本課程由Richardwei發布在實驗樓，完整教程及在線練習地址：Linux 防火牆技術

第一部分、防火牆的認識

實驗介紹

網路的安全一直都是大眾用戶，企業用戶的關注熱點，在更好的利用防火牆這個工具之前，我們先來認識防火牆，通過本實驗將讓大家了解到防火牆的重要性與其大體的結構，與發展。在學習防火牆之前最好有學習過網路基礎，對網路層次，應用協議有一定的認識與了解。

實驗涉及的知識點

• 防火牆的認識
• 防火牆的實現
• 防火牆的比較

一、防火牆的認識

因為 Internet 服務，給與企業提供挖掘和共享 Internet 資源的條件，使其可以從中獲取巨大收益，但是同時也為竊取企業秘密數據的非法用戶提供了機會。並且隨著移動信息時代的不斷發展，越來越多的敏感信息在網路上流傳，因此，網路安全成為了關鍵問題，防火牆（Firewall）技術就是針對網路的特點而建立的防範措施。

防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。

基於實現方式，防火牆的發展分為四個階段:

• 第一代防火牆：基於路由器的防火牆，由於多數路由器中本身就包含有分組過濾功能，故網路訪問控制可通過路由控制來實現，從而使具有分組過濾功能的路由器成為第一代防火牆產品。
• 第二代防火牆：用戶化的防火牆，將過濾功能從路由器中獨立出來，並加上審計和告警功能。針對用戶需求，提供模塊化的軟體包，是純軟體產品。
• 第三代防火牆：建立在通用操作系統上的防火牆，近年來在市場上廣泛使用的就是這一代產品。包括分組過濾和代理功能。第三代防火牆有以純軟體實現的，也有以硬體方式實現的。
• 第四代防火牆：具有安全操作系統的防火牆：具有安全操作系統的防火牆本身就是一個操作系統，因而在安全性上得到提高

在防火牆的發展中，從第三代開始防火牆就開始在操作系統中廣泛使用，而不再局限於硬體的防火牆產品。所以防火牆分為兩類：

• 硬體防火牆
• 軟體防火牆

防火牆就是一個網路安全系統，監視和控制的傳入和傳出的網路流量的基礎上預定的安全規則。防火牆通常建立一個可信的，安全的內部網路和另一個外部網路，如互聯網，被認為是不安全或不受信任的。

二、防火牆的實現

我們從防火牆的實現方式來認識到防火牆的不斷壯大，在向著不同的平台在不斷的延伸，從而我們也可以看出防火牆的重要性也是不斷的深入人心，同樣防火牆在功能上也在不斷增強，隨著時間慢慢的演變。

宏觀來看防火牆就是可以通過監測、限制、更改欲跨越防火牆的數據流，從而達到儘可能地不對外部網路透露內部的信息、結構和運行狀況，以此來實現網路的安全保護。防火牆以限制、分離，以及分析這三個方面，有效地控制了內部網和 Internet 之間的任何活動，保證了內部網路的安全。

防火牆的這些功能是這麼演變而來的：

（圖片來源於：http://www.myshared.ru/）

• 第一代防火牆主要是基於包過濾（Packet filter）技術，稱為：packet filtering firewalls,在1988年DEC的工程師開發的過濾系統被稱為數據包過濾防火牆，他的主要工作在於單獨的分析每個數據包，並且只是報頭。在早期路由器中使用的便是 ACL（Access Control List），這樣簡單的訪問控制

（圖片來源於：http://www.myshared.ru/）

• 第二代防火牆主要是基於狀態檢測（stateful filter）技術,稱為：stateful inspection firewalls，開始在1989-1990年在貝爾實驗室的三位同事開發出來，又稱第二代防火牆為電路級網關（circuit-level gateways），雖然第二代的防火牆在第一代中執行，但是第二代防火牆相對於第一代更深入一些，主要是服務於 OSI 參考模型的第四層傳輸層，通過保留足夠的數據包來監控 TCP/IP 層次的連接狀態並出判斷，到1992年，USC信息科學院的BobBraden開發出了基於動態包過濾（Dynamic packet filter）技術，從而被人們所熟知。

• 第三代防火牆主要是基於應用層（application layer）實現的,稱為：proxy firewalls，90年代初 Marcus Ranum, Wei Xu, and Peter Churchyard 開發的防火牆工具集（firewall toolkit,簡稱為FWTK），在94年 Wei Xu 對內核中的 ip 過濾以及 socket transparent 的增強來擴展 FWTK ，同年在Trusted Information Systems 上發布了基於這種技術的商業化產品 Gauntlet firewall，這時候應用防火牆開始被人們熟知。【注釋2】

（圖片來源於：http://slideplayer.com/）

本課程的完整教程，可在實驗樓中查看並在線完成。

https://www.shiyanlou.com/courses/91

後續章節概要

三、防火牆的比較

第二部分、TCP wrappers的接觸

TCP wrappers是 Linux 中兩大防護措施的其中之一，這層保護通過定義哪些主機允許或不允許連接到網路服務上來實現。TCP Wrappers為多種不同的服務提供訪問把關，通過本實驗我們將初試TCP wrappers的使用。

實驗涉及的知識點

• Tcp wrappers的認識
• Tcp wrappers的使用

第三部分、初試iptalbes

實驗介紹

隨著網路的逐漸普及，人們對其的需求越來越強，各種服務，平台應運而生，而平台與服務在公網的暴露也增加了受攻擊的風險，而 Linux 中的最重要的守護神 iptables 的地位也顯得越來越重要。本實驗將帶大家初識 iptables。當然學習本實驗之前有一定的網路基礎知識能夠幫助理解

實驗涉及的知識點

• iptables 的發展
• iptables 的結構
• iptables 的使用

第四部分、iptables 攻擊預防

實驗介紹

在了解了 iptables 的結構與用法之後我們需要學會在特定的場景去應用他們，而不再是簡單的紙上談兵。本實驗將帶大家了解網路開放之後可能帶來的攻擊以及如何去預防

實驗涉及的知識點

• DDOS 攻擊
• SYN 攻擊