发布时间 : 星期四 文章Linux防火墙应用及DDOS攻击的防范探讨论文更新完毕开始阅读31128a679e314332396893f0
目 录
摘要: .............................................................................................................................................. 6 引言: .............................................................................................................................................. 6 一. 应用Linux防火墙保障企业网络安全 ........................................................................... 8
1、框架简介 ............................................................................................................................. 8 2、安装和启动Netfilter/iptables系统 ........................................................................... 9 3、Iptables简单应用 .......................................................................................................... 10 4、应用实战1:使用Iptables保障网络服务安全 .......................................................... 12 5、应用实战2:使用Iptables完成NAT功能 .................................................................. 14 6、应用实战3:使用Iptables构建DMZ ........................................................................... 18 二. 如何应对分布式拒绝服务(DDOS)攻击 ................................................................................. 23
1.DDoS攻击原理 .................................................................................................................... 23 2.DDoS的检测方法 ................................................................................................................ 26 3.防范DDoS攻击 ................................................................................................................... 27 4.基于角色的防范 ................................................................................................................. 31 结论: ............................................................................................................................................ 34 参考资料: .................................................................................................................................... 34
摘要:
在网络科技发达的现代,各类网络攻击行为让企业的信息安全岌岌可危,黑客,蠕虫,arp欺骗等各种危及企业网络正常运作和通畅的威胁层出不穷。笔者通过在企业实习的机会,接触和了解了基于Linux系统的防火墙以及相关技术,本文就Linux自带防火墙的实际应用以及DDOS攻击的防范实战来作为防火墙技术上的探讨。
DDoS攻击难于防范,但是防范DDoS也不是绝对不可行的事情。本文从DDoS的原理入手,从网络管理员、ISP/ICP管理员和骨千网络运营商等不同角度详细说明如何检查和防范Linux下的DDoS攻击。
关键词:Linux Netfilter/Iptables DDOS攻击防范 引言:
1、什么是防火墙
所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
2、防火墙的类型和各个类型的特点及原理
防火墙的类型有个人防火墙、网络层防火墙、应用层防火墙。 2.1、个人防火墙
个人防火墙是防止您电脑中的信息被外部侵袭的一项技术,在您的系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的 free ZoneAlarm 等,都能帮助您对系统进行监控及管理,防止特洛伊木马、spy-ware 等病毒程序通过网络进入您的电脑或在您未知情况下向外部扩散。这些软件都能够独立运行于整个系统中或针对对个别程序、项目,所以在使用时十分方便及实用。
2.2、网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。 2.3、应用层防火墙
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。 3、目前防火墙中的最新技术及发展情况
因为传统的防火墙设置在网络边界,外于内、外部互联网之间,所以称为\边界防火墙(Perimeter Firewall)\。随着人们对网络安全防护要求的提高,边界防火墙明显感觉到力不从心,因为给网络带来安全威胁的不仅是外部网络,更多的是来自内部网络。但边界防火墙无法对内部网络实现有效地保护,除非对每一台主机都安装防火墙,这是不可能的。基于此,一种新型的防火墙技术,分布式防火墙(Distributed Firewalls)技术产生了。由于其优越的安全防护体系,符合未来的发展趋势,所以这一技术一出现便得到许多用户的认可和接受,它具有很好的发展前景。
分布式防火墙的特点:主机驻留、嵌入操作系统内核、类似于个人防火墙、适用于服务器托管。
分布式防火墙的功能:Internet访问控制、应用访问控制、网络状态监控、黑客攻击的防御、日志管理、系统工具。 分布式防火墙的优势:
(1)增强的系统安全性:增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略。
(2)提高了系统性能:消除了结构性瓶颈问题,提高了系统性能。
(3)系统的扩展性:分布式防火墙随系统扩充提供了安全防护无限扩充的能力。 (4)实施主机策略:对网络中的各节点可以起到更安全的防护。
(5)应用更为广泛,支持VPN通信。
一.应用Linux防火墙保障企业网络安全 1、框架简介
Netfilter/iptables可以对流入和流出的信息进行细化控制,且可以在一台低配置机器上很好地运行,被认为是Linux中实现包过滤功能的第四代应用程序。Netfilter/iptables包含在Linux 2.4以后的内核中,可以实现防火墙、NAT(网络地址翻译)和数据包的分割等功能。netfilter工作在内核内部,而iptables则是让用户定义规则集的表结构。Netfilter/iptables从ipchains和ipwadfm(IP防火墙管理)演化而来,功能更加强大。 如图1所示。netfilter主要提供了如下三项功能:
? 包过滤:filter表格不会对数据报进行修改,而只对数据报进行过滤。iptables优于ipchains的一个方面就是它更为小巧和快速。
? NAT:NAT表格监听三个netfilter钩子函数:NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING及NF_IP_LOCAL_OUT。NF_IP_PRE_ROUTING实现对需要转发数据报的源地址进行地址转换,而NF_IP_POST_ROUTING则对需要转发的数据报目的地址进行地址转换。对于本地数据报目的地址的转换,则由NF_IP_LOCAL_OUT来实现。
? 数据报处理:mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT钩子中进行注册。使用mangle表,可以实现对数据报的修改或给数据报附上一些外带数据。当前mangle表支持修改TOS位及设置skb的nfmard字段。