防火墙详细讲解

防火墙详细讲解

一、防火墙的简介

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

成都创新互联为企业级客户提高一站式互联网+设计服务,主要包括成都做网站、成都网站设计、成都外贸网站建设手机APP定制开发、微信小程序、宣传片制作、LOGO设计等,帮助客户快速提升营销能力和企业形象,创新互联各部门都有经验丰富的经验,可以确保每一个作品的质量和创作周期,同时每年都有很多新员工加入,为我们带来大量新的创意。 

在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的***来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。

二、防火墙的分类

1、根据表现形式分类,可以分为硬件防火墙和软件防火墙

(1)硬件防火墙

硬件防火墙主要有:cisco(pix---》asa)、天融信(网络安全卫士)、H3C(secpath)、神州数码和锐捷等,这些都是工作在网络层,还有深信服防火墙,它可以工作在应用层。

(2)软件防火墙

软件防火墙的实现主要是在主机上实现的,如windows的ISA(internet security acceleration)和linux的iptables。

2、根据工作层次分类,可以分为应用层防火墙和网络层防火墙

(1)网络层防火墙

网络层防火墙可视为一种IP封装包过滤器,运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。

(2)应用层防火墙

应用层防火墙是在TCP/IP堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用FTP时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

三、iptables的主要模块介绍

1. string(字符串匹配,可以用做内容过滤) 

# cat string/info 

iptables -I FORWARD -m string --string "腾讯" -j DROP 

iptables -I FORWARD -s 192.168.3.159 -m string --string "qq.com" -j DROP 

iptables -I FORWARD -d 192.168.3.0/24 -m string --string "宽频影院" -j DROP 

iptables -I FORWARD -d 192.168.3.0/24 -m string --string "***" -j DROP 

iptables -I FORWARD -d 192.168.3.0/24 -p tcp --sport 80 -m string --string "广告" -j DROP 

至于怎么灵活运用就要看自己的需要了。


2. comment (备注匹配,可以支持最多256个字符) 

Supported options: 

--comment COMMENT 

翻译:这个选项增加CONFIG_IP_NF_MATCH_COMMENT,补充一个注释匹配模块.这个匹允许你增加一个备注都任何规则,这个备注最多支持256个字符,例如 

Example:(例子:) 

-A INPUT -s 192.168.0.0/16 -m comment --comment "A privatized IP block" 

译者:我是这样测试使用这个comment 

iptables -I FORWARD -s 192.168.3.159 -p tcp --dport 80 -j DROP -m comment --comment "the bad guy can not online" 

iptables -I FORWARD -s 192.168.3.159 -m string --string "qq.com" -j DROP -m comment --comment "denny go to qq.com" 

这样在iptables -L时,就看到每条规则后面出现备注的内容.可以提高可读和理解该条规则的作用. 

这个comment 在2.6.x中已经被正式收录。


3. connlimit(同时连接个数限制匹配) 

# cat connlimit/info 

这个增加一个iptables匹配允许你限制每个客户ip地址的并发tcp连接,即同时连接到一个服务器个数. 

Examples: 例子: 

# allow 2 telnet connections per client host (允许每个客户机同时两个telnet连接) 

iptables -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT 

# you can also match the other way around:(你也可以匹配其他的方法:) 

iptables -p tcp --syn --dport 23 -m connlimit ! --connlimit-above 2 -j ACCEPT 

# limit the nr of parallel http requests to 16 per class C sized (这下面例子限制80端口最多同时16个连接请求) 

# network (24 bit netmask) 

iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 --connlimit-mask 24 -j REJECT 

模块 connlimit 作用:连接限制 

--connlimit-above n 限制为多少个 

--connlimit-mask n 这组主机的掩码,默认是connlimit-mask 32 ,即每ip. 

这个主要可以限制内网用户的网络使用,对服务器而言则可以限制每个ip发起的连接数...比较实用 

例如:只允许每个ip同时5个80端口转发,超过的丢弃: 

iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j DROP 

例如:只允许每组C类ip同时10个80端口转发: 

iptables -I FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 24 -j DROP 

例如:为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃. 

/sbin/iptables -A INPUT -s 192.186.1.0/24 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP 

/sbin/iptables -A INPUT -s 192.186.1.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT 

4. time(时间匹配) 

Match only if today is one of the given days. (format: Mon,Tue,Wed,Thu,Fri,Sat,Sun ; default everyday) 

(只是匹配已经给出的天,格式Mon,Tue,Wed,Thu,Fri,Sat,Sun ;默认每天) 

(开始日期 日期) 

Match only if it is after `date' (Inclusive, format: YYYY]]]] h,m,s start from 0 ; default to 1970) 

(只是匹配这个开始日期值之后的(包括,格式: YYYY]]]] h,m,s start from 0 ; 默认是1970): 

Match only if it is before `date' (Inclusive, format: YYYY]]]] h,m,s start from 0 ; default to 2037) 

(只是匹配这个开始日期值之前的(包括,格式: YYYY]]]] h,m,s start from 0 ; 默认是2037): 

Example: (例子:) 

-A INPUT -m time --timestart 8:00 --timestop 18:00 --days Mon,Tue,Wed,Thu,Fri 

will match packets that have an arrival timestamp in the range 8:00->18:00 from Monday to Friday. 

(上面将匹配从到达日期是星期一至星期五时间从8:00至18:00的包) 

-A OUTPUT -m time --timestart 8:00 --timestop 18:00 --Days Mon --date-stop 2010 

will match the packets (locally generated) that have a departure timestamp in the range 8:00->18:00 on Monday only, until 2010 

(上面将匹配本地产生的时间范围直到2010年为止的每个星期一8:00至18:00的包) 

NOTE: the time match does not track changes in daylight savings time

 

5. iprange (ip范围匹配)   

This patch makes possible to match source/destination IP addresses against inclusive IP address ranges. 

翻译: 这个补丁令匹配源/目标 IP地址可以倚着给出的地址范围进行匹配 

Examples:(例子) 

iptables -A FORWARD -m iprange --src-range 192.168.1.5-192.168.1.124 -j ACCEPT 

这个例子是允许源ip地址范围192.168.1.5-192.168.1.124的包通过 

iptables -A FORWARD -m iprange --dst-range 10.0.0.0-10.255.255.255 -j ACCEPT 

这个例子是允许目标ip地址范围10.0.0.0-10.255.255.255的包通过    192.168.2.10-192.168.2.20


6. geoip(根据地理位置匹配) 

This patch makes possible to match a packet by its source or destination country. 

翻译:这个补丁令一个包能够根据源或目的国家(地区)匹配 

GeoIP options: (选项:) 

--src-cc, --source-country country 

Match packet coming from (one of) the specified country(ies) 

根据包的来源(或非来源)地区匹配 

--dst-cc, --destination-country country 

Match packet going to (one of) the specified country(ies) 

根据包的去向(或非去向)地区匹配 

NOTE: The country is inputed by its ISO3166 code. 

注意:这个国家地区列表放在ISO3166编码里 

The only extra files you need is a binary db (geoipdb.bin) & its index file (geoipdb.idx).Both files are generated from a countries & subnets database with the csv2bin tool,available at www.cookinglinux.org/geoip/. Both files MUST also be moved in /var/geoip/ as the shared library is statically looking for that pathname (ex.: /var/geoip/geoipdb.bin). 

这个你需要额外的二进位文件geoipdb.bin 和它的索引文件geoipdb.idx.这两个文件是国家地区网络数据库,是用csv2bin 工具生成的,可以在www.cookinglinux.org/geoip/得到.这些文件必须放在/var/geoip/下,作为一个共享库查找路径名字如/var/geoip/geoipdb.bin 


7. Nth(第n个包匹配) 

# cat nth/info 

Title: iptables nth match (标题: iptables第N个匹配) 

Author: Fabrice MARIE (作者:名字,email地址) 

Status: Works (状况:运作) 

Repository: base (贮仓库: 基础的) 

# cat nth/help 

This option adds an iptables `Nth' match, which allows you to match every Nth packet encountered. By default there are 16 different counters that can be used. 

翻译: 这个选项增加一个第N个匹配,允许你匹配每隔N个包,默认有16不同的计算方法可以使用 

This match functions in one of two ways 

1) Match ever Nth packet, and only the Nth packet. 

example:(例子) 

iptables -t mangle -A PREROUTING -m nth --every 10 -j DROP 

This rule will drop every 10th packet. 

这个规则将丢弃每隔10个包 

2) Unique rule for every packet. This is an easy and quick method to produce load-balancing for both inbound and outbound. 

为每一个包应用一个独特的规则,这样是一个容易和快速的负载均衡方法 

example: (例如) 

iptables -t nat -A POSTROUTING -o eth0 -m nth --counter 7 --every 3 --packet 0 -j SNAT --to-source 10.0.0.5 

iptables -t nat -A POSTROUTING -o eth0 -m nth --counter 7 --every 3 --packet 1 -j SNAT --to-source 10.0.0.6 

iptables -t nat -A POSTROUTING -o eth0 -m nth --counter 7 --every 3 --packet 2 -j SNAT --to-source 10.0.0.7 

This example evenly splits connections between the three SNAT addresses. 

上面例子由三个源ip地址平滑分割连接 

By using the mangle table and iproute2, you can setup complex load-balanced routing. There's lot of other uses. Be creative! 

配合iptables 的mangle表和高级路由iproute2,你能设置一个复合的负载平衡路由.还有其他的用途,具有创造性的设置 

Suppported options are: (支持选项有:) 

--every Nth Match every Nth packet (匹配每N 个包) 

num Use counter 0-15 (default:0) (用计算器(默认是0)) 

num Initialize the counter at the number 'num' instead of 0. Must be between 0 and Nth-1 

(初始化一个计算器,用这个num值而不是0. 必需是在0和N减1之间的数 

num Match on 'num' packet. Must be between 0 and Nth-1. If --packet is used for a counter than 

there must be Nth number of --packet rules, covering all values between 0 and Nth-1 inclusively. 

匹配'num' 包,必需是在0和N减1之间的数,如果该包被用一个计算器,必需是第Nth数字包规则,并覆盖0至Nth-1的所有值(这个翻译得不好,请指正) 


8. ipp2p(点对点匹配) 

# cat ipp2p/info 

Title: Detects some P2P packets (标题: 侦查P2P包) 

Author: Eicke Friedrich (作者:名字,email地址) 

Status: Stable (状况:稳定的) 

Repository: extra (贮仓库: 额外的) 

Recompile: netfilter, iptables (重新编译:netfilter|iptables) 

# cat ipp2p/help 

This option makes possible to match some P2P packets therefore helps controlling such traffic. 

Dropping all matches prohibits P2P networks. 

Combined with conntrack,CONNMARK and a packet scheduler it can be used for accounting or shaping of P2P traffic. 

这个选项能够匹配某些P2P包,帮助控制流量.丢弃所有匹配的P2P.结合连接跟踪,和一个包的调度器,它能被用作计算和×××一个P2流量 

Examples: (例如:) 

iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP 

iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP 

iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP 

上例可以封杀很多bt等的P2P软件. 

更多参数更详细的参考还有ipp2p/iptables/extensions/libipt_ipp2p.man或http://www.ipp2p.org 


9. quota(配额匹配) 

# cat quota/info Title: iptables quota match (标题: iptables配额匹配) 

Author: Sam Johnston (作者:名字,email地址) 

Status: worksforme (状况:运作的) 

Repository: base (贮仓库: 基础的) 

# cat quota/help 

This option adds CONFIG_IP_NF_MATCH_QUOTA, which implements network quotas by decrementing a byte counter with each packet. 

这个选项增加一个模块匹配包实现网络包通过的配额 

Supported options are: (支持选项有:) 

--quota 

The quota in bytes. (用bytes为单位) 

iptables -I FORWARD -s 192.168.3.159 -p tcp --dport 80 -m quota --quota 500 -j DROP 

上例是这样的,在ip192.168.3.159的目标端口为80匹配的500个字节内,将被丢弃.直到匹配完这500字节后,才不会丢弃,就是说,才可以打开网页. 

KNOWN BUGS: this does not work on SMP systems. 

知道的bug:这个不能工作在SMP系统上,(SMP, symmetric multiprocessing 多处理技术) 


10、state模块

-m  state  --state   NEW   ESTABLISHED   RELATED

 


本文标题:防火墙详细讲解
文章来源:http://hbruida.cn/article/jojcch.html