防火牆策略如何設定

  防火牆的策略設定是怎麼樣的呢?你會設定嗎?下面由小編給你做出詳細的防火牆策略設定介紹!希望對你有幫助!

  防火牆策略設定介紹一:

  這個策略的意思是"在filter表中***這個在策略中省略了***的INPUT鏈的首行,插入一條允許訪問本機22號埠的策略”

  這條策略中沒有指定源地址,也就是說允許任何主機訪問本機的22號埠***ssh服務***

  有四個表,一般只用到兩個:filter, nat ;有五條鏈:INPUT OUTPUT FORWARD PREROUTING POSTROUNG

  filter表包括三條連:INPUT,OUTPUT,FORWARD,主要是做過濾用的,比如對資料流入做過濾***INPUT鏈上做規則,比如你的例子***;對資料流出做過濾***OUTPUT上鍊做規則***,對需要轉發的資料做過濾***FORWARD上鍊做規則—***

  nat表包括三條連:PREROUTING,POSTROUTING,OUTPUT,是做地址轉換。讓內網使用者訪問網際網路***POSTROUGING鏈上作策略***,讓外網使用者***網際網路使用者***訪問內網伺服器***PREROUITNG鏈上作策略***

  防火牆策略設定介紹二:

  Linux 為增加系統安全性提供了防火牆保護。防火牆存在於你的計算機和網路之間,用來判定網路中的遠端使用者有權訪問你的計算機上的哪些資源。一個正確配置的防火牆可以極大地增加你的系統安全性。防火牆作為網路安全措施中的一個重要組成部分,一直受到人們的普遍關注。LINUX是這幾年一款異軍突起的作業系統,以其公開的原始碼、強大穩定的網路功能和大量的免費資源受到業界的普遍讚揚。LINUX防火牆其實是作業系統本身所自帶的一個功能模組。通過安裝特定的防火牆核心,LINUX作業系統會對接收到的資料包按一定的策略進行處理。而使用者所要做的,就是使用特定的配置軟體***如iptables***去定製適合自己的“資料包處理策略”。

  包過濾:

  對資料包進行過濾可以說是任何防火牆所具備的最基本的功能,而LINUX防火牆本身從某個角度也可以說是一種“包過濾防火牆”。在LINUX防火牆中,作業系統核心對到來的每一個數據包進行檢查,從它們的包頭中提取出所需要的資訊,如源IP地址、目的IP地址、源埠號、目的埠號等,再與已建立的防火規則逐條進行比較,並執行所匹配規則的策略,或執行預設策略。

  值得注意的是,在制定防火牆過濾規則時通常有兩個基本的策略方法可供選擇:一個是預設允許一切,即在接受所有資料包的基礎上明確地禁止那些特殊的、不希望收到的資料包;還有一個策略就是預設禁止一切,即首先禁止所有的資料包通過,然後再根據所希望提供的服務去一項項允許需要的資料包通過。一般說來,前者使啟動和執行防火牆變得更加容易,但卻更容易為自己留下安全隱患。

  通過在防火牆外部介面處對進來的資料包進行過濾,可以有效地阻止絕大多數有意或無意地網路攻擊,同時,對發出的資料包進行限制,可以明確地指定內部網中哪些主機可以訪問網際網路,哪些主機只能享用哪些服務或登陸哪些站點,從而實現對內部主機的管理。可以說,在對一些小型內部區域網進行安全保護和網路管理時,包過濾確實是一種簡單而有效的手段。

  代理:

  LINUX防火牆的代理功能是通過安裝相應的代理軟體實現的。它使那些不具備公共IP的內部主機也能訪問網際網路,並且很好地遮蔽了內部網,從而有效保障了內部主機的安全。

  IP偽裝:

  IP偽裝***IP Masquerade***是LINUX作業系統自帶的又一個重要功能。通過在系統核心增添相應的偽裝模組,核心可以自動地對經過的資料包進行“偽裝”,即修改包頭中的源目的IP資訊,以使外部主機誤認為該包是由防火牆主機發出來的。這樣做,可以有效解決使用內部保留IP的主機不能訪問網際網路的問題,同時遮蔽了內部區域網。

  防火牆策略設定介紹三:

  iptables -A OUTPUT -o eth0 -d 192.168.100.250 -s 192.168.1.1 -p tcp --sport 22 -j ACCEPT