9.6 重点回顾
- 要拥有一部安全的主机,必须要有良好的主机权限设定;随时的更新套件;定期的重要数据备份;完善的员工教育训练。 仅有防火墙是不足够的;
- 防火墙最大的功能就是帮助你『限制某些服务的存取来源』,可以管制来源与目标的 IP ;
- 防火墙依据封包抵挡的阶层,可以分为 Proxy 以及 IP Filter (封包过滤) 两种类型;
- 在防火墙内,但不在 LAN 内的服务器所在网域,通常被称为 DMZ (非军事区),如图 9.1-4所示;
- 封包过滤机制的防火墙,通常至少可以分析 IP, port, flag (如 TCP 封包的 SYN), MAC 等等;
- 防火墙对于病毒的抵挡并不敏感;
- 防火墙对于来自内部的网络误用或滥用的抵挡性可能较不足;
- 并不是架设防火墙之后,系统就一定很安全!还是需要更新套件漏洞以及管制使用者及权限设定等;
- 核心 2.4 以后的 Linux 使用 iptables 作为防火墙的软件;
- 防火墙的订定与『规则顺序』有很大的关系;若规则顺序错误,可能会导致防火墙的失效;
- iptables 的预设 table 共有三个,分别是 filter, nat 及 mangle ,惯用者为 filter (本机) 与 nat (后端主机)。
- filter table 主要为针对本机的防火墙设定,依据封包流向又分为 INPUT, OUTPUT, FORWARD 三条链;
- nat table 主要针对防火墙的后端主机,依据封包流向又分为 PREROUTING, OUTPUT, POSTROUTING 三条链, 其中 PREROUTING 与 DNAT 有关, POSTROUTING 则与 SNAT 有关;
- iptables 的防火墙为规则比对,但所有规则都不符合时,则以预设政策 (policy) 作为封包的行为依据;
- iptables 的指令列当中,可以下达的参数相当的多,当下达 -j LOG 的参数时,则该封包的流程会被纪录到 /var/log/messages 当中;
- 防火墙可以多重设定,例如虽然已经设定了 iptables ,但是仍然可以持续设定 TCP Wrappers ,因为谁也不晓得什么时候 iptables 会有漏洞~或者是规则规划不良!