防火墻策略如何設(shè)置

防火墻策略如何設(shè)置

　　防火墻的策略設(shè)置是怎么樣的呢?你會(huì)設(shè)置嗎?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的防火墻策略設(shè)置介紹!希望對(duì)你有幫助!

　　防火墻策略設(shè)置介紹一：

　　這個(gè)策略的意思是"在filter表中(這個(gè)在策略中省略了)的INPUT鏈的首行，插入一條允許訪問(wèn)本機(jī)22號(hào)端口的策略”

　　這條策略中沒(méi)有指定源地址，也就是說(shuō)允許任何主機(jī)訪問(wèn)本機(jī)的22號(hào)端口(ssh服務(wù))

　　有四個(gè)表，一般只用到兩個(gè)：filter, nat ;有五條鏈:INPUT OUTPUT FORWARD PREROUTING POSTROUNG

　　filter表包括三條連：INPUT,OUTPUT,FORWARD，主要是做過(guò)濾用的，比如對(duì)數(shù)據(jù)流入做過(guò)濾(INPUT鏈上做規(guī)則，比如你的例子);對(duì)數(shù)據(jù)流出做過(guò)濾(OUTPUT上鏈做規(guī)則)，對(duì)需要轉(zhuǎn)發(fā)的數(shù)據(jù)做過(guò)濾(FORWARD上鏈做規(guī)則—)

　　nat表包括三條連：PREROUTING，POSTROUTING，OUTPUT，是做地址轉(zhuǎn)換。讓內(nèi)網(wǎng)用戶訪問(wèn)互聯(lián)網(wǎng)(POSTROUGING鏈上作策略)，讓外網(wǎng)用戶(互聯(lián)網(wǎng)用戶)訪問(wèn)內(nèi)網(wǎng)服務(wù)器(PREROUITNG鏈上作策略)

　　防火墻策略設(shè)置介紹二：

　　Linux 為增加系統(tǒng)安全性提供了防火墻保護(hù)。防火墻存在于你的計(jì)算機(jī)和網(wǎng)絡(luò)之間，用來(lái)判定網(wǎng)絡(luò)中的遠(yuǎn)程用戶有權(quán)訪問(wèn)你的計(jì)算機(jī)上的哪些資源。一個(gè)正確配置的防火墻可以極大地增加你的系統(tǒng)安全性。防火墻作為網(wǎng)絡(luò)安全措施中的一個(gè)重要組成部分，一直受到人們的普遍關(guān)注。LINUX是這幾年一款異軍突起的操作系統(tǒng)，以其公開(kāi)的源代碼、強(qiáng)大穩(wěn)定的網(wǎng)絡(luò)功能和大量的免費(fèi)資源受到業(yè)界的普遍贊揚(yáng)。LINUX防火墻其實(shí)是操作系統(tǒng)本身所自帶的一個(gè)功能模塊。通過(guò)安裝特定的防火墻內(nèi)核，LINUX操作系統(tǒng)會(huì)對(duì)接收到的數(shù)據(jù)包按一定的策略進(jìn)行處理。而用戶所要做的，就是使用特定的配置軟件(如iptables)去定制適合自己的“數(shù)據(jù)包處理策略”。

　　包過(guò)濾：

　　對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾可以說(shuō)是任何防火墻所具備的最基本的功能，而LINUX防火墻本身從某個(gè)角度也可以說(shuō)是一種“包過(guò)濾防火墻”。在LINUX防火墻中，操作系統(tǒng)內(nèi)核對(duì)到來(lái)的每一個(gè)數(shù)據(jù)包進(jìn)行檢查，從它們的包頭中提取出所需要的信息，如源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)等，再與已建立的防火規(guī)則逐條進(jìn)行比較，并執(zhí)行所匹配規(guī)則的策略，或執(zhí)行默認(rèn)策略。

　　值得注意的是，在制定防火墻過(guò)濾規(guī)則時(shí)通常有兩個(gè)基本的策略方法可供選擇：一個(gè)是默認(rèn)允許一切，即在接受所有數(shù)據(jù)包的基礎(chǔ)上明確地禁止那些特殊的、不希望收到的數(shù)據(jù)包;還有一個(gè)策略就是默認(rèn)禁止一切，即首先禁止所有的數(shù)據(jù)包通過(guò)，然后再根據(jù)所希望提供的服務(wù)去一項(xiàng)項(xiàng)允許需要的數(shù)據(jù)包通過(guò)。一般說(shuō)來(lái)，前者使啟動(dòng)和運(yùn)行防火墻變得更加容易，但卻更容易為自己留下安全隱患。

　　通過(guò)在防火墻外部接口處對(duì)進(jìn)來(lái)的數(shù)據(jù)包進(jìn)行過(guò)濾，可以有效地阻止絕大多數(shù)有意或無(wú)意地網(wǎng)絡(luò)攻擊，同時(shí)，對(duì)發(fā)出的數(shù)據(jù)包進(jìn)行限制，可以明確地指定內(nèi)部網(wǎng)中哪些主機(jī)可以訪問(wèn)互聯(lián)網(wǎng)，哪些主機(jī)只能享用哪些服務(wù)或登陸哪些站點(diǎn)，從而實(shí)現(xiàn)對(duì)內(nèi)部主機(jī)的管理。可以說(shuō)，在對(duì)一些小型內(nèi)部局域網(wǎng)進(jìn)行安全保護(hù)和網(wǎng)絡(luò)管理時(shí)，包過(guò)濾確實(shí)是一種簡(jiǎn)單而有效的手段。

　　代理：

　　LINUX防火墻的代理功能是通過(guò)安裝相應(yīng)的代理軟件實(shí)現(xiàn)的。它使那些不具備公共IP的內(nèi)部主機(jī)也能訪問(wèn)互聯(lián)網(wǎng)，并且很好地屏蔽了內(nèi)部網(wǎng)，從而有效保障了內(nèi)部主機(jī)的安全。

　　IP偽裝：

　　IP偽裝(IP Masquerade)是LINUX操作系統(tǒng)自帶的又一個(gè)重要功能。通過(guò)在系統(tǒng)內(nèi)核增添相應(yīng)的偽裝模塊，內(nèi)核可以自動(dòng)地對(duì)經(jīng)過(guò)的數(shù)據(jù)包進(jìn)行“偽裝”，即修改包頭中的源目的IP信息，以使外部主機(jī)誤認(rèn)為該包是由防火墻主機(jī)發(fā)出來(lái)的。這樣做，可以有效解決使用內(nèi)部保留IP的主機(jī)不能訪問(wèn)互聯(lián)網(wǎng)的問(wèn)題，同時(shí)屏蔽了內(nèi)部局域網(wǎng)。

　　防火墻策略設(shè)置介紹三：

　　iptables -A OUTPUT -o eth0 -d 192.168.100.250 -s 192.168.1.1 -p tcp --sport 22 -j ACCEPT

　　看了“ 防火墻策略如何設(shè)置”文章的還看了：

1.如何用組策略部署Windows防火墻

2.juniper防火墻策略如何設(shè)置

3.https防火墻如何設(shè)置

4.選擇防火墻策略:為了更好的屏蔽攻擊

5.防火墻基礎(chǔ)知識(shí)

6.cisco防火墻怎么樣設(shè)置交換機(jī)