包过滤防火墙和灵巧网关设置

包过滤防火墙和灵巧网关设置内容摘要：

新连接，后续的数据包刷新该连接，直到超时后连接信息被删除 – ICMP: 状态 28 包过滤防火墙 状态表 连接，并发连接数 超时 协议 SRC Sport DST Dport state 29 状态的维护 对于 TCP， 跟踪所有的数据包，依据 TCP 有限状态机动态修改状态 对于 UDP等无连接协议，一定时间内没有数据就认为连接结束，实现时设置超时时间  TCP也有超时处理 30 SYN SYN ACK ACK Client Server 状态 SYN_SENT ESTABLISHED 31 包过滤防火墙  状态过滤 – 一个数据包经过防火墙时，首先被分成如下某个 – 状态：  ESTABLISHED – 已经建立的连接的数据包  RELATED – 已经建立的连接相关连接的数据包，如 ftp的 data连接  NEW – 新连接  INVALID – 不属于任何连接的无效数据包，一般情况下，这种数据包应该丢弃 32 包过滤防火墙 状态过滤 对所有已经建立的连接的数据包都允许（包括相关的连接的数据包） 非法的数据包禁止 管理员只要定义规则，判断新连接的数据包是否需要允许即可控制信息流 简化了配置，方便了管理，提高了安全性 33 UDP的例子 序号 动作 协议 SRC Sport DST Dport STATE 1 Allow Any any any any any ESTABLISHED, RELATED 2 Allow UDP 内网 1024 any 53 NEW 34 地址转换  NAT Network Address Translation  对通过防火墙的数据包 IP地址进行改变  隐藏内部网络结构，提高安全性  解决 IPv4地址不足 – 将正式地址和内部保留地址进行互相翻译 – 10.*.*.* – .*.* – .*.* – .*.*  比代理效率高 35 地址转换  NAT Network Address Translation – 适应所有 IP通信 – 重写 IP地址 – 1： 1的映射 – 类似直拨电话  NAPT Network Address Port Translation – 只能处理 TCP、 UDP、 ICMP通信 – 重写 IP地址和端口信息 – 1:M的映射 – 类似电话分机概念 36 37 20 38 NAT amp。 NAPT 地址足够多时，使用 NAT  IP地址不足时，往往要用到 NAPT 39 数据包内数据的处理  NAT仅仅处理数据包头的信息有时不能有效工作  数据包中包含的 IP地址、端口信息需要同时修改 – DNS中的 A和 PTR查询 /应答 – Netmeeting中的 IP地址信息 – FTP PORT命令 – SIP协议等  只有完全处理了这些信息，应用才能正确工作 40 NAT的分类 不同的产品的术语不同  Linux下的 NAT有两种实现 – 在路由处理时修改 IP地址，只能实现 1:1的翻译，不处理任何其他数据，这种 NAT工作方式不在本课程中讨论 – Netfilter/iptables下的地址转换，是一种 NAPT实现，是重点 41 NAT的分类 对每个连接的第一个数据包的处理分类 – SNAT  修改第一个连接包的源地址  常用于把内部的 IP地址转换成正式 IP地址对外通信 – DNAT  修改第一个连接包的目的地址  常用于从外面访问内部的服务器 42 地址换换 SNAT NAT设备 客户机 服务器 :102。