免费构建Linux防火墙的方法

审查:1。防火墙的类型与设计策略




在建立防火墙,两方面经常使用,包过滤和应用代理服务。包过滤是指包过滤规则的建立,基于这些规则和IP包头的信息,以允许或拒绝网络层的包通过。如果使用ftp允许或禁止,FTP的具体功能(如使用get和put)不能禁止。





防火墙的类型与设计策略




在建立防火墙,两方面经常使用,包过滤和应用代理服务。包过滤是指包过滤规则的建立,基于这些规则和IP包头的信息,以允许或拒绝网络层的包通过。如果使用ftp允许或禁止,FTP的具体功能(如使用get和put)不能禁止。应用代理服务是由内网、外网之间的代理服务器完成。它在应用层上的作品,并对用户的各种请求的传入和传出的服务代理,如FTP和远程。



目前,防火墙一般采用双主机(双homedfirewall)、屏蔽主机(screenedhostfirewall)和屏蔽子网(screenedsubnetfirewall)和其他结构。双主机体系结构是指计算机至少有2个网络接口连接到内部网络和外部网络,屏蔽主机结构是计算机假定剂服务任务是连接到内网的主机。屏蔽子网结构是通过添加额外的安全层,即添加到屏蔽主机结构,添加外围网络进一步分离企业从外部网络。



防火墙规则用于定义哪些数据包或服务允许/拒绝通过,并有2大策略:一是允许任何访问并表示拒绝的项目;另一是拒绝任何访问首先指出允许的项目。一般来说,我们将采用第二策略。从逻辑上来看,防火墙中指定一个较小的规则列表允许防火墙更容易执行比指定的大名单。从互联网的发展来看,新的协议和服务的出现,并有时间才让这些协议和服务通过防火墙检查安全漏洞。



两。一种基于linux操作系统的防火墙的实现




基于Linux操作系统的防火墙是一种基于包过滤防火墙和基于包过滤能力的包过滤和代理服务的复合防火墙。接下来,我们来看一下如何为双主机配置一个基于Linux的防火墙。



由于Linux内核的不同,提供的包过滤的方法是不same.ipfwadm是基于UNIX的IPFW,这仅适用于内核之前linux2.0.36;为Linux2.2以后的版本,使用的是以类似的方式,Ipchains.IpFwadm和利用工作,4链配置的,3在Linux内核中,定义即inputchains,outputchains和forwardchains,和用户定义的链(userdefinedchains)。进入链定义的流入数据包过滤规则,并传出链定义的流出数据包的过滤规则,并转发链定义的转发数据包的过滤规则。



外链决定如何处理传入和传出的IP数据包,即当一个包从网卡的内核,与链的规则为分组流;如果允许内核决定包下的地方,如果它被发送到另一台机器,内核转发链的规则决定数据流;当一个数据包被发送出去,在链式法则的内核决定了分组流。在一个特定的链的每一个规则用于确定IP包,如果包和第一条规则不匹配,则检查下一条规则,找到一个相匹配的规则时,规则指定目标包,目标可能是用户定义的链或接受,拒绝,拒绝Masq,回报,和重定向等。



其中,接受允许否认拒绝;;指的是接收到的数据包的发送者,但产生一个ICMP回复;收益是指停止规则处理,跳到链的末端;MASQ指的是用户定义的链和链的工作,这个包的内核只是伪装;重定向入链和用户的连锁效应的定义,使内核的改革方案以本地端口。为了让Masq和重定向的工作,我们可以选择config_ip_masquerading和config_ip_transparent_proxy分别编译内核时。



假设有一个局域网连接到互联网,和公网地址202.101.2.25.the私有地址的内部网使用C类地址,192.168.0.0到192.168.255.0,根据RFC1597规定。为方便起见,我们把3台电脑为例,事实上,它可以扩展到最多254电脑。



具体操作步骤如下:



1、Linux主机上安装2个网卡ECH0 ECH1,分配一个内网私有地址191.168.100.0到ECH0网络适配器,它与网络连接,分配一个公网地址202.101.2.25到肿瘤的网络适配器,并将其连接到互联网。



2,Linux主机被设置为向前、退出和用户定义的链。本文首先允许所有信息流入和流出,并且允许转发数据包,但禁止一些危险的包,例如IP欺骗数据包、广播数据包和ICMP服务类型攻击包。



具体设置如下:



(1)刷新所有规则



(2)设置初始规则



(3)设置本地循环规则



鲍云旭的本地进程之间传递。



(4)禁止IP欺骗



(5)禁止广播包



(6)建立ECH0转发规则



(7)建立ECH1转发规则



保存规则 / / rc.firewallrules等文件,执行权限chmod,并添加一行 / / 等rc.firewallrules在/ etc / rc.d.rc.local,以便在系统启动时,这些规则将生效。



通过以上步骤的配置,我们可以建立一个基于Linux操作系统的包过滤防火墙,它具有结构简单、安全性高、抗病性强,尤其是建设防火墙,可以最大限度地减少输入和利用闲置的电脑和免费的Linux操作系统,最大限度地提高产量。此外,如果我们把代理服务器在数据包过滤的基础上,如TIS防火墙工具包免费的软件包,我们可以建立一个更安全的复合型防火墙。