Linux 防火牆技術

本課程由Richardwei發布在實驗樓,完整教程及在線練習地址:Linux 防火牆技術

第一部分、防火牆的認識

實驗介紹

網路的安全一直都是大眾用戶,企業用戶的關注熱點,在更好的利用防火牆這個工具之前,我們先來認識防火牆,通過本實驗將讓大家了解到防火牆的重要性與其大體的結構,與發展。在學習防火牆之前最好有學習過網路基礎,對網路層次,應用協議有一定的認識與了解。

實驗涉及的知識點

  • 防火牆的認識
  • 防火牆的實現
  • 防火牆的比較

一、防火牆的認識

因為 Internet 服務,給與企業提供挖掘和共享 Internet 資源的條件,使其可以從中獲取巨大收益,但是同時也為竊取企業秘密數據的非法用戶提供了機會。並且隨著移動信息時代的不斷發展,越來越多的敏感信息在網路上流傳,因此,網路安全成為了關鍵問題,防火牆(Firewall)技術就是針對網路的特點而建立的防範措施。

防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。

基於實現方式,防火牆的發展分為四個階段:

  • 第一代防火牆:基於路由器的防火牆,由於多數路由器中本身就包含有分組過濾功能,故網路訪問控制可通過路由控制來實現,從而使具有分組過濾功能的路由器成為第一代防火牆產品。
  • 第二代防火牆:用戶化的防火牆,將過濾功能從路由器中獨立出來,並加上審計和告警功能。針對用戶需求,提供模塊化的軟體包,是純軟體產品。
  • 第三代防火牆:建立在通用操作系統上的防火牆,近年來在市場上廣泛使用的就是這一代產品。包括分組過濾和代理功能。第三代防火牆有以純軟體實現的,也有以硬體方式實現的。
  • 第四代防火牆:具有安全操作系統的防火牆:具有安全操作系統的防火牆本身就是一個操作系統,因而在安全性上得到提高

在防火牆的發展中,從第三代開始防火牆就開始在操作系統中廣泛使用,而不再局限於硬體的防火牆產品。所以防火牆分為兩類:

  • 硬體防火牆
  • 軟體防火牆

防火牆就是一個網路安全系統,監視和控制的傳入和傳出的網路流量的基礎上預定的安全規則。防火牆通常建立一個可信的,安全的內部網路和另一個外部網路,如互聯網,被認為是不安全或不受信任的。

二、防火牆的實現

我們從防火牆的實現方式來認識到防火牆的不斷壯大,在向著不同的平台在不斷的延伸,從而我們也可以看出防火牆的重要性也是不斷的深入人心,同樣防火牆在功能上也在不斷增強,隨著時間慢慢的演變。

宏觀來看防火牆就是可以通過監測、限制、更改欲跨越防火牆的數據流,從而達到儘可能地不對外部網路透露內部的信息、結構和運行狀況,以此來實現網路的安全保護。防火牆以限制、分離,以及分析這三個方面,有效地控制了內部網和 Internet 之間的任何活動,保證了內部網路的安全。

防火牆的這些功能是這麼演變而來的:

(圖片來源於:http://www.myshared.ru/)

  • 第一代防火牆主要是基於包過濾(Packet filter)技術,稱為:packet filtering firewalls,在1988年DEC的工程師開發的過濾系統被稱為數據包過濾防火牆,他的主要工作在於單獨的分析每個數據包,並且只是報頭。在早期路由器中使用的便是 ACL(Access Control List),這樣簡單的訪問控制

(圖片來源於:http://www.myshared.ru/)

  • 第二代防火牆主要是基於狀態檢測(stateful filter)技術,稱為:stateful inspection firewalls,開始在1989-1990年在貝爾實驗室的三位同事開發出來,又稱第二代防火牆為電路級網關(circuit-level gateways),雖然第二代的防火牆在第一代中執行,但是第二代防火牆相對於第一代更深入一些,主要是服務於 OSI 參考模型的第四層傳輸層,通過保留足夠的數據包來監控 TCP/IP 層次的連接狀態並出判斷,到1992年,USC信息科學院的BobBraden開發出了基於動態包過濾(Dynamic packet filter)技術,從而被人們所熟知。

(圖片來源於:http://slideplayer.com/)

  • 第三代防火牆主要是基於應用層(application layer)實現的,稱為:proxy firewalls,90年代初 Marcus Ranum, Wei Xu, and Peter Churchyard 開發的防火牆工具集(firewall toolkit,簡稱為FWTK),在94年 Wei Xu 對內核中的 ip 過濾以及 socket transparent 的增強來擴展 FWTK ,同年在Trusted Information Systems 上發布了基於這種技術的商業化產品 Gauntlet firewall,這時候應用防火牆開始被人們熟知。【注釋2】

(圖片來源於:http://slideplayer.com/)

本課程的完整教程,可在實驗樓中查看並在線完成。

shiyanlou.com/courses/9

後續章節概要

三、防火牆的比較

第二部分、TCP wrappers的接觸

TCP wrappers是 Linux 中兩大防護措施的其中之一,這層保護通過定義哪些主機允許或不允許連接到網路服務上來實現。TCP Wrappers為多種不同的服務提供訪問把關,通過本實驗我們將初試TCP wrappers的使用。

實驗涉及的知識點

  • Tcp wrappers的認識
  • Tcp wrappers的使用

第三部分、初試iptalbes

實驗介紹

隨著網路的逐漸普及,人們對其的需求越來越強,各種服務,平台應運而生,而平台與服務在公網的暴露也增加了受攻擊的風險,而 Linux 中的最重要的守護神 iptables 的地位也顯得越來越重要。本實驗將帶大家初識 iptables。當然學習本實驗之前有一定的網路基礎知識能夠幫助理解

實驗涉及的知識點

  • iptables 的發展
  • iptables 的結構
  • iptables 的使用

第四部分、iptables 攻擊預防

實驗介紹

在了解了 iptables 的結構與用法之後我們需要學會在特定的場景去應用他們,而不再是簡單的紙上談兵。本實驗將帶大家了解網路開放之後可能帶來的攻擊以及如何去預防

實驗涉及的知識點

  • DDOS 攻擊
  • SYN 攻擊


推薦閱讀:

刺風有道,吳翰清的雲端飛揚
脫褲和撞褲
【快訊】美國選民資料庫泄露,包含2億選民個人信息
為什麼信用卡在銷卡之後要將磁條剪斷?

TAG:Linux | Linux运维 | 信息安全 |