防火牆策略如何設定

　　防火牆的策略設定是怎麼樣的呢?你會設定嗎?下面由小編給你做出詳細的防火牆策略設定介紹!希望對你有幫助!

　　防火牆策略設定介紹一：

　　這個策略的意思是"在filter表中***這個在策略中省略了***的INPUT鏈的首行，插入一條允許訪問本機22號埠的策略”

　　這條策略中沒有指定源地址，也就是說允許任何主機訪問本機的22號埠***ssh服務***

　　有四個表，一般只用到兩個：filter, nat ;有五條鏈:INPUT OUTPUT FORWARD PREROUTING POSTROUNG

　　filter表包括三條連：INPUT,OUTPUT,FORWARD，主要是做過濾用的，比如對資料流入做過濾***INPUT鏈上做規則，比如你的例子***;對資料流出做過濾***OUTPUT上鍊做規則***，對需要轉發的資料做過濾***FORWARD上鍊做規則—***

　　nat表包括三條連：PREROUTING，POSTROUTING，OUTPUT，是做地址轉換。讓內網使用者訪問網際網路***POSTROUGING鏈上作策略***，讓外網使用者***網際網路使用者***訪問內網伺服器***PREROUITNG鏈上作策略***

　　防火牆策略設定介紹二：

　　Linux 為增加系統安全性提供了防火牆保護。防火牆存在於你的計算機和網路之間，用來判定網路中的遠端使用者有權訪問你的計算機上的哪些資源。一個正確配置的防火牆可以極大地增加你的系統安全性。防火牆作為網路安全措施中的一個重要組成部分，一直受到人們的普遍關注。LINUX是這幾年一款異軍突起的作業系統，以其公開的原始碼、強大穩定的網路功能和大量的免費資源受到業界的普遍讚揚。LINUX防火牆其實是作業系統本身所自帶的一個功能模組。通過安裝特定的防火牆核心，LINUX作業系統會對接收到的資料包按一定的策略進行處理。而使用者所要做的，就是使用特定的配置軟體***如iptables***去定製適合自己的“資料包處理策略”。

　　包過濾：

　　對資料包進行過濾可以說是任何防火牆所具備的最基本的功能，而LINUX防火牆本身從某個角度也可以說是一種“包過濾防火牆”。在LINUX防火牆中，作業系統核心對到來的每一個數據包進行檢查，從它們的包頭中提取出所需要的資訊，如源IP地址、目的IP地址、源埠號、目的埠號等，再與已建立的防火規則逐條進行比較，並執行所匹配規則的策略，或執行預設策略。

　　值得注意的是，在制定防火牆過濾規則時通常有兩個基本的策略方法可供選擇：一個是預設允許一切，即在接受所有資料包的基礎上明確地禁止那些特殊的、不希望收到的資料包;還有一個策略就是預設禁止一切，即首先禁止所有的資料包通過，然後再根據所希望提供的服務去一項項允許需要的資料包通過。一般說來，前者使啟動和執行防火牆變得更加容易，但卻更容易為自己留下安全隱患。

　　通過在防火牆外部介面處對進來的資料包進行過濾，可以有效地阻止絕大多數有意或無意地網路攻擊，同時，對發出的資料包進行限制，可以明確地指定內部網中哪些主機可以訪問網際網路，哪些主機只能享用哪些服務或登陸哪些站點，從而實現對內部主機的管理。可以說，在對一些小型內部區域網進行安全保護和網路管理時，包過濾確實是一種簡單而有效的手段。

　　代理：

　　LINUX防火牆的代理功能是通過安裝相應的代理軟體實現的。它使那些不具備公共IP的內部主機也能訪問網際網路，並且很好地遮蔽了內部網，從而有效保障了內部主機的安全。

　　IP偽裝：

　　IP偽裝***IP Masquerade***是LINUX作業系統自帶的又一個重要功能。通過在系統核心增添相應的偽裝模組，核心可以自動地對經過的資料包進行“偽裝”，即修改包頭中的源目的IP資訊，以使外部主機誤認為該包是由防火牆主機發出來的。這樣做，可以有效解決使用內部保留IP的主機不能訪問網際網路的問題，同時遮蔽了內部區域網。

　　防火牆策略設定介紹三：

　　iptables -A OUTPUT -o eth0 -d 192.168.100.250 -s 192.168.1.1 -p tcp --sport 22 -j ACCEPT