《鸟哥linux2》-阅读摘要-第11章-linux防火墙与Nat主机
来源:互联网 发布:韩国社交软件 编辑:程序博客网 时间:2024/06/01 20:51
防火墙分硬件防火墙和软件防火墙两类。软件防火墙又可分为代理服务器(Proxy)以及Ip Filter两大类。代理服务器仅是代理Client端向Internet请求数据。由于Proxy其实已经将可代理的协议限制得很少,并且由于内部与外部计算机不能直接互通,所以可以实现良好的保护效果。而IP Filter,利用数据包过滤的方式实现防火墙的功能。
防火墙的一般部署,可以单一的linux防火墙主机,可以单一linux防火墙主机再加LAN内另设的防火墙(因为LAN也不安全有时候,比如特殊部门需要特别照顾,外来的访客的移动装置等),可以在防火墙后端的主机设置(DMZ,非军事区,架设mail,www,ftp等,无论那边有问题都保证这一区域的安全)。
但是值得注意的是,防火墙不能有效阻止病毒或木马成语。比如WWW服务,必须开放端口(一般是80),mail服务也必须开放一个端口(一般是25),否则不起作用。如果这些服务的数据包本来就是病毒,那防火墙一点办法也没有。对于LAN内的攻击也没办法。
iptables,设定了不同的规则,来过滤。注意这些规则是有顺序的。一般有三个表格:管理本机进出的filter,管理后端主机的NAT,管理特殊标记的mangle。这部分没细看。。可以对ip啊,port啊,或者针对tcp,udp来进行设置等。
除了iptables这个防火墙软件外,还有其他默认的攻击阻止机制。
如/proc/sys/net/ipv4/tcp_syncookies,前面讲到的Dos,就可以启动SYN Cookie。当主机发送SYN/ACK确认数据包钱,会要求Client端在短时间内回复一个序号,包括原SYN的一些信息,如IP,port等,若Client可以回复正确的序号,则确认数据包可信,因此发送SYN/ACK数据包,否则不理会。通过这个机制可以大大降低无效的SYN等待端口,避免SYN Flooding的DoS攻击。但是它违反了TCP的3次握手规则,所以可能会造成某些服务的延迟,并且也不适合在负载已经很高的服务器内。
- 《鸟哥linux2》-阅读摘要-第11章-linux防火墙与Nat主机
- 《鸟哥linux2》-阅读摘要-第10章-认识主机安全
- 《鸟哥linux2》-阅读摘要-第5章-linux常用的网络命令
- 《鸟哥linux2》-阅读摘要-第7章-限制linux对外连接的端口
- 第9章 防火墙与NAT服务器
- Linux 防火墙与NAT服务
- 《Linux防火墙》学习摘要
- 第九章、防火墙与 NAT 服务器
- 防火墙与NAT
- 鸟哥的Linux私房菜(服务器)- 第九章、防火墙与 NAT 服务器
- Linux iptables防火墙设置与NAT服务配置
- 【阅读摘要】第6章 电子元器件与组件的热设计
- 《终极算法》阅读笔记与摘要(1)-序和第1-2章
- linux 防火墙之nat表
- iptables防火墙与NAT服务
- 认识防火墙与NAT服务
- 今天重写了防火墙 iptables保护nat主机,www主机,ftp主机
- Linux iptables 做 路由、 NAT、 防火墙
- 谨纪念第一次面试,电话面试,百度一面。。
- 1NF-2NF-3NF-BCNF自己总结
- pthread_cleanup_push() pthread_cleanup_pop()
- 使用测试工具iPerf监控无线网络性能
- ADF11g-010:ADF组件之 SelectBooleanCheckbox使用(用于ADF table)
- 《鸟哥linux2》-阅读摘要-第11章-linux防火墙与Nat主机
- S3C6410开发全纪录(二)《如何计算内存大小,并在UBOOT中调整内存大小》
- 多线程-thread
- poj1564-这样的判重,hash都得折服
- 在linux AS5.4 64bit 安装CRS时,执行root.sh时报错
- 机房收费系统总结
- 文件上传与下载————>struts
- Java与Flex学习笔记(5)----Flex与Java通信之HttpService方式
- Java java.util.date 与 java.sql.date 区别和转换