cnssLecture0x07_1.key

Size: px

Start display at page:

Download "cnssLecture0x07_1.key"

封葛
5 years ago
Views:

1 网络与系统安全第七章网络与系统防御第一节防火墙! 黄玮 1

2 温故网络与系统渗透无孔不入人应用程序网络设备主机 / 服务器操作系统物理设备掌握网络与系统渗透方法知己知彼, 百战不殆 2

3 知新防火墙在网络与系统防御中的作用和地位防火墙实现的关键技术防火墙实例及应用 3

4 本章内容提要防火墙发展简史防火墙关键技术原理防火墙的实现技术防火墙的配置和应用 4

5 本章内容提要防火墙发展简史防火墙关键技术原理防火墙的实现技术防火墙的配置和应用 4

6 防火墙概述防火墙的定义防火墙的发展简史设置防火墙的目的和功能防火墙的局限性防火墙技术发展的动态和趋势 5

7 防火墙定义什么是防火墙内部网络外部网络 6

8 防火墙定义什么是防火墙内部网络外部网络防火墙 : 在两个信任程度不同的网络之间设置的用于加强访问控制的软硬件保护措施 6

9 防火墙发展简史 (1/3) 动态包过滤一体化安全网关 UTM 包过滤代理自适应代理应用层防火墙电路层

10 防火墙发展简史 (2/3) 第一代防火墙采用了包过滤技术第二代第三代防火墙 1989 年, 推出了电路层防火墙和应用层防火墙的初步结构第四代防火墙 1992 年, 开发出了基于动态包过滤技术的第四代防火墙第五代防火墙 1998 年,NAI 公司推出一种自适应代理技术, 可以称之为第五代防火墙 8

11 防火墙发展简史 (3/3) 一体化安全网关 UTM 统一威胁管理整合防火墙入侵检测入侵保护防病毒防垃圾邮件等综合功能应用防火墙又可以称为 IPS: 入侵保护病毒防火墙 Web 防火墙 VoIP 防火墙 9

12 防火墙的目的和功能防火墙能够强化安全策略防火墙能够有效记录因特网上的活动防火墙限制暴露用户点防火墙是一个安全策略检查站 10

13 防火墙的局限性防外不防内管理和配置复杂度高配置不当易导致安全漏洞很难为用户在防火墙内外提供一致的安全策略粗粒度的访问控制应用层防火墙和 UTM 产生的需求驱动力 11

14 已有的防火墙产品开源产品 Endian ModSecurity SmoothWall pfsense iptables m0n0wall 商业产品 Juniper 华为思科联想网御神州! IPCop!!!!!!! 绿盟 Safe3 按吞吐能力百兆 / 千兆 / 万兆按并发处理能力少于 ~ 十万十万 ~ 五十万五十万以上按防护类型传统防火墙应用层防火墙防 DDoS 垃圾信息过滤 12

15 防火墙技术发展动态和趋势更强的性能可扩展的结构和功能缓存加速 / 统一认证接入 / 防 DDoS / 路由器简化的安装和管理积极适应持续变化的网络安全环境防病毒与防黑客反垃圾信息垃圾邮件 / 垃圾短信 / 垃圾电话等 13

16 本章内容提要防火墙发展简史防火墙关键技术原理防火墙的实现技术防火墙的配置和应用 14

17 本章内容提要防火墙发展简史防火墙关键技术原理防火墙的实现技术防火墙的配置和应用 14

18 防火墙关键技术网络防火墙包过滤技术状态检测技术代理服务技术应用防火墙见下一节入侵检测的技术原理 15

19 包过滤技术 (1/3) 应用层 TCP 层 IP 层链路层 16

20 包过滤技术 (1/3) 应用层检查 IP,TCP,UDP 包报头, 与过滤规则比较过滤前数据流量过滤前数据流量过滤前数据流量 TCP 层 IP 层链路层 16

21 包过滤技术 (1/3) 应用层检查 IP,TCP,UDP 包报头, 与过滤规则比较过滤前数据流量过滤前数据流量过滤前数据流量过滤后数据流量 TCP 层 IP 层链路层 16

22 包过滤技术 (2/3) 包过滤技术检查的数据包报头信息 IP 数据报的源 IP 地址目的 IP 地址协议类型, 选项字段等 TCP 数据包的源端口目标端口标志段等 UDP 数据包的源端口目标端口 ICMP 类型 17

23 包过滤技术 (3/3) 优点不需要内部网络用户做任何配置, 对用户来说是完全透明的过滤速度快, 效率高缺点不能进行数据内容级别的访问控制一些应用协议不适合用数据报过滤过滤规则的配置复杂, 容易产生冲突和漏洞 18

24 状态检测技术 (1/3) 应用层 TCP 层 IP 层链路层 19

25 状态检测技术 (1/3) FTP HTTP 状态 TCP UDP 状态 IP TCP UDP 包报头过滤前数据流量状态表应用层 TCP 层 IP 层链路层 19

26 状态检测技术 (1/3) FTP HTTP 状态 TCP UDP 状态 IP TCP UDP 包报头过滤前数据流量状态表过滤后的数据流量应用层 TCP 层 IP 层链路层 19

27 状态检测技术 (2/3) 过滤前数据包状态表是否在表中过滤后数据包通过包过滤通过未通过丢弃数据包 20

28 状态检测技术 (3/3) 优点状态表是动态建立的, 可以实现对一些复杂协议建立的临时端口进行有效的管理状态检测技术是为每一个会话连接建立维护其状态信息, 并利用这些状态信息对数据包进行过滤动态状态表是状态检测防火墙的核心, 利用其可以实现比包过滤防火墙更强的控制访问能力缺点没有对数据包内容进行检测, 不能进行数据内容级别的控制允许外部主机与内部主机直接连接, 容易遭受黑客攻击 21

29 应用级代理 (1/4) 应用层应用层应用层 TCP 层 TCP 层 TCP 层 IP 层 IP 层 IP 层链路层链路层链路层 22

30 应用级代理 (1/4) 应用层应用层应用层 TCP 层 TCP 层 TCP 层 IP 层 IP 层 IP 层链路层链路层链路层外部网络主机 22

31 应用级代理 (1/4) 应用层应用层应用层 TCP 层 TCP 层 TCP 层 IP 层 IP 层 IP 层链路层外部网络主机链路层应用代理型防火墙链路层 22

32 应用级代理 (1/4) 应用层应用层应用层 TCP 层 TCP 层 TCP 层 IP 层 IP 层 IP 层链路层链路层链路层外部网络主机应用代理型防火墙内部网络主机 22

33 应用级代理 (1/4) 应用层 TCP 层 IP 层过滤前数据流量应用层 TCP 层 IP 层应用层 TCP 层 IP 层链路层链路层链路层外部网络主机应用代理型防火墙内部网络主机 22

34 应用级代理 (1/4) 应用层 TCP 层 IP 层过滤前数据流量应用层 TCP 层 IP 层应用层 TCP 层 IP 层链路层链路层链路层外部网络主机应用代理型防火墙内部网络主机 22

35 应用级代理 (1/4) 应用层 TCP 层 IP 层过滤前数据流量应用层 TCP 层 IP 层过滤后数据流量应用层 TCP 层 IP 层链路层链路层链路层外部网络主机应用代理型防火墙内部网络主机 22

36 应用级代理 (2/4) 日志系统应用网关外部 Telnet 服务器 Telnet 代理认证系统内部 Telnet 服务器 23

37 应用级代理 (2/4) 日志系统应用网关外部 Telnet 服务器 Telnet 代理认证系统内部 Telnet 服务器一个 Telnet 例子 23

38 应用级代理 (3/4) 应用代理原理当接收到客户方发出的连接请求后, 应用代理检查客户的源和目的 IP 地址, 并依据事先设定的过滤规则决定是否允许该连接请求如果允许该连接请求, 进行客户身份识别否则, 则阻断该连接请求通过身份识别后, 应用代理建立该连接请求的连接, 并根据过滤规则传递和过滤该连接之间的通信数据当一方关闭连接后, 应用代理关闭对应的另一方连接, 并将这次的连接记录在日志内 24

39 应用级代理 (4/4) 优点内部网络的拓扑 IP 地址等被代理防火墙屏蔽, 能有效实现内外网络的隔离具有强鉴别和日志能力, 支持用户身份识别, 实现用户级的安全能进行数据内容的检查, 实现基于内容的过滤, 对通信进行严密的监控过滤规则比数据包过滤规则简单缺点代理服务的额外处理请求降低了过滤性能, 其过滤速度比包过滤器速度慢需要为每一种应用服务编写代理软件模块, 提供的服务数目有限对操作系统的依赖程度高, 容易因操作系统和应用软件的缺陷而受到攻击 25

40 本章内容提要防火墙发展简史防火墙关键技术原理防火墙的实现技术防火墙的配置和应用 26

41 本章内容提要防火墙发展简史防火墙关键技术原理防火墙的实现技术防火墙的配置和应用 26

42 软件技术!!! 以 Linux 操作系统上的 Netfilter/iptables 机制为例 27

43 Netfilter/iptables 框架简介 Netfilter/iptables 从 Linux 内核版本 2.4 开始, 默认被包含在内核源代码树中可以对操作系统的流入和流出数据报文进行控制防火墙 NAT 数据报文自定义修改 Netfilter 工作在系统内核层 iptables 工作在用户层 28

44 Netfilter 架构 (1/2) netfilter 是 linux 内核中一个强大的网络子系统 iptables 命令接口内核接口用户空间内核空间 TCP UDP iptables 内核模块网络层 netfilter 网络接口 29

45 Netfilter 架构 (1/2) netfilter 是 linux 内核中一个强大的网络子系统 iptables 命令接口内核接口用户空间内核空间 TCP UDP iptables 内核模块网络层 netfilter 网络接口 netfilter 位于 linux 网络层和防火墙内核之间 29

46 Netfilter 架构 (2/2) filter LOCAL_IN LOCAL_OUT FORWARD PRE_ROUTING Netfilter/iptables NAT mangle ALL HOOKS tables chains rules raw LOCAL_OUT LOCAL_IN POST_ROUTING PRE_ROUTING LOCAL_OUT LOCAL_IN POST_ROUTING 30

47 Netfilter/iptables 基本概念表 (tables) filter 表 nat 表 mangle 表 raw 表链 (chains) 数据包的传输路径, 每条链其实就是众多规则中的一个检查清单 Input Forward PreRouting PostRouting Output 规则 (rules) 网络管理员预定义的网络访问控制策略 31

48 iptables 中表的概念 (1/2) filter 表报文过滤只读过滤报文 nat 表实现 NAT 服务 mangle 表报文处理修改报文附加额外数据到报文 32

49 iptables 中表的概念 (2/2) raw 表可以对收到的报文在连接跟踪前进行处理只作用于 PreRouting 和 Output 链路由决策 mangle INPUT filter INPUT Local Process raw OUTPUT raw! PreRouting mangle PreRouting nat PreRouting 路由决策 mangle Forward 表的处理优先级 raw > mangle > nat > filter mangle OUTPUT nat OUTPUT 路由决策 mangle PostRouting filter Forward filter OUTPUT nat PostRouting 33

50 Netfilter 架构的数据流图 (1/2) netfilter 模块将防火墙功能引入 IP 层, 实现防火墙代码与 IP 协议栈代码完全分离上层协议栈数据包入站 PRE_ROUTING LOCAL_IN 输入包路由 FORWARD LOCAL_OUT 输出包路由 POST_ROUTIN G 数据包出站 34

51 Netfilter 架构的数据流图 (1/2) netfilter 模块将防火墙功能引入 IP 层, 实现防火墙代码与 IP 协议栈代码完全分离上层协议栈 5 个钩子函数数据包入站 PRE_ROUTING LOCAL_IN 输入包路由 FORWARD LOCAL_OUT 输出包路由 POST_ROUTIN G 数据包出站 34

52 Netfilter 架构的数据流图 (2/2) 对于 ipv4 协议来说,netfilter 在 IP 数据包处理流程中的 5 个关键位置定义了 5 个钩子函数若数据包是送给本机的, 则要经过钩子函数 LOCAL_IN 处理后传给本机上层协议若数据包应该被转发, 则它将被钩子函数 FORWARD 处理, 然后还要经过钩子函数 POST_ROUTING 处理后才能传输到网络本机进程产生的数据包要先经过钩子函数 LOCAL_OUT 处理后, 再进行路由选择处理, 然后经过钩子函数 POST_ROUTING 处理后再发送到网络 35

53 iptables 防火墙内核模块内核的防火墙模块正是通过把自己的函数注册到 netfilter 的钩子函数这种方式介入了对数据包的处理函数按功能分为 4 种连接跟踪数据包过滤网络地址转换 SNAT DNAT 对数据包进行修改 36

54 Netfilter/iptables 防火墙工作原理被丢弃 / 拒绝的报文防火墙入站报文转发报文 ACCEPT ACCEPT INPUT chain FORWARD! chain OUTPUT! chain ACCEPT 出站报文内部应用程序部署了 Netfilter/iptables 的操作系统 37

55 硬件技术通用 CPU 架构 ASIC 架构网络处理器架构 38

56 通用 CPU 架构又被称为 x86 架构采用通用 CPU 和 PCI 总线接口可编程性高更灵活更易扩展产品功能主要由软件实现代表产品大部分的开源 / 商业软件防火墙 ( 基于 *nix 系统 ) 39

57 ASIC 架构 Application Specific Integrated Circuit 专用集成电路一种带有逻辑处理的加速处理器把一些原先由 CPU 完成的经常性和重复工作交给 ASIC 芯片来负责完成交换机路由器智能 IC 卡通常配合通用 CPU 单元来完成复杂运算代表产品大部分国外的商业硬件防火墙 40

58 NP 架构 Network Processor 网络处理器通用 CPU 架构和 ASIC 架构的折衷开发难度性能灵活性 / 可扩展性代表产品大部分国内的商业硬件防火墙 41

59 三种硬件架构的横向比较架构类型 X86 NP ASIC 灵活性扩展性性能安全性价格低中等较高 42

60 本章内容提要防火墙发展简史防火墙关键技术原理防火墙的实现技术防火墙的配置和应用 43

61 本章内容提要防火墙发展简史防火墙关键技术原理防火墙的实现技术防火墙的配置和应用 43

62 典型网络部署模型路由模式透明模式混合模式 44

63 路由模式 DMZ DMZ: De Militarized Zone! LAN-1: DMZ! LAN-2: 内部网络 LAN-3: 防火墙配置专网 LAN-1 LAN-2 LAN-3 45

64 路由模式子网之间相互访问控制被隔离 DMZ DMZ: De Militarized Zone! LAN-1: DMZ! LAN-2: 内部网络 LAN-3: 防火墙配置专网 LAN-1 LAN-2 LAN-3 45

65 透明模式 LAN-1 LAN-1 LAN-1 46

66 透明模式只区分外部网络和内部网络 LAN-1 LAN-1 LAN-1 46

67 混合模式 DMZ DMZ: De Militarized Zone! LAN-1: DMZ! LAN-2: 内部网络 LAN-1 LAN-2 LAN-2 47

68 防火墙部署的其他细节 (1/2) 双机热备模式避免单点故障负载均衡模式性能扩展避免单点故障 LAN-2 48

69 防火墙部署的其他细节 (2/2) 防火墙在网络中的实际部署位置串行接入在网络设备之前骨干网路由器防火墙接入网核心交换机之后的防火墙串行接入在网络设备之后小型网络的接入防火墙内网的子网防火墙直接部署于应用服务器之上单机网络防火墙应用防火墙 49

70 单机防火墙配置 ufw ufw 简介 ufw 使用 iptables iptables 简介 iptables 使用 50

71 ufw 简介 ufw 是为了使 linux 防火墙更易于使用和管理 ufw 和其他 linux 类防火墙一样, 使用 iptable 作为后台安装 ufw sudo apt-get install ufw 通常 ufw 默认安装 51

72 ufw 使用 (1/3) 启用 ufw sudo ufw enable sudo ufw default deny 作用开启了防火墙并随系统启动同时关闭外部对主机的所有访问, 本机访问外部正常关闭 ufw sudo ufw disable 52

73 ufw 使用 (2/3) 查看防火墙状态 sudo ufw status 开启 / 禁用相应端口和服务举例允许外部访问 80 端口 sudo ufw allow 80 禁止外部访问 80 端口 sudo ufw delete 80 允许此 IP 访问所有的本机端口 sudo ufw allow from

74 ufw 使用 (3/3) 开启 / 禁用相应端口和服务举例 ( 续 ) 禁止外部访问 smtp 服务 sudo ufw deny smtp 拒绝所有的流量从 TCP 的 /8 到端口 22 的地址 ufw deny proto tcp from /8 to port 可以允许指定网段访问这个主机 sudo ufw allow from /8 54

75 iptables 命令格式 (1/3) iptables [-t 表 ] 命令匹配操作表选项, 指定命令应用于哪个内置表 (filter 表 nat 表 mangle 表 ) 命令选项命令 -P 或 --policy < 链名 > 定义默认策略 -L 或 --list < 链名 > 查看 iptables 规则列表说明 -A 或 append < 链名 > 在规则列表的最后增加 1 条规则 -I 或 --insert < 链名 > 在指定的位置插入 1 条规则 -D 或 --delete < 链名 > 从规则列表中删除 1 条规则 -R 或 --replace < 链名 > 替换规则列表中的某条规则 -F 或 --flush < 链名 > 删除表中所有规则 -Z 或 --zero < 链名 > 将表中数据包计数器和流量计数器归零 55

76 iptables 命令格式 (2/3) 匹配选项匹配 -i< 网络接口名 > 说明指定数据包从哪个网络接口进入, 如 ppp0 eth0 和 eth1 等 -o< 网络接口名 > 指定数据包从哪块网络接口输出, 如 ppp0 eth0 和 eth1 等 -p< 协议类型 > 指定数据包匹配的协议, 如 TCP UDP 和 ICMP 等 -s< 源地址或子网 > 指定数据包匹配的源地址 --sport < 源端口号 > -d< 目标地址或子网 > 指定数据包匹配的源端口号, 可以使用起始端口号 : 结束端口号的格式指定一个范围的端口指定数据包匹配的目标地址 --dport 目标端口号指定数据包匹配的目标端口号, 可以使用起始端口号 : 结束 56

77 iptables 命令格式 (3/3) 动作选项动作 ACCEPT DROP REDIRECT SNAT DNAT MASQUERADE LOG 接受数据包丢弃数据包说明将数据包重新转向到本机或另一台主机的某个端口, 通常用功能实现透明代理或对外开放内网某些服务源地址转换, 即改变数据包的源地址目标地址转换, 即改变数据包的目的地址 IP 伪装, 即是常说的 NAT 技术,MASQUERADE 只能用于 ADSL 等拨号上网的 IP 伪装, 也就是主机的 IP 是由 ISP 分配动态的 ; 如果主机的 IP 地址是静态固定的, 就要使用 SNAT 日志功能, 将符合规则的数据包的相关信息记录在日志中, 以便管理员的分析和排错 57

78 iptables 的使用 (1/3) 定义默认策略当数据包不属于链中任一规则时,iptables 将根据该链预先定义的默认策略处理数据包默认策略定义格式 iptables [-t 表名 ] <-P> < 链名 > < 动作 > 参数说明表名, 默认策略将应用于哪个表 -P, 定义默认策略链名, 默认策略应用于哪条链动作, 处理数据包的动作 58

79 iptables 的使用 (2/3) 查看 iptables 规则 iptables [-t 表名 ] <-L> [ 链名 ] [-t 表名 ], 查看哪个表的规则列表 -L, 查看指定表指定链的规则列表链名, 查看指定表中哪个链的规则链表增加插入删除替换规则 iptables [-t 表名 ] <A I D R> 链名 [ 规则编号 ] [i o 网卡名称 ] [-s 源 IP 地址 ] [-d 目标 IP 地址 ] <-j 动作 > 59

80 iptables 的使用 (3/3) 清除规则和计数器 iptables [-t 表名 ] <-F -Z> [-t 表名 ], 指定默认策略应用于哪个表 -F, 删除表中所有规则 -Z, 将指定表中的数据包计数器和流量计数器归零 60

81 iptables 配置实例传输层防护实例禁止其他主机 ssh 连接自己防止各种端口扫描禁止自己主机使用 FTP 协议下载禁用 DNS 接口网络层防护实例防止 ping 洪水攻击屏蔽一个 IP 数据链路层防护实例 61

82 传输层防护实例 (1/4) 禁止其它机器通过 ssh 连接自己 iptables -t filter -A INPUT -p tcp --dport 22 -j DROP 查看主机防火墙规则 iptables -t filter -L 62

83 传输层防护实例 (2/4) 防止各种端口扫描 iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT 参数解释 limit 1/s 表示每秒一次 ; 1/m 则为每分钟一次 63

84 传输层防护实例 (3/4) 禁止自己主机使用 FTP 协议下载 ( 即封闭 TCP 协议的 21 端口 ) iptables -I OUTPUT -p tcp --dprot 21 -j DROP 64

85 传输层防护实例 (4/4) 禁用主机的 DNS 端口 (DNS 为 UDP 协议, 使用 53 端口 ) iptables -I OUTPUT -p udp --dport 53 -j DROP 65

86 网络层防护实例防止 ping 洪水攻击 iptables -A FORWARD -p icmp --icmp-type echorequest -m limit --limit 1/s -j ACCEPT 说明限制 ping 的并发数, 每秒一次限制一个 ip 访问自己主机 iptables -A INPUT -s j DROP 说明限制了 ip 地址为主机对自己的访问 66

87 数据链路层防护实例阻断来自某个 mac 地址的数据包 iptables -A INPUT -m mac --mac-source 00:1e:ec:f0:ae:77 -j DROP 说明 : 阻断了 mac 地址为 00:1e:ec:f0:ae:77 对本机的连接查看本机 iptables 表 67

88 基于防火墙实现 NAT 什么是私有地址什么是 NAT NAT 的工作原理 68

89 私有地址私有地址 (private address) 属于非注册地址, 是专门为组织机构内部使用而划定的私有 IP 地址范围子网掩码 ~ ~ ~ ~

90 NAT NAT 是将一个地址域 ( 如专用 Intranet) 映射到另一个地址域 ( 如 internet) 的标准方法 NAT 可以将内部网络中的所有节点的地址转换成一个 IP 地址, 反之亦然可以应用到防火墙技术里, 把个别 IP 地址隐藏起来不被外部发现, 使外部无法直接访问内部网络设备 70

91 NAT 工作原理 (1/3) 静态网络地址转换 Internet NAT 服务器 NAT 映射表内部公有 IP 内部私有 IP

92 NAT 工作原理 (2/3) 动态网络地址转换 NAT 服务器 Internet NAT 映射表内部公有 IP 内部私有 IP

93 NAT 工作原理 (2/3) 动态网络地址转换 NAT 服务器 Internet 分配临时的外部 IP 地址 NAT 映射表内部公有 IP 内部私有 IP

94 NAT 工作原理 (3/3) 网络地址端口映射 NAT 服务器 Internet NAT 映射表内部公有 IP 内部私有 IP : : :

95 NAT 工作原理 (3/3) 网络地址端口映射 NAT 服务器 Internet 映射到同一 IP 地址不同端口 NAT 映射表内部公有 IP 内部私有 IP : : :

96 使用实例 (1/2) 源 NAT 更改所有来自 /24 的数据包的源 ip 地址为 iptables -t nat -A POSTROUTING -s /24 -i eth0 -jsnat to 注意, 系统在路由及过虑等处理直到数据包要被送出时才进行 SNAT 74

97 使用实例 (2/2) 目的 SNAT(DNAT) 更改所有来自 /24 的数据包的目的 ip 地址为 iptables -t nat -A PREROUTING -s /24 -i eth1 -jdnat--to 注意, 系统是先进行 DNAT, 然后才进行路由及过虑等操作 75

98 iptables 实现 NAT 综合实例 IP 映射情景主机 A Internet 内网接口 : 真实 ip: 真实 ip: 虚拟 ip: 外网接口 : 虚拟 ip: 主机 B 76

99 IP 映射原理将分配给主机 A B 的真实 IP 绑定到防火墙的外网接口 ifconfig eth0 add netmask ifconfig eth0 add netmask 对防火墙接收到的目的 ip 为和的所有数据包进行 DNAT iptables -A PREROUTING -i eth0 -d j DNAT-- to iptables -A PREROUTING -i eth0 -d j DNAT-- to

100 IP 映射原理对防火墙接收到的源 ip 地址为和的数据包进行 SNAT iptables -A POSTROUTING -o eth0 -s j SNAT--to iptables -A POSTROUTING -o eth0 -s j SNAT--to

101 防火墙规则调试查看概要统计数据 iptables -L -v!!!!! 日志法 -j LOG --log-prefix "DEBUG_IPT" -t raw -A PREROUTING -j TRACE -t raw -A OUTPUT -j TRACE syslog /var/log/kern.log 黑盒测试利用扫描器 79

102 防火墙规则安全审查静态分析工具防火墙规则的语义理解数据流图分析自动化规则树生成举例 ITVal( 见参考文献 ) 黑盒测试工具基于网络扫描器的 fuzz 测试 80

103 参考文献 Netfilter/iptables 官方文档 iptables 的相关概念和数据包的流程 Robert Marmorstein, Phil Kearns, A Tool for Automated iptables Firewall Analysis, 2005 USENIX Annual Technical Conference 81

104 课后思考题防火墙的典型网络部署方式有哪些防火墙能实现的和不能实现的防护各有哪些 82

nsLecture0x08.key

nsLecture0x08.key 络安全第章防墙黄玮 1 温故络与系统渗透孔不应用程序络设备主机 / 服务器操作系统物理设备掌握络与系统渗透法知知彼, 百战不殆 2 知新防墙在络与系统防御中的作用和地位防墙实现的关键技术防墙实例及应用 3 本章内容提要防墙发展简史防墙关键技术原理防墙的实现技术防墙的配置和应用 4 防墙概述防墙的定义防墙的发展简史设置防墙的目的和功能