网络安全的含义

网络安全从其本质上来讲就是网络上的信息安全，其所涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。下面给出网络安全的一个通用定义：

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。8.1计算机网络安全基础知识8.1.1网络安全的含义28.1.1网络安全的含义网络安全在不同的环境和应用中会得到不同的解释。（1）运行系统安全，即保证信息处理和传输系统的安全。（2）网络上系统信息的安全。（3）网络上信息传播的安全，即信息传播后的安全。（4）网络上信息内容的安全，即讨论的狭义的“信息安全”。8.1.1网络安全的含义38.1.1网络安全的含义

计算机网络安全的含义是通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换和存储信息的机密性、完整性和真实性，并对信息的传播及内容具有控制能力。网络安全的结构层次包括：物理安全、安全控制和安全服务。可见，计算机网络安全主要是从保护网络用户的角度来进行的，是针对攻击和破译等人为因素所造成的对网络安全的威胁。而不涉及网络可靠性、信息的可控性、可用性和互操作性等领域。

8.1.1网络安全的含义48.1.2网络安全的特征

网络安全应具有以下四个方面的特征：（1）保密性是指信息不泄露给非授权的用户、实体或过程，或供其利用的特性。（2）完整性是指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。（3）可用性是指可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。（4）可控性是指对信息的传播及内容具有控制能力。8.1.2网络安全的特征网络安全应具有以下四个方面的特征58.1.3对网络安全的威胁与网络连通性相关的有三种不同类型的安全威胁：（1）非授权访问（UnauthorizedAccess）指一个非授权用户的入侵。（2）信息泄露（DisclosureofInformation）指造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。（3）拒绝服务（DenialofService）指使系统难以或不能继续执行任务的所有问题。

8.1.3对网络安全的威胁与网络连通性相关的有三种不同类68.1.4网络安全的关键技术

从广义上讲，计算机网络安全技术主要有：（1）主机安全技术：（2）身份认证技术：（3）访问控制技术：（4）密码技术：（5）防火墙技术：（6）安全审计技术：（7）安全管理技术：

8.1.4网络安全的关键技术从广义上讲，计算机网络安全技78.1.5Linux系统的网络安全策略

1．简介

一般认为，计算机网络系统的安全威胁主要来自黑客攻击和计算机病毒2个方面。如何确保网络操作系统的安全，是网络安全的根本所在。只有网络操作系统安全可靠，才能保证整个网络的安全。8.1.5Linux系统的网络安全策略1．简介88.1.5Linux系统的网络安全策略

2．Linux网络操作系统的基本安全机制Linux网络操作系统提供了用户帐号、文件系统权限和系统日志文件等基本安全机制，如果这些安全机制配置不当，就会使系统存在一定的安全隐患。因此，网络系统管理员必须小心地设置这些安全机制。8.1.5Linux系统的网络安全策略2．Linux网98.1.5Linux系统的网络安全策略

2．Linux网络操作系统的基本安全机制（1）Linux系统的用户帐号/etc/passwd/etc/shadow（2）Linux的文件系统权限只读，可写，可执行，允许SUID，允许SGID（3）合理利用Linux的日志文件

/var/log/lastlog：记录最后进入系统的用户信息—lastlog

/var/log/secure：记录系统自开通以来所有用户的登录时间和地点

/var/log/wtmp：记录用户的登录时间、地点和注销时间—last8.1.5Linux系统的网络安全策略2．Linux网108.1.5Linux系统的网络安全策略

3．Linux网络系统可能受到的攻击和安全防范策略Linux操作系统是一种公开源码的操作系统，因此比较容易受到来自底层的攻击，系统管理员一定要有安全防范意识，对系统采取一定的安全措施，这样才能提高Linux系统的安全性。（1）Linux网络系统可能受到的攻击类型1）“拒绝服务”攻击；2）“口令破解”攻击；3）“欺骗用户”攻击；4）“扫描程序和网络监听”攻击。8.1.5Linux系统的网络安全策略3．Linux网118.1.5Linux系统的网络安全策略

3．Linux网络系统可能受到的攻击和安全防范策略（2）Linux网络安全防范策略1）仔细设置每个内部用户的权限；2）确保用户口令文件/etc/shadow的安全；3）加强对系统运行的监控和记录；4）合理划分子网和设置防火墙；5）定期对Linux网络进行安全检查；6）制定适当的数据备份计划确保系统万无一失。8.1.5Linux系统的网络安全策略3．Linux网128.1.5Linux系统的网络安全策略

4．加强对Linux网络服务器的管理，合理使用各种工具（1）利用记录工具，记录对Linux系统的访问（2）慎用Telnet服务（3）合理设置NFS服务和NIS服务（4）小心配置FTP服务（5）合理设置POP-3和Sendmail等电子邮件服务（6）加强对WWW服务器的管理，提供安全的WWW服务（7）最好禁止提供finger服务/usr/bin8.1.5Linux系统的网络安全策略4．加强对Lin138.1.6Linux网络安全工具

1．sudosudo是系统管理员用来允许某些用户以root身份运行部分/全部系统命令的程序。一个明显的用途是增强了站点的安全性，如果用户需要每天以root身份做一些日常工作，经常执行固定的几个只有root身份才能执行的命令，那么用sudo是非常适合的。8.1.6Linux网络安全工具1．sudo148.1.6Linux网络安全工具

1．sudo以Redhat9.0为例，介绍sudo的安装及设置过程：一般情况下，Redhat9.0中都已经缺省安装了当前较新的版本sudo-1.6.6-3。如果你的系统中没有安装，你能从下面的地址中下载forRedhatLinux的rpmpackage。ftp://ftp.rediris.es/sites//pub/redhat/linux/9/en/os/i386/RedHat/RPMS/sudo-1.6.6-3.i386.rpm#rpm-ivhsudo*/usr/sbin/visudo编辑/etc/sudoers文件8.1.6Linux网络安全工具1．sudo158.1.6Linux网络安全工具

1．sudo

sudoers文件是由一个选择性的主机别名(host

alias)节区，一个选择性的指令别名(command

alias)节区和使用者说明(user

specification)节区所组成的。所有的指令别名或主机别名必须以自己的关键字作为开始(Host_Alias/Cmnd_Alias)。8.1.6Linux网络安全工具1．sudo161．sudo使用者说明节区格式：使用者

接取群组

[:

接取群组

]... 接取群组

::=

主机象征

=

[op]指令象征

[,[op]指令象征]... 主机象征

::=

一个小写的主机名称或主机别名。 指令象征

::=

一个指令或指令别名。 op

::=

逻辑的

'!'

否定运算元。主机别名节区格式： Host_Alias

主机别名

=

主机列表

Host_Alias

::=

这是一个关键字。 主机别名

::=

一个大写的别名。 主机列表

::=

以逗号间隔的一些主机名称。指令别名节区格式： Cmnd_Alias

指令别名

=

指令列表 Cmnd_Alias

::=

这是一个关键字。 指令别名

::=

一个大写的别名。 指令列表

::=

以逗号间隔的一些指令。1．sudo178.1.6Linux网络安全工具

1．sudo例如：#Hostaliasspecification

Host_Alias

HUB=:\ REMOTE=merlin,kodiakthorn,spirit

Host_Alias

MACHINES=kalkan,alpo,milkbones

#Commandaliasspecification

Cmnd_Alias

LPCS=/usr/etc/lpc,/usr/ucb/lprm

Cmnd_Alias

SHELLS=/bin/sh,/bin/csh,/bin/tcsh

#Userspecification

wyh

ALL=ALL,!SHELLS

wj

=/bin/tcsh,REMOTE=LPCS8.1.6Linux网络安全工具1．sudo188.1.6Linux网络安全工具2．Sniffitsniffit是一个有名的网络端口探测器，可以配置它在后台运行，以检测哪些TCP/IP端口上用户的输入/输出信息。最常用的功能是可以用来检测系统的23(telnet)和110(pop3)端口上的数据传送，得到系统的登录口令和mail帐号密码。sniffit的主页在http://reptile.rug.ac.be/~coder/sniffit/sniffit.html用户在根目录运行：#tar-xvfzsniff*解开所有文件到对应目录，阅读其中的README.FIRST。8.1.6Linux网络安全工具2．Sniffit198.1.6Linux网络安全工具

2．Sniffit

sniffit-i以交互式图形界面查看所有在指定网络接口上的输入/输出信息。例如：为了得到所有用户通过某接口a.b.c.d接收邮件时所输入的pop3帐号和密码，#sniffit-p110-ta.b.c.d

&#sniffit-p110-sa.b.c.d&8.1.6Linux网络安全工具2．Sniffit208.1.6Linux网络安全工具

2．Sniffit记录文件放在目录/usr/doc/sniffit*下面：logfile根据访问者的IP地址，随机用高端端口号和用来检测的网络接口IP地址和检测端口来命名。它利用了TCP/IP协议天生的虚弱性，因为普通的telnet和pop3所传的用户名和密码信息都是明文，不带任何方式的加密。因此对telnet/ftp，可以用ssh/scp来替代。sniffit检测到的ssh/scp信息基本上是一堆乱码，因此不需要担心ssh所传送的用户名和口令信息会被第三方所窃取。8.1.6Linux网络安全工具2．Sniffit218.1.6Linux网络安全工具

3．nmap

nmap是用来对一个比较大的网络进行端口扫描的工具，它能检测该服务器有哪些TCP/IP端口目前正处于打开状态。可以运行它来确保已经禁止掉不该打开的不安全的端口号。nmap的主页在/nmap/index.html8.1.6Linux网络安全工具3．nmap228.1.6Linux网络安全工具

3．nmap例：nmapStartingnmapV.3.00(/nmap/)Interestingportson():(The1588portsscannedbutnotshownbelowareinstate:closed)PortStateService21/tcpopenftp25/tcpopensmtp80/tcpopenhttp119/tcpopennntp8.1.6Linux网络安全工具3．nmap238.2防火墙技术8.2.1什么是防火墙

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合，是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。防火墙是提供信息安全服务，实现网络和信息安全的基础设施。

8.2防火墙技术8.2.1什么是防火墙248.2.1什么是防火墙

防火墙逻辑位置示意图

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全，如下图。8.2.1什么是防火墙防火墙逻辑位置示意图在逻258.2.1什么是防火墙

使用防火墙地作用如下：(1)防火墙是网络安全的屏障

(2)防火墙可以强化网络安全策略

(3)对网络存取和访问进行监控审计

(4)防止内部信息的外泄

8.2.1什么是防火墙使用防火墙地作用如下：268.2.2防火墙的三种类型

1．数据包过滤型防火墙数据包过滤(PacketFiltering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(AccessControlTable)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙有两个主要缺点：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。8.2.2防火墙的三种类型1．数据包过滤型防火墙278.2.2防火墙的三种类型

2．应用级网关型防火墙应用级网关(ApplicationLevelGateways)是在应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。应用级网关型防火墙的工作流程示意图见如下。

应用级网关型防火墙的工作流程8.2.2防火墙的三种类型2．应用级网关型防火墙应用级288.2.2防火墙的三种类型

2．应用级网关型防火墙数据包过滤和应用网关防火墙有一个共同的特点，就是仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。8.2.2防火墙的三种类型2．应用级网关型防火墙298.2.2防火墙的三种类型

3．代理服务型防火墙

代理服务(ProxyService)也称链路级网关或TCP通道(CircuitLevelGatewaysorTCPTunnels)。代理服务的特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器。代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报并保留攻击痕迹。8.2.2防火墙的三种类型3．代理服务型防火墙30

代理服务型防火墙的网络结构8.2.2防火墙的三种类型

3．代理服务型防火墙代理服务型防火墙的网络结构示意图如下。代理服务型防火墙的网络结构8.2.2防火墙的三种类318.2.3防火墙体系结构

1．双重宿主主机体系结构

双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。

双重宿主主机体系结构8.2.3防火墙体系结构1．双重宿主主机体系结构双重322．被屏蔽主机体系结构

被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开。在这种体系结构中，主要的安全由数据包过滤提供。

被屏蔽主机体系结构8.2.3防火墙体系结构

2．被屏蔽主机体系结构被屏蔽主机体系结构8.2.3防332．被屏蔽主机体系结构

这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一内部网络上的主机。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。8.2.3防火墙体系结构

2．被屏蔽主机体系结构8.2.3防火墙体系结构343．被屏蔽子网体系结构

被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络和外部网络隔开。被屏蔽子网体系结构的最简单的形式为：两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络之间。如下图。

被屏蔽子网体系结构8.2.3防火墙体系结构

3．被屏蔽子网体系结构被屏蔽子网体系结构8.2.3防358.2.4包过滤技术

包过滤(PacketFilter)技术是在网络层中对数据包实施有选择的通过。根据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过，其核心是安全策略即过滤算法的设计。例如，用于特定的因特网服务的服务器驻留在特定的端口号的事实（如TCP端口23用于Telnet连接），使包过滤器可以通过简单的规定适当的端口号来达到阻止或允许一定类型的连接的目的，并可进一步组成一套数据包过滤规则。8.2.4包过滤技术包过滤(PacketFi36包过滤技术作为防火墙的应用三类：一是路由设备在完成路由选择和数据转发之外，同时进行包过滤，这是目前较常用的方式；二是在工作站上使用软件进行包过滤，这种方式价格较贵；三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。8.2.4包过滤技术

包过滤技术作为防火墙的应用8.2.4包过滤技术378.3使用Linux架构包过滤防火墙

8.3.1包过滤型防火墙的一般概念

1．什么是包过滤包过滤就是用一个软件查看所流经的数据包的包头(header)，由此决定整个数据包是否允许通过。它可能会决定丢弃(DROP)这个包，可能会接受(ACCEPT)这个包，也可能执行其他更复杂的动作。在Linux系统下，包过滤功能是内建于核心的，同时还有一些可以运用于数据包之上的技巧，不过最常用的依然是查看包头以决定是否允许通过。8.3使用Linux架构包过滤防火墙8.3.1包过滤382．包过滤防火墙的工作层次包过滤防火墙示意图如图8-7所示。包过滤是一种内置于Linux内核路由功能之上的防火墙类型，其防火墙工作在网络层。网络层数据应用层物理层数据链路层网络层传输层应用层物理层数据链路层网络层传输层数据数据链路层物理层包过滤防火墙示意图8.3.1包过滤型防火墙的一般概念

2．包过滤防火墙的工作层次网络层数据应用层物理层数据链路层网393．包过滤防火墙的工作原理(1)使用过滤器。数据包过滤用在内部主机和外部主机之间，过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。如下图所示，用于过滤数据包的路由器被称为过滤路由器。8.3.1包过滤型防火墙的一般概念

用过滤路由器过滤数据包3．包过滤防火墙的工作原理8.3.1包过滤型防火墙的一般概403．包过滤防火墙的工作原理数据包过滤是通过对数据包的IP头和TCP或UDP头的检查来实现的，主要信息有：IP源地址IP目的地址协议(TCP包、UDP包和ICMP包)

TCP或UDP包的源端口TCP或UDP包的目的端口ICMP消息类型TCP包头中的ACK位数据包到达的端口数据包送出的端口8.3.1包过滤型防火墙的一般概念

3．包过滤防火墙的工作原理8.3.1包过滤型防火墙的一般概413．包过滤防火墙的工作原理(2)过滤器的实现。数据包过滤一般使用过滤路由器来实现，这种路由器与普通的路由器有所不同。普通的路由器只检查数据包的目的地址，并选择一个达到目的地址的最佳路径。它处理数据包是以目的地址为基础的，存在着两种可能性：若路由器可以找到一条路径到达目的地址则发送出去；若路由器不知道如何发送数据包则发送一个“数据不可达”的数据包给发送者。过滤路由器会进一步地检查数据包，除了决定是否有到达目的地址的路径外，还要决定是否应该发送数据包，“应该与否”是由路由器的过滤策略决定并强行执行的。8.3.1包过滤型防火墙的一般概念

3．包过滤防火墙的工作原理8.3.1包过滤型防火墙的一般概423．包过滤防火墙的工作原理路由器的过滤策略主要有：拒绝来自某主机或某网段的所有连接。允许来自某主机或某网段的所有连接。拒绝来自某主机或某网段的指定端口的连接。允许来自某主机或某网段的指定端口的连接。拒绝本地主机或本地网络与其他主机或其他网络的所有连接。允许本地主机或本地网络与其他主机或其他网络的所有连接。拒绝本地主机或本地网络与其他主机或其他网络的指定端口的连接。允许本地主机或本地网络与其他主机或其他网络的指定端口的连接。8.3.1包过滤型防火墙的一般概念

3．包过滤防火墙的工作原理8.3.1包过滤型防火墙的一般概434、包过滤器操作的基本过程下面给出包过滤器的操作流程图，如下图。8.3.1包过滤型防火墙的一般概念

4、包过滤器操作的基本过程8.3.1包过滤型防火墙的一般概44存储包过滤规则分析包报头字段IP、UDP、TCP应用下一个包规则包规则是否允许传输包规则是否阻止传输是否是最后一个包规则否是否否允许包阻止包是是包过滤操作流程图存储包过滤规则分析包报头字段IP、UDP、TCP应用下一个包451．Linux下的包过滤防火墙管理工具从1.1内核开始，Linux就已经具有包过滤功能了，随着Linux内核版本的不断升级Linux下的包过滤系统经历了如下3个阶段：在2.0的内核中，采用ipfwadm来操作内核包过滤规则。在2.2的内核中，采用ipchains来控制内核包过滤规则。在2.4的内核中，采用一个全新的内核包过滤管理工具——iptables。8.3.2Netfilter/iptables简介1．Linux下的包过滤防火墙管理工具8.3.2Net461．Linux下的包过滤防火墙管理工具现在最新Linux内核版本是2.6，在新内核中不再使用ipchains，而是采用一个全新的内核包过滤管理工具——iptables。这个全新的内核包过滤工具将使用户更易于理解其工作原理，更容易被使用，当然也将具有更为强大的功能。iptables作为一个管理内核包过滤的工具，iptables可以加入、插入或删除核心包过滤表格(链)中的规则。实际上真正来执行这些过滤规则的是Netfilter及其相关模块。8.3.2Netfilter/iptables简介1．Linux下的包过滤防火墙管理工具8.3.2Net472．Netfilter的工作原理Netfilter是Linux核心中的一个通用架构，它提供了一系列的“表”(tables)，每个表由若干“链”(chains)组成，而每条链中可以有一条或数条规则(rule)组成。因此，可以理解netfilter是表的容器，表是链的容器，而链又是规则的容器，如下图。8.3.2Netfilter/iptables简介2．Netfilter的工作原理8.3.2Netfilt48

Netfilter总体结构

8.3.2Netfilter/iptables简介2．Netfilter的工作原理Netfilter总体结构8.3.2492．Netfilter的工作原理系统缺省的表为“filter”，该表中包含了INPUT、FORWARD和OUTPUT3个链。每一条链中可以有一条或数条规则，每一条规则都是这样定义的“如果数据包头符合这样的条件，就这样处理这个数据包”。8.3.2Netfilter/iptables简介2．Netfilter的工作原理8.3.2Netfilt508.3.2Netfilter/iptables简介2．Netfilter的工作原理当一个数据包到达一个链时，系统就会从第一条规则开始检查，看是否符合该规则所定义的条件：如果满足，系统将根据该条规则所定义的方法处理该数据包；否则继续检查下一条规则。最后，如果该数据包不符合该链中所有规则的话，系统就会根据该链预先定义的策略(policy)来处理该数据包。8.3.2Netfilter/iptables简介2．N51路由选择FORWARD链INPUT链OUTPUT链本地处理进程入站包出站包数据包在Filter表中的流程图8.3.2Netfilter/iptables简介2．Netfilter的工作原理数据包在filter表中的流程路由选择FORWARD链INPUT链OUTPUT链本地处理进528.3.2Netfilter/iptables简介2．Netfilter的工作原理有数据包进入系统时，系统首先根据路由表决定将数据包发给哪一条链，则可能有三种情况：（1）如果数据包的目的地址是本机，则系统将数据包送往INPUT链，如果通过规则检查，则该包被发给相应的本地进程处理；否则系统就会将这个包丢弃；（2）如果数据包的目的地址不是本机，也就是说，这个包将被转发，则系统将数据包送往FORWARD链，如果通过规则检查，则该包被发给相应的本地进程处理；否则系统就会将这个包丢掉；（3）如果数据包是由本地系统进程产生的，则系统将其送往OUTPUT链，如果通过规则检查，则该包被发给相应的本地进程处理；否则系统就会将这个包丢掉。8.3.2Netfilter/iptables简介2．N532．Netfilter的工作原理

RedHatlinux9中的iptables另外，为了完成转发功能，必须打开系统内核的IP转发功能，使Linux变成路由器。在RedHat中有两种方法：(1)修改内核变量ip_forward。#echo“1”>/proc/sys/net/ipv4/ip_forward(2)修改脚本/etc/sysconfig/network。将FORWARD_IPV4=false改为FORWARD_IPV4=true8.3.2Netfilter/iptables简介2．Netfilter的工作原理8.3.2Netfilt543．iptables语法

iptables的语法通常可以简化为下面的形式：iptables[-ttable]CMD[chain][rule-matcher][-jtarget]8.3.2Netfilter/iptables简介3．iptables语法8.3.2Netfilter/558.3.2Netfilter/iptables简介3．iptables语法

iptables工具的调用语法如下：（1）对链的操作-N-X-P-L-F-Z（2）对规则的操作-A-I-R-D（3）指定源地址和目的地址-s-d（4）指定协议-p（5）指定网络接口-i-o8.3.2Netfilter/iptables简介3．i56（6）指定IP碎片iptables-AFORWARD-ptcp-s/24-d00--dport80-jACCEPT改为：iptables-AFORWARD-f-s/24-d00--dport80-jACCEPT（7）指定非-p-!tcp（8）TCP匹配扩展iptables-AFORWARD-ptcp--tcp-flagsALLSYN-jDROP8.3.2Netfilter/iptables简介（6）指定IP碎片8.3.2Netfilter/ipt57（9）mac匹配扩展iptables-AFORWARD-mmac--mac-source00:00:BA:A5:7d:12-jDROP（10）limit匹配扩展--limitavg：指定单位时间内允许通过的数据包的个数--limit-burstnumber：指定触发事件的阀值iptables-AINPUT-picmp-mlimit-limit6/m-limit-burst5-jACCEPTiptables-PINPUTDROP8.3.2Netfilter/iptables简介（9）mac匹配扩展8.3.2Netfilter/ip581．建立一个包过滤防火墙。假设内部网有有效的Internet地址。为了将内部网段/24与Internet隔离，在内部网络和Internet之间使用了包过滤防火墙。防火墙的内网接口是eth1（54），防火墙的Internet接口是eth0（54）。另外，内网中有3台服务器对外提供服务。

WWW服务器：IP地址为51

FTP服务器：IP地址为52

E_mail服务器：IP地址为538.3.3包过滤防火墙配置实例1．建立一个包过滤防火墙。8.3.3包过滤防火墙配置实例59包过滤防火墙结构图8.3.3包过滤防火墙配置实例包过滤防火墙结构图8.3.3包过滤防火墙配置实例602．防火墙的建立过程主要是对内部的各种服务器提供保护。下面采用编辑并执行可执行脚本的方法建立此防火墙。具体过程如下：8.3.3包过滤防火墙配置实例2．防火墙的建立过程8.3.3包过滤防火墙配置实例61（1）在/etc/rc.d/目录下用touch命令建立空的脚本文件，执行chmod命令添加可执行权限。#touch/etc/rc.d/filter-firewall#chmodu+x/etc/rc.d/filter-firewall（2）编辑/etc/rc.d/rc.local文件，在末尾加上/etc/rc.d/filter-firewall以确保开机时能自动执行该脚本。#echo“/etc/rc.d/filter-firewall”>>/etc/rc.d/rc.local（3）使用文本编辑器编辑/etc/rc.d/filter-firewall文件，插入如下内容：8.3.3包过滤防火墙配置实例（1）在/etc/rc.d/目录下用touch命令建立空的脚62#!/bin/bash#在屏幕上显示信息echo“Startingiptablesrules…”#开启内核转发功能echo“1”>/proc/sys/net/ipv4/ip_forward##############################定义变量IPT=/sbin/iptablesWWW-SERVER=51FTP-SERVER=52EMAIL-SERVER=53IP_RANGE=“/24”#############################8.3.3包过滤防火墙配置实例#!/bin/bash8.3.3包过滤防火墙配置实例63#刷新所有的链的规则$IPT-F###############################首先禁止转发任何包，然后再一步步设置允许通过的包#所以首先设置防火墙FORWARD链的策略为DROP$IPT-PFORWARDDROP##############################8.3.3包过滤防火墙配置实例#刷新所有的链的规则8.3.3包过滤防火墙配置实例64#下面设置关于服务器的包过滤规则#由于服务器/客户机交互是双向的，所以不仅仅要设置数据包出去的规则，还要设置数据包返回的规则#1、下面建立针对来自Internet数据包的过滤规则#(1)WWW服务#服务端口为80，采用tcp或utp协议#规则为：eth0=>允许目的为内部网WWW服务器的包$IPT-AFORWORD-ptcp-d$WWW-SERVER-dportwww-ieth0-jACCEPT#8.3.3包过滤防火墙配置实例#下面设置关于服务器的包过滤规则8.3.3包过滤防火墙65#(2)FTP服务#服务端口为：命令端口21，数据端口20#FTP服务采用tcp协议#规则为：eth0=>允许目的为内部网FTP服务器的包$IPT-AFORWORD-ptcp-d$FTP-SERVER-dportftp-ieth0-jACCEPT#8.3.3包过滤防火墙配置实例#(2)FTP服务8.3.3包过滤防火墙配置实例66#(3)EMAIL服务#包含两个协议，一个是smtp，另一个是pop3#出于安全性考虑，通常只提供对内的pop3服务#所以在这里我们只考虑针对smtp的安全性问题#smtp端口25，采用tcp协议#规则为：eth0=>允许目的为内部网E_mail服务器的smtp请求$IPT-AFORWORD-ptcp-d$EMAIL-SERVER-dportsmtp-ieth0-jACCEPT8.3.3包过滤防火墙配置实例#(3)EMAIL服务8.3.3包过滤防火墙配置实例67#2、下面设置针对Intranet客户的过滤规则#本例中防火墙位于网关的位置，所以主要是防止来自Internet的攻击#不能防止来自Intranet的攻击#假如网络中的服务器都是基于Linux的，也可以在每一部服务器上设置#相关的过滤规则来防止来自Intranet的攻击#对于Internet对Intranet客户的返回包，定义如下规则##(1)允许Intranet客户采用被动模式访问Internet的FTP服务器$IPT-AFORWORD-ptcp-s0/0-sportftp-data-d$IP_RANGE-ieth0-jACCEPT#8.3.3包过滤防火墙配置实例#2、下面设置针对Intranet客户的过滤规则8.3.368#(2)接受来自Internet的非连接请求tcp包$IPT-AFORWORD-ptcp-d/24!-syn-ieth0-jACCEPT##(3)接受所有udp包，主要是针对oicq等使用udp的服务$IPT-AFORWORD-pudp-d/24-ieth0-jACCEPT8.3.3包过滤防火墙配置实例#(2)接受来自Internet的非连接请求tcp包8.69#3、然后接受来自整个Intranet的数据包过滤，定义如下规则$IPT–AFORWORD–s/24–ieth0–jACCEPT####################################处理IP碎片#接受所有的IP碎片，但采用limit匹配扩展对其单位时间可以通过的IP碎片数量进行限制，以防止IP碎片攻击$IPT-AFORWORD-f-mlimit--limit100/s--limit-burst100-jACCEPT#说明：对不管来自哪里的IP碎片都进行限制，允许每秒通过100个IP碎片#该限制触发的条件是100个IP碎片#8.3.3包过滤防火墙配置实例#3、然后接受来自整个Intranet的数据包过滤，定义如70##############################设置icmp包过滤#icmp包通常用于网络测试等，故允许所有的icmp包通过#但是黑客常常采用icmp进行攻击，如pingofdeath等#所以我们采用limit匹配扩展加以限制$IPT–AFORWORD–picmp–mlimit--limit1/s--limit–burst100–jACCEPT#说明：对不管来自哪里的icmp包都进行限制，允许每秒通过一个包#该限制触发的条件是10个包#############################8.3.3包过滤防火墙配置实例#############################8714、执行脚本，使之立刻生效#/etc/rc.d/filter-firewall通过执行上面的脚本，建立了一个相对完整的防火墙。该防火墙只对外开放了有限的几个端口，同时提供了客户对Internet的无缝访问，并且对IP碎片攻击和icmp的pingofdeath提供了有效的防护手段。8.3.3包过滤防火墙配置实例4、执行脚本，使之立刻生效8.3.3包过滤防火墙配置实例72本章小结本章介绍了网络安全的含义、特征及相关关键技术等网络安全的基本知识，并通过对linux系统的安全策略和两种常用的linux网络安全工具的介绍，让读者了解到网络安全的重要性。本章的后两节着重介绍了防火墙技术和如何在linux环境下构架包过滤防火墙，并给出了一个较完整的包过滤防火墙的配置实例。本章小结本章介绍了网络安全的含义、特征及相73思考题：1.在机房里，设置两台机器：一台目标主机，一台探测主机。2.在探测主机上安装nmap。用它攻击目标主机。怎样才能检测到目标上的攻击？3.在目标主机上用iptables建立一个防火墙，防卫探测主机的攻击。如何建立？建立成功后，还可以检测到攻击吗？思考题：1.在机房里，设置两台机器：一台目标主机，一台探测主74第8章网络安全通过对本章的学习，读者应该掌握以下主要内容：Ø计算机网络安全的基本概念及Linux系统安全Ø

防火墙技术基本知识Ø

用iptables实现包过滤型防火墙第8章网络安全通过对本章的学习，读者应该掌握以下主要内容：758.1计算机网络安全基础知识8.1.1网络安全的含义

网络安全从其本质上来讲就是网络上的信息安全，其所涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。下面给出网络安全的一个通用定义：

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。8.1计算机网络安全基础知识8.1.1网络安全的含义768.1.1网络安全的含义网络安全在不同的环境和应用中会得到不同的解释。（1）运行系统安全，即保证信息处理和传输系统的安全。（2）网络上系统信息的安全。（3）网络上信息传播的安全，即信息传播后的安全。（4）网络上信息内容的安全，即讨论的狭义的“信息安全”。8.1.1网络安全的含义778.1.1网络安全的含义

计算机网络安全的含义是通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换和存储信息的机密性、完整性和真实性，并对信息的传播及内容具有控制能力。网络安全的结构层次包括：物理安全、安全控制和安全服务。可见，计算机网络安全主要是从保护网络用户的角度来进行的，是针对攻击和破译等人为因素所造成的对网络安全的威胁。而不涉及网络可靠性、信息的可控性、可用性和互操作性等领域。

8.1.1网络安全的含义788.1.2网络安全的特征

网络安全应具有以下四个方面的特征：（1）保密性是指信息不泄露给非授权的用户、实体或过程，或供其利用的特性。（2）完整性是指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。（3）可用性是指可被授权实体访问并按需求使用的特性，即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。（4）可控性是指对信息的传播及内容具有控制能力。8.1.2网络安全的特征网络安全应具有以下四个方面的特征798.1.3对网络安全的威胁与网络连通性相关的有三种不同类型的安全威胁：（1）非授权访问（UnauthorizedAccess）指一个非授权用户的入侵。（2）信息泄露（DisclosureofInformation）指造成将有价值的和高度机密的信息暴露给无权访问该信息的人的所有问题。（3）拒绝服务（DenialofService）指使系统难以或不能继续执行任务的所有问题。

8.1.3对网络安全的威胁与网络连通性相关的有三种不同类808.1.4网络安全的关键技术

从广义上讲，计算机网络安全技术主要有：（1）主机安全技术：（2）身份认证技术：（3）访问控制技术：（4）密码技术：（5）防火墙技术：（6）安全审计技术：（7）安全管理技术：

8.1.4网络安全的关键技术从广义上讲，计算机网络安全技818.1.5Linux系统的网络安全策略

1．简介

一般认为，计算机网络系统的安全威胁主要来自黑客攻击和计算机病毒2个方面。如何确保网络操作系统的安全，是网络安全的根本所在。只有网络操作系统安全可靠，才能保证整个网络的安全。8.1.5Linux系统的网络安全策略1．简介828.1.5Linux系统的网络安全策略

2．Linux网络操作系统的基本安全机制Linux网络操作系统提供了用户帐号、文件系统权限和系统日志文件等基本安全机制，如果这些安全机制配置不当，就会使系统存在一定的安全隐患。因此，网络系统管理员必须小心地设置这些安全机制。8.1.5Linux系统的网络安全策略2．Linux网838.1.5Linux系统的网络安全策略

2．Linux网络操作系统的基本安全机制（1）Linux系统的用户帐号/etc/passwd/etc/shadow（2）Linux的文件系统权限只读，可写，可执行，允许SUID，允许SGID（3）合理利用Linux的日志文件

/var/log/lastlog：记录最后进入系统的用户信息—lastlog

/var/log/secure：记录系统自开通以来所有用户的登录时间和地点

/var/log/wtmp：记录用户的登录时间、地点和注销时间—last8.1.5Linux系统的网络安全策略2．Linux网848.1.5Linux系统的网络安全策略

3．Linux网络系统可能受到的攻击和安全防范策略Linux操作系统是一种公开源码的操作系统，因此比较容易受到来自底层的攻击，系统管理员一定要有安全防范意识，对系统采取一定的安全措施，这样才能提高Linux系统的安全性。（1）Linux网络系统可能受到的攻击类型1）“拒绝服务”攻击；2）“口令破解”攻击；3）“欺骗用户”攻击；4）“扫描程序和网络监听”攻击。8.1.5Linux系统的网络安全策略3．Linux网858.1.5Linux系统的网络安全策略

3．Linux网络系统可能受到的攻击和安全防范策略（2）Linux网络安全防范策略1）仔细设置每个内部用户的权限；2）确保用户口令文件/etc/shadow的安全；3）加强对系统运行的监控和记录；4）合理划分子网和设置防火墙；5）定期对Linux网络进行安全检查；6）制定适当的数据备份计划确保系统万无一失。8.1.5Linux系统的网络安全策略3．Linux网868.1.5Linux系统的网络安全策略

4．加强对Linux网络服务器的管理，合理使用各种工具（1）利用记录工具，记录对Linux系统的访问（2）慎用Telnet服务（3）合理设置NFS服务和NIS服务（4）小心配置FTP服务（5）合理设置POP-3和Sendmail等电子邮件服务（6）加强对WWW服务器的管理，提供安全的WWW服务（7）最好禁止提供finger服务/usr/bin8.1.5Linux系统的网络安全策略4．加强对Lin878.1.6Linux网络安全工具

1．sudosudo是系统管理员用来允许某些用户以root身份运行部分/全部系统命令的程序。一个明显的用途是增强了站点的安全性，如果用户需要每天以root身份做一些日常工作，经常执行固定的几个只有root身份才能执行的命令，那么用sudo是非常适合的。8.1.6Linux网络安全工具1．sudo888.1.6Linux网络安全工具

1．sudo以Redhat9.0为例，介绍sudo的安装及设置过程：一般情况下，Redhat9.0中都已经缺省安装了当前较新的版本sudo-1.6.6-3。如果你的系统中没有安装，你能从下面的地址中下载forRedhatLinux的rpmpackage。ftp://ftp.rediris.es/sites//pub/redhat/linux/9/en/os/i386/RedHat/RPMS/sudo-1.6.6-3.i386.rpm#rpm-ivhsudo*/usr/sbin/visudo编辑/etc/sudoers文件8.1.6Linux网络安全工具1．sudo898.1.6Linux网络安全工具

1．sudo

sudoers文件是由一个选择性的主机别名(host

alias)节区，一个选择性的指令别名(command

alias)节区和使用者说明(user

specification)节区所组成的。所有的指令别名或主机别名必须以自己的关键字作为开始(Host_Alias/Cmnd_Alias)。8.1.6Linux网络安全工具1．sudo901．sudo使用者说明节区格式：使用者

接取群组

[:

接取群组

]... 接取群组

::=

主机象征

=

[op]指令象征

[,[op]指令象征]... 主机象征

::=

一个小写的主机名称或主机别名。 指令象征

::=

一个指令或指令别名。 op

::=

逻辑的

'!'

否定运算元。主机别名节区格式： Host_Alias

主机别名

=

主机列表

Host_Alias

::=

这是一个关键字。 主机别名

::=

一个大写的别名。 主机列表

::=

以逗号间隔的一些主机名称。指令别名节区格式： Cmnd_Alias

指令别名

=

指令列表 Cmnd_Alias

::=

这是一个关键字。 指令别名

::=

一个大写的别名。 指令列表

::=

以逗号间隔的一些指令。1．sudo918.1.6Linux网络安全工具

1．sudo例如：#Hostaliasspecification

Host_Alias

HUB=:\ REMOTE=merlin,kodiakthorn,spirit

Host_Alias

MACHINES=kalkan,alpo,milkbones

#Commandaliasspecification

Cmnd_Alias

LPCS=/usr/etc/lpc,/usr/ucb/lprm

Cmnd_Alias

SHELLS=/bin/sh,/bin/csh,/bin/tcsh

#Userspecification

wyh

ALL=ALL,!SHELLS

wj

=/bin/tcsh,REMOTE=LPCS8.1.6Linux网络安全工具1．sudo928.1.6Linux网络安全工具2．Sniffitsniffit是一个有名的网络端口探测器，可以配置它在后台运行，以检测哪些TCP/IP端口上用户的输入/输出信息。最常用的功能是可以用来检测系统的23(telnet)和110(pop3)端口上的数据传送，得到系统的登录口令和mail帐号密码。sniffit的主页在http://reptile.rug.ac.be/~coder/sniffit/sniffit.html用户在根目录运行：#tar-xvfzsniff*解开所有文件到对应目录，阅读其中的README.FIRST。8.1.6Linux网络安全工具2．Sniffit938.1.6Linux网络安全工具

2．Sniffit

sniffit-i以交互式图形界面查看所有在指定网络接口上的输入/输出信息。例如：为了得到所有用户通过某接口a.b.c.d接收邮件时所输入的pop3帐号和密码，#sniffit-p110-ta.b.c.d

&#sniffit-p110-sa.b.c.d&8.1.6Linux网络安全工具2．Sniffit948.1.6Linux网络安全工具

2．Sniffit记录文件放在目录/usr/doc/sniffit*下面：logfile根据访问者的IP地址，随机用高端端口号和用来检测的网络接口IP地址和检测端口来命名。它利用了TCP/IP协议天生的虚弱性，因为普通的telnet和pop3所传的用户名和密码信息都是明文，不带任何方式的加密。因此对telnet/ftp，可以用ssh/scp来替代。sniffit检测到的ssh/scp信息基本上是一堆乱码，因此不需要担心ssh所传送的用户名和口令信息会被第三方所窃取。8.1.6Linux网络安全工具2．Sniffit958.1.6Linux网络安全工具

3．nmap

nmap是用来对一个比较大的网络进行端口扫描的工具，它能检测该服务器有哪些TCP/IP端口目前正处于打开状态。可以运行它来确保已经禁止掉不该打开的不安全的端口号。nmap的主页在/nmap/index.html8.1.6Linux网络安全工具3．nmap968.1.6Linux网络安全工具

3．nmap例：nmapStartingnmapV.3.00(/nmap/)Interestingportson():(The1588portsscannedbutnotshownbelowareinstate:closed)PortStateService21/tcpopenftp25/tcpopensmtp80/tcpopenhttp119/tcpopennntp8.1.6Linux网络安全工具3．nmap978.2防火墙技术8.2.1什么是防火墙

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合，是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。防火墙是提供信息安全服务，实现网络和信息安全的基础设施。

8.2防火墙技术8.2.1什么是防火墙988.2.1什么是防火墙

防火墙逻辑位置示意图

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全，如下图。8.2.1什么是防火墙防火墙逻辑位置示意图在逻998.2.1什么是防火墙

使用防火墙地作用如下：(1)防火墙是网络安全的屏障

(2)防火墙可以强化网络安全策略

(3)对网络存取和访问进行监控审计

(4)防止内部信息的外泄

8.2.1什么是防火墙使用防火墙地作用如下：1008.2.2防火墙的三种类型

1．数据包过滤型防火墙数据包过滤(PacketFiltering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(AccessControlTable)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙有两个主要缺点：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。8.2.2防火墙的三种类型1．数据包过滤型防火墙1018.2.2防火墙的三种类型

2．应用级网关型防火墙应用级网关(ApplicationLevelGateways)是在应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。应用级网关型防火墙的工作流程示意图见如下。

应用级网关型防火墙的工作流程8.2.2防火墙的三种类型2．应用级网关型防火墙应用级1028.2.2防火墙的三种类型

2．应用级网关型防火墙数据包过滤和应用网关防火墙有一个共同的特点，就是仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。8.2.2防火墙的三种类型2．应用级网关型防火墙1038.2.2防火墙的三种类型

3．代理服务型防火墙

代理服务(ProxyService)也称链路级网关或TCP通道(CircuitLevelGatewaysorTCPTunnels)。代理服务的特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器。代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报并保留攻击痕迹。8.2.2防火墙的三种类型3．代理服务型防火墙104

代理服务型防火墙的网络结构8.2.2防火墙的三种类型

3．代理服务型防火墙代理服务型防火墙的网络结构示意图如下。代理服务型防火墙的网络结构8.2.2防火墙的三种类1058.2.3防火墙体系结构

1．双重宿主主机体系结构

双重宿主主机体系结构围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信。但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。

双重宿主主机体系结构8.2.3防火墙体系结构1．双重宿主主机体系结构双重1062．被屏蔽主机体系结构

被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开。在这种体系结构中，主要的安全由数据包过滤提供。

被屏蔽主机体系结构8.2.3防火墙体系结构

2．被屏蔽主机体系结构被屏蔽主机体系结构8.2.3防1072．被屏蔽主机体系结构

这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一内部网络上的主机。任何外部的系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等级的主机安全。8.2.3防火墙体系结构

2．被屏蔽主机体系结构8.2.3防火墙体系结构1083．被屏蔽子网体系结构

被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络和外部网络隔开。被屏蔽子网体系结构的最简单的形式为：两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络之间。如下图。

被屏蔽子网体系结构8.2.3防火墙体系结构

3．被屏蔽子网体系结构被屏蔽子网体系结构8.2.3防1098.2.4包过滤技术

包过滤(PacketFilter)技术是在网络层中对数据包实施有选择的通过。根据系统内事先设定的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包通过，其核心是安全策略即过滤算法的设计。例如，用于特定的因特网服务的服务器驻留在特定的端口号的事实（如TCP端口23用于Telnet连接），使包过滤器可以通过简单的规定适当的端口号来达到阻止或允许一定类型的连接的目的，并可进一步组成一套数据包过滤规则。8.2.4包过滤技术包过滤(PacketFi110包过滤技术作为防火墙的应用三类：一是路由设备在完成路由选择和数据转发之外，同时进行包过滤，这是目前较常用的方式；二是在工作站上使用软件进行包过滤，这种方式价格较贵；三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。8.2.4包过滤技术

包过滤技术作为防火墙的应用8.2.4包过滤技术1118.3使用Linux架构包过滤防火墙

8.3.1包过滤型防火墙的一般概念

1．什么是包过滤包过滤就是用一个软件查看所流经的数据包的包头(header)，由此决定整个数据包是否允许通过。它可能会决定丢弃(DROP)这个包，可能会接受(ACCEPT)这个包，也可能执行其他更复杂的动作。在Linux系统下，包过滤功能是内建于核心的，同时还有一些可以运用于数据包之上的技巧，不过最常用的依然是查看包头以决定是否允许通过。8.3使用Linux架构包过滤防火墙8.3.1包过滤1122．包过滤防火墙的工作层次包过滤防火墙示意图如图8-7所示。包过滤是一种内置于Linux内核路由功能之上的防火墙类型，其防火墙工作在网络层。网络层数据应用层物理层数据链路层网络层传输层应用层物理层数据链路层网络层传输层数据数据链路层物理层包过滤防火墙示意图8.3.1包过滤型防火墙的一般概念

2．包过滤防火墙的工作层次网络层数据应用层物理层数据链路层网