下载后可任意编辑完全免费自建 Linux 防火墙的方法 防火墙吞吐量计算方法 在构造防火墙时,常采纳两种方式,包过滤和应用代理服务。包过滤是指建立包过滤规则,根据这些规则及 IP 包头的信息,在网络层判定允许或拒绝包的通过。下面是我跟大家分享的是完全免费自建 Linux 防火墙的方法,欢迎大家来阅读学习~ 完全免费自建 Linux 防火墙的方法 一、防火墙的类型和设计策略 在构造防火墙时,常采纳两种方式,包过滤和应用代理服务。包过滤是指建立包过滤规则,根据这些规则及 IP 包头的信息,在网络层判定允许或拒绝包的通过。如允许或禁止 FTP 的使用,但不能禁止 FTP 特定的功能(例如 Get 和 Put 的使用)。应用代理服务是由位于内部网和外部网之间的代理服务器完成第 1 页 共 7 页下载后可任意编辑的,它工作在应用层,代理用户进、出网的各种服务请求,如FTP 和 Telenet 等。 目前,防火墙一般采纳双宿主机(Dual-homedFirewall)、屏蔽主机(ScreenedHostFirewall)和屏蔽子网(ScreenedSubnetFirewall)等结构。双宿主机结构是指承担代理服务任务的计算机至少有 2 个网络接口连接到内部网和外部网之间。屏蔽主机结构是指承担代理服务任务的计算机仅仅与内部网的主机相连。屏蔽子网结构是把额外的安全层添加到屏蔽主机的结构中,即添加了周边网络,进一步把内部网和外部网隔开。 防火墙规则用来定义哪些数据包或服务允许/拒绝通过,主要有 2 种策略。一种是先允许任何接入,然后指明拒绝的项;另一种是先拒绝任何接入,然后指明允许的项。一般地,我们会采纳第 2 种策略。因为从逻辑的观点看,在防火墙中指定一个第 2 页 共 7 页下载后可任意编辑较小的规则列表允许通过防火墙,比指定一个较大的列表不允许通过防火墙更容易实现。从 Internet 的进展来看,新的协议和服务不断出现,在允许这些协议和服务通过防火墙之前,有时间审查安全漏洞。 二、基于 Linux 操作系统防火墙的实现 基于 Linux 操作系统的防火墙是利用其内核具有的包过滤能力建立的包过滤防火墙和包过滤与代理服务组成的复合型防火墙。下面,让我们来看看怎样配置一个双宿主机的基于Linux 的防火墙。 由于 Linux 的内核各有不同,提供的包过滤的设置办法也不一样。IpFwadm 是基于 Unix 中的 ipfw,它只适用于Linux2.0.36 以前的内核;对于 Linux2.2 以后的版本,使用的是Ipchains。IpFwadm 和 Ipchains 的工作方式很相...
