防火墻策略如何設(shè)置

防火墻策略如何設(shè)置

　　防火墻的策略設(shè)置是怎么樣的呢?你會(huì)設(shè)置嗎?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的防火墻策略設(shè)置介紹!希望對你有幫助!

　　防火墻策略設(shè)置介紹一：

　　這個(gè)策略的意思是"在filter表中(這個(gè)在策略中省略了)的INPUT鏈的首行，插入一條允許訪問本機(jī)22號端口的策略”

　　這條策略中沒有指定源地址，也就是說允許任何主機(jī)訪問本機(jī)的22號端口(ssh服務(wù))

　　有四個(gè)表，一般只用到兩個(gè)：filter, nat ;有五條鏈:INPUT OUTPUT FORWARD PREROUTING POSTROUNG

　　filter表包括三條連：INPUT,OUTPUT,FORWARD，主要是做過濾用的，比如對數(shù)據(jù)流入做過濾(INPUT鏈上做規(guī)則，比如你的例子);對數(shù)據(jù)流出做過濾(OUTPUT上鏈做規(guī)則)，對需要轉(zhuǎn)發(fā)的數(shù)據(jù)做過濾(FORWARD上鏈做規(guī)則—)

　　nat表包括三條連：PREROUTING，POSTROUTING，OUTPUT，是做地址轉(zhuǎn)換。讓內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)(POSTROUGING鏈上作策略)，讓外網(wǎng)用戶(互聯(lián)網(wǎng)用戶)訪問內(nèi)網(wǎng)服務(wù)器(PREROUITNG鏈上作策略)

　　防火墻策略設(shè)置介紹二：

　　Linux 為增加系統(tǒng)安全性提供了防火墻保護(hù)。防火墻存在于你的計(jì)算機(jī)和網(wǎng)絡(luò)之間，用來判定網(wǎng)絡(luò)中的遠(yuǎn)程用戶有權(quán)訪問你的計(jì)算機(jī)上的哪些資源。一個(gè)正確配置的防火墻可以極大地增加你的系統(tǒng)安全性。防火墻作為網(wǎng)絡(luò)安全措施中的一個(gè)重要組成部分，一直受到人們的普遍關(guān)注。LINUX是這幾年一款異軍突起的操作系統(tǒng)，以其公開的源代碼、強(qiáng)大穩(wěn)定的網(wǎng)絡(luò)功能和大量的免費(fèi)資源受到業(yè)界的普遍贊揚(yáng)。LINUX防火墻其實(shí)是操作系統(tǒng)本身所自帶的一個(gè)功能模塊。通過安裝特定的防火墻內(nèi)核，LINUX操作系統(tǒng)會(huì)對接收到的數(shù)據(jù)包按一定的策略進(jìn)行處理。而用戶所要做的，就是使用特定的配置軟件(如iptables)去定制適合自己的“數(shù)據(jù)包處理策略”。

　　包過濾：

　　對數(shù)據(jù)包進(jìn)行過濾可以說是任何防火墻所具備的最基本的功能，而LINUX防火墻本身從某個(gè)角度也可以說是一種“包過濾防火墻”。在LINUX防火墻中，操作系統(tǒng)內(nèi)核對到來的每一個(gè)數(shù)據(jù)包進(jìn)行檢查，從它們的包頭中提取出所需要的信息，如源IP地址、目的IP地址、源端口號、目的端口號等，再與已建立的防火規(guī)則逐條進(jìn)行比較，并執(zhí)行所匹配規(guī)則的策略，或執(zhí)行默認(rèn)策略。

　　值得注意的是，在制定防火墻過濾規(guī)則時(shí)通常有兩個(gè)基本的策略方法可供選擇：一個(gè)是默認(rèn)允許一切，即在接受所有數(shù)據(jù)包的基礎(chǔ)上明確地禁止那些特殊的、不希望收到的數(shù)據(jù)包;還有一個(gè)策略就是默認(rèn)禁止一切，即首先禁止所有的數(shù)據(jù)包通過，然后再根據(jù)所希望提供的服務(wù)去一項(xiàng)項(xiàng)允許需要的數(shù)據(jù)包通過。一般說來，前者使啟動(dòng)和運(yùn)行防火墻變得更加容易，但卻更容易為自己留下安全隱患。

　　通過在防火墻外部接口處對進(jìn)來的數(shù)據(jù)包進(jìn)行過濾，可以有效地阻止絕大多數(shù)有意或無意地網(wǎng)絡(luò)攻擊，同時(shí)，對發(fā)出的數(shù)據(jù)包進(jìn)行限制，可以明確地指定內(nèi)部網(wǎng)中哪些主機(jī)可以訪問互聯(lián)網(wǎng)，哪些主機(jī)只能享用哪些服務(wù)或登陸哪些站點(diǎn)，從而實(shí)現(xiàn)對內(nèi)部主機(jī)的管理?？梢哉f，在對一些小型內(nèi)部局域網(wǎng)進(jìn)行安全保護(hù)和網(wǎng)絡(luò)管理時(shí)，包過濾確實(shí)是一種簡單而有效的手段。

　　代理：

　　LINUX防火墻的代理功能是通過安裝相應(yīng)的代理軟件實(shí)現(xiàn)的。它使那些不具備公共IP的內(nèi)部主機(jī)也能訪問互聯(lián)網(wǎng)，并且很好地屏蔽了內(nèi)部網(wǎng)，從而有效保障了內(nèi)部主機(jī)的安全。

　　IP偽裝：

　　IP偽裝(IP Masquerade)是LINUX操作系統(tǒng)自帶的又一個(gè)重要功能。通過在系統(tǒng)內(nèi)核增添相應(yīng)的偽裝模塊，內(nèi)核可以自動(dòng)地對經(jīng)過的數(shù)據(jù)包進(jìn)行“偽裝”，即修改包頭中的源目的IP信息，以使外部主機(jī)誤認(rèn)為該包是由防火墻主機(jī)發(fā)出來的。這樣做，可以有效解決使用內(nèi)部保留IP的主機(jī)不能訪問互聯(lián)網(wǎng)的問題，同時(shí)屏蔽了內(nèi)部局域網(wǎng)。

　　防火墻策略設(shè)置介紹三：

　　iptables -A OUTPUT -o eth0 -d 192.168.100.250 -s 192.168.1.1 -p tcp --sport 22 -j ACCEPT

　　看了“ 防火墻策略如何設(shè)置”文章的還看了：

1.如何用組策略部署Windows防火墻

2.juniper防火墻策略如何設(shè)置

3.https防火墻如何設(shè)置

4.選擇防火墻策略:為了更好的屏蔽攻擊

5.防火墻基礎(chǔ)知識(shí)

6.cisco防火墻怎么樣設(shè)置交換機(jī)