防火墙 ipfw

10.7.1什么是防火墙？
今天，经常使用的防火墙主要有两种类型。第一种类型是叫做数据包过滤路由（packet filtering router），它主要是通过设置一定的规则来转发或阻止数据包的传输。第二种是代理服务器（proxy server），依靠守护程序来提供验证，然后转发数据包。
有时，有些站点同时使用两种类型的防火墙，以至只有某台机器(如bastion host)才能被允许发送数据包到内部网络。代理服务运行在bastion host上，通常它要比普通的验证机制安全。
FreeBSD有一个内核数据包过滤程序(IPFW)，在这节的余下部分将详细讲到，但由于有很多的代理服务器可以使用，所以在这篇文档中无法一一讲到。
数据包过滤路由
路由器是负责在网络之间转发数据的机器。一个数据包过滤路由器在它的内核中有额外一部分代码，它们在决定数据包是被转发还是被阻止之前，会根据给出的规则比较每个数据包。绝大多数现代的IP路由软件都有数据包过滤代码。要启用这些过滤器，你必须定义一些过滤代码的规则，以便它能决定数据包是否被允许转发或阻止。
过滤代码会检查所设定的匹配一个数据包头部内容的规则来决定这个数据包是否被通过。一旦一个匹配找到了，这个规则动作就启用了。这个规则可能会减慢数据包以便传输数据，或是发送一个ICMP信息给这个数据包的发送者。只有第一个匹配会计数，以便按顺序来查找到这些规则。因此，这些规则的列表可以被看作是规则链。
数据包匹配标准的变化依赖于使用的软件，但典型的你可以指定依赖于数据包的源IP地址，目标IP地址，源端口号，目标端口号，或是数据包类型(UDP，TCP，ICMP等)的规则。
代理型服务器
代理型服务器是把普通系统守护程序(telnetd，ftpd等)用作特殊服务器的机器。这些服务器被叫做proxy servers。这个可以在你的防火墙主机上运行一个代理telnet服务器，人们可以从外部telnet进入你的防火墙，通过一些验证机制，然后获得访问内部网络的权利。
代理型服务器通常要比普通的服务器更安全，可以提供更广泛的验证机制，包括“one-shot”口令系统，所以即使有人设法寻找了你使用的口令，他们也不能使用它获得访问你的系统的权利，因为口令会立即失效。由于他们不能给用户访问主机的权利，所以它使得想要在的系统上安装后门变得困难得多。
代理型服务器有很多种限制访问的方法，所以只有某个主机获得了访问服务器的权利，他们才可以被设置，以至你可以限制哪个用户可以跟哪个机器交谈。另外，要使用哪个完全取决于你选择的代理软件哪个更强大。
10.7.2 IPFW允许你做些什么？
IPFW，由FreeBSD提供的软件，是一个位于内核中的数据包过滤和结算系统，有一个用户级的控制工具，ipfw。他们允许你定义和查询内核正在使用的规则。
IPFW有两个相关的部分。防火墙那节允许你执行数据包过滤。也有一个IP结算章节允许你追踪你的路由器的使用情况。这将允许你看到你的路由器从某个机器得到了多少的传输量，或有多少的WWW数据被转发。
IPIW的这样设计，你可以在没有路由的机器上，在输入与输出的连接之间，使用IPFW执行数据包过滤。这是IPFW一个比较特殊的用法，同样的命令和技术也可以在这样的情形下使用。
10.7.3在FreeBSD上启用IPFW
由于IPFW的主要部分被捆绑在内核中，你必须要在你的内核配置文件中添加一个或多个选项，这取决于你要使用哪个工具，然后重新编译内核。
与IPFW相关的有三种内核配置选项：
options IPFIREWALL
将数据包过滤编译进内核。
options IPFIREWALL_VERBOSE
通过syslogd启用代码来允许记录数据包的日志。没有这个选项，即使你指定了，数据包也不在过滤规则中被记录进日志。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有