2022年LINUX操作系统防火墙的研究与方案设计书.docx

《2022年LINUX操作系统防火墙的研究与方案设计书.docx》由会员分享，可在线阅读，更多相关《2022年LINUX操作系统防火墙的研究与方案设计书.docx（17页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精品学习资源封面欢迎下载精品学习资源作者： PanHongliang仅供个人学习1 防火墙的概论1.1 防火墙技术现代运算机环境中，由于环境的复杂性和多样性，使得单纯的主机安全防卫越来越无法适应网络时代的要求，网络安全防卫模式在这种情形下应运而 生；网络安全服务的最大特点就是将分散的各种安全任务集中到一点来治理，欢迎下载精品学习资源把留意力集中到把握不同主机的网络通信和它们所供应的服务上来；接受网络安全防卫可以获得许多的好处，例如，一个单独的网络防火墙可以爱惜几百几千台运算机免于防火墙外的攻击，即使内部个别主机的主机防卫水平比较低；防火墙是网络安全防卫的一种典型实例；通常，防火墙被安装在被爱惜

2、的内部网和外部网 / Internet之间的连接点之上，全部进出内部网络的活动都必需经过防火墙的检查，并且实施网络安全策略；也可以吧防火墙看成是一种拜望把握机制，准备哪些内部服务答应外部拜望，哪些不答应外部拜望，反之亦 然；从规律角度上讲，防火墙是一个分别器和限制器，同时也是一个分析器；防火墙是有效的网络安全把握机制之一；防火墙可以阻挡外部网络发生的危险波及内部网络，总的来说其主要功能包括：（1）对特殊端点的拜望进行把握：防火墙可以答应外部网拜望受爱惜网的一些主机，而另一些主机被爱惜起来，防止不必要的拜望；（ 2）供应监视 Internet 安全和预警的便利端点：防火墙可以对全部通过它的拜望进

3、行记录并供应网络使用情形的统计数据；同时它也是审查和记录 Internet 使用情形的正确点，帮忙网络治理员把握Internet 连接费用和带宽拥挤的详细情形，同时供应了一个减轻部门负担的方法；（3）限制某些用户或信息进入或离开一个被严格把握的子网：通过防火墙可以过滤掉不安的全服务和非法的用户，禁止未授权的用户拜望受爱惜的网络；可以把防火墙设置成为只有预先被答应的服务和用户才能通过防火墙；这样就降低了被爱惜子网遭受非法攻击的风险性，大大提高了网络安全性；不同的防火墙构造是不一样的，有的是一台主机，有的甚至是一个网络系统；详细要取决于站点的安全要求和投资等综合因素；1.2 防火墙的定义防火墙的原

4、始含义是一种建筑，用以防止着火的时候火不至从一个房间扩散到另一个房间；后来，将其引入到运算机安全的领域来，特殊是近年来多用于飞速进展的 Internet 网络中；所以，有时也叫 Internet 防火墙；防火墙是在两个网络之间强制实施拜望把握策略的一个或一组系统，是有多个部件组成的一个集合，防火墙被放在两个网络之间，并且具有以下特性： 全部的从内部到外部或从外部到内部的通信都必需经过防火墙；只有经过内部拜望策略授权后的通信才被答应通过；系统本身要具有较高的牢靠性；简而言之，防火墙就是用来爱惜可信网络不受非可信网络侵入的一种机制，但它答应在这两个网络之间的进行通信；这两种网络的最典型的例子就是企

5、业内部网和 Internet；从安全策略和网络配置的角度来看，防火墙就是附加了许多安全机制的主机系统或路由器，使得内部网络与Internet 之间或者与其他外部网络相互隔离， 通过限制网络互访，隐匿主机或子网中的协议和服务，并爱惜其内部资源不受 外部的攻击或滥用；1.3 防火墙的基本类型欢迎下载精品学习资源经过十余年的进展过程，目前存在应用不同技术的多种防火墙，这些技术之间的区分不很明显，但从处理的数据对象和实现层次的角度说，大体上可分为包过滤防火墙和应用层网关防火墙两种类型；1.3.1 包过滤防火墙的定义包过滤防火墙是在 IP 层实现的，其处理对象是网络报文 / IP 包；因此，它可以只用路

6、由器完成；包过滤防火墙依据网络报文的目的IP 地址、源 IP 地址、目的端口、源端口及报文传递方向等报头信息来判定是否答应当报文通过；1.3.2 应用网关防火墙的定义应用网关防火墙：它是在应用层实现的，通过对网络服务的代理，检查进出网络的各种服务；其处理对象是各种不同的应用服务；1.4 防火墙的应用由于网络通讯基于层次参考模型，所以，不同类型的防火墙也就处理不同层次抽象出的通讯数据； IP 包过滤处理网络层数据，应用代理处理应用层数据；随着防火墙技术的不断进展，近年来显现了许多加强功能的防火墙，本质上讲，它们都是这两类基本类型；例如，现在显现了一种可以分析IP 包数据区内容的智能型包过滤器，它

7、通过深化检查IP 包而得出的有关各种 Internet 服务的信息，进而进行拜望把握，实际上属于包过滤型防火墙；另外，有些防火墙是把握 TCP 通信会话层，如 SOCKS，这种防火墙本质上是应用网关，只是对全部的应用都通过把握连接会话来实施；2 LINUX 下的防火墙 iptables2.1 iptables的包过滤功能任何防火墙所具备的最基本的功能就是对数据包进行过滤，从某个角度 讲， LINUX 防火墙本身也是一种“包过滤防火墙”；在LINUX 防火墙中， LINUX 内核对到来的每一个数据包进行检查，并从它们的包头中提取出所需要的信息，如目的 IP 地址、源 IP 地址、目的端口号、源端

8、口号等，再与已建立的防火墙规章逐条进行比较，并执行所匹配规章的策略，或执行默认策略；必需要留意的是，在制定防火墙过滤规章的时候一般有两个基本的策略方法可供选择：第一个策略是默认答应一切，即在接受全部数据包的基础上明确地禁止那些特殊的、不期望收到的数据包；其次就是默认禁止一切，即第一对全部数据包禁止通过，然后再依据所期望供应的服务去一项一项答应所需要的数据包通过防火墙；一般情形下，第一种策略使启动和运行防火墙变得更加简洁，但是却更简洁留下安全隐患；通过在防火墙外部接口处对进来的数据包进行过滤的方法可以有效地阻挡绝大多数有意或无意地网络攻击，同时，对发出的数据包进行限制，可以明确地指定内部网中哪些

9、主机可以拜望互联网，哪些主机只能享用哪些服务或登陆哪些欢迎下载精品学习资源站点，从而实现对内部主机的治理；可以说，在对一些小型内部局域网进行安全爱惜和网络治理时，包过滤的确是一种简洁而有效的手段；2.2 iptables的优点netfilter/ iptables 最大的优点也是 ipfwadm 和 ipchains 等以前的工具都无法供应的一种重要功能，就是配置有状态的防火墙；这种防火墙能够指定并记住为发送或接收信息包所建立的连接的状态；防火墙可以从信息包的连接跟踪状 态获得该信息；防火墙在准备新的信息包过滤时所使用的这些状态信息可以增 加其效率和速度；这其中包括 4 种有效状态，名称分别为

10、INVALID 、ESTABLISHED 、NEW 和 RELATED ；INVALID状态指出该信息包与任何已知的流或连接都不相关联，它可能包含错误的数据或头；状态 ESTABLISHED 指出该信息包属于已经建立的连接，该连接始终用于发送和接收信息包并且完全有效；状态NEW 表示该信息包已经或将启动新的连接，或者它与尚未用于发送和接收信息包的连接相关联；最 后， RELATED 表示该信息包正在启动新连接，以及它与已建立的连接想关联；netflter/ iptables 另一个重要的优点是使用特殊便利；它使得用户可以轻松完全把握防火墙配置和信息包过滤；并且可以定制自己的规章来中意特定需 求

11、，只答应想要的网络流量进入系统；2.3 iptables的工作原理2.3.1 Netfilter/iptables的概念和作用Netfilter / iptablesIP 信息包过滤系统是一种功能强大的工具，它可用于编辑，添加和除去规章；这些规章是防火墙在准备信息包过滤时所遵循和组成的规章，这些规章被储备在专用的信息包过滤表中，而这些表集成在Linux 内核中；信息包过滤表的过程中，规章被分组放在所谓的链（chain）中；虽然称Netfilter / iptablesIP 信息包过滤系统为“单个实体”，但它实际上由两个组件组成，即 Netfilter 和 iptables；Netfilter

12、组件被称之为“内核空间”（ Kernelspace），是内核组成的一部分； Netfilter 由一些信息包过滤表组成，这些表中包含内核用来把握信息包过滤处理的规章集和；而Iptables 组件是一种工具，也叫“用户空间”（ Userspace），它使插入，修改和除去信息包过滤表中的规章变的简洁简洁；通过使用iptables可以构件自己的定制规章，这些规章储备在内核空间的信息包过滤表中；而且这些规章具有目标，它们告知内核对来自某些源，前往某些目的地或如何处理具有某些协议类型的信息包；假如 某个信息包与规章匹配，那么使用目标ACCEPT 答应当信息包通过，仍可以使用目标 DROP 或 REJEC

13、T 来堵塞并杀死信息包；对于信息包执行的其他操作， 仍有许多其他目标；2.3.2 链的作用依据规章处理的信息包的类型，可以将规章分组在链中；处理出站信息包欢迎下载精品学习资源的规章被添加到 OUTPUT 链中；处理入站信息包的规章被添加到INPUT 链中；而处理正在转发的信息包的规章被添加到FORWARD 链中，这 3 个链是基本信息包过滤表中内置的默认主链；此外，仍有其他许多可用链的类型（如POSTROUTING 和 PREROUTING ），以及用户自定义的链；每一个链都可以有一个策略来定义“默认目标”；也就是要执行的默认操作，当信息包与链中的任何规章都不匹配的时候执行此操作；2.3.3

14、信息包过滤过程建立规章并将链放在适当的位置后就可以开头进行真正的信息包过滤的工 作了，这时候内核空间从用户空间接管工作；信息包到达防火墙的时候，内核 先检查信息包的头部信息；特殊是信息包的目的地址，这个过程叫“路由”； 假如信息包来自外界并前往系统，而且防火墙是打开的，那么内核将其传递到 内核空间信息包过滤表的 INPUT 链中；假如信息包来自系统内部或系统所连接的内部网络上的其他源，并且此信息包要前往另一个外部系统，那么信息包被 传递到 OUTPUT 链中；同样的，将来自外部系统并前往内部系统的信息包传到FORWARD 链；然后将信息包的头信息和其所传递到的链中的每条规章进行比对，看它是否与

15、某条规章完全匹配；假如信息包和某条规章匹配，那么内核就 对该信息包执行该规章的目标指所定的操作；反之，将它与链中的下一条规章 进行比较；假如信息包与链中的任何规章都不匹配，那么内核将参考该链的策略来准备如何处理该信息包；理想的策略应当告知内核DROP 该信息包，如图1 所示为这个信息包过滤的过程；图 1 信息包过滤图丢弃 DROP防火墙输入包INPUT链）chain （输入接受接受输出包内部处理系统转发包OUTPUTchain （输出链）接受FORWARD chain 转发链 3 防火墙 iptables的配置方法欢迎下载精品学习资源3.1 iptables的规章介绍通过向防火墙供应有关对源自

16、某个源地址、到某个目的地址或者具有特定协议类型的信息包要做些什么的指令、规章把握信息包的过滤；通过使用iptables 系统供应的特殊命令 iptables建立这些规章，并将其添加到内核空间特定信息包过滤表内的链中；3.2 iptables的规章要素iptables的语法可以简化为： iptables- ttable CMD chain rule- matcher- jtarget 其中： table 是表名， CMD 是操作命令， chain 是链名， rule- matcher是规章匹配器， target是目标动作；表 1 规章要素功能介绍表table表；Iptables 依据其使用的 3

17、 个表而命名，分别是 filter 、nat 和 mangle；包过滤防火墙只使用filter 表；表 filter 是默认的表；command操作命令；其中包括添加、删除、更新等；chains链；对于包过滤防火墙可操作 filter 表中的 INPUT 链、OUTPUT 链和 FORWARD 链；也可以操作由用户自己定义的自定义链；matcher规章匹配器；可以指定各种规章匹配，如IP 地址、端口、包类型等；3.2.1 表 -t table 选项答应使用标准表之外的任何表；表是包含仅处理特定类型信息包的规章和链的信息包过滤表；有三个可用的表选项：filter 、nat 和 mangle；该选

18、项不是必需的，假如未指定，就filter 作为缺省表；各表实现的功能如表2 所示；表 2 表功能介绍表表名实现功能filter用于一般的信息包过滤，包含 INPUT 、OUTPUT、和 FORWAED链nat用于要转发的信息包，包含 PREROUTING、OUTPUT 和POSTROUTING 链mangle包含一些规章来标记用于高级路由信息包，包含PREROUTING 和OUTPUT 链；假如信息包及其头内进行了任何更换，就使用该表；3.2.2 iptables操作命令command部分是 iptables命令最重要的部分；它告知 iptables命令要做什么，例如插入规章、将规章添加到链的

19、末尾或删除规章；表 3 操作命令功能介绍表命令功能说明- A 或- append在所选链的链尾加入一条或多条规章- D 或- delete从所选链中删除一条或多条匹配的规章- R 或- replace在所选链中替换一条匹配的规章欢迎下载精品学习资源- I 或- insert以给出的规章号在所选链中插入一条或多条规章；假如规章号是 1，插入的规章在链的头部- L 或- list列出指定链的全部规章；假如没有指定链，将列出全部链中的全部规章- F 或- flush清除指定链和表中的全部规章；假如不指定链，那么全部链都将被清空- N 或- new- chain以给定的名字创建一条新的用户自定义链；不

20、能与已有的链同名欢迎下载精品学习资源- X 或- delete- chain删除指定的用户定义链，必需保证链中的规章都不在使用时才能删除链；如没有指定链，就删除全部的用户链欢迎下载精品学习资源- P 或- policy为永久链指定默认规章（内置链策略）；用户定义链没有缺省规章也是规章链中的最终一条规章，用- L 命令显时它在第一行显示- C 或- check检查给定的包是否与指定链的规章相匹配- Z 或- zero将指定链中全部的包字节记数器清零3.2.3 规章匹配器iptables命令的可选 match 部分指定信息包与规章匹配所应具有的特点（如源地址、目的地址、协议等）；匹配分为通用匹配和

21、特定于协议的匹配两大类；这里将介绍可用于接受任何协议的信息包的通用匹配；表 4 规章匹配器功能介绍表参数功能说明- P， ！ protocol指定要匹配的协议，可以是 tcp、udp、icmp、all；协议名前缀“！”为规律非，表示除去该协议之外的全部协议；- sport ！ port ：port指定匹配规章的源端口或端口范畴；可以用端口好，也可以用 / etc/ services文件中的文字欢迎下载精品学习资源- s ！ address/ mask依据源地址或地址范畴确定是否答应或拒绝数据包通过过滤器欢迎下载精品学习资源- dport ！ port ：port指定匹配规章的目的端口或端口范畴

22、；可以用端口号，也可以用 / etc/ services文件中的名字- d ！ address/ mask依据目的地址或地址范畴确定是否答应或拒绝数据包通过过滤器- icmp- type 1 typename指定匹配规章的 ICMP 信息类型，可以使用iptablespicmp h 查看有效的 icmp 类型名3.2.4 目标目标是由规章指定的操作，对与那些规章匹配的信息包执行这些操作；除 了答应用户定义的目标之外，仍有许多可用的目标选项；表5 是常用的一些目标及示例说明；表 5 目标参数功能介绍表参数功能介绍欢迎下载精品学习资源REJECT目标的工作方式与 DROP 目标相同，但比 DROP

23、 好；和 DROP 不同的， REJECT 不会在服务器和客户上留下死套接字；另外，REJECT将错误消息发回给信息包的发送方；该目标被指定为- jREJECT；RETURN在规章中设置的 RETURN 目标让与该规章匹配的信息包停止遍历包含该规章的链，假如链是如 INPUT 之类的主链，就使用该链的缺省策略处理信息包；它被指定为 - jRETURNACCEPT该当信息包与具有 ACCEPT 目标的规章完全匹配时，会被接受（答应它前往目的地），并将停止遍历链（该信息可能遍历另一个表中 的其他链，并有可能在那里被丢弃）；该目标被指定为- jACCEPTDROP；当信息包与具有 DROP 目标的规

24、章完全匹配时，会堵塞该信息包，并且不对它做进一步处理；该目标指定为- jDROP；除了上表，此外仍有许多用于建立高级规章的其它目标，如MARK 、REDIRECT 、LOG、MIRROR 和 MASQUERADE 等；3. 3 储存与复原iptables软件包供应了两个命令，这两个命令分别用于储存和复原规章集； 可以使用命令转储的方法在内存中的内核规章集；其中/ etc/ sysconfig/ iptables 是 iptables 守护进程调用的默认规章集文件： / sbin/ iptables-save/ etc/ sysconfig/ iptables；要复原原先的规章库，需使用命令：/

25、 sbin/ iptables- restore/ etc/ sysconfog/ iptables；3.4 iptables的启用有两种方法可以使用得用 iptables 命令配置的规章在下次启动机器时仍能被 使用（ 1）在自定义脚本中用 iptables 命令直接创建规章集；可以直接用iptables 命令编写一个规章脚本，并在启动时执行这个脚本；如规章脚本的文件名为/ etc/ fw/ rules，就可以在启动脚本 / etc/ rc. d/ rc. local 中加入的代码： if - x/ etc/ fw/ rules ；then / etc/ fw / rules；fi ；假如使用

26、此种方式，建议使用ntsysv 命令关闭系统的 iptables 守护进程；（ 2）使用 iptables 得启动脚本实现；iptables 的启动脚本 / etc/ rc. d/ init . d/ iptables 每次启动时都使用/ etc/ sysconfig/ iptables 所供应的规章进行规章复原，并可以使用命令储存规就： serviceiptablessave；4 linux防火墙的设计概述4.1 设计要求目标一般被爱惜的内部网络可分成两部分，一部分是内部通讯区，只答应内部用户拜望，确定禁止外部用户拜望，另一部分是停火区DMZ ，对外供应有条件的服务；前者是系统的核心子网，后

27、者易受到外部的攻击，是一个比较危险的子网环境；一方面要求严格爱惜内部子网，另一方面又要中意DMZ 对外供应服务的需要，因此，必需接受分别爱惜的策略，对上述两个区域进行爱惜；两欢迎下载精品学习资源个区域要尽量独立，即使 DMZ 受到外部攻击，内部子网仍处于防火墙的爱惜之下；现在假设有一个小型企业的网络结构，如图2 内部网有有效的 Internet 地址，在内部网络和 Internet 之间使用了内核版本为2. 6 的 linux 包过滤防火墙， 它将一个内部局域网和Internet隔离，通过在网络借口出实施数据包过滤规章对 局域网进行爱惜；另外仍有一些爱惜措施，如NAT（网络地址转换），它如同一

28、个局域网和 Internet 之间的代理网关对局域网进行爱惜；事实上，NAT 并不是一个代理服务，由于NAT 并不为连接供应中间的终止点；NAT 近似于代理是由于本地主机相对于公共 Internet全都隐匿在它之后；而图 2 中的防火墙需要让DMZ 区域的服务器向内网用户发布DNS 服务， WEB 服务， FTP 服务，邮件服务， SSH服务；外网的用户通过目的地址转换只能够拜望DMZ 区域的 DNS 服务和 WEB 服务，而不能拜望到内网的客户机；达到了分别爱惜这个小型内网和 DMZ 区域和隐匿它们的真实地址的作用；并能让DMZ 区域的服务器能够安地对内外发布指定的服务的成效；198.168

29、.3.33198.168.3.33INTERNET服务器Eth1隔离区域 DMZ防火墙Eth2外网202.100.1.2Eth0M198.168.3.33防火墙内网客户机192.168.1.1Eth0:198.168.1.2 Eth1:198.168.3.66Eth2:202.100.1.1图 2 网络防火墙设计图4.2 设计方案设计配置防火墙规章用来定义哪些数据包或服务答应/ 拒绝通过，主要有 2种策略；一种是先答应任何接入，然后指明拒绝的项；另一种是先拒绝任何接 入，然后指明答应的项；一般地，我们会接受第2 种策略；由于从规律的观点看，在防火墙中指定一个较小的规章列表答应通过防火墙，比指定

30、一个较大的列表不答应通过防火墙更简洁实现；从Internet 的进展来看，新的协议和服务不欢迎下载精品学习资源断显现，在答应这些协议和服务通过防火墙之前，有时间审查安全漏洞；所以接受第 2 种方案更安全便利；4.3 详细设计配置为了能详细设计上图网络环境中的防火墙配置，先把所需要的环境先设计完整；当然防火墙自身也需要安全的爱惜，而最重要的就是防火墙是用来分别爱惜内网和 DMZ 区域的，所以要把内网至外网和DMZ 区域至外网的配置策略要分开来设计；以至于能达到分开爱惜的成效；就算服务器存在安全隐患也不会直接影响到与自己隔离的内网区域；4.3.1 网络环境的设计防火墙处于 3 个网络网络的中心位置

31、，所以它不仅起着包过滤作用来爱惜内网和 DMZ 区域不受到侵害，仍起到一个路由转发的功能，必需要开启防火墙的路由转发功能，这样才能使这3 个网络能通畅；在整个网络中客户机的 eth0 网卡 IP 设定为： 192. 168. 1. 1，网关设定为：192. 168. 1. 2；防火墙对应内网的 eth0 网卡 IP 设定为： 192. 168. 1. 2，对应DMZ 区域的 eth1网卡 IP 设定为： 192. 168. 3. 66；而对应外网的 eth2 网卡 IP 设定为： 202. 100. 1. 1；外网机的 eth0 网卡 IP 的设定为： 202. 100. 1. 2；DMZ 区

32、域的全部服务都设定在一台主机上，它的eth0 网卡的 IP 设定为：192. 168. 3. 33；4.3.2 服务环境的设计DMZ 区域是特地放置服务器的一个区域，现在设定有 4 种服务，分别是DNS 服务， WEB 服务，邮件服务， FTP服务；防火墙会对指定某些服务对内网的用户开放，某些服务对外网的用户开放； DNS 是为明白读域名的，我将DMZ 区域的 DNS 域名设定为 lj . com，而外网的域名就设定为 baidu. com；而对于 DMZ 区域的邮件我将把它设计成只为内网用户服务；这里我们为了协作最终防火墙的设计实现，这里只是搭建两个个简洁的 WEB 服务； DMZ 区域的W

33、EB 地址为 www . lj . com；外网的地址为 www . baidu. com；而 DMZ 区域的FTP 服务器是为了内网的用户能够在内网共享到服务器上发布的资料而搭建的，便利内网用户的的信息下载，也便利内网用户做的资料上传，地址为ftp . lj . com；4.3.3 针对防火墙本机的配置设计为了不影响新的设定，一开头要先清除全部的规章，重新开头：iptables F；清除预设表filter中使用者自订链中的规章： iptables - X；清除 mangle 表中全部规章链中的规章： iptables - F - tmangle；清除 mangle 表中使用者自订链中的规章：

34、 iptables - tmangle X；清除 nat 表中全部规章链中的规章： iptables - F - tnat；清除 nat 表中使用者自订链中的规章： iptables - tnat X；防火墙对于自身的设计很重要，由于防火墙本身就是一个重点爱惜的对象；假如防火墙自己的安全设计等级不高，就更不用去谈爱惜其他主机与网络 了；所以这里我将把关系到防火墙自身安全的INPUT 和 OUTPUT 链默认值都欢迎下载精品学习资源设定为丢弃；而防火墙在网络中相当与一个警卫，它答应的包才能通过，其他包一律不过，所以把 FORWARD 链默认值也设定为丢弃，更严格的把握包过滤，表达出更严谨的安全；

35、设定filtertable 的预设政策为： iptables -PINPUTDROP， iptables - POUTPUTDROP， iptables - PFORWARDDROP 这样便把 filter 表中的 INPUT ，OUTPUT ，FORWARD 三条链的默认设置成丢弃了；4.3.4 内网到 DMZ区域的配置设计为了防止外网黑客通过 DMZ 区域侵入内网，我们要把 DMZ 区域拜望内网的路线给剪断；所以要在 filter 表中添加条 FORWARD 链来制定个规章来阻挡DMZ 区域主动拜望内网的行为；源地址是内网客户的IP 地址 192. 168. 1. 1，目的地址是 DMZ

36、区域的服务器地址 192. 168. 3. 33，状态为新的连接 NEW 和已有的连接 ESTABLISHED 的包都可以在 FORWARD 链中答应通过；而源地址192. 168. 3. 33，目的地址 192. 168. 1. 1 的信息包只有状态是已连接的情形下才可以答应通过；iptables AFORWARD s192. 168. 1. 1 d192. 168. 3. 33 mstate- stateNEW, ESTABLISHEDjACCEPTiptables AFORWARD s192. 168. 3. 33 - d192. 168. 1. 1 mstate - stateESTA

37、BLISHED jACCEPTDMZ 区域的服务器需要向内网开通它的全部服务，而开通服务其实就是开通端口，但一台服务器本身具有许多端口，而我们只需要开放指定的服务的端口，而其他端口都关闭，由于不必要的端口开放会导致病毒入侵的几率；DNS 服务的端口号是 53，内网要拜望服务器的 WEB 页面需要解读地址，所以要答应源地址是 192. 168. 3. 33 目的地址是 192. 168. 1. 1 且源端口是 53 的信息包转发通过；且基于数据传输是基于tcp 和 udp 两种通信协议的；iptables AFORWARD pudp s192. 168. 3. 33 d192. 168. 1.

38、1 - sport53 jACCEPTiptables AFORWARDptcps192. 168. 3. 33 d192. 168. 1. 1 - sport53 jACCEPTDNS 服务已向内网开通了，那么只要开通对内网的服务器的WEB 服务后，内网的客户就能拜望 DMZ 的 WEB 服务器了； WEB 服务的端口号是 80 端口，数据传输是 tcp 协议，所以只要答应源地址是 WEB 服务器 192. 168. 3. 33目的地址是客户机 192. 168. 1. 1，是 tcp 协议的，源端口是 80 的，是从防火墙的 eth1 这块网卡进来的数据包通过；ipables AFORWA

39、RDptcp s192. 168. 3. 33 d192. 168. 1. 1 ieth1 sport80 jACCEPT接下来是要开放服务器的 FTP 服务， FTP 服务的端口有点不一样，它有两个端口 21 和 20，端口 21 是把握端口，端口 20 是数据端口； FTP 有两种模式， 在主动模式下默认的数据端口是20，但在被动模式下数据端口是由服务器和客欢迎下载精品学习资源户端协商而定，现在由于主动模式的安全问题，许多FTP 应用都默认是被动模式，而现在的试验环境的 FTP 应用是被动模式的，所以要自定义下FTP 的数据端口号；在服务器的 / etc/ vsftpd/ 目录下编辑 vs

40、ftpd. conf 文件，添加pasv_max_port=2048 和 Pasv_min_port=2048, 把数据端口号改成 2048 了；这样 可以开通这两个对内网的端口号21 和 2048 了；同样数据传输是 tcp 协议的，从防火墙网卡 eth1 进去的数据包都答应通过；iptables AFORWARDptcps192. 168. 3. 33 d192. 168. 1. 1 ieth1 - sport21 jACCEPTiptables AFORWARDptcps192. 168. 3. 33 d192. 168. 1. 1 ieth1 - sport2048jACCEPT现在需

41、要开通服务器对内网的邮件服务，邮件服务是应用的SMTP 和POP3协议的，端口号分别是25 和 110，数据传输是 tcp 协议，同样目的地址是内网的客户，源地址是邮件服务器；命令如下：iptables AFORWARDptcps192. 168. 3. 33 d192. 168. 1. 1 ieth1 - sport25 jACCEPTiptables AFORWARDptcps192. 168. 3. 33 d192. 168. 1. 1 ieth1 - sport110jACCEPT为了防止内网客户中病毒后无限制的ping 服务器而服务器以每 0. 2 秒无限制地回应，导致的服务器崩溃，

42、所以要限制源地址是内网客户，目的地址是服务器的 ping 过已后服务器的回应速度，而众所周知ping 用到的是 icmp 协议， 所以命令如下：iptables AFORWARDpicmps192. 168. 1. 1d192. 168. 3. 33 mlimit - limit1 / sec - limit - burst10jACCEPT当服务器治理员处在内网的环境中治理服务器时要用到远程登陆SSH， SSH的端口号是 22，所以要答应源地址是服务器到目的地址是内网的SSH 服务，并且是从防火墙的eth1 网卡进入的包通过；所以命令入下： iptables AFORWARDptcps192

43、. 168. 3. 33 d192. 168. 1. 1 ieth1 - sport22 jACCEPT4.3.5 DMZ区域与外网的配置设计为了 DMZ 区域服务器的安全，必需把服务器的真实IP 地址隐匿起来，所以要转换成防火墙连接公网的 eth2 网卡的 IP 与外网通信；iptables APOSTROUTING d202. 100. 1. 2 s192. 168. 3. 33 oeth2- jSNAT- to- source202. 100. 1. 1由于内网的 DNS 指向的是 DMZ 区域的 DNS 服务器，而不是外网的 DNS 服务器，为了防止内网用户直接把DNS 设定为外网的

44、DNS 而上网简洁受到威逼，我把内网的 DNS 指向 DMZ 区域的 DNS 服务器，所以内网要拜望到外网的DNS 服务必需通过 DMZ 区域的 DNS 服务器进行转发；从内网用户的角度来欢迎下载精品学习资源看，这又是一种安全爱惜；在 DMZ 区域 DNS 服务器下编辑/ var/ named/ chroot/ etc/ named. caching- nameserver. conf 这个文件中的转发地址改为 202. 100. 1. 2；转发的地址设定好后，需要答应在DMZ 区域的 DNS 服务器和外网的 DNS 服务器之间的数据包通过，且目标端口是53 的包通过；iptables AFO

45、RWARDs202. 100. 1. 2d192. 168. 3. 33ptcp - sport53 jACCEPTiptables AFORWARDs202. 100. 1. 2d192. 168. 3. 33pudp - sport53 jACCEPTiptables AFORWARDd202. 100. 1. 2s192. 168. 3. 33ptcp - dport53 jACCEPTiptables AFORWARDd202. 100. 1. 2s192. 168. 3. 33pudp - dport53 jACCEPT外网的用户需要拜望 DMZ 区域的 WEB 页面，而不需要 DMZ 区域拜望外网的 WEB 页面；所以只需要答应外网拜望DMZ 区域 WEB 服务器的 80 端口就可以了；但由于内网的DMZ 区域是受爱惜的，不能公布自己的真实IP 来让外网拜望，取而代之的是防火墙的公网地址，所以外网只能拜望202. 100. 1. 1， 然后通过防火墙的目标地址转换策略转换成服务器的真实IP； iptables APREROUTING s202. 100. 1. 2 d192. 168. 3. 33