第16章Linux防火墙与NAT服务配置本章介绍iptables的基本概念和基本功能,以及使用iptables架设包过滤防火墙和NAT服务的方法
学完本章后,你将能够:描述Linux防火墙的基本概念和功能使用iptables配置包过滤防火墙使用iptables配置NAT服务16
1Linux防火墙概述16
2iptables简介16
3iptables的使用16
4NAT服务16
1防火墙简介1
防火墙的功能防火墙是位于不同网络(如可信的企业内部网和不可信的公共网)或网络安全域之间,对网络进行隔离并实现有条件通信的一系列软件硬件设备的集合
它通过访问控制机制确定哪些内部服务允许外部访问,以及允许哪些外部请求可以访问内部服务
防火墙系统可以由一台路由器,也可以由一台或一组主机组成
它通常被放置在网络入口处,所有内外部网络通信数据包都必须经过防火墙,接受防火墙的检查,只有符合安全规则的数据才允许通过
通过使用防火墙可以实现以下功能:保护内部网络中易受攻击的服务
控制内外网之间网络系统的访问
隐藏内部网络的IP地址及结构的细节,提高网络的保密性
对网络存取和访问进行监控和审计
集中管理内网的安全性,降低管理成本
防火墙的类型根据动作方式的不同,通常把防火墙分为包过滤型和应用级网关两大类
包过滤防火墙(PacketFilter)应用级网关(Application-levelGateway)16
2Linux包过滤防火墙的架构iptables是一个免费的包过滤防火墙,它伴随着内核的发展而逐渐演变,大致经历了下面4个阶段:在1
1内核中,采用ipfw来操作内核包过滤规则
0内核中,采用ipfwadm来操作内核包过滤规则
2内核中,采用ipchains来控制内核包过滤规则
4内核中(如RedHat9
0、RHEL),采用一个全新的内核
