ch10 firewall(2013 ncu-nos_nm)
TRANSCRIPT
Firewall
CSIE 基爾 @ NCU網路開源社
Updated: 12232013
課程
•相關學分:OS、Security
•等級:中
•背景知識:FreeBSD基本操作、網路概念
•課程目標:• 了解軟硬體防火牆的不同
• 實作防火牆腳本
Firewall定義
定義
•用來控制網路存取
•通常具備多張網卡,能夠集中管理
•全部拒絕,除了允許條件的之外。
分類
•硬體防火牆:Packet filtering firewalls
•軟體防火牆:Application layer firewalls (proxy firewalls)
• Hybrids
Comment
• 硬體防火牆是簡單的、軟體防火牆是複雜的。• 除非你是網管,不然你不會有機會碰硬體防火牆。• 因為軟體要模擬硬體,所以很難學,設定很複雜。
硬體防火牆 - Internet Accessible Systems
硬體防火牆 - Single Firewall
硬體防火牆 - Dual Firewalls
軟體防火牆 (又叫做personal firewall)
terminate
類似proxy的概念,單NIC模擬多NIC還需要支援NAT
知名的防火牆
• ipfw
• ufw
• iptables
•各家防毒軟體
• windows內建
Limitations of Firewalls
•無法防止內賊
•無法對繞過防火牆的封包進行過濾或管制
•無法阻擋“合法掩護非法”的攻擊 ex.VPN
• Palo Alto Networks:http://youtu.be/pBz2LNfthAg• 0:58~1:28
parameter
規則構成如下
• Number –第幾條規則
• Src IP –來自何方
• Dst IP –送往何方
• Port –服務的埠號
• Protocol –網路層協定
• Action –行動
• Other
Example 軟或硬都差不多
Setting
守則
• first match algorithm
• The most specific rules to be placed at the top of the rule set.
• The least specific rules to be placed at the bottom of the rule set.
rc.conf設定檔
• firewall_enable="YES"
• firewall_logging="YES"
• firewall_script="/etc/ipfw.rules“
• Monitoring IPFW Logs
rc.firewall設定檔
•個人電腦軟體防火牆越來越多,正常情況已經不需要改此檔案。
• (特殊需求ex. 限定頻寬)
CMD RULE_
NUMBER
ACTION LOGGING SELECTION STATEFUL
ipfw -q add [00001-
65535]allow
accept
pass
permit
check-state
deny
drop
[log] @Next page check-state
Rule Syntax
ipfw.rules腳本 –規則參數
udp | tcp | icmp –哪種協定?
from src to dst –從哪到哪?
port number –哪個服務?
in | out –出去還是近來?
via IF –哪張網卡?
setup –識別 session
keep-state –動態規則
limit –限制連線數目
uid –誰?
官方example
讀取腳本 –其實就是跑完全部指令
$ sh /etc/ipfw.rules
觀看指令
$ ipfw –a list
iptables example
さようなら~☆