WEB开发网
开发学院网络安全防火墙 实现Linux网络防火墙 阅读

实现Linux网络防火墙

 2006-07-04 12:35:49 来源:WEB开发网   
核心提示: 当一个数据包进入Linux防火墙系统时,Linux内核使用输入链决定对这个包的操作;如果这个包不被丢弃,实现Linux网络防火墙(3),内核则使用转发链来决定是否将这个包转发到某个出口;当这个包到达一个出口被发出前,内核使用输出链最后确定是丢弃该包还是转发该包,更不能入侵和破解,通常情况下

当一个数据包进入Linux防火墙系统时,Linux内核使用输入链决定对这个包的操作;如果这个包不被丢弃,内核则使用转发链来决定是否将这个包转发到某个出口;当这个包到达一个出口被发出前,内核使用输出链最后确定是丢弃该包还是转发该包。在上面的过程中,如果输入链已经决定处理这个包,则核心需要决定下一步包应该发到什么地方,即进行路由。假如此时该数据包是发到另一台主机的,则核心就运用转发链;如果没找到匹配的设置,则这个包就需要进入目标值指定的下一条链,此时目标值有可能是一条用户自定义链,也有可能是一个特定的值。例如:

ACCEPT 允许通过。

DENY 直接丢弃。

REJECT 丢弃并通过ICMP回复通知发送者包被丢弃。

MASQ 通知核心将该包伪装,该值只对转发链和用户自定义链起作用。

REDIRECT 通知核心将包改送到一个本地端口,该值只对输入链和用户自定义链起作用,并且只有UDP和TCP协议才可以使用该值。 RETURE 通知内核将该包跳过所有的规则,直接到达所有链的链尾。

在Linux系统IP链的转发链上可以配置IP伪装。实际上,IP伪装是一个比包过滤策略更安全的解决方案,它不仅能够提供一种安全机制,还同时解决了 Internet中IP地址资源不足的问题。IP伪装使一台计算机在访问Internet时,能够将本台机器的真正IP地址伪装成其它地址。如果连接到 Internet上的一台主机具有IP伪装功能,则这台机器不管是通过局域网,还是PPP拨号都可以与Internet连接。尽管在使用PPP时,这样的主机根本没有自己正式的IP地址。这说明可以将一台主机隐藏在一个网关后面来访问Internet,使得这台主机既实现了对Internet的访问,又实现了其访问对外界的不可见性(即隐藏性)。显然,这种隐藏性使得系统非常安全,因为外界根本意识不到主机的存在,也就不可能对主机实施存取操作,更不能入侵和破解。通常情况下,使用IANA保留的私有地址来进行伪装。

上一页  1 2 3 4 5 6  下一页

Tags:实现 Linux 网络

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接