网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > 防火墙 > 文章  
用Linux防火墙伪装抵住黑客攻击
文章来源: PConline 文章作者: 太平洋特色论坛 发布时间: 2001-11-30   字体: [ ]
 

  防火墙可分为几种不同的安全等级。在Linux中,由于有许多不同的防火墙软件可供选择,安全性可低可高,最复杂的软件可提供几乎无法渗透的保护能力。不过,Linux核心本身内建了一种称作“伪装”的简单机制,除了最专门的黑客攻击外,可以抵挡住绝大部分的攻击行动。

  当我们拨号连接Internet后,我们的计算机会被赋给一个IP地址,可让网上的其他人回传资料到我们的计算机。黑客就是用你的IP来存取你计算机上的资料。Linux所用的“IP伪装”法,就是把你的IP藏起来,不让网络上的其他人看到。有几组IP地址是特别保留给本地网络使用的, Internet骨干路由器并不能识别。像作者计算机的IP是192.168.127.1,但如果你把这个地址输入到你的浏览器中,相信什么也收不到,这是因为Internet骨干是不认得 192.168.X.X这组IP的。在其他 Internet上有数不清的计算机,也是用同样的IP,由于你根本不能存取,当然不能侵入或破解了。

  那么,解决Internet上的安全问题,看来似乎是一件简单的事,只要为你的计算机选一个别人无法存取的IP地址,就什么都解决了。错!因为当你浏览Internet 时,同样也需要服务器将资料回传给你,否则你在屏幕上什么也看不到,而服务器只能将资料回传给Internet骨干上登记的合法IP地址。

  “IP伪装”,就是用来解决此两难困境的技术。当你有一部安装Linux的计算机,设定要使用“IP伪装”时,它会将内部与两网络桥接起来,并自动解译由内往外或由外至内的IP地址,通常这个动作称为网络地址转换。

  实际上的“IP伪装”要比上述的还要复杂一些。基本上,“IP伪装”服务器架设在两个网络之间。如果你用模拟的拨号调制解调器来存取Internet 上的资料,这便是其中一个网络;你的内部网络通常会对应到一张以太网卡,这就是第二个网络。若你使用的是DSL调制解调器或缆线调制解调器(Cable Modem),那么系统中将会有第二张以太网卡,代替了模拟调制解调器。而Linux可以管理这些网络的每一个IP地址,因此,如果你有一部安装Windows的计算机(IP为 192.168.1.25)位于第二个网络上(Ethernet eth1)的话,要存取位于Internet(Ethernet eth0)上的缆线调制解调器(207.176.253.15)时,Linux的“IP伪装”就会拦截从你的浏览器所发出的所有TCP/IP封包,抽出原本的本地地十(192.168.1.25),再以真实地址(207.176.253.15)取代。接着,当服务器回传资料到 207.176.253.15时,Linux也会自动拦截回传封包,并填回正解的本地地址(192.168.1.25)。

  Linux可管理数台本地计算机并处理每一个封包,而不致发生混淆。作者有一部安装 SlackWare Linux的老486计算机,可同时处理由四部计算机送往缆线调制解调器的封包,而且速度不减少。

  在第二版核心前,“IP伪装”是以IP发送管理模块(IPFWADM,Ip fw adm)来管理。第二版核心虽然提供了更快、也更复杂的IPCHAINS,但仍旧提供了IPFWADM wrapper来保持向下兼容性,因此,作者在本文中会以IPFWADM为例,来解说如何设定“IP伪装(您可至 http://metalab.unc.edu/mdw/HOWTO/IPCHAINS-HOWTO.html查询使用IPCHAINS的方法,该页并有 “IP伪装”更详尽的说明)。

  另外,某些应用程序如RealAudio与CU-SeeME所用的非标准封包,则需要特殊的模块,您同样可从上述网站得到相关信息。

  作者的服务器有两张以太网卡,在核心激活过程中,分别被设定在eth0与eth1。 这两张卡均为SN2000式无跳脚的ISA适配卡,而且绝大多数的Linux都认得这两张卡。作者的以太网络初始化步骤在 rc.inetl中设定,指令如下:

  IPADDR=“207.175.253.15”
  #换成您缆线调制解调器的IP地址。
  NETMASK=“255.255.255.0"
  #换成您的网络屏蔽。
  NETWORK=“207.175.253.0"
  #换成您的网络地址。
  BROADCAST=“207.175.253.255"
  #换成你的广播地址.
  GATEWAY="207.175.253.254"
  #换成您的网关地址.
  #用以上的宏来设定您的缆线调制解调器以太网卡
  /sbin/ifconfig eth0 $ {IPADDR} broadcast ${BROADCAST}netmask   ${NETMASK}

 
推荐文章
·通过Linux系统伪装方法加固系统
·通过Linux系统伪装方法加固系统
·怎么样给企业级防火墙“体检”
·关于Linux系统安全管理技巧详解(
·构建Linux系统下U盘路由器、防火
·安全基础:防火墙功能指标详解
·没有防火墙是可行的 但是并不理
·2005年度千兆防火墙公开比较评测
·没有防火墙的安全:明智还是愚蠢?
·使用防火墙封阻应用攻击的八项技
·防火墙与路由器的安全性比较
·防火牆安全管理
·netfilter: Linux 防火墙在内核
·再谈防火墙及防火墙的渗透
 

 
共2页: 上一页 1 [2] 下一页
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·网络安全保护神——免费
·浴火坚“墙”——12款防
·防火墙技术综述
·教你命令行下配置Window
·2005年度千兆防火墙公开
·构建Linux系统下U盘路由
·Windows Vista系统防火
·Win XP SP2自带防火墙设
相关分类
相关文章
·绕过防火墙限制的两种方
·全面实战Windows XP防火
·网络安全保护神——免费
·教你命令行下配置Window
·浅析传统网络防火墙的五
·Win XP SP2自带防火墙设
·安装防火墙的十二个注意
·找出通病:通杀国内安全
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $