第9章 防火墙与NAT服务器

1. 用例

1.1 防火墙

防火墙是网络封包进入主机的第一道关卡,透过订定一些有顺序的规则,并管制进入我们主机的数据封包的一种机制.广义来说就是分析与过滤进出主机的数据封包,就可称为防火墙.

防火墙的主要任务:

1. 切割被信任网段与不信任网段.

2. 划分出可提供Internet的服务与必须保护的服务.

3. 分析出可接受与不可接受的封包.

1.2 NAT

是网络地址转换,可以达到网络地址分享的功能.

2. 静态

1. 防火墙分为硬件防火墙与软件防火墙.

2. 依据防火墙管理的范围,防火墙分为网域型与单一主机型控管.

2.1  单一主机控管方面,主要的防火墙由封包过滤型的Netfilter与依据服务软件程序作为分析的TCP Wrappers两种.

2.2 区域型防火墙一般作为路由器角色,防火墙类型主要由封包过滤Netfilter与利用代理服务器.

3. 常用防火墙类型

3.1 Netfilter(封包过滤机制),分析进入主机的网络封包,将表头数据提取出来进行分析,以决定是否放行或抵制该联机的机制.在Linux上面,使用iptables软件来作为防火墙封包过滤指令.

3.2 TCP Wrappers(程序控管),抵挡封包进入的方法为透过服务器的外挂(tcpd)来处置的,该机制主要是分析谁对某程序进行存取,然后透过规则去分析改服务器程序谁能联机,谁不能联机.

主要透过/etc/hosts.allow,/etc/hosts.deny来管理类似防火墙的机制.但只有两类软件(1由super deamon所管理的服务,2由支援libwrap.so模块的服务)可透过这两个档案类管理防火墙规则.

3.3 Proxy(代理服务器):是一种网络服务,它代理用户请求,前往服务器获取资料给用户.

4. iptables(Linux的封包过滤软件):对网络封包进行过滤及抵制的动作.至少包括3个table.

4.1 filter(过滤器):本机iptables:和进入本机的封包有关.

4.2 nat(地址转换),用于进行来源与目标的IP或port转换.

4.3 mangle(破坏者),与特殊的封包的路由旗标有关.

3. 动态