<b>一、認識防火牆</b><b></b>
1、什麼是防火牆呢?
防火牆就是監控進入到我們網段内主機的資訊資料包的一種機制,更廣義來說,隻要能夠分析和過濾進出我們管理網段的資料包資料,就可以稱為防火牆。
防火牆又可以分為硬體防火牆與軟體防火牆兩類。硬體防火牆是由廠商設計好的主機硬體,主要以提過資料包過濾機制為主,并将其他的功能拿掉;而軟體防火牆指的是保護系統網絡安全的一套軟體(或稱為機制),例如iptables與TCP Wrappers都可以稱為軟體防火牆。
2、為何需要防火牆?
<b>防火牆的最重要的任務:</b><b></b>
a、切割被信任(如子網段)與不被信任(如internet)的網段;
b、劃分出可提供給Internet的服務與必須受保護的服務;
c、分析出可接受與不可接受的資料包狀态。
<b>二、</b><b>linux</b><b>系統上防火牆的主要類别</b><b></b>
除了對防火牆有硬體防火牆和軟體防火牆的分類标準之外,我們也可以按防火牆對資料包的擷取方式來進行分類,主要可以分為兩類:代理伺服器(Proxy)以及IP Filter。前者是代理客戶機端向Internet請求資料;後者是利用資料包過濾的方式來實作防火牆的功能。
<b>三、</b><b>防火牆的一般部署方法和過濾技巧</b><b></b>
<b>1、</b><b>單一</b><b>linux</b><b>主機兼任防火牆功能</b><b></b>
<b></b>
<b>2、</b><b>單一</b><b>linux</b><b>防火牆,但</b><b>LAN</b><b>内另設防火牆</b><b></b>
<b>3、</b><b>在防火牆後端的主機設定</b><b></b>
<b>四、</b><b>linux</b><b>資料包過濾機制(</b><b>iptables</b><b>)</b><b></b>
<b>iptables</b><b>至少有</b><b>3</b><b>個預設</b><b>table</b><b>(</b><b>filter</b><b>、</b><b>nat</b><b>、</b><b>mangle</b><b>)</b><b>,</b><b>較常用的是本機的</b><b>filter</b><b>表格,另一個則是後端主機的</b><b>nat</b><b>表格。</b><b></b>
<b>五、其它</b>
1、Linux中的防火牆是打在系統核心的,你永遠關不掉,但是可以把 防火牆政策給清除掉。等同如防火牆這道門還在,隻是把它開着。
若想把防火牆的政策給清除掉,執行下面指令即可:
iptables -F
service iptables save // 防火牆政策寫到/etc/sysconfig/iptables,以後計算機重新開機再 加載這個檔案時,防火牆政策就會永久清空.
2、SElinux需要關閉。
sestatus //如果不是disabled
<b> </b><b>臨時:</b>setenforce 0 //臨時關閉SELinux防火牆
<b> </b><b>永久:</b><b></b>
編輯vi /etc/selinux/config
将裡面的selinux設定為disabled ,然後重新開機系統。
3、ping的時候會出現“逾時”和“目的主機不可達”的提示,前者說明資料已經發出去了,ping了半天(機關時間内)沒有收到回應,就會認為逾時;後者則是因為不知道資料目的在哪,傳回速度很快,說明網關出現了問題。
4、如何設定一個網關?
route add default gw 192.168.20.1
5、如何開啟路由?
路由預設為0
cat /proc/sys/net/ipv4/ip_forward
開啟路由隻需要把值改為1,執行指令:
echo /proc/sys/net/ipv4/ip_forward
6、iptables規則鍊
Iptables預設具有5條規則鍊