开发学院网络安全防火墙 iptables基础和应用 阅读

iptables基础和应用

 2006-04-03 12:37:32 来源:WEB开发网   
核心提示: 而 iptables 是采用规则堆栈的方式来进行过滤,当一个封包进入网卡,iptables基础和应用(5),会先检查 Prerouting,然后检查目的 IP 判断是否需要转送出去,IP 数量需要两组 C,所有 IP 均需作 IP 伪装 2. 校园内安全需求不高,接着就会跳到 INPUT

而 iptables 是采用规则堆栈的方式来进行过滤,当一个封包进入网卡,会先检查 Prerouting,然后检查目的 IP 判断是否需要转送出去,接着就会跳到 INPUT 或 Forward 进行过滤,如果封包需转送处理则检查 Postrouting,如果是来自本机封包,则检查 OUTPUT 以及 Postrouting。过程中如果符合某条规则将会进行处理,处理动作除了 ACCEPT、REJECT、DROP、REDIRECT 和 MASQUERADE 以外,还多出 LOG、ULOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、TOS、TTL、MARK 等,其中某些处理动作不会中断过滤程序,某些处理动作则会中断同一规则炼的过滤,并依照前述流程继续进行下一个规则炼的过滤(注意:这一点与 ipchains 不同),一直到堆栈中的规则检查完毕为止。透过这种机制所带来的好处是,我们可以进行复杂、多重的封包过滤,简单的说,iptables 可以进行纵横交错式的过滤(tables)而非炼状过滤(chains)。

虽然 iptables 为了扩充防火墙功能,而必须采用比较复杂的过滤流程,但在实际应用时,同一规则炼下的规则设定还是有先后顺序的关系,因此在设定规则时还是必须注意其中的逻辑。

肆、订定校园网络安全政策

在实际设定防火墙之前,我们必须根据校园网络的安全需求,先拟定一份安全政策,拟定安全政策前必须搜集以下资料:

1. 找出需要过滤保护的服务器

2. 条列出被保护的服务器将提供何种网络服务

3. 一般工作站,需要何种等级的保护

4. 了解网络架构与服务器摆放位置

根据这些数据,我们可以决定安全政策,以石牌国小为例:

1. 校内使用 NAT 虚拟网络,IP 数量需要两组 C,所有 IP 均需作 IP 伪装

2. 校园内安全需求不高,服务器与工作站摆在同一网段,不需采用 DMZ 设计

上一页  1 2 3 4 5 6 7 8 9 10  下一页

Tags:iptables 基础 应用

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接