09 防火牆與 NAT 伺服器.

Slides:



Advertisements
Similar presentations
ChinaUNIX 技术沙龙 iptables 基础及模块高级应用 marsaber 西安.
Advertisements

指導老師:溫翔安 組員:溫允中4970E011 李雅俐4970E025 蕭積遠4970E026 陳欣暉4970E086
华特汽车配件有限公司网络改造解决方案 班级:网络技术-1101 答辩人:丁奇志 指导老师:欧阳炜昊.
LED CUBE 預期規劃.
08 CSS 基本語法 8-1 CSS 的演進 8-2 CSS 樣式規則與選擇器 8-3 連結HTML 文件與CSS 樣式表
校園網路管理實電務 電子計算機中心 謝進利.
Netman Linux 的防火牆設計與應用 Netman
海信FW3010PF防火墙介绍 北京海信数码科技有限公司
無線寬頻分享器設定範例 銜接硬體線路 推斷無線基地台的IP 設定無線基地台 相關觀念解釋.
IP Address A 黃明陽 指導教授:梁明章教授.
Mobile IP Mar.14,’03 B 黃品甄 B 范哲瑋.
Hadoop 單機設定與啟動 step 1. 設定登入免密碼 step 2. 安裝java step 3. 下載安裝Hadoop
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
文档维护者:白金(platinum)、陈绪(bjchenxu)
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
Transparent proxy 班級:資傳四A 組員:林佳辰 陳星宇 邱鈺翔
TCP協定 (傳輸層).
第 6 章 通訊協定 UDP.
第一篇 Unix/Linux 操作介面 第 1 章 Unix/Linux 系統概論 第 2 章 開始使用 Unix/Linux
網路服務 家庭和小型企業網路 – 第六章.
NetFilter IPTables.
第二章 Linux基本指令與工具操作 LINUX 按圖施工手冊.
Wireless and Mobile Multimedia Networks
HiNet 光世代非固定制 用戶端IPv6設定方式說明
在NS-2上模擬多個FTP連線,觀察頻寬的變化
第 2 章 TCP / IP 簡介.
家用網路所遇到的問題 與解決方案 演講者:徐子浩 指導老師:梁明章 老師.
SQL Stored Procedure SQL 預存程序.
CHT IPv6測試 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name:
Echo Server/Client Speaker:Fang.
TCP/IP介紹 講師:陳育良 2018/12/28.
網路安全管理 期末報告 分散式阻斷服務攻擊 - DDoS 指導教授:梁明章 教授 學生:陳皓昕 A
無線路由器(AP)管理.
Access Control List (存取控制表)
國際資訊安全標準ISO 27001之網路架構設計 –以國網中心為例探討風險管理
指導教授:【李博明】老師 組員: 4A13A017 紀家郁 4A 邱建傑 4A 白智仁 4A 簡宗胤
NetST®防火墙培训教程 清华得实® 保留所有权利.
FTP檔案上傳下載 實務與運用.
IP, Port, Router and Port forward
DHCP for W2K.
電腦攻擊與防禦 使用電腦教室VMware軟體說明.
Linux防火牆與NAT架設 2013/02/03.
網路安全技術期末報告 Proxy Server
網路安全技術 OSI七層 學生:A 郭瀝婷 指導教授:梁明章.
Topic Introduction—RMI
Linux作業系統 電腦教室Linux使用說明.
3-page Introduction of Firewall, NAT, and VPN
Firewall-pfsense Mars Su
網頁資料知多少? 事 實 ? 謠言?.
WinPXE 無硬碟系統 6.0 安裝說明 憶傑科技股份有限公司
單元三 資訊安全與保護 Learning Lab.
指導老師:溫翔安 組員:溫允中4970E011 李雅俐4970E025 蕭積遠4970E026 陳欣暉4970E086
探測工具:NetCat.
FTP使用教學 簡介: 軟體名稱:FileZilla 軟體性質:Freeware 版本: 繁體中文版
MiRanda Java Interface v1.0的使用方法
指導老師:蔡德明 組員:李承鴻、林啟哲、李平、徐啟閎
編輯網頁可用那些應用程式? 記事本 Word FrontPage Dreamweaver.
基本指令.
IP Layer Basics, Firewall, VPN, and NAT
Chapter 15 檔案存取 LabVIEW中的檔案存取函數也可將程式中的資料儲存成Excel或Word檔。只要將欲存取的檔案路徑位址透過LabVIEW中的路徑元件告訴檔案存取函數後,LabVIEW便可將資料存成Excel或Word檔;當然也可以將Excel或Word檔的資料讀入LabVIEW的程式中。
Cloud Operating System - Unit 03: 雲端平台建構實驗
國立台灣大學 關懷弱勢族群電腦課程 By 資訊工程 黃振修
第四章 通訊與網路管理 授課老師:褚麗絹.
Parasitics Extraction (PEX) 與 postsimulation(posim)
網路安全管理個人報告 封包偽裝攻擊 A 魏兆言 2007/11/30.
ARP攻擊 A 吳峻誠.
多國語系 建國科技大學 資管系 饒瑞佶.
網路安全技術期末報告 ICMP協定 學生 : A 黃昱儒.
Department of Computer Information Science, NCTU
CHT IPv6測試 D-Link Taiwan 友訊科技台灣分公司 TTSS 電信技術支援課 Name:
Presentation transcript:

09 防火牆與 NAT 伺服器

認識防火牆 網路安全除了隨時注意相關軟體的漏洞以及網路上的安全通報之 外,你最好能夠依據自己的環境來訂定防火牆機制!這樣對於你 的網路環境,會比較有保障一點喔!那麼什麼是防火牆呢?其實 防火牆就是透過訂定一些有順序的規則,並管制進入到我們網域 內的主機 (或者可以說是網域) 資料封包的一種機制!更廣義的來 說,只要能夠分析與過濾進出我們管理之網域的封包資料,就可 以稱為防火牆。 P.9-2 請參閱書籍

為何需要防火牆 仔細分析第七章的圖 7.1-1 可以發現,封包進入本機時,會通過 防火牆、伺服器軟體程序、SELinux 與檔案系統等。所以基本上, 如果你的系統 (1)已經關閉不需要而且危險的服務; (2)已經將整個 系統的所有軟體都保持在最新的狀態; (3)權限設定妥當且定時進 行備份工作; (4)已經教育使用者具有良好的網路、系統操作習慣。 那麼你的系統實際上已經頗為安全了!要不要架設防火牆?那就 見仁見智囉! P.9-3 請參閱書籍

所以鳥哥認為,防火牆最重要的任務就是在規劃出: 切割被信任(如子網域)與不被信任(如 Internet)的網段; 所以囉,防火牆能作什麼呢?防火牆最大的功能就是幫助你『限 制某些服務的存取來源』!舉例來說:(1)你可以限制檔案傳輸服 務 (FTP) 只在子網域內的主機才能夠使用,而不對整個 Internet 開放; (2)你可以限制整部 Linux 主機僅可以接受客戶端的 WWW 要求,其他的服務都關閉; (3)你還可以限制整部主機僅能主動對 外連線。反過來說,若有用戶端對我們主機發送主動連線的封包 狀態 (TCP 封包的 SYN flag) 就予以抵擋等等。這些就是最主要的 防火牆功能了! 所以鳥哥認為,防火牆最重要的任務就是在規劃出: 切割被信任(如子網域)與不被信任(如 Internet)的網段; 劃分出可提供 Internet 的服務與必須受保護的服務; 分析出可接受與不可接受的封包狀態; P.9-3 請參閱書籍

Linux 系統上防火牆的主要類別 Netfilter (封包過濾機制) TCP Wrappers (程式控管) Proxy (代理伺服器) 請參閱書籍

防火牆的一般網路佈線示意 單一網域,僅有一個路由器 因為內外網域已經分開,所以安全維護在內部可以開放的權 限較大! „安全機制的設定可以針對 Linux 防火牆主機來維護即可! 對外只看的到 Linux 防火牆主機,所以對於內部可以達到有 效的安全防護! P.9-5~6 請參閱書籍

內部網路包含安全性更高的子網路,需內部防火牆切開子網路: P.9-6~7 請參閱書籍

在防火牆的後面架設網路伺服器主機 P.9-7~8 請參閱書籍

防火牆的使用限制 可以進行的分析工作主要有: 拒絕讓 Internet 的封包進入主機的某些埠口 拒絕讓某些來源 IP 的封包進入 拒絕讓帶有某些特殊旗標 (flag) 的封包進入 分析硬體位址 (MAC) 來決定連線與否 某些情況下,他並不能保證我們的網路一定就很安全。 舉幾個例 子來談一談: „防火牆並不能很有效的抵擋病毒或木馬程式 防火牆對於來自內部 LAN 的攻擊較無承受力 P.9-8~9 請參閱書籍

Linux 的封包過濾軟體:iptables 封包進入流程: 規則順序的重要性! 舉個簡單的例子,假設我預 先定義 10 條防火牆規則好了, 那麼當 Internet 來了一個封 包想要進入我的主機,那麼 防火牆是如何分析這個封包 的呢?我們以底下的圖示來 說明好了: P.9-13~14 請參閱書籍

當一個網路封包要進入到主機之前,會先經由 NetFilter 進行檢查, 那就是 iptables 的規則了。 檢查通過則接受 (ACCEPT) 進入本 機取得資源,如果檢查不通過,則可能予以丟棄 (DROP) !上圖中 主要的目的在告知你:『規則是有順序的』!例如當網路封包進 入 Rule 1 的比對時,如果比對結果符合 Rule 1 ,此時這個網路封 包就會進行 Action 1 的動作,而不會理會後續的 Rule 2, Rule 3.... 等規則的分析了。 P.9-14 請參閱書籍

iptables 的表格 (table) 與鏈 (chain) 請參閱書籍

filter (過濾器):主要跟進入 Linux 本機的封包有關,這個是 預設的 table 喔! INPUT:主要與想要進入我們 Linux 本機的封包有關; OUTPUT:主要與我們 Linux 本機所要送出的封包有關; FORWARD:這個咚咚與 Linux 本機比較沒有關係,他可以『轉 遞封包』到後端的電腦中,與下列 nat table 相關性較高。 nat (位址轉換):是 Network Address Translation 的縮寫, 這個表格主要在進行來源與目的之 IP 或 port 的轉換,與 Linux 本機較無關,主要與 Linux 主機後的區域網路內電腦 較有相關。 PREROUTING:在進行路由判斷之前所要進行的規則 (DNAT/REDIRECT) POSTROUTING:在進行路由判斷之後所要進行的規則 (SNAT/MASQUERADE) „ OUTPUT:與發送出去的封包有關 P.9-16~17 請參閱書籍

mangle (破壞者):這個表格主要是與特殊的封包的路由旗 標有關,早期僅有 PREROUTING 及 OUTPUT 鏈,不過從 kernel 2.4.18 之後加入了 INPUT 及 FORWARD 鏈。 由於 這個表格與特殊旗標相關性較高,所以像咱們這種單純的環 境當中,較少使用 mangle 這個表格。 P.9-17 請參閱書籍

P.9-17 請參閱書籍

由於 mangle 這個表格很少被使用,如果將圖 9.3-3 的 mangle 拿掉的話,那就容易看的多了: P.9-18 請參閱書籍

本機的 iptables 語法 9.3.4-1 規則的觀察與清除 P.9-19~21 請參閱書籍

一般來說,我們在重新定義防火牆的時候,都會先將規則給他清 除掉。還記得我們前面談到的,防火牆的『規則順序』是有特殊 意義的,所以囉,當然先清除掉規則,然後一條一條來設定會比 較容易一點啦。底下就來談談定義預設政策吧! P.9-22 請參閱書籍

9.3.4-2 定義預設政策 (policy) P.9-22~23 請參閱書籍

9.3.4-3 封包的基礎比對:IP, 網域及介面裝置 P.9-23~24 請參閱書籍

P.9-24~25 請參閱書籍

9.3.4-4 TCP, UDP 的規則比對:針對埠口設定 P.9-25~26 請參閱書籍

瞧!你可以利用 UDP 與 TCP 協定所擁有的埠口號碼來進行某些服 務的開放或關閉喔!你還可以綜合處理呢!例如:只要來自 192. 168 瞧!你可以利用 UDP 與 TCP 協定所擁有的埠口號碼來進行某些服 務的開放或關閉喔!你還可以綜合處理呢!例如:只要來自 192.168.1.0/24 的 1024:65535 埠口的封包,且想要連線到本機 的 ssh port 就予以抵擋,可以這樣做: P.9-26 請參閱書籍

9.3.4-5 iptables 外掛模組:mac 與 state 請參閱書籍

9.3.4-6 ICMP 封包規則的比對:針對是否回應 ping 來設計 請參閱書籍

9.3.4-7 超陽春用戶端防火牆設計與防火牆規則儲存 規則歸零 預設政策 信任本機 回應封包 信任用戶 P.9-29 請參閱書籍

P.9-29 請參閱書籍

單機防火牆的一個實例 規則草擬 外部網路使用 eth0 (如果是撥接,有可能是 ppp0,請針對你 的環境來設定); 內部網路使用 eth1 ,且內部使用 192.168.100.0/24 這個 Class ; „主機預設開放的服務有 WWW, SSH, https 等等; P.9-33 請參閱書籍

OUTPUT 及 FORWARD 為 ACCEPT INPUT 為 DROP OUTPUT 及 FORWARD 為 ACCEPT 鳥哥底下預計提供的 防火牆流程是這樣的: P.9-34 請參閱書籍

實際設定 iptables.rule:設定最基本的規則,包括清除防火牆規則、 載入模組、設定服務可接受等; iptables.deny:設定抵擋某些惡意主機的進入; iptables.allow:設定允許某些自訂的後門來源主機! P.9-35 請參閱書籍

P.9-35~36 請參閱書籍

P.9-36 請參閱書籍

P.9-36~37 請參閱書籍

P.9-37 請參閱書籍

P.9-37~38 請參閱書籍

P.9-38 請參閱書籍

NAT 伺服器的設定 NAT 的全名是 Network Address Translation,字面上的意思是 『網路位址的轉換』。由字面上的意思我們來想一想,TCP/IP 的 網路封包不是有 IP 位址嗎?那 IP 位址不是有來源與目的嗎?我們 的 iptables 指令就能夠修改 IP 封包的表頭資料,嘿嘿!連目標或 來源的 IP 位址都可以修改呢!甚至連 TCP 封包表頭的 port number 也能修改!真是有趣! P.9-39 請參閱書籍

什麼是 NAT? SNAT? DNAT? 先經過 NAT table 的 PREROUTING 鏈; 經由路由判斷確定這個封包是要進入本機與否,若不進入本機, 則下一步; 再經過 Filter table 的 FORWARD 鏈; 通過 NAT table 的 POSTROUTING 鏈,最後傳送出去。 NAT 伺服器的重點就在於上面流程的第 1,4 步驟,也就是 NAT table 的兩條重要的鏈:PREROUTING 與 POSTROUTING。 那這 兩條鏈有什麼重要的功能呢?重點在於修改 IP 嘛!但是這兩條鏈 修改的 IP 是不一樣的!POSTROUTING 在修改來源 IP , PREROUTING 則在修改目標 IP 。 由於修改的 IP 不一樣,所以就 稱為來源 NAT (Source NAT, SNAT) 及目標 NAT (Destination NAT, DNAT)。我們先來談一談 IP 分享器功能的 SNAT 吧! P.9-39~40 請參閱書籍

來源 NAT, SNAT:修改封包表頭的『來源』項目 P.9-40 請參閱書籍

用戶端所發出的封包表頭中,來源會是 192.168.1.100 ,然後 傳送到 NAT 這部主機; NAT 這部主機的內部介面 (192.168.1.2) 接收到這個封包後, 會主動分析表頭資料,因為表頭資料顯示目的並非 Linux 本機, 所以開始經過路由,將此封包轉到可以連接到 Internet 的 Public IP 處; 由於 private IP 與 public IP 不能互通,所以 Linux 主機透過 iptables 的 NAT table 內的 Postrouting 鏈將封包表頭的來源 偽裝成為 Linux 的 Public IP ,並且將兩個不同來源 (192.168.1.100 及 public IP) 的封包對應寫入暫存記憶體當中, 然後將此封包傳送出去了; P.9-40 請參閱書籍

P.9-41 請參閱書籍

在 Internet 上面的主機接到這個封包時,會將回應資料傳送 給那個 Public IP 的主機; 當 Linux NAT 伺服器收到來自 Internet 的回應封包後,會分 析該封包的序號,並比對剛剛記錄到記憶體當中的資料,由於 發現該封包為後端主機之前傳送出去的,因此 在 NAT Prerouting 鏈 中 , 會 將 目 標 IP 修 改 成 為 後 端 主 機 , 亦 即 那 部 192.168.1.100,然後發現目標已經不是本機 (public IP),所以開始透過路由分析封包流向; 封包會傳送到 192.168.1.2 這個內部介面,然後再傳送到最終 目標 192.168.1.100 機器上去! P.9-41 請參閱書籍

目標 NAT, DNAT:修改封包表頭的『目標』項目 P.9-42 請參閱書籍

外部主機想要連接到目的端的 WWW 服務,則必須要連接到 我們的 NAT 伺服器上頭; 我們的 NAT 伺服器已經設定好要分析出 port 80 的封包,所以 當 NAT 伺服器接到這個封包後,會將目標 IP 由 public IP 改成 192.168.1.210 ,且將該封包相關資訊記錄下來,等待內部伺 服器的回應; 上述的封包在經過路由後,來到 private 介面處,然後透過內 部的 LAN 傳送到 192.168.1.210 上頭! 192.186.1.210 會回應資料給 61.xx.xx.xx ,這個回應當然會傳 送到 192.168.1.2 上頭去; 經過路由判斷後,來到 NAT Postrouting 的鏈,然後透過剛剛 第二步驟的記錄,將來源 IP 由 192.168.1.210 改為 public IP 後,就可以傳送出去了! P.9-42 請參閱書籍

最陽春 NAT 伺服器:IP 分享功能 P.9-43 請參閱書籍

在防火牆後端之網路伺服器 DNAT 設定 立刻實作 假設內網有部主機 IP 為 192.168.100.10 ,該主機是可對 Internet 開放的 WWW 伺服器。你該如何透過 NAT 機制,將 WWW 封包傳到該主機上? 答:假設 public IP 所在的介面為 eth0 ,那麼你的規則就是: P.9-45 請參閱書籍