《网络安全》实验指导书
Li
ux系统iptables防火墙
一、实验目的
1、熟悉和掌握TCPIP协议的基础概念和方法；2、掌握防火墙的概念、功能分类及实现方法；3、掌握Li
ux系统防火墙和iptables防火墙的配置方法。
二、实验原理
1、防火墙的任务防火墙在实施安全的过程中是至关重要的。一个防火墙策略要符合四个目标，而每个目标通常都不是一个单独的设备或软件来实现的。大多数情况下防火墙的组件放在一起使用以满足公司安全目的需求。防火墙要能满足以下四个目标：1实现一个公司的安全策略防火墙的主要意图是强制执行你的安全策略，比如你的安全策略需要对MAIL服务器的SMTP流量做限制，那么你要在防火墙上强制这些策略。2创建一个阻塞点防火墙在一个公司的私有网络和分网间建立一个检查点。这种实现要求所有的流量都要经过这个检查点。一旦检查点被建立，防火墙就可以监视，过滤和检查所有进出的流量。网络安全中称为阻塞点。通过强制所有进出的流量都通过这些检查点，管理员可以集中在较少的地方来实现安全目的。3记录i
ter
et活动防火墙还能强制记录日志，并且提供警报功能。通过在防火墙上实现日志服务，管理员可以监视所有从外部网或互联网的访问。好的日志是适当网络安全的有效工具之一。4限制网络暴露防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了内部系统的一些信息以增加保密性。当远程节点侦测你的网络时，他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。防火墙提高认证功能和对网络加密来限制网络信息的暴露。通过对所能进入的流量进行检查，以限制从外部发动的攻击。
2、iptables及其命令格式iptables是Li
ux24X的内核防火墙，其工作原理为对经过网络模块的数据包的处理，各数据包按流经位置进入相应的规则链，iptables逐条对比链内的规则，如果满足条件，则进行相应的动作。其配置文件为etcsysco
figiptables。命令格式：iptables指令规则链条件动作
iptables指令（对规则链的操作）Achai
appe
d添加到规则链中Dchai
delete从规则链中删除匹配的规则
fLchai
list列出在一条链或所有链上的规则li
e
umbersFchai
flush清除一条链或所有链上的规则Pchai
targetpolicy把一个规则链上的策略改变为目标iptables内置有三个表filter、
at、ma
gle，缺省为filter表，可使用t参数来选择操作的表，用户可自定义表iptables规则链（chai
）
进来的数据包
路由
FORWARD
发出的数据包
INPUT
OUTPUT
本机
Iptablesr