📄 防火墙技术及其在linux下的实现 .htm
字号:
Attacks),利用源站点指定数据包在网络中所走的路线,将数据包循着一条不安全的路径到达目的地。对付这种攻击的方法是让路由器丢弃任何有源路由选项的数据包。
<BR>(3)极小数据段攻击(Tiny Fragment
Attacks)。该攻击利用了IP分段的特性,创建极小的分段并强行将头信息分成多个数据包段。希望包过滤路由器只检查第一个分段而让其余分段通过,从而绕过用户定义的过滤规则。对付这种攻击,只要让路由器丢弃协议类型为TCP、IP
Fragment Offset等于1的数据包就可以了。 <BR><BR>2.应用网关技术(Application gateway)
<BR><BR> 该技术又称为双主机技术(Dual Homed
Host),采用主机取代路由器执行控管功能。主机是内外网络连接的桥梁,是内外联系的唯一途径,起着网关的作用,也被称为Bastion
Host(堡垒主机)。在应用网关上运行应用代理程序(Application
proxy),一方面代替原服务器程序牞与客户程序建立连接,另一方面代替客户程序,与原服务器建立连接,使合法用户可以通过应用网关安全地使用Internet,而对非法用户不予理睬。常用的代理程序有WWW
protxy,E-mail
proxy等。与包过滤技术相比,应用网关技术更加灵活;由于作用在用户层,因此能执行更细致的检查工作。但软件开销大,管理和维护比较复杂。
<BR> 其他常用的安全机制还有身份验证(Authentication)、访问控制(Access
Control)、日志(Log)、报警(Alert)等。 <BR><BR>四、防火墙技术在LINUX下的实现 <BR><BR>1.物理构成
<BR><BR> 在LINUX下建立作为防火墙,采用Screened
Subnet结构。同时在安装LINUX操作系统的PC机上安装两块网卡,给这两块网卡的中断向量分别配置为10、11。并在/etc/lilo.conf文件中加上如下配置信息:
<BR>append="ether=10,0x300,eth0\ <BR>ether=11,0x280,eth1"
<BR> 用ifconfig命令把eth0配置为内部网关地址:192.168.1.1,把eth1配置为外部网关地址:20.2.51.33,这样计算机就跨接在内部网与外围网之间,它既具有路由的功能,又具有防火墙的功效。内部网的网址为:192.168.1.0
~
192.168.1.255,外围网的网址为:20.2.51.33~20.2.51.47,外围网再经过一个路由器与Internet相连。另外还要用make
me nuconfig命令建立Linux的一个新Kernel,建立新Kernel时,打开Network
Firewall功能。这样计算机Reboot后Linux操作系统就具有"防火"功能了。 <BR><BR>2.如何配置防火墙
<BR><BR> 防火墙主要有以下三种用法:Accounting,Blocking,Forwarding。Accounting规则用来统计经过防火墙的IP
Packets流量。Blocking规则是防火墙用来接收与拒绝途经的IP Packets。Forwarding规则是防火墙用来对指定的IP
Packets进行过滤及转发,它能够基于对IP
Packets的源地址及目的地址的判断、TCP或UDP的Port的筛选、TCP及UDP协议的选择等方法来制定相应的过滤及防护措施。
<BR> Linux操作系统中,用来设置防火墙规则的命令工具有ipfw、ipfwadm。其中ipfwadm能够提供更直观的接口、更好的输出及更好的参考说明。本文主要介绍ipfwadm命令。这两个命令都只能由超级用户来使用,它们能够增加、删除或显示防火墙的记帐及防护规则的内容。
<BR> 在实施防火墙的作用之前,必须首先制定一个防护规则表格,规定哪些机器需要保护,以及什么样的保护。假设建立的防火墙必须满足以下条件:
<BR> ①允许内部网络(192.168.1.0/24)的机器能够Telnet、Ftp到Internet上的任一点,而不允许Internet上的其它机器Telnet、Ftp到内部网上来。
<BR> ②允许内部网及外部网的机器能够双向传送E-mail,并且外部网发来的E-mail只能够与内部网的Mailhub(192.168.1.2)相联系。
<BR> 制定如表1所示的Forswarding规则。 <BR><BR><BR><BR> 表1
Forwarding规则
<BR><BR> 其中第一条"denyeverything"是一条经常用到的规则,这样做了之后,每当需要允许某一个任务时,只要增加一条accept规则,这样网络管理员能够很清楚地制定防火墙规则。
<BR> 以下就是用ipfwadm命令来建立上述的防火墙规则: <BR># ipfwadm-F-f <BR># ipfwadm-F-p
deny <BR># ipfwadm-F-a accept-b-P tcp-S 0.0.0.0/0 23\ <BR>-D
192.168.1.0/24 1024:65535 <BR># ipfwadm-F-a accept-b-P tcp-S 0.0.0.0/0
21\ <BR>-D 192.168.1.0/24 1024:65535 <BR># ipfwadm-F-a accept-b-P tcp-S
0.0.0.0/0 20\ <BR>-D 192.168.1.0/24 1024:65535 <BR># ipfwadm-F-a
accept-b-P tcp-S 0.0.0.0/0 25\ <BR>-D 192.168.1.2 1024:65535 <BR>#
ipfwadm-F-a accept-b-P tcp-S 192.168.1.2 25\ <BR>-D 0.0.0.0/0 1024:65535
<BR> 其中第一条#
ipfwadm-F-f的作用是清除以前所定义的所有规则。为保证每一条规则都生效并不被遗漏,我们可以把以上所写的命令写入/etc/rc.d/rc.ipfw文件中,并使Linux的PC机一开机就运行它。
<BR><BR> <BR><BR>
<DIV align=right>发布人:netbull 来自:China-pub </DIV><BR></UL><IMG
src="防火墙技术及其在LINUX下的实现 .files/line.jpg"><BR>
<FORM action=post.php?skin=reart&ID=2536 method=post>
<UL>-- 发表评论 --<BR> 昵称:<INPUT name=name> Email:<INPUT
name=email><BR> 内容:<BR><TEXTAREA name=content rows=5 cols=56></TEXTAREA><BR> <INPUT type=submit value=确定回复> <INPUT type=reset value=清除></UL></FORM><IMG
src="防火墙技术及其在LINUX下的实现 .files/line.jpg"><BR>
<UL>
<LI>以下是对此文的评论:<BR><BR></LI></UL></TD><!--第三列-->
<TD vAlign=top align=left width="25%"> <IMG
src="防火墙技术及其在LINUX下的实现 .files/online.jpg" border=0>
<UL>
<LI><A href="http://www.linuxbyte.net/addnews.php"
target=_blank>新闻发布</A><BR><BR>
<LI><A href="http://www.linuxbyte.net/addart.php"
target=_blank>文献发布</A><BR><BR>
<LI><A href="http://www.linuxbyte.net/addsoft.php"
target=_blank>软件发布</A><BR><BR>
<LI><A href="http://www.linuxbyte.net/manger.php"
target=_blank>软件管理</A><BR></LI></UL><IMG height=5
src="防火墙技术及其在LINUX下的实现 .files/tabledi2.jpg" width="100%"><!--下载排行-->
<IMG src="防火墙技术及其在LINUX下的实现 .files/download.jpg" border=0>
<BR> <A
href="http://www.linuxbyte.net/view.php?skin=soft&id=676">Red Hat
Linux</A> (81310)<BR> <A
href="http://www.linuxbyte.net/view.php?skin=soft&id=219">Oracle9i
Enterprise</A> (40539)<BR> <A
href="http://www.linuxbyte.net/view.php?skin=soft&id=93">星际译王1.31版</A> (37768)<BR> <A
href="http://www.linuxbyte.net/view.php?skin=soft&id=785">kylix</A> (36517)<BR> <A
href="http://www.linuxbyte.net/view.php?skin=soft&id=1642">Lindows OS
4.5</A> (29611)<BR> <A
href="http://www.linuxbyte.net/view.php?skin=soft&id=287">AOL
server</A> (27385)<BR> <A
href="http://www.linuxbyte.net/view.php?skin=soft&id=969">RedHat
中文环境</A> (26129)<BR> <A
href="http://www.linuxbyte.net/view.php?skin=soft&id=647">Chinput</A> (24366)<BR> <A
href="http://www.linuxbyte.net/view.php?skin=soft&id=1041">中软Linux</A> (21924)<BR> <A
href="http://www.linuxbyte.net/view.php?skin=soft&id=946">RedHat Linux
7.1正式</A> (21608)<BR><IMG height=5
src="防火墙技术及其在LINUX下的实现 .files/tabledi2.jpg" width="100%">
<!--文摘分类--> <IMG src="防火墙技术及其在LINUX下的实现 .files/artstyle.jpg"
border=0> <BR> <A
href="http://www.linuxbyte.net/arttype.php?dno=1">内核分析</A><BR> <A
href="http://www.linuxbyte.net/arttype.php?dno=2">网络技术及应用</A><BR> <A
href="http://www.linuxbyte.net/arttype.php?dno=3">应用编程</A><BR> <A
href="http://www.linuxbyte.net/arttype.php?dno=4">硬件应用</A><BR> <A
href="http://www.linuxbyte.net/arttype.php?dno=5">软件应用</A><BR> <A
href="http://www.linuxbyte.net/arttype.php?dno=6">系统管理</A><BR> <A
href="http://www.linuxbyte.net/arttype.php?dno=7">数据库应用</A><BR> <A
href="http://www.linuxbyte.net/arttype.php?dno=8">系统安全</A><BR> <A
href="http://www.linuxbyte.net/arttype.php?dno=9">Linux中文化</A><BR> <A
href="http://www.linuxbyte.net/arttype.php?dno=10">市场与观点</A><BR><IMG
height=5 src="防火墙技术及其在LINUX下的实现 .files/tabledi2.jpg" width="100%"> <BR><!--合作伙伴--> <IMG src="防火墙技术及其在LINUX下的实现 .files/friends.jpg"
border=0> <BR> <A
href="http://www.5ilinux.com/"
target=_blank>我爱linux</A><BR> <A
href="http://www.heblinux.org/"
target=_blank>河北LINUX协会</A><BR> <A
href="http://www.xteamlinux.com.cn/"
target=_blank>冲浪软件下载中心</A><BR> <A
href="http://cosoft.org.cn/html/"
target=_blank>共创联盟</A><BR> <A
href="http://www.coventive.com.cn/"
target=_blank>XLinux</A><BR> <A
href="http://www.it365.net/"
target=_blank>诺金软件电脑网络</A><BR> <A
href="http://www.ch2000.com.cn/"
target=_blank>中文2000软件</A><BR> <A
href="http://www.csuu.com/"
target=_blank>中国Unix联盟</A><BR> <A
href="http://freewares.cn/"
target=_blank>自由软件在中国</A><BR> <A
href="http://www.pconline.com.cn/pcedu"
target=_blank>太平洋电脑信息网</A><BR> <A
href="http://www.linuxaid.com.cn/"
target=_blank>LinuxAid</A><BR> <A
href="http://www.cosoft.org.cn/"
target=_blank>共创软件联盟</A><BR> <A
href="http://wsdn.org/"
target=_blank>WEB程序开发网络</A><BR> <A
href="http://linux.softhouse.com.cn/"
target=_blank>软件屋Linux之家</A><BR> <A
href="http://ljb.vpnet.cn/"
target=_blank>随意网络</A><BR> <A
href="http://linux.ccidnet.com/"
target=_blank>赛迪网Linux专区</A><BR></TD></TR></TBODY></TABLE>
<CENTER>Completed in 0.0570690631866 seconds</CENTER>
<CENTER>COPYRIGHT 2002-2003 <FONT color=#9b2626>LinuxByte.net</FONT> <A
href="mailto:oneteam@mail.linuxbyte.net">联系本站</A></CENTER></BODY></HTML>
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -