Linux内置防火墙是如何提高网
Linux内置防火墙主要是通过包过滤的手段来提高对网络的管理控制功能,从而提高网络与服务器的安全。
一、 Linux防火墙的工作原理
我们设想一下,一台Linux主机一般会作哪些数据包相关的工作。 其实,我们可以把一台Linux形象的比喻成一个地铁车站。一个地铁车站一般有三个口子,一个是进口,乘客需要去做地铁的话,必须通过这个地铁的进口,而且必须凭合法的票子才能进去。第二个是出口,若乘客需要离开地铁站的话,则也必须凭着票子出站。 三是一个中转的接口,也就是说,在地铁的中转站中,你可以直接通过过道到另外一条线上去。
而一台Linux主机也有三个口子。一个是进口(INPUT),到这台主机的...全部
Linux内置防火墙主要是通过包过滤的手段来提高对网络的管理控制功能,从而提高网络与服务器的安全。
一、 Linux防火墙的工作原理
我们设想一下,一台Linux主机一般会作哪些数据包相关的工作。
其实,我们可以把一台Linux形象的比喻成一个地铁车站。一个地铁车站一般有三个口子,一个是进口,乘客需要去做地铁的话,必须通过这个地铁的进口,而且必须凭合法的票子才能进去。第二个是出口,若乘客需要离开地铁站的话,则也必须凭着票子出站。
三是一个中转的接口,也就是说,在地铁的中转站中,你可以直接通过过道到另外一条线上去。
而一台Linux主机也有三个口子。一个是进口(INPUT),到这台主机的任何数据包都需要通过这个接口才能够进入Linux系统的应用程序空间。
第二个是出口(OUTPUT),从应用程序发送出去的任何数据包都必须通过这个出口,才能够进入到Linux系统的内核,让它把数据发送出去。第三个是转发接口(FORWARD),主要用来进行数据包的转发。
在Linux主机上要实现包过滤,其实也就是在这三个口子上添加包过滤条件。这就好像在每个口子上设置“验票员”。当“乘客”手里的票是合法的,则“验票员”就允许其通过;若这票是不允许的,则“验票员”就会拒绝其通过这个口子。
通过这种方式,我们网络管理员就可以很好的管理网络中传递的数据包,并且对于一些服务器的防问权限进行合理且有效的控制。
如有时候我们为了防止DDOS攻击,我们就可以设置让所有主机都拒绝ICMP协议。
如此的话,任何一台主机企图ping局域网内的任何一台Linux电脑的话,局域网内的任何主机都不会有响应。而若有黑客把局域网内的主机当作肉鸡,企图通过他们来实现DOS攻击的时候,由于我们在出站接口(OUTPUT接口)过滤了ICMP协议,所以,这个PING命令也根本不会传递到局域网中去。
如此的话,就可以从根源上保护网络的安全。
二、 Linux防火墙的配置方法
Linux防火墙基本上是通过一条iptables命令来实现具体的配置。如我们现在为了防止局域网内的机器使用ping命令。
这是一种很好的防止DDOS攻击的方法。应为要实现DDOS攻击的话,则首先需要在局域网内部寻找肉鸡,让多台肉鸡同时采用PING命令PING服务器,直到服务器因为资源耗竭而当机。现在若把所有Linux主机的PING命令都禁用掉的话,则就可以最大程度的防治DDOS攻击的危害。
Iptables –A OUTPUT –P icmp –j DROP
通过这条命令,就可以实现禁用本机的PING命令。
命令iptables就是防火墙包过滤策略的配置命令。防火墙的过滤规则,就是通过这个简单的命令来实现的。
后面的参数-A则表示添加一个过滤条件;-P表示一种协议类型;-J表示我们的目标。上面的这条命令的意思就是在Linux主机的出口上,加上一条过滤语句,当数据包的协议类型是ICMP的话,则全部丢弃。
不过ICMP有一个特性。我们一般PING一台主机的话,则对于这台主机来说,首先其需要通过进站接口,把数据包传递到上层;然后,又要利用出站接口,把回应信息发送出去。如果任何一个接口不通,如只收到信息而没有回应的话,则对与主ping方来说,就显示的是目的地不可大的信息。
以上这个条命令我们是在出口上加了限制语句,上面我们说过,一共可以在Linux主机上的三个接口,包括进站进口、出站接口与转发接口,在内的任何一个接口上配置包过滤条件,以实现对防火墙的管理控制。
收起