簡述基本的包過濾規則設置並驗證

㈠ iptables防火牆配置

iptables防火牆配置可是個技術活，不過別擔心，給你詳細解釋一下：

iptables是Linux系統中的一個用戶空間工具，用於配置內核級的網路數據包過濾規則。它可以用來實現防火牆策略，保護你的伺服器免受惡意攻擊。

要配置iptables防火牆，你首先需要了解一些基本概念，比如鏈和規則。鏈是處理數據包的一系列規則的集合，而規則則定義了如何處理特定的數據包。

配置iptables時，你通常會使用命令行界面。下面是一些常用的iptables命令示例：

1. 查看當前iptables規則配置：iptables -L


2. 允許所有來自本地回環地址的數據包：iptables -A INPUT -i lo -j ACCEPT


3. 允許已建立的或相關連的通行：iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT


4. 開放SSH埠：iptables -A INPUT -p tcp --dport 22 -j ACCEPT


5. 拒絕所有其他輸入數據包：iptables -A INPUT -j DROP

請注意，上述命令只是一個簡單的示例，並不能涵蓋所有情況。在實際配置中，你需要根據自己的網路環境和安全需求來定製規則。

另外，配置iptables防火牆時要小心謹慎，確保不會意外地阻止合法的網路流量或導致系統無法訪問。建議在配置之前先備份現有的規則集，並在測試環境中進行驗證。

最後，如果你對iptables不太熟悉或者想要更高級的功能，還可以考慮使用其他防火牆工具，如firewalld或UFW，它們提供了更友好的界面和更多的配置選項。

㈡ 防火牆是什麼有什麼作用

1.什麼是防火牆
防火牆是指設置在不同網路（如可信任的企業內部網和不可信的公共網）或網路安全域之間的一系列部件的組合。 它可通過監測、限制、更改跨越防火牆的數據流，盡可能地對外部屏蔽網路內部的信息、結構和運行狀況， 以此來實現網路的安全保護。
在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動， 保證了內部網路的安全。
2.使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務，Firewall可以極大地提高網路安全和減少子網中主機的風險。例如， Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如， Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理，在Firewall定義的安全規則可以運行於整個內部網路系統， 而無須在內部網每台機器上分別設立安全策略。Firewall可以定義不同的認證方法， 而不需要在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過一次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息，如Figer和DNS。
記錄和統計網路利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網路通訊，提供關於網路使用的統計數據，並且，Firewall可以提供統計數據， 來判斷可能的攻擊和探測。
策略執行
Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時，網路安全取決於每台主機的用戶。

3.防火牆的種類
防火牆總體上分為包過濾、應用級網關和代理伺服器等幾大類型。

數 據 包 過 濾
數據包過濾(Packet Filtering)技術是在網路層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯， 被稱為訪問控製表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的埠號、 協議狀態等因素，或它們的組合來確定是否允許該數據包通過。 數據包過濾防火牆邏輯簡單，價格便宜，易於安裝和使用， 網路性能和透明性好，它通常安裝在路由器上。路由器是內部網路與Internet連接必不可少的設備， 因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。
數據包過濾防火牆的缺點有二：一是非法訪問一旦突破防火牆，即可對主機上的軟體和配置漏洞進行攻擊； 二是數據包的源地址、目的地址以及IP的埠號都在數據包的頭部，很有可能被竊聽或假冒。

應 用 級 網 關
應用級網關(Application Level Gateways)是在網路應用層上建立協議過濾和轉發功能。 它針對特定的網路應用服務協議使用指定的數據過濾邏輯，並在過濾的同時，對數據包進行必要的分析、 登記和統計，形成報告。實際中的應用網關通常安裝在專用工作站系統上。
數據包過濾和應用網關防火牆有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯，則防火牆內外的計算機系統建立直接聯系， 防火牆外部的用戶便有可能直接了解防火牆內部的網路結構和運行狀態，這有利於實施非法訪問和攻擊。

代 理 服 務
代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人將它歸於應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火牆技術， 其特點是將所有跨越防火牆的網路通信鏈路分為兩段。防火牆內外計算機系統間應用層的" 鏈接"， 由兩個終止代理伺服器上的" 鏈接"來實現，外部計算機的網路鏈路只能到達代理伺服器， 從而起到了隔離防火牆內外計算機系統的作用。此外，代理服務也對過往的數據包進行分析、注冊登記， 形成報告，同時當發現被攻擊跡象時會向網路管理員發出警報，並保留攻擊痕跡。

4.設置防火牆的要素

網路策略
影響Firewall系統設計、安裝和使用的網路策略可分為兩級，高級的網路策略定義允許和禁止的服務以及如何使用服務， 低級的網路策略描述Firewall如何限制和過濾在高級策略中定義的服務。

服務訪問策略
服務訪問策略集中在Internet訪問服務以及外部網路訪問（如撥入策略、SLIP/PPP連接等）。 服務訪問策略必須是可行的和合理的。可行的策略必須在阻止已知的網路風險和提供用戶服務之間獲得平衡。 典型的服務訪問策略是：允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務； 允許內部用戶訪問指定的Internet主機和服務。

防火牆設計策略
防火牆設計策略基於特定的Firewall，定義完成服務訪問策略的規則。通常有兩種基本的設計策略： 允許任何服務除非被明確禁止；禁止任何服務除非被明確允許。第一種的特點是安全但不好用， 第二種是好用但不安全，通常採用第二種類型的設計策略。 而多數防火牆都在兩種之間採取折衷。

增強的認證
許多在Internet上發生的入侵事件源於脆弱的傳統用戶/口令機制。多年來，用戶被告知使用難於猜測和破譯口令， 雖然如此，攻擊者仍然在Internet上監視傳輸的口令明文，使傳統的口令機制形同虛設。增強的認證機制包含智能卡， 認證令牌，生理特徵（指紋）以及基於軟體（RSA）等技術，來克服傳統口令的弱點。雖然存在多種認證技術， 它們均使用增強的認證機制產生難被攻擊者重用的口令和密鑰。 目前許多流行的增強機制使用一次有效的口令和密鑰（如SmartCard和認證令牌）。

5.防火牆在大型網路系統中的部署
根據網路系統的安全需要，可以在如下位置部署防火牆：
區域網內的VLAN之間控制信息流向時。

Intranet與Internet之間連接時(企業單位與外網連接時的應用網關)。

在廣域網系統中，由於安全的需要，總部的區域網可以將各分支機構的區域網看成不安全的系統， （通過公網ChinaPac，ChinaDDN，Frame Relay等連接）在總部的區域網和各分支機構連接時採用防火牆隔離， 並利用VPN構成虛擬專網。

總部的區域網和分支機構的區域網是通過Internet連接，需要各自安裝防火牆，並利用NetScreen的VPN組成虛擬專網。

在遠程用戶撥號訪問時，加入虛擬專網。

ISP可利用NetScreen的負載平衡功能在公共訪問伺服器和客戶端間加入防火牆進行負載分擔、 存取控制、用戶認證、流量控制、日誌紀錄等功能。

兩網對接時，可利用NetScreen硬體防火牆作為網關設備實現地址轉換(NAT)，地址映射（MAP）， 網路隔離（DMZ）, 存取安全控制，消除傳統軟體防火牆的瓶頸問題。

6.防火牆在網路系統中的作用

防火牆能有效地防止外來的入侵，它在網路系統中的作用是：

控制進出網路的信息流向和信息包；
提供使用和流量的日誌和審計；
隱藏內部IP地址及網路結構的細節；
提供VPN功能；
參考資料：http://www.chinaitlab.com/www/news/article_show.asp?id=12144
回答者：愛上了蓮 - 舉人 四級 12-1 18:06

--------------------------------------------------------------------------------

評價已經被關閉 目前有 1 個人評價
好
100% （1） 不好
0% （0）

其他回答 共 5 條

用來阻擋信息的，像木馬什麼的，也能被阻隔
回答者：homejin - 試用期 一級 12-1 18:01

--------------------------------------------------------------------------------

防火牆定義

防火牆就是一個位於計算機和它所連接的網路之間的軟體。該計算機流入流出的所有網路通信均要經過此防火牆。

防火牆的功能

防火牆對流經它的網路通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

為什麼使用防火牆

防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

防火牆的類型

防火牆有不同類型。一個防火牆可以是硬體自身的一部分，你可以將網際網路連接和計算機都插入其中。防火牆也可以在一個獨立的機器上運行，該機器作為它背後網路中所有計算機的代理和防火牆。最後，直接連在網際網路的機器可以使用個人防火牆。