深入分析Linux防火墙

• 关于网络安全的研究分析中，防火墙（Firewall）是被经常强调的重点，它基本功能是过滤并可能阻挡本地网络或者网络的某个部分与Internet之间的数据传送（数据包）。数据包其实就是一段段的数据，其中同时包括了用来把它们发送到各自的目的地所必须的信息。你可以把数据包想象成一个邮包：数据包本身就是邮包中的数据，而信封上则是所有用来把这些信息发送到正确的机器和正确的程序中去的书信抬头，它同时还包含着回信地址等方面的信息。在其具体的过滤工作过程中，防火墙将接管在此之前从网络内部存取Internet和从Internet存取该内部网络的路由设置。

  我们的感觉是以前的防火墙专门用来过滤一些非法的数据包，要么为什么其中的一种类型称为包过滤型防火墙呢？发展到现在，它的功能是日益增多，不仅能够过滤数据包，还能够作网络地址转换，作代理等等。Linux内核2.4中防火墙实现NetFilter就是这样的。

  先来看看防火墙所处的位置，我的理解是要么它装在一台机器上作个人防火墙，要么装在一台机器上为一个局域网提供网关的功能，而后种情况则如下图所示：

  

  这副图概括了装在网关上的NetFilter的框架结构图，从图中可以看到一个数据包可能经过的路径，其中用[]扩起来的东东，称为检查点，当数据包到达这个点时，就要停下来进行一些检查。这里检查点的名称使用的是iptables中名称，具体到NetFilter中可能就要改为那些所谓的钩子 (Hook)函数了。

  NetFilter概括起来说，它有下面的三个基本功能：

  1、数据过滤（filter表）
  
  2、网络地址转换（nat表）
  
  3、数据包处理（mangle表）

  根据这三个功能，将上面的五个检查点按功能进行了分类。由于每个功能在NetFilter中对应一个表，而每个检查点又有若干个匹配规则，这些规则组成一个链，所以就有下面的说法：“NetFilter是表的容器，表是链的容器，链是规则的容器”

  一个链(chain)其实就是众多规则(rules)中的一个检查清单(checklist)。每一条链中可以有一条或数条规则，每一条规则都是这样定义的“如果数据包头符合这样的条件，就这样处理这个数据包”。当一个数据包到达一个链时，系统就会从第一条规则开始检查，看是否符合该规则所定义的条件: 如果满足,系统将根据该条规则所定义的方法处理该数据包；如果不满足则继续检查下一条规则。最后，如果该数据包不符合该链中任一条规则的话，系统就会根据该链预先定义的策略(policy)来处理该数据包。

  而一个iptables命令基本上包含如下五部分：希望工作在哪个表上、希望使用该表的哪个链、进行的操作(插入，添加，删除，修改)、对特定规则的目标动作和匹配数据包条件。

  基本的语法为：iptables -t table -Operation chain -j target match(es)（系统缺省的表为"filter"）

  基本操作如下：

  -A 在链尾添加一条规则
  
  -I 插入规则
  
  -D 删除规则
  
  -R 替代一条规则
  
  -L 列出规则

  
  基本目标动作，适用于所有的链：

  ACCEPT 接收该数据包
  
  DROP 丢弃该数据包
  
  QUEUE 排队该数据包到用户空间
  
  RETURN 返回到前面调用的链
  
  Foobar 用户自定义链

  基本匹配条件，适用于所有的链：

  -p 指定协议(tcp/icmp/udp/...)
  
  -s 源地址(ip address/masklen)
  
  -d 目的地址(ip address/masklen)
  

• [1] [2] [3] [4] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 深入分析Linux防火墙 相关文章：
• ·深度技术 GHOSTXP V6.0装机个人版
• ·深入了解计算机端口
• ·中国商人必胜宝典：各地商人性格深度剖析
• ·深入浅出.NET泛型编程
• ·此男子深爱莫女子_FlashQQ空间模块
• ·女性必看！太经典了，我深有体会
• ·深入浅出 详谈防火墙的分类与应用
• ·删除隐藏在Win XP系统深处的组件
• ·由浅入深学习MSConfig命令的使用方法
• ·深思3的狗加密的软件
• 深入分析Linux防火墙 相关软件
• ·深山红叶PE工具箱 嫦娥一号纪念版 V30 正式版
• ·深山红叶袖珍PE光盘工具箱 熊猫烧香版
• ·同花顺深度行情系统(level-2)软件 V4.40.11
• ·深度GHOST工具箱 V4.0
• ·深海探密
• ·盟军敢死队深入敌后
• ·STV-深蓝卫星网络电视V4.84 Build 909
• ·穿越（一个发人深省的启示故事）
• ·深圳，谁抛弃了你？
• ·深田恭子1-1

上一篇:动态iptables防火墙dynfw

下一篇:Linux磁盘配额管理

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐