作者簡介
Michael Rash,世界級的安全技術專家,以防火牆、入侵檢測系統等方面的造詣享譽安全界。他是psad、fwsnort和fWknop等著名開源安全軟體的開發者。也是屢獲大獎的Dragon入侵防禦系統的安全架構師。除本書外.他還與人合撰Snort 2.1 Intrusion Detection和Intrusion Prevention and Active Response。他同時還是Linux Joumal、SysAdmin和login等著名技術媒體的專欄作家。
編輯推薦
《Linux防火牆》講解清晰且實用性很強,適合Linux系統管理員、網路安全專業技術人員以及廣大計算機安全愛好者閱讀。
目錄
第1章 iptables使用簡介 1
1.1 iptables 1
1.2 使用iptables進行包過濾 2
1.2.1 表 2
1.2.2 鏈 2
1.2.3 匹配 3
1.2.4 目標 3
1.3 安裝iptables 4
1.4 核心配置 5
1.4.1 基本Netfilter編譯選項 6
1.4.2 結束核心配置 7
1.4.3 可載入核心模組與內置編譯和安全 7
1.5 安全性和最小化編譯 9
1.6 核心編譯和安裝 9
1.7 安裝iptables用戶層二進制檔案 10
1.8 默認iptables策略 11
1.8.1 策略需求 11
1.8.2 iptables.腳本的開頭 12
1.8.3 INPUT鏈 13
1.8.4 OUTPUT鏈 15
1.8.5 FORWARD鏈 15
1.8.6 網路地址轉換 16
1.8.7 激活策略 17
1.8.8 iptables-save與iptables-restore 18
1.8.9 測試策略:TCP 20
1.8.10 測試策略:UDP 21
1.8.11 測試策略:ICMP 22
1.9 本章總結 23
第2章 網路層的攻擊與防禦 24
2.1 使用iptables記錄網路層首部信息 24
2.2 網路層攻擊的定義 27
2.3 濫用網路層 28
2.3.1 Nmap ICMP Ping 28
2.3.2 IP欺騙 28
2.3.3 IP分片 30
2.3.4 低TTL值 30
2.3.5 Smurf攻擊 31
2.3.6 DDoS攻擊 32
2.3.7 Linux核心IGMP攻擊 32
2.4 網路層回應 33
2.4.1 網路層過濾回應 33
2.4.2 網路層閾值回應 33
2.4.3 結合多層的回應 34
第3章 傳輸層的攻擊與防禦 35
3.1 使用iptables記錄傳輸層首部 35
3.1.1 記錄TCP首部 35
3.1.2 記錄UDP首部 37
3.2 傳輸層攻擊的定義 38
3.3 濫用傳輸層 38
3.3.1 連線埠掃描 38
3.3.2 連線埠掃射 46
3.3.3 TCP序號預測攻擊 46
3.3.4 SYN洪泛 47
3.4 傳輸層回應 47
3.4.1 TCP回應 47
3.4.2 UDP回應 50
3.4.3 防火牆規則和路由器ACL 51
第4章 套用層的攻擊與防禦 53
4.1 使用iptables實現套用層字元串匹配 53
4.1.1 實際觀察字元串匹配擴展 54
4.1.2 匹配不可列印的套用層數據 55
4.2 套用層攻擊的定義 56
4.3 濫用套用層 56
4.3.1 Snort簽名 57
4.3.2 緩衝區溢出攻擊 57
4.3.3 SQL注入攻擊 59
4.3.4 大腦灰質攻擊 60
4.4 加密和套用層編碼 62
4.5 套用層回應 63
第5章 連線埠掃描攻擊檢測程式psad簡介 64
5.1 發展歷史 64
5.2 為何要分析防火牆日誌 64
5.3 psad特性 65
5.4 psad的安裝 65
5.5 psad的管理 67
5.5.1 啟動和停止psad 68
5.5.2 守護進程的唯一性 68
5.5.3 iptables策略配置 68
5.5.4 syslog配置 70
5.5.5 whois客戶端 71
5.6 psad配置 72
5.6.1 /etc/psad/psad.conf 72
5.6.2 /etc/psad/auto_dl 77
5.6.3 /etc/psad/signatures 78
5.6.4 /etc/psad/snort_rule_dl 78
5.6.5 /etc/psad/ip_options 78
5.6.6 /etc/psad/pf.os 79
5.7 本章總結 79
第6章 psad運作:檢測可疑流量 80
6.1 使用psad檢測連線埠掃描 80
6.1.1 TCP connect()掃描 81
6.1.2 TCP SYN或半開放掃描 83
6.1.3 TCP FIN、XMAS和NULL掃描 85
6.1.4 UDP掃描 86
6.2 psad警報和報告 87
6.2.1 psad電子郵件警報 87
6.2.2 psad的syslog報告 90
6.3 本章總結 91
...
如何查看開啟
直接用命令行的方式運行
sudo /usr/sbin/iptables -L
iptables的位置可能不在/usr/sbin/,也可能在/sbin/下
如果是結果是
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
表示沒有防火牆的規則
如何關閉
首先我們打開linux作業系統,雖然linux提倡命令行操作,但是很多用戶可能不是十分習慣,因此很多linux作業系統都有桌面圖形界面,跟windows作業系統很像,也更加方便了我們的操作。
我們點擊活動,找到應用程式,搜尋防火牆,亦或者下拉到防火牆選項。然後點擊進入防火牆,在進入之前可能會讓我們輸入管理員密碼,當然是出於安全考慮,我們輸入管理員密碼即可操作,切記是root管理員的密碼,不是你登入界面的密碼。
輸入密碼之後點擊確定進入防火牆操作界面,默認的防火牆都是開啟的,我們只需點擊禁用按鈕便可完成防火牆的禁用,是不是很簡單呀,此方法只是適用於類似fedora作業系統這種有圖形界面的linux作業系統,其他的linux作業系統可能不適用。
其實我們還有其他的方式關閉防火牆。我們打開終端使用命令行操作來進行防火牆的關閉操作。首先執行臨時關閉防火牆操作,在此操作之前我們需要進入root許可權進行下面的操作,如果你不使用root許可權的話,會提示錯誤。
終端中輸入su命令,輸入密碼進入root管理員操作許可權。輸入命令service iptables stop即可關閉防火牆,當然關閉之前我們需要看看防火牆是否開啟在進行相關操作,命令跟關閉命令類似,只不過是把stop換成了status.
以上的操作只是臨時關閉了防火牆而已,當你的電腦重新啟動的時候又會開啟,如果你想永久關閉防火牆,可以嘗試以下這種方法。打開終端,在root許可權下輸入chkconfig iptables off即可永久關閉防火牆,當然需要我們重啟才能生效。
1.首先我們打開linux作業系統,雖然linux提倡命令行操作,但是很多用戶可能不是十分習慣,因此很多linux作業系統都有桌面圖形界面,跟windows作業系統很像,也更加方便了我們的操作。
2.我們點擊活動,找到應用程式,搜尋防火牆,亦或者下拉到防火牆選項。然後點擊進入防火牆,在進入之前可能會讓我們輸入管理員密碼,當然是出於安全考慮,我們輸入管理員密碼即可操作,切記是root管理員的密碼,不是你登入界面的密碼。
3.輸入密碼之後點擊確定進入防火牆操作界面,默認的防火牆都是開啟的,我們只需點擊禁用按鈕便可完成防火牆的禁用,是不是很簡單呀,此方法只是適用於類似fedora作業系統這種有圖形界面的linux作業系統,其他的linux作業系統可能不適用。
4.其實我們還有其他的方式關閉防火牆。我們打開終端使用命令行操作來進行防火牆的關閉操作。首先執行臨時關閉防火牆操作,在此操作之前我們需要進入root許可權進行下面的操作,如果你不使用root許可權的話,會提示錯誤。
5.終端中輸入su命令,輸入密碼進入root管理員操作許可權。輸入命令service iptables stop即可關閉防火牆,當然關閉之前我們需要看看防火牆是否開啟在進行相關操作,命令跟關閉命令類似,只不過是把stop換成了status.
6.以上的操作只是臨時關閉了防火牆而已,當你的電腦重新啟動的時候又會開啟,如果你想永久關閉防火牆,可以嘗試以下這種方法。打開終端,在root許可權下輸入chkconfig iptables off即可永久關閉防火牆,當然需要我們重啟才能生效。