防火墙详细讲解-创新互联

防火墙详细讲解

一、防火墙的简介

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

成都创新互联公司始终致力于在企业网站建设领域发展。秉承“创新、求实、诚信、拼搏”的企业精神,致力为企业提供全面的网络宣传与技术应用整体策划方案,为企业提供包括“网站建设、成都响应式网站建设、手机网站建设、微信网站建设、重庆小程序开发成都做商城网站、平台网站建设秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。

在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,大限度地阻止网络中的***来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。

二、防火墙的分类

1、根据表现形式分类,可以分为硬件防火墙和软件防火墙

(1)硬件防火墙

硬件防火墙主要有:cisco(pix---》asa)、天融信(网络安全卫士)、H3C(secpath)、神州数码和锐捷等,这些都是工作在网络层,还有深信服防火墙,它可以工作在应用层。

(2)软件防火墙

软件防火墙的实现主要是在主机上实现的,如windows的ISA(internet security acceleration)和linux的iptables。

2、根据工作层次分类,可以分为应用层防火墙和网络层防火墙

(1)网络层防火墙

网络层防火墙可视为一种IP封装包过滤器,运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。

(2)应用层防火墙

应用层防火墙是在TCP/IP堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用FTP时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

三、iptables的主要模块介绍

1. string(字符串匹配,可以用做内容过滤)

# cat string/info

iptables -I FORWARD -m string --string "腾讯" -j DROP

iptables -I FORWARD -s 192.168.3.159 -m string --string "qq.com" -j DROP

iptables -I FORWARD -d 192.168.3.0/24 -m string --string "宽频影院" -j DROP

iptables -I FORWARD -d 192.168.3.0/24 -m string --string "***" -j DROP

iptables -I FORWARD -d 192.168.3.0/24 -p tcp --sport 80 -m string --string "广告" -j DROP

至于怎么灵活运用就要看自己的需要了。

2. comment (备注匹配,可以支持最多256个字符)

Supported options:

--comment COMMENT

翻译:这个选项增加CONFIG_IP_NF_MATCH_COMMENT,补充一个注释匹配模块.这个匹允许你增加一个备注都任何规则,这个备注最多支持256个字符,例如

Example:(例子:)

-A INPUT -s 192.168.0.0/16 -m comment --comment "A privatized IP block"

译者:我是这样测试使用这个comment

iptables -I FORWARD -s 192.168.3.159 -p tcp --dport 80 -j DROP -m comment --comment "the bad guy can not online"

iptables -I FORWARD -s 192.168.3.159 -m string --string "qq.com" -j DROP -m comment --comment "denny go to qq.com"

这样在iptables -L时,就看到每条规则后面出现备注的内容.可以提高可读和理解该条规则的作用.

这个comment 在2.6.x中已经被正式收录。

3. connlimit(同时连接个数限制匹配)

# cat connlimit/info

这个增加一个iptables匹配允许你限制每个客户ip地址的并发tcp连接,即同时连接到一个服务器个数.

Examples: 例子:

# allow 2 telnet connections per client host (允许每个客户机同时两个telnet连接)

iptables -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT

# you can also match the other way around:(你也可以匹配其他的方法:)

iptables -p tcp --syn --dport 23 -m connlimit ! --connlimit-above 2 -j ACCEPT

# limit the nr of parallel http requests to 16 per class C sized (这下面例子限制80端口最多同时16个连接请求)

# network (24 bit netmask)

iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 --connlimit-mask 24 -j REJECT

模块 connlimit 作用:连接限制

--connlimit-above n 限制为多少个

--connlimit-mask n 这组主机的掩码,默认是connlimit-mask 32 ,即每ip.

这个主要可以限制内网用户的网络使用,对服务器而言则可以限制每个ip发起的连接数...比较实用

例如:只允许每个ip同时5个80端口转发,超过的丢弃:

iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP

例如:只允许每组C类ip同时10个80端口转发:

iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 24 -j DROP

例如:为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃.

/sbin/iptables -A INPUT -s 192.186.1.0/24 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP

/sbin/iptables -A INPUT -s 192.186.1.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

4. time(时间匹配)

Match only if today is one of the given days. (format: Mon,Tue,Wed,Thu,Fri,Sat,Sun ; default everyday)

(只是匹配已经给出的天,格式Mon,Tue,Wed,Thu,Fri,Sat,Sun ;默认每天)

(开始日期 日期)

Match only if it is after `date' (Inclusive, format: YYYY]]]] h,m,s start from 0 ; default to 1970)

(只是匹配这个开始日期值之后的(包括,格式: YYYY]]]] h,m,s start from 0 ; 默认是1970):

Match only if it is before `date' (Inclusive, format: YYYY]]]] h,m,s start from 0 ; default to 2037)

(只是匹配这个开始日期值之前的(包括,格式: YYYY]]]] h,m,s start from 0 ; 默认是2037):

Example: (例子:)

-A INPUT -m time --timestart 8:00 --timestop 18:00 --days Mon,Tue,Wed,Thu,Fri

will match packets that have an arrival timestamp in the range 8:00->18:00 from Monday to Friday.

(上面将匹配从到达日期是星期一至星期五时间从8:00至18:00的包)

-A OUTPUT -m time --timestart 8:00 --timestop 18:00 --Days Mon --date-stop 2010

will match the packets (locally generated) that have a departure timestamp in the range 8:00->18:00 on Monday only, until 2010

(上面将匹配本地产生的时间范围直到2010年为止的每个星期一8:00至18:00的包)

NOTE: the time match does not track changes in daylight savings time

5. iprange (ip范围匹配)

This patch makes possible to match source/destination IP addresses against inclusive IP address ranges.

翻译: 这个补丁令匹配源/目标 IP地址可以倚着给出的地址范围进行匹配

Examples:(例子)

iptables -A FORWARD -m iprange --src-range 192.168.1.5-192.168.1.124 -j ACCEPT

这个例子是允许源ip地址范围192.168.1.5-192.168.1.124的包通过

iptables -A FORWARD -m iprange --dst-range 10.0.0.0-10.255.255.255 -j ACCEPT

这个例子是允许目标ip地址范围10.0.0.0-10.255.255.255的包通过    192.168.2.10-192.168.2.20

6. geoip(根据地理位置匹配)

This patch makes possible to match a packet by its source or destination country.

翻译:这个补丁令一个包能够根据源或目的国家(地区)匹配

GeoIP options: (选项:)

--src-cc, --source-country country

Match packet coming from (one of) the specified country(ies)

根据包的来源(或非来源)地区匹配

--dst-cc, --destination-country country

Match packet going to (one of) the specified country(ies)

根据包的去向(或非去向)地区匹配

NOTE: The country is inputed by its ISO3166 code.

注意:这个国家地区列表放在ISO3166编码里

The only extra files you need is a binary db (geoipdb.bin) & its index file (geoipdb.idx).Both files are generated from a countries & subnets database with the csv2bin tool,available at www.cookinglinux.org/geoip/. Both files MUST also be moved in /var/geoip/ as the shared library is statically looking for that pathname (ex.: /var/geoip/geoipdb.bin).

这个你需要额外的二进位文件geoipdb.bin 和它的索引文件geoipdb.idx.这两个文件是国家地区网络数据库,是用csv2bin 工具生成的,可以在www.cookinglinux.org/geoip/得到.这些文件必须放在/var/geoip/下,作为一个共享库查找路径名字如/var/geoip/geoipdb.bin

7. Nth(第n个包匹配)

# cat nth/info

Title: iptables nth match (标题: iptables第N个匹配)

Author: Fabrice MARIE (作者:名字,email地址)

Status: Works (状况:运作)

Repository: base (贮仓库: 基础的)

# cat nth/help

This option adds an iptables `Nth' match, which allows you to match every Nth packet encountered. By default there are 16 different counters that can be used.

翻译: 这个选项增加一个第N个匹配,允许你匹配每隔N个包,默认有16不同的计算方法可以使用

This match functions in one of two ways

1) Match ever Nth packet, and only the Nth packet.

example:(例子)

iptables -t mangle -A PREROUTING -m nth --every 10 -j DROP

This rule will drop every 10th packet.

这个规则将丢弃每隔10个包

2) Unique rule for every packet. This is an easy and quick method to produce load-balancing for both inbound and outbound.

为每一个包应用一个独特的规则,这样是一个容易和快速的负载均衡方法

example: (例如)

iptables -t nat -A POSTROUTING -o eth0 -m nth --counter 7 --every 3 --packet 0 -j SNAT --to-source 10.0.0.5

iptables -t nat -A POSTROUTING -o eth0 -m nth --counter 7 --every 3 --packet 1 -j SNAT --to-source 10.0.0.6

iptables -t nat -A POSTROUTING -o eth0 -m nth --counter 7 --every 3 --packet 2 -j SNAT --to-source 10.0.0.7

This example evenly splits connections between the three SNAT addresses.

上面例子由三个源ip地址平滑分割连接

By using the mangle table and iproute2, you can setup complex load-balanced routing. There's lot of other uses. Be creative!

配合iptables 的mangle表和高级路由iproute2,你能设置一个复合的负载平衡路由.还有其他的用途,具有创造性的设置

Suppported options are: (支持选项有:)

--every Nth Match every Nth packet (匹配每N 个包)

num Use counter 0-15 (default:0) (用计算器(默认是0))

num Initialize the counter at the number 'num' instead of 0. Must be between 0 and Nth-1

(初始化一个计算器,用这个num值而不是0. 必需是在0和N减1之间的数

num Match on 'num' packet. Must be between 0 and Nth-1. If --packet is used for a counter than

there must be Nth number of --packet rules, covering all values between 0 and Nth-1 inclusively.

匹配'num' 包,必需是在0和N减1之间的数,如果该包被用一个计算器,必需是第Nth数字包规则,并覆盖0至Nth-1的所有值(这个翻译得不好,请指正)

8. ipp2p(点对点匹配)

# cat ipp2p/info

Title: Detects some P2P packets (标题: 侦查P2P包)

Author: Eicke Friedrich (作者:名字,email地址)

Status: Stable (状况:稳定的)

Repository: extra (贮仓库: 额外的)

Recompile: netfilter, iptables (重新编译:netfilter|iptables)

# cat ipp2p/help

This option makes possible to match some P2P packets therefore helps controlling such traffic.

Dropping all matches prohibits P2P networks.

Combined with conntrack,CONNMARK and a packet scheduler it can be used for accounting or shaping of P2P traffic.

这个选项能够匹配某些P2P包,帮助控制流量.丢弃所有匹配的P2P.结合连接跟踪,和一个包的调度器,它能被用作计算和×××一个P2流量

Examples: (例如:)

iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP

iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP

iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP

上例可以封杀很多bt等的P2P软件.

更多参数更详细的参考还有ipp2p/iptables/extensions/libipt_ipp2p.man或http://www.ipp2p.org

9. quota(配额匹配)

# cat quota/info Title: iptables quota match (标题: iptables配额匹配)

Author: Sam Johnston (作者:名字,email地址)

Status: worksforme (状况:运作的)

Repository: base (贮仓库: 基础的)

# cat quota/help

This option adds CONFIG_IP_NF_MATCH_QUOTA, which implements network quotas by decrementing a byte counter with each packet.

这个选项增加一个模块匹配包实现网络包通过的配额

Supported options are: (支持选项有:)

--quota

The quota in bytes. (用bytes为单位)

iptables -I FORWARD -s 192.168.3.159 -p tcp --dport 80 -m quota --quota 500 -j DROP

上例是这样的,在ip192.168.3.159的目标端口为80匹配的500个字节内,将被丢弃.直到匹配完这500字节后,才不会丢弃,就是说,才可以打开网页.

KNOWN BUGS: this does not work on SMP systems.

知道的bug:这个不能工作在SMP系统上,(SMP, symmetric multiprocessing 多处理技术)

10、state模块

-m  state  --state   NEW   ESTABLISHED   RELATED

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


当前标题:防火墙详细讲解-创新互联
当前网址:http://pwwzsj.com/article/dgpjpi.html