【51CTO.com 独家翻译】需要一个个人防火墙、一个企业internet网关还是这两者之间的什么东西吗?iptables可以完全满足你的需要!
在任何通用的Linux操作系统中,内核包括了一些非常强大且非常灵活的防火墙代码,这个代码叫做Netfilter,不过我们大都通过用户空间命令iptables来引用它,Netfilter/iptables允许你的Linux内核检查所有通过你系统的网络通讯,基于一套非常丰富的标准来判定通讯是做什么的。
用iptables建立Linux防火墙是一个大的话题—已经有完整的书籍介绍它(Suehring, S., and Ziegler, R. Linux Firewalls, 3rd edition. Upper Saddle River, NJ: Novell Press, 2005),事实上,防火墙工程师本身是一个职业(实际上,我就是干这行的),因此,没有人能在一篇杂志文章中告诉你你需要知道的用iptables建立防火墙的每件事情。
但是我能提供iptables能做什么事情的一个概述,一些用于Linux防火墙设计的合理原则,建立不同类型防火墙的方便工具的描述,以及更多关于Linux防火墙的详细信息。
Linux防火墙的类型
防火墙,或更精确地说数据包过滤器,可以用于许多方面,它可以用于本地单独的服务器和桌面系统提供主机级别的保护,阻止基于网络的攻击,用于网络结构层保护整个网络,阻止来自其他网络的攻击,以及重定向甚至改变网络数据包。
Linux防火墙可以做成基于Linux的专用硬件设备,如一台有多个网络接口的PC或一台普通的、单个接口的工作站或服务器。许多商业防火墙设备也是基于Linux/iptables的,与你想象的相反,如果部署在强大的硬件上,基于PC的Linux防火墙也能表现得相当好。
那些组成Linux防火墙的元素,它们为两个不同的角色服务,防火墙装置和基于PC的多接口防火墙被我叫做网络防火墙使用,它们作为专用的网络设备,逻辑上与IP路由器相当,路由器管理不同网络之间的通讯。(技术上,防火墙是路由器,它们仅挑剔路过它们的内容),网络防火墙也常常完成网络地址转换(NAT)功能,典型地,它们允许没有internet ip地址的主机能够访问互联网。
然后,介绍下被我称为本地防火墙—工作站或服务器的主要功能根本不是防火墙,但是它们需要保护它们自己,据我看来,任何连接到互联网的计算机,无论是服务器还是工作站,都应该运行一个本地防火墙策略,至于Linux系统,我们还没有借口不使用Linux内置的Netfilter/iptables功能,而且,这是最容易创建的防火墙脚本类型,本文稍后会进行展示。
防火墙设计原则
在我们开始讨论Linux防火墙工具前,我们应该先了解一下一些常见的防火墙设计原则,无论你用iptables保护一个独立的主机还是整个网络这些原则都是(或应该是)同等有效的。
首先,这里有一些术语:
◆数据包过滤器:检查单个网络数据包,与一套规则进行对比,并按照规则进行处理。
◆防火墙策略:一套具体的iptables命令或一套iptables命令执行的高级设计目标。
◆防火墙规则或数据包过滤规则:防火墙策略的独立组件—独立的iptables命令重复。
建立包过滤规则的第一步是精确地判断你希望你的防火墙做什么—也就是用公式表达你的高标准的防火墙策略,例如:如果我为工作站创建一个本地防火墙脚本,我的逻辑策略看起来象下面这样:
1、允许出站DNS查询,通过HTTP和HTTPS进行网上冲浪,通过IMAP检索E-mail,从本地系统到整个外部网络的出站SSH和出站FTP传输。
2、允许从我地下室的其他工作站到本系统的入站SSH连接。
3、阻止任何其它的出入站内容。
跳过这一定义你高标准策略的重要一步就如编写软件前没有先定义需求一样。
我建议无论你对策略做出什么决定,你都应该将其象限制一样要是可行的,许多年以前Marcus Ranum就非常简明地指出了设计防火墙的指导原则:“不能清楚地允许就是禁止”,这个道理相当简单,因为你认为只要不是必须的网络传输,是不允许被滥用的,尽管如此并不意味着某些攻击者就不能滥用它了。
因此,每个防火墙策略都必须使用一个阻止规则结束,阻止所有未在前面策略语句特殊指出的通讯。
这不仅在网络/企业防火墙策略上是真理,在个人/本地防火墙上也一样,在个人防火墙上一个常犯的错误是允许所有的出站传输,假设所有本地的进程都是受信任的,如果你的系统被一个蠕虫、木马或病毒感染,这个假设将被击穿。
在一个如被感染的事件中,你或许不想恶意软件能使用你的系统发送垃圾邮件,特别是分布式拒绝服务攻击等等,因此,优先限制的不仅只有入站(来自外部)网络传输,而且还有出站(来自内部/本地)传输,即使是在桌面或服务器系统的本地防火墙策略也应该如此。
另外一个重要的防火墙设计原则是无论什么时候都将类似的危险组织在一起,换句话说,系统和网络有不同的信任等级和不同的暴露危险的等级,它们都应该用网络防火墙进行互相隔离。
| 共3页: 1 [2] [3] 下一页 | |||||
|
|
· 企业安全宝典:网管员.. · 安全产品介绍:卡巴斯.. · 安全技巧:七个简单方.. · “单向网闸”技术介绍-.. · 企业如何进行计算机取.. · 发现新病毒 ntldr.exe .. |
· 僵尸网络的发展历程及.. · 什么是僵尸网络 · 企业安全战略与Forefro.. · 北大青鸟2.0 s2 linux.. · sonicwall 防火墙 · Linux扫描式教程 |
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · VPN技术 · SQL Server 2008/2005.. · SOA 面向服务架构 · 子网掩码教程 · SQL Server 2008/2005.. · RAID——磁盘阵列基础 · 中间件应用技术专题 · 深入了解PGP加密技术 |
· MySQL数据库备份 · 病毒查杀专题 · VPN技术 · Solaris 10 配置管理 · SSL VPN详细知识 · Linux防火墙 · 打造安全服务器 · Sniffer安全技术从入门.. |
|||
|
||||
| · VPN技术 · SQL Server 2008/2005.. · 中间件应用技术专题 · SQL Server 2008/2005.. · SOA 面向服务架构 · 子网掩码教程 · MySQL数据库备份 · RAID——磁盘阵列基础 |
· 身份认证技术 · 病毒查杀专题 · 清除流氓软件——51CTO.. · SSL VPN详细知识 · Sniffer安全技术从入门.. · VPN技术 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. |
|||
