防火墻策略如何設置
防火墻策略如何設置
防火墻的策略設置是怎么樣的呢?你會設置嗎?下面由學習啦小編給你做出詳細的防火墻策略設置介紹!希望對你有幫助!
防火墻策略設置介紹一:
這個策略的意思是"在filter表中(這個在策略中省略了)的INPUT鏈的首行,插入一條允許訪問本機22號端口的策略”
這條策略中沒有指定源地址,也就是說允許任何主機訪問本機的22號端口(ssh服務)
有四個表,一般只用到兩個:filter, nat ;有五條鏈:INPUT OUTPUT FORWARD PREROUTING POSTROUNG
filter表包括三條連:INPUT,OUTPUT,FORWARD,主要是做過濾用的,比如對數據流入做過濾(INPUT鏈上做規則,比如你的例子);對數據流出做過濾(OUTPUT上鏈做規則),對需要轉發的數據做過濾(FORWARD上鏈做規則—)
nat表包括三條連:PREROUTING,POSTROUTING,OUTPUT,是做地址轉換。讓內網用戶訪問互聯網(POSTROUGING鏈上作策略),讓外網用戶(互聯網用戶)訪問內網服務器(PREROUITNG鏈上作策略)
防火墻策略設置介紹二:
Linux 為增加系統安全性提供了防火墻保護。防火墻存在于你的計算機和網絡之間,用來判定網絡中的遠程用戶有權訪問你的計算機上的哪些資源。一個正確配置的防火墻可以極大地增加你的系統安全性。防火墻作為網絡安全措施中的一個重要組成部分,一直受到人們的普遍關注。LINUX是這幾年一款異軍突起的操作系統,以其公開的源代碼、強大穩定的網絡功能和大量的免費資源受到業界的普遍贊揚。LINUX防火墻其實是操作系統本身所自帶的一個功能模塊。通過安裝特定的防火墻內核,LINUX操作系統會對接收到的數據包按一定的策略進行處理。而用戶所要做的,就是使用特定的配置軟件(如iptables)去定制適合自己的“數據包處理策略”。
包過濾:
對數據包進行過濾可以說是任何防火墻所具備的最基本的功能,而LINUX防火墻本身從某個角度也可以說是一種“包過濾防火墻”。在LINUX防火墻中,操作系統內核對到來的每一個數據包進行檢查,從它們的包頭中提取出所需要的信息,如源IP地址、目的IP地址、源端口號、目的端口號等,再與已建立的防火規則逐條進行比較,并執行所匹配規則的策略,或執行默認策略。
值得注意的是,在制定防火墻過濾規則時通常有兩個基本的策略方法可供選擇:一個是默認允許一切,即在接受所有數據包的基礎上明確地禁止那些特殊的、不希望收到的數據包;還有一個策略就是默認禁止一切,即首先禁止所有的數據包通過,然后再根據所希望提供的服務去一項項允許需要的數據包通過。一般說來,前者使啟動和運行防火墻變得更加容易,但卻更容易為自己留下安全隱患。
通過在防火墻外部接口處對進來的數據包進行過濾,可以有效地阻止絕大多數有意或無意地網絡攻擊,同時,對發出的數據包進行限制,可以明確地指定內部網中哪些主機可以訪問互聯網,哪些主機只能享用哪些服務或登陸哪些站點,從而實現對內部主機的管理。可以說,在對一些小型內部局域網進行安全保護和網絡管理時,包過濾確實是一種簡單而有效的手段。
代理:
LINUX防火墻的代理功能是通過安裝相應的代理軟件實現的。它使那些不具備公共IP的內部主機也能訪問互聯網,并且很好地屏蔽了內部網,從而有效保障了內部主機的安全。
IP偽裝:
IP偽裝(IP Masquerade)是LINUX操作系統自帶的又一個重要功能。通過在系統內核增添相應的偽裝模塊,內核可以自動地對經過的數據包進行“偽裝”,即修改包頭中的源目的IP信息,以使外部主機誤認為該包是由防火墻主機發出來的。這樣做,可以有效解決使用內部保留IP的主機不能訪問互聯網的問題,同時屏蔽了內部局域網。
防火墻策略設置介紹三:
iptables -A OUTPUT -o eth0 -d 192.168.100.250 -s 192.168.1.1 -p tcp --sport 22 -j ACCEPT
看了“ 防火墻策略如何設置”文章的還看了:
5.防火墻基礎知識