六月丁香五月婷婷,丁香五月婷婷网,欧美激情网站,日本护士xxxx,禁止18岁天天操夜夜操,18岁禁止1000免费,国产福利无码一区色费

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 防火墻知識 >

怎么完全免費自建Linux防火墻的方法

時間: 加城1195 分享

  防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成,防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。有用戶問到,怎么在Linux系統(tǒng)中免費自己建立防火墻呢?

  一、防火墻的類型和設(shè)計策略

  在構(gòu)造防火墻時,常采用兩種方式,包過濾和應(yīng)用代理服務(wù)。包過濾是指建立包過濾規(guī)則,根據(jù)這些規(guī)則及IP包頭的信息,在網(wǎng)絡(luò)層判定允許或拒絕包的通過。如允許或禁止FTP的使用,但不能禁止FTP特定的功能(例如Get和Put的使用)。應(yīng)用代理服務(wù)是由位于內(nèi)部網(wǎng)和外部網(wǎng)之間的代理服務(wù)器完成的,它工作在應(yīng)用層,代理用戶進、出網(wǎng)的各種服務(wù)請求,如FTP和Telenet等。

  目前,防火墻一般采用雙宿主機(Dual-homedFirewall)、屏蔽主機(ScreenedHostFirewall)和屏蔽子網(wǎng)(ScreenedSubnetFirewall)等結(jié)構(gòu)。雙宿主機結(jié)構(gòu)是指承擔(dān)代理服務(wù)任務(wù)的計算機至少有2個網(wǎng)絡(luò)接口連接到內(nèi)部網(wǎng)和外部網(wǎng)之間。屏蔽主機結(jié)構(gòu)是指承擔(dān)代理服務(wù)任務(wù)的計算機僅僅與內(nèi)部網(wǎng)的主機相連。屏蔽子網(wǎng)結(jié)構(gòu)是把額外的安全層添加到屏蔽主機的結(jié)構(gòu)中,即添加了周邊網(wǎng)絡(luò),進一步把內(nèi)部網(wǎng)和外部網(wǎng)隔開。

  防火墻規(guī)則用來定義哪些數(shù)據(jù)包或服務(wù)允許/拒絕通過,主要有2種策略。一種是先允許任何接入,然后指明拒絕的項;另一種是先拒絕任何接入,然后指明允許的項。一般地,我們會采用第2種策略。因為從邏輯的觀點看,在防火墻中指定一個較小的規(guī)則列表允許通過防火墻,比指定一個較大的列表不允許通過防火墻更容易實現(xiàn)。從Internet的發(fā)展來看,新的協(xié)議和服務(wù)不斷出現(xiàn),在允許這些協(xié)議和服務(wù)通過防火墻之前,有時間審查安全漏洞。

  二、基于Linux操作系統(tǒng)防火墻的實現(xiàn)

  基于Linux操作系統(tǒng)的防火墻是利用其內(nèi)核具有的包過濾能力建立的包過濾防火墻和包過濾與代理服務(wù)組成的復(fù)合型防火墻。下面,讓我們來看看怎樣配置一個雙宿主機的基于Linux的防火墻。

  由于Linux的內(nèi)核各有不同,提供的包過濾的設(shè)置辦法也不一樣。IpFwadm是基于Unix中的ipfw,它只適用于Linux2.0.36以前的內(nèi)核;對于Linux2.2以后的版本,使用的是Ipchains。IpFwadm和Ipchains的工作方式很相似。用它們配置的4個鏈中,有3個在Linux內(nèi)核啟動時進行定義,分別是:進入鏈(InputChains)、外出鏈(OutputChains)和轉(zhuǎn)發(fā)鏈(ForwardChains),另外還有一個用戶自定義的鏈(UserDefinedChains)。進入鏈定義了流入包的過濾規(guī)則,外出鏈定義了流出包的過濾規(guī)則,轉(zhuǎn)發(fā)鏈定義了轉(zhuǎn)發(fā)包的過濾規(guī)則。

  這些鏈決定怎樣處理進入和外出的IP包,即當(dāng)一個包從網(wǎng)卡上進來的時候,內(nèi)核用進入鏈的規(guī)則決定了這個包的流向;如果允許通過,內(nèi)核決定這個包下一步發(fā)往何處,如果是發(fā)往另一臺機器,內(nèi)核用轉(zhuǎn)發(fā)鏈的規(guī)則決定了這個包的流向;當(dāng)一個包發(fā)送出去之前,內(nèi)核用外出鏈的規(guī)則決定了這個包的流向。某個特定的鏈中的每條規(guī)則都是用來判定IP包的,如果這個包與第一條規(guī)則不匹配,則接著檢查下一條規(guī)則,當(dāng)找到一條匹配的規(guī)則后,規(guī)則指定包的目標(biāo),目標(biāo)可能是用戶定義的鏈或者是Accept、Deny、Reject、Return、Masq和Redirect等。

  其中,Accept指允許通過;Deny指拒絕;Reject指把收到的包丟棄,但給發(fā)送者產(chǎn)生一個ICMP回復(fù);Return指停止規(guī)則處理,跳到鏈尾;Masq指對用戶定義鏈和外出鏈起作用,使內(nèi)核偽裝此包;Redirect只對進入鏈和用戶定義鏈起作用,使內(nèi)核把此包改送到本地端口。為了讓Masq和Redirect起作用,在編譯內(nèi)核時,我們可以分別選擇Config_IP_Masquerading和Config_IP_Transparent_Proxy。

  假設(shè)有一個局域網(wǎng)要連接到Internet上,公共網(wǎng)絡(luò)地址為202.101.2.25。內(nèi)部網(wǎng)的私有地址根據(jù)RFC1597中的規(guī)定,采用C類地址192.168.0.0~192.168.255.0。為了說明方便,我們以3臺計算機為例。實際上,最多可擴充到254臺計算機。

  具體操作步驟如下:

  1、在一臺Linux主機上安裝2塊網(wǎng)卡ech0和ech1,給ech0網(wǎng)卡分配一個內(nèi)部網(wǎng)的私有地址191.168.100.0,用來與Intranet相連;給ech1網(wǎng)卡分配一個公共網(wǎng)絡(luò)地址202.101.2.25,用來與Internet相連。

  2、Linux主機上設(shè)置進入、轉(zhuǎn)發(fā)、外出和用戶自定義鏈。本文采用先允許所有信息可流入和流出,還允許轉(zhuǎn)發(fā)包,但禁止一些危險包,如IP欺騙包、廣播包和ICMP服務(wù)類型攻擊包等的設(shè)置策略。

  具體設(shè)置如下:

  (1)刷新所有規(guī)則

  (2)設(shè)置初始規(guī)則

  (3)設(shè)置本地環(huán)路規(guī)則

  本地進程之間的包允許通過。

  (4)禁止IP欺騙

  (5)禁止廣播包

  (6)設(shè)置ech0轉(zhuǎn)發(fā)規(guī)則

  (7)設(shè)置ech1轉(zhuǎn)發(fā)規(guī)則

  將規(guī)則保存到/etc/rc.firewallrules文件中,用chmod賦予該文件執(zhí)行權(quán)限,在/etc/rc.d.rc.local中加入一行/etc/rc.firewallrules,這樣當(dāng)系統(tǒng)啟動時,這些規(guī)則就生效了。

  通過以上各步驟的配置,我們可以建立一個基于Linux操作系統(tǒng)的包過濾防火墻。它具有配置簡單、安全性高和抵御能力強等優(yōu)點,特別是可利用閑置的計算機和免費的Linux操作系統(tǒng)實現(xiàn)投入最小化、產(chǎn)出最大化的防火墻的構(gòu)建。另外,如果在包過濾的基礎(chǔ)上再加上代理服務(wù)器,如TIS Firewall Toolkit 免費軟件包,還可構(gòu)建更加安全的復(fù)合型防火墻。

  補充閱讀:防火墻主要使用技巧

  一、所有的防火墻文件規(guī)則必須更改。

  盡管這種方法聽起來很容易,但是由于防火墻沒有內(nèi)置的變動管理流程,因此文件更改對于許多企業(yè)來說都不是最佳的實踐方法。如果防火墻管理員因為突發(fā)情況或者一些其他形式的業(yè)務(wù)中斷做出更改,那么他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協(xié)議更改,會導(dǎo)致宕機嗎?這是一個相當(dāng)高發(fā)的狀況。

  防火墻管理產(chǎn)品的中央控制臺能全面可視所有的防火墻規(guī)則基礎(chǔ),因此團隊的所有成員都必須達成共識,觀察誰進行了何種更改。這樣就能及時發(fā)現(xiàn)并修理故障,讓整個協(xié)議管理更加簡單和高效。

  二、以最小的權(quán)限安裝所有的訪問規(guī)則。

  另一個常見的安全問題是權(quán)限過度的規(guī)則設(shè)置。防火墻規(guī)則是由三個域構(gòu)成的:即源(IP地址),目的地(網(wǎng)絡(luò)/子網(wǎng)絡(luò))和服務(wù)(應(yīng)用軟件或者其他目的地)。為了確保每個用戶都有足夠的端口來訪問他們所需的系統(tǒng),常用方法是在一個或者更多域內(nèi)指定打來那個的目標(biāo)對象。當(dāng)你出于業(yè)務(wù)持續(xù)性的需要允許大范圍的IP地址來訪問大型企業(yè)的網(wǎng)絡(luò),這些規(guī)則就會變得權(quán)限過度釋放,因此就會增加不安全因素。服務(wù)域的規(guī)則是開放65535個TCP端口的ANY。防火墻管理員真的就意味著為黑客開放了65535個攻擊矢量?

  三、根據(jù)法規(guī)協(xié)議和更改需求來校驗每項防火墻的更改。

  在防火墻操作中,日常工作都是以尋找問題,修正問題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來解決問題,應(yīng)用新產(chǎn)品和業(yè)務(wù)部門的過程中,我們經(jīng)常會遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項規(guī)則都應(yīng)該重新審核來確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神,而不僅是一篇法律條文。

  四、當(dāng)服務(wù)過期后從防火墻規(guī)則中刪除無用的規(guī)則。

  規(guī)則膨脹是防火墻經(jīng)常會出現(xiàn)的安全問題,因為多數(shù)運作團隊都沒有刪除規(guī)則的流程。業(yè)務(wù)部門擅長讓你知道他們了解這些新規(guī)則,卻從來不會讓防火墻團隊知道他們不再使用某些服務(wù)了。了解退役的服務(wù)器和網(wǎng)絡(luò)以及應(yīng)用軟件更新周期對于達成規(guī)則共識是個好的開始。運行無用規(guī)則的報表是另外一步。黑客喜歡從來不刪除規(guī)則的防火墻團隊。


怎么完全免費自建Linux防火墻的方法相關(guān)文章:

1.Linux關(guān)閉防火墻的方法步驟

2.linux如何關(guān)閉防火墻

3.linux如何開放防火墻8080端口

4.檢查linux防火墻是否開啟的方法

5.linux怎么查看防火墻是否開啟

4042612