系统运维linux和防火墙工具的使用

　　Linux和防火墙工具的使外部网络不能访内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置些必须公开的服务器设,如企业的cb务器、FTP服务器和论坛等。另一方面,通过这样一个DMz区域,更加有有效地保护了内部络。

　　因为这种网络部署比起一般的防火墙方案,对攻击者来说又多了一道关卡。针对不同资源深提供不同安全级别的保护,可以考虑构建一个DMZ区域,其中通常放置些不含机密信息的公用服务器。这样来自外网的访问者可以访问问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等。即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响,许多防火墙产晶都提供了DMZ的接口,硬件防火墙由于使用专门的硬件芯片,所以在性能和流量上有绝对的优势:软件防火墙的性价比非常好,一股企业使用起来效果不错。

　　如果使用Linux防火墙,其成本将更低Linux2.4内核Netfilter内建了3个表,其中默认表Filter中又包括3个规则链,分别是负责外界流入网络接口的数据过滤的INPUT链、负责对网络接口输出的数据进行过滤的OUTPUT,以及负责在网络接口之间转发数据过誌的FORWARD链。要构建一个带DMZ的防火墙,需要利用这些链的设定完成。首先要判断从连接外部网络的网卡(eth0)上流入的数据,在INPUT上完成如果数据的目标地址属于DMZ网段,就要将数据转发到连接DMZ网络的网卡(cthl)上:如果是内部网络的地址,就要将数据转发到连接内部网络的网卡(cth2)上。可以明确以下访问控制策略。

　　(1)内网可以访问外网。内网的用户显然需要自由地访问外网,在这一策略中防火墙需要进行源地址转换。

　　(2)内网可以访问DMZ。此策略是为了方便内网用户使用和管理DMZ中的服务器。

　　(3)外网不能访问内网。很显然,内网刚中存放的是公司内部数据,这些数据不允许外网的用户进行访问。

　　(4)外网可以访问DMZ。DMZ中的服务器本身要为外界提供服务,所以外网必须可以访月DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。

　　(5)DMZ不能访问内网。很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内刚的重要数据。

　　(6)DMZ不能访问外网。此策略也有例外,如DMZ中放置邮件服务器时需要访问外网,则将不能正常工作。保存规则使用脚本更改规则的问题是改动每个规则都要调用命令tables,它首先要把netfilter内核塑间中的整个规则集提取出来。然后插入或附加,或做其他改动。最后再把新的规则集从它的存空间插入到内核空间中,这显然会花费很多时间。为了解决这个问题,可以使用命令bles-saveWiptables-restore.iptables-save用来把规则集保存到一个特殊格式的文本文件中,mahles-restore则用来把这个文件重新装入到内核空间中。

　　小编结语：其实，这两个命令一次调用就可以装载规则集,而不像脚本中每个规则都要调用一次iptables.iptables-save运行一次就可以把则集从内核中提取出来,并保存到文件中,而iptables-restore每次装入一个规则表。