資應五甲 Linux 期末筆記

第九章、重點整理與本章習題

重點回顧

http://linux.vbird.org/linux_server/0250simple_firewall.php#hint

要擁有一部安全的主機，必須要有良好的主機權限設定；隨時的更新套件；定期的重要資料備份；完善的員工教育訓練。僅有防火牆是不足夠的；
防火牆最大的功能就是幫助你『限制某些服務的存取來源』，可以管制來源與目標的 IP ；
防火牆依據封包抵擋的階層，可以分為 Proxy 以及 IP Filter (封包過濾) 兩種類型；
在防火牆內，不在 LAN 內的伺服器所在網域，通常被稱為 DMZ (非軍事區)，如圖 9.1-4所示；
封包過濾機制的防火牆，通常至少可以分析 IP, port, flag (如 TCP 封包的 SYN), MAC 等等；
防火牆對於病毒的抵擋並不敏感；
防火牆對於來自內部的網路誤用或濫用的抵擋性可能較不足；
並不是架設防火牆之後，系統就一定很安全！還是需要更新套件漏洞以及管制使用者及權限設定等；
核心 2.4 以後的 Linux 使用 iptables 作為防火牆的軟體；
防火牆的訂定與『規則順序』有很大的關係；若規則順序錯誤，可能會導致防火牆的失效；
iptables 的預設 table 共有三個，分別是 filter, nat 及 mangle ，慣用者為 filter (本機) 與 nat (後端主機)。
filter table 主要為針對本機的防火牆設定，依據封包流向又分為 INPUT, OUTPUT, FORWARD 三條鏈；
nat table 主要針對防火牆的後端主機，依據封包流向又分為 PREROUTING, OUTPUT, POSTROUTING 三條鏈，其中 PREROUTING 與 DNAT(目標NAT) 有關， POSTROUTING 則與 SNAT(來源NAT) 有關；
iptables 的防火牆為規則比對，但所有規則都不符合時，則以預設政策(policy)作為封包的行為依據；
iptables 的指令列當中，可以下達的參數相當的多，當下達 -j LOG 的參數時，則該封包的流程會被紀錄到 /var/log/messages 當中；
防火牆可以多重設定，例如雖然已經設定了 iptables ，但是仍然可以持續設定 TCP Wrappers ，因為誰也不曉得什麼時候 iptables 會有漏洞，或者是規則規劃不良！

圖 9.1-4：
9-1-14

本章習題

http://linux.vbird.org/linux_server/0250simple_firewall.php#ex