日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
深入分析Linux防火墻

關于網(wǎng)絡安全的研究分析中,防火墻(Firewall)是被經(jīng)常強調(diào)的重點,它基本功能是過濾并可能阻擋本地網(wǎng)絡或者網(wǎng)絡的某個部分與Internet之間的數(shù)據(jù)傳送(數(shù)據(jù)包)。數(shù)據(jù)包其實就是一段段的數(shù)據(jù),其中同時包括了用來把它們發(fā)送到各自的目的地所必須的信息。

你可以把數(shù)據(jù)包想象成一個郵包:數(shù)據(jù)包本身就是郵包中的數(shù)據(jù),而信封上則是所有用來把這些信息發(fā)送到正確的機器和正確的程序中去的書信抬頭,它同時還包含著回信地址等方面的信息。在其具體的過濾工作過程中,防火墻將接管在此之前從網(wǎng)絡內(nèi)部存取Internet和從Internet存取該內(nèi)部網(wǎng)絡的路由設置。

我們的感覺是以前的防火墻專門用來過濾一些非法的數(shù)據(jù)包,要么為什么其中的一種類型稱為包過濾型防火墻呢?發(fā)展到現(xiàn)在,它的功能是日益增多,不僅能夠過濾數(shù)據(jù)包,還能夠作網(wǎng)絡地址轉(zhuǎn)換,作代理等等。Linux內(nèi)核2.4中防火墻實現(xiàn)NetFilter就是這樣的。

先來看看防火墻所處的位置,我的理解是要么它裝在一臺機器上作個人防火墻,要么裝在一臺機器上為一個局域網(wǎng)提供網(wǎng)關的功能,而后種情況則如下圖所示:

這副圖概括了裝在網(wǎng)關上的NetFilter的框架結構圖,從圖中可以看到一個數(shù)據(jù)包可能經(jīng)過的路徑,其中用[]擴起來的東東,稱為檢查點,當數(shù)據(jù)包到達這個點時,就要停下來進行一些檢查。這里檢查點的名稱使用的是iptables中名稱,具體到NetFilter中可能就要改為那些所謂的鉤子 (Hook)函數(shù)了。

NetFilter概括起來說,它有下面的三個基本功能:

1、數(shù)據(jù)過濾(filter表)

2、網(wǎng)絡地址轉(zhuǎn)換(nat表)

3、數(shù)據(jù)包處理(mangle表)

根據(jù)這三個功能,將上面的五個檢查點按功能進行了分類。由于每個功能在NetFilter中對應一個表,而每個檢查點又有若干個匹配規(guī)則,這些規(guī)則組成一個鏈,所以就有下面的說法:“NetFilter是表的容器,表是鏈的容器,鏈是規(guī)則的容器”

一個鏈(chain)其實就是眾多規(guī)則(rules)中的一個檢查清單(checklist)。每一條鏈中可以有一條或數(shù)條規(guī)則,每一條規(guī)則都是這樣定義的“如果數(shù)據(jù)包頭符合這樣的條件,就這樣處理這個數(shù)據(jù)包”。當一個數(shù)據(jù)包到達一個鏈時,系統(tǒng)就會從第一條規(guī)則開始檢查,看是否符合該規(guī)則所定義的條件: 如果滿足,系統(tǒng)將根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包;如果不滿足則繼續(xù)檢查下一條規(guī)則。最后,如果該數(shù)據(jù)包不符合該鏈中任一條規(guī)則的話,系統(tǒng)就會根據(jù)該鏈預先定義的策略(policy)來處理該數(shù)據(jù)包。

而一個iptables命令基本上包含如下五部分:希望工作在哪個表上、希望使用該表的哪個鏈、進行的操作(插入,添加,刪除,修改)、對特定規(guī)則的目標動作和匹配數(shù)據(jù)包條件。

基本的語法為:iptables -t table -Operation chain -j target match(es)(系統(tǒng)缺省的表為"filter")

基本操作如下:

-A 在鏈尾添加一條規(guī)則

-I 插入規(guī)則

-D 刪除規(guī)則

-R 替代一條規(guī)則

-L 列出規(guī)則

基本目標動作,適用于所有的鏈:

ACCEPT 接收該數(shù)據(jù)包

DROP 丟棄該數(shù)據(jù)包

QUEUE 排隊該數(shù)據(jù)包到用戶空間

RETURN 返回到前面調(diào)用的鏈

foobar 用戶自定義鏈

基本匹配條件,適用于所有的鏈:

-p 指定協(xié)議(tcp/icmp/udp/...)

-s 源地址(ip address/masklen)

-d 目的地址(ip address/masklen)

-i 數(shù)據(jù)包輸入接口

-o 數(shù)據(jù)包輸出接口

匹配條件擴展:

TCP-----匹配源端口,目的端口,及tcp標記的任意組合,tcp選項等。

UPD-----匹配源端口和目的端口

ICMP----匹配ICMP類型

MAC-----匹配接收到的數(shù)據(jù)的mac地址

MARK----匹配nfmark

OWNE----(僅僅應用于本地產(chǎn)生的數(shù)據(jù)包)來匹配用戶ID,組ID,進程ID及會話ID

LIMIT---匹配特定時間段內(nèi)的數(shù)據(jù)包限制。這個擴展匹配對于限制dos攻擊數(shù)據(jù)流非常有用。

STATE---匹配特定狀態(tài)下的數(shù)據(jù)包(由連接跟蹤子系統(tǒng)來決定狀態(tài)),可能的狀態(tài)包括:

INVALID (不匹配于任何連接)

ESTABLISHED (屬于某個已經(jīng)建立的鏈接的數(shù)據(jù)包)

NEW (建立連接的數(shù)據(jù)包)

RELATED (和某個已經(jīng)建立的連接有一定相關的數(shù)據(jù)包,例如一個ICMP錯誤消息或ftp數(shù)據(jù)連接)

TOS——匹配IP頭的TOS字段的值。

【編輯推薦】

  1. Linux個人防火墻的設計與實現(xiàn)
  2. 快速構架Linux防火墻

網(wǎng)站標題:深入分析Linux防火墻
URL標題:http://m.5511xx.com/article/dhsdsjp.html