linux防火墙具备哪些特点
发布网友
发布时间:2022-03-04 04:48
共1个回答
热心网友
时间:2022-03-04 06:17
基于TCP/IP协议簇的lntemet网际互联完全依赖于网络层以上的协议栈(网络层的IP协议、传输控制协议TCP/UDP协议和应用层协议)“考虑到网络防火墙是为了保持网络连通性而设立的安全机制,因此防火墙技术就是通过分析、控制网络以上层协议特征,实现被保护网络所需安全略的技术。
构建防火墙有三类基本模型:应用代理网关、电路级网关(CircuitLevelGateway)和网络层防火墙。它们涉及的技术有应用代理技术和包过滤技术等,Linux为增加系统安全性提供了防火墙保护。
防火墙存在于计算机系统和网络之用来判定网络中的远程用户有权访问计算机上的哪些资源。一个正确配置的防火墙可以极大地增加系统安全性。防火墙作为网络安全措施中的一个重要组成部分,一直受到人们的普遍关注。Linux是这几年一款异军突起的操作系统,以其公开的源代码、强大稳定的网络功能和大量的免费资源受到业界的普遍赞扬。
Linux防火墙其实是操作系统本身所自带的一个功能模块。对数据包进行过滤可以说是任何防火墙所具各的最基本的功能,而Ltnux防火墙本身从某个角度也可以说是一种“包过滤防火墙”。在Linux防火墙中,操作系统内核对到来的每一个数据包进行检查,从它们的包头中提取出所需要的信息,如源IP地址、目的IP地址、源端口号、目的端口号等,再与己建立的防火规则逐条进行比较,并执行所匹配规则的策略,或执行默认策略。
值得注意的是,在制定防火墙过滤规则时通常有两个基本的策略方法可供选择:一个是默认允许一切,即在接受所有数据包的基础上明确地禁止那些特殊的、不希望收到的数据包:还有一个策略就是默认禁止一切,即首先禁止所有的数据包通过,然后再根据所希望提供的服务去一项项允许需要的数据包通过。
一般来说.前者使启动和运行防火墙变得更加容易,但更容易为自己留下安全隐患。通过在防火墙外部接口处对进来的数据包进行过滤,可以有效地阻止绝大多数有意或无意的网络攻击,同时,对发出的数据包进行*,可以明确地指定内部网络中哪些主机可以访问互联网,哪些主机只能享用哪些服务或登录哪些站点,从而实现对内部主机的管理。可以说,在对一些小型内部局域网进行安全保护和网络管理时,包过滤确实是一种简单而有效的手段。
