linux 服務器必備的常用安全軟件

linux 服務器必備的常用安全軟件： 作為一個合格的網絡系統管理員，要誰時應對可能發生的安全問題，掌握Linux下各種必須的安全工具設備是很重要的。本文主要介紹Linux上常用的安全工具，例如，Nmap、Snort、Nesseu等安裝、使用和維護知識。通過這些工具管理人員能夠了解其系統目前存在的安全隱患、入侵者可能利用的漏洞，及時發現入侵，並構造一個堅固的防御體系將入侵拒之門外。 一、安全信息收集軟件 對於系統管理員來說，了解和掌握系統當前的安全狀態是做到“知己”的第一個步驟。安全信息收集軟件就是用來收集目前系統安全狀態的有力工具。端口掃描軟件和漏洞掃描軟件是常用的信息收集軟件。入侵者通常通過端口掃描軟件來掌握系統開放端口，運行服務器軟件版本和操作系統版本等相關信息。而對於管理人員，通過這些軟件可以讓管理人員從入侵者的角度來審視系統，並且能夠根據這些信息進行相應的配置和修改來迷惑入侵者。漏洞掃描軟件能夠獲得具體的漏洞信息，利用這些漏洞信息，入侵者能夠輕易地訪問系統、獲得非授權信息，甚至是獲得整個系統的控制權限。而對於管理人員，通過漏洞掃描軟件獲得的信息能夠幫助自己及時對系統進行加固和防御，讓入侵者無機可乘。 1、Nmap Nmap是一個網絡探測和安全掃描程序，使用這個軟件可以掃描大型的網絡，以獲取那台主機正在運行及提供什麼服務等信息。Nmap支持很多掃描技術，例如UDP、TCPconnect()、TCP SYN（半開掃描）、FTP代理（bounce攻擊）、反向標志、ICMP、FIN、ACK掃描、聖誕樹（Xmas Tree）、SYN掃描和null掃描。Nmap還提供了一些高級的特征，例如，通過TCP/IP協議棧特征探測操作系統類型、秘密掃描、動態延時、重傳計算和並行掃描，通過並行ping掃描探測關閉的主機、誘餌掃描，避開端口過濾檢測，直接RPC掃描（無須端口影射）、碎片掃描，以及靈活的目標和端口設定。 （1）安裝 Nmap的安裝很簡單，Linux各發行版本上通常都已經安裝了Namp。這裡首先用“nmap-v”查看當前系統所安裝的nmap版本號： # nmap -v Starting nmap V. 4.00.(www.insecure.org/nmap/) …… 由於目前系統所安裝的Nmap為4.00，不是最新版本，因此要首先從http://www.insecure.org/nmap/下載最新版本的源代碼。目前最新版本為Nmap-5.5.tar.bz2，該文件為源代碼壓縮包，需要用bzip2進行解壓縮。我們將該文件下載並保存在/root/nmap下，以root用戶進行安裝。 # bzip2 –cd nmap-5.5.tar.bz2∣tar xvf- 該命令將Nmap源代碼解壓縮至目錄nmap-5.5。 進入該目錄進行配置： # ./configure 配置結束後用make命令進行編譯： # make 編譯結束後用make install進行安裝： # make install  (2)使用 ◆各種掃描模式與參數 首先需要輸入要探測的主機IP地址作為參數。假設一個LAN中有兩個節點：192.168.12.1和192.168.12.2  # nmap 192.168.12. 1 Starting nmap 5.5(http://www.insecure.org/nmap/) at 2010-01-24 15:24 CST Interesting ports on 192.168.12. 1： (The 1651 ports scanned but not shown below are in state: closed) PORT    STATE SERVICE 25/tcp    open smtp 80/tcp    open http 135/tcp   open msrpc 139/tcp   open netbios-ssn 443/tcp   open https 445/tcp   open Microsoft-ds 1025/tcp open NFS-or-IIS 1033/tcp open netinfo 1521/tcp open oracle 2030/tcp open device2 3372/tcp open msdtc 8080/tcp open http-proxy MAC Address: 00:E0:4C:12:FA:4B (Realtek Semiconductor) Nmap run completed – 1 IP address (1 host up) Scanned in 22.882 seconds     上面是對目標主機進行全面TCP掃描的結果，顯示了監聽端口的服務情況，這一基本操作不需要任何參數。但是， 由於在掃描過程中建立了完整的TCP連接，主機可以很容易地監測到這類掃描。該命令是參數開關-sT的缺省。     -sS選項可以進行更加隱蔽地掃描，並防止被目標主機檢測到，但此方式需要用戶擁有root權限。-sF、-sX和-sN則可以進行一些超常的掃描。假如目標主機安裝了過濾和日志軟件來檢測同步空閒字符SYN，那麼-sS的隱蔽作用就失效了，此時可以采用-sF(隱蔽FIN)、-sX(Xmas Tree)及-sN(Null)方式掃描。     這裡需要注意的是，由於微軟的實現方式不同，對於運行Win 2003,Vista等NT的機器FIN 、Xmas或Null的掃描結果都是將端口關閉，由此可作為推斷目標主機運行Windows操作系統的一種方法。以上命令都需要有root權限。-sU選項是監聽目標主機的UDP，而不是默認的TCP端口。盡管在Linux機器上有時慢一些，比如，輸入上面的例子： # nmap -sU 192.168.12.1 Starting nmap 5.5 (http://www.insecure.org/nmap/) at 2010-01-24 15:28 CST  Interesting ports on 192.168.12.1: (The 1472 ports scanned but not shown below are in state:closed) PORT    STATE        SERVICE 135/udp   open       msrpc 137/udp   open∣filtered netbios-ns 138/udp   open∣filtered netbios-dgm 445/udp   open∣filtered   microsoft-ds 500/udp   open∣filtered isakmp 3456/udp open∣filtered IISrpc-or-vat MAC Address: 00:E0:4C:12:FA:44 (Realtek Semiconductor) Nmap run completed – 1 IP address (1 host up) scanned in 4.381 seconds ◆操作系統探測 使用-O選項可推斷目標主機的操作系統，既可與上述的命令參數聯合使用，也可單獨調用。Nmap利用TCP/IP“指紋”技術來推測目標主機的操作系統。還使用前面的例子： #nmap -O 192.168.12. 1 Starting nmap 5.5(http://www.insecure.org/nmap/)at 2010-01-24 16:03 CST Interesting ports on 192.168.12. 1: (The 1651 ports scanned but not shown below are in state:closed) PORT    STATE SERVICE 25/tcp    open smtp 80/tcp    open http 135/tcp   open msrpc 139/tcp   open netbios-ssn 443/tcp   open https 445/tcp   open Microsoft-ds 1025/tcp open NFS-or-IIS 1033/tcp open netinfo 1521/tcp open oracle 2030/tcp open device2 3372/tcp open msdtc 8080/tcp open http-proxy MAC Address: 00:E0:4C:12:FA:44 (Realtek Semiconductor) Device type: general purpose Running:Microsoft Windows 95/98/ME∣NT/2K/XP OS details:Microsoft Windows Millennium Edition(Me),Windows 2000 Pro or Advanced Server,or Windows XP Nmap run completed – 1 IP address(1 host up) scanned in 3.398 seconds Nmap提供了一個OS數據庫，上例中檢測到了該主機運行的操作系統為Windows系列操作系統，可能為Windows 98、Windows 2000 Pro，或者為Windews vista/Windows 7等。 ◆更進一步的應用 除了一次只掃描一個目標主機外，還可以同時掃描一個主機群，比如“nmap –sT –O 203.187.1.1-50”就可以同時掃描並探測IP地址在203.187.1.1到203.187.1.50之間的每一台主機。當然這需要更多的時間，耗費更多的系統資源和網絡帶寬，輸出結果也可能很長。所以，可以使用下面命令將結果重定向輸送到一個文件中： #nmap -sT -O -oN test.txt 202.96.1.1-50 另外的一些命令參數選項如下： -I 進行TCP反向用戶認證掃描，可以透露掃描用戶信息； -iR 進行隨機主機掃描； -p 掃描特定的端口范圍； -v 長數據顯示，“-v -v”是最長數據顯示； -h 快捷幫助。 下面給一個綜合了上述參數的例子： #nmap -sS -p 23,80 -oN ftphttpscan.txt 203.187.53.50-100 ◆Nmap圖形用戶界面 Nmap有一些圖形用戶前端，比如，NmapFE(GTK界面)網址為 http://codebox.net/nmapfe.html；Kmap(Qt/KDE前端)網址為 http://www.edotorg.org/kde/kmap/；KNmap(KDE前端)網址為 http://pages.infinit.net/rewind/。 2.Nessus      Nessus是一個功能強大而又易於使用的遠程安全掃描器，它不僅免費，而且更新極快。安全掃描器的功能是對指定網絡進行安全檢査，找出該網絡是否存在有導致對手攻擊的安全漏洞。該系統被設計為Client/Sever模式，服務器端負責進行安全檢查，客戶端用來配置管理服務器端。在服務端還采用了plug-in的體系，允許用戶加入執行特定功能的插件，該插件可以進行更快速和更復雜的安全檢查。在Nessus中還采用了一個共享的信息接口，稱之知識庫，其中保存了前面進行檢査的結果。檢查的結果可以HTML、純文本、LaTeX（一種文本文件格式）等幾種格式保存。在未來的新版本中，Nessus將會支持速度更快的安全檢查，而且這種檢查將會占用更少的帶寬，其中可能會用到集群的技術以提高系統的運行效率。 Nessus的主要優點在於其采用了基於多種安全漏洞的掃描，避免了掃描不完整的情況；它是免費的，比起商業的安全掃描工具，如ISS具有價格優勢；擴展性強、容易使用、功能強大，可以掃描出多種安全漏洞。    Nessus的安全檢查完全是由plug-ins的插件完成的。目前Nessus提供的安全檢查插件已達18類750個，而且這個數量還會增加。比如，在useless services類中，Echo port open和Chargen插件用來測試主機是否易受到已知的echo-chargen攻擊；在backdoors類中，PcAnywhere插件用來檢查主機是否運行了BO、PcAnywhere等後台程序。更可喜的是，其中包括了對最近肆虐一時的CodeRed及其變種的檢測。    在Nessus主頁中不但詳細介紹了各種插件的功能，還提供了解決問題的相關方案。有關plug-in的詳細說明，請參看http://cgi.nessus.org/plugins/dump.php3?viewby=family。 除了這些插件外，Nessus還為用戶提供了描述攻擊類型的腳本語言，進行附加的安全測試，這種語言稱為Nessus攻擊腳本語言（NSSL),用它來完成插件的編寫。在客戶端，用戶可以指定運行Nessus服務的機器、使用的端口掃描器、測試的內容及測試的IP地址范圍。Nessus本身是工作在多線程基礎上的，所以用戶還可以設置系統同時工作的線程數。這樣用戶在遠端就可以設置Nessus的工作配置。安全檢測完成後，服務端將檢測結果返回到客戶端，客戶端生成直觀的報告。在這個過程當中，由於服務器向客戶端傳送的內容是系統的安全弱點，為了防止通信內容受到監聽，其傳輸過程還可以選擇加密。19寸顯示器最佳分辨率 (1)安裝軟件 Nessus由客戶端和服務器端兩部分組成。首先看服務器端的安裝。從http://ftp.nessus.org/nessus/nessus-2.2.2a/src/下載源代碼包，其中包括nasl庫文件libnasl-2.2.2a.tar.gz、nessus核心文件nessus-core-2.2.2a.tar.gz、nessus庫文件nessus-libraries-2.2a.tar.gz和nessus插件文件nessus-plugins-2.2.2a.tar.gz 四個文件。 首先用“tar xzvf nessus-*”將這四個軟件包解開。第一個先安裝nessus的lib庫： #cd nessus-libaries #./configure & make &make install 然後以同樣的方法按照上面的順序安裝其它三個軟件包。安裝完畢後，確認在etc/ld.so.conf文件加入已安裝庫文件的路徑/usr/local/lib。如果沒有，則只需在該文件中加入這個路徑，然後執行ldconfig，這樣nessus運行的時候就可以找到運行庫了。 ◆創建用戶 Nessus服務端有自己的用戶資料庫，其中對每個用戶都做了約束。用戶可以在整個網絡范圍內通過nessusd服務端進行安全掃描。用nessus-adduser命令創建用戶，根據命令提示創建用戶。 Nessus-adduser是Nessusd的附帶工具，安裝完畢後，在安裝目錄下會產生這個程序。 ◆配置Nessus服務端程序Nessusd Nessusd的配置文件為nessusd.conf，位於/usr/local/etc/nessus/目錄下，一般情況下不需要改動。這裡還需要運行nessus-mkcert來生成服務器證書，可以按照默認設置。 ◆啟動nessusd 在上面的准備工作完成後，以root用戶身份用下面的命令啟動服務端： # netssusd –D Loading the plugins...3570(out of 5830) 載入完所有插件後將以系統服務進程的身份運行。 (2)使用 按照上面的方法啟動Nessus的服務進程後，就可以執行客戶端程序進行安全掃描了。 首先提示登錄到Nessus服務器，在Nessus Host後面輸入Nessus服務器所在的Linux機器IP地址，端口號及加密方式不需要做改動。輸入用戶名，單擊 “Log in”登錄。系統會詢問是否接受服務器證書，選擇第一項，然後單擊“YES”接受證書。 一旦登錄成功，“Log in”按鈕會變為“Log out”，對話框的旁邊還會有connected的提示。登錄後就可以進行相應的漏洞掃描了。下面通過選擇Plug-in插件來進行相應的安全掃描。下面是插件所能檢査的攻擊方法，單擊每個攻擊方法會彈出一個對話框介紹它的危害性及解決方法。然後選擇掃描的目標主機，單擊“target selection”，在窗口中輸入目標地址，如上面所輸入的192.168.12. 2。這裡作者用的是一個內部地址，還可以用192.168.6.0/24的方式指定掃描192.168.6.1到192.168.6.255整個網段。 設置完畢後，單擊“start scan”開始進行掃描。根據選擇的插件數量、掃描的范圍掃描時間不等。掃描結束後會有掃描結果。 在窗口的中列出了所有被掃描的網絡、主機和主機相 應的端口，Nessus給出了安全漏洞的嚴重等級、問題的產生原因及解決方法。最後，掃描結果還能夠以XML、ASCⅡ、HTML、NSR等多種格式存盤，做為參考資料供以後使用。 入侵檢測系統（IDS） 1、原理     入侵檢測系統（Intrusion Detection System,IDS）是一種主動保護自己免受攻擊的一種網絡安全技術。作為防火牆的合理補充，入侵檢測技術能夠幫助系統監測攻擊行為，擴展了系統管理員的安全管理能力（包括安全審計、監視、攻擊識別和響應），提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，並分析這些信息。 入侵檢測被認為是防火牆之後的第二道安全閘門，能夠在不影響網絡性能的情況下能對網絡進行監測，防止或減輕上述的網絡威脅。 入侵檢測系統有很多種，從部署的位置可以分為以下幾種： ◆基於網絡的系統，它放置於網絡之上，靠近被檢測的系統，它們監測網絡流量並判斷是否正常。 ◆基於主機的系統，其經常運行在被監測的系統之上，用以監測系統上正在運行的進程是否合法。 ◆最近出現的一種系統，位於操作系統的內核之中，並監測系統的最底層行為。 從檢測的技術手段上可以分為以下兩種： ◆誤用檢測是將收集到的數據與預先確定的特征知識庫裡的各種攻擊模式進行比較，如果發現有攻擊特征，則判斷有攻擊。特征知識庫是將己知的攻擊方法和技術的特征提取出來建立的一個知識庫。 ◆異常檢測則是對收集到的數據進行統計分析。它首先假定所有的攻擊行為與正常行為不同，這樣發現與正常行為有不同時，則判斷存在攻擊。它需要建立正常行為的標准，如登錄時錯誤次數為多少時視為正常。 相比而言，誤用檢測的原理簡單，很容易配置，特征知識庫也容易擴充。但它存在一個致命的弱點――只能檢測到已知的攻擊方法和技術。異常檢測可以檢測出已知的和未知的攻擊方法和技術，但是其問題在於正常行為標准只能采用人工智能、機器學習算法等來生成，並且需要大量的數據和時間，同時，由於現在人工智能和機器學習算法仍處於研究階段。所以現在的入侵檢測系統大多采用誤用檢測的分析方法。 下面給介紹的Snort就是一個基於網絡的、采用誤用分析技術的入侵檢測系統。 2.Snort的安裝、配置和使用 Snort是一個開放源碼的網絡入侵檢測系統。Snort的功能包括采用Libpcap捕獲數據鏈路層的分組，並進行協議棧分析(TCP/IP協議)。Snort在內部使用Misused檢測模型進行入侵檢測，即通過一個完整的入侵規則庫來實時匹配，並探測入侵行為。這個規則庫非常全面，包含了探測緩沖區溢出、端口掃描、CGI攻擊等，並處於不斷更新當中。Snort可以輕易發現使用Nmap或Trin00等進行的攻擊。Snort也允許用戶方便地編寫和加人自己的規則。日志可以存儲成Tcpdump二進制格式、ASCⅡ格式或數據庫格式（包括 MYSQL、PostgreSQL),甚至XML格式。 (1)安裝 在http://www.snort.org/可以下載最新版本的Snort，目前最新穩定版本是2.8.0，下載文件為Snort-2.8.0RC2.tar.gz。安裝的方法同上面介紹的幾個軟件類似。依次經過解壓縮後運行“./configure”、“make”和“make install”。要注意的是，Snort需要libpcap庫支持，如果尚未安裝可以到http://www.tcpdump.org/下載libpcap源代碼進行安裝，目前最新版本為0.8.3。 執行文件安裝完畢後還需要下載最新的規則文件。Snort采用基於誤用的檢測技術，需要按照預先定義好的規則同網絡當中的流量進行比對，特征一致時認為有入侵事件發生，從而釆取相應動作，因此保持最新的特征庫對Snort來說尤其重要。將下載到的規則文件解壓縮，得到rules目錄，其內容為按照攻擊類型和攻擊目標劃分為不同規則文件。http://www.woaidiannao.com/html/xwzx/6625.html (2)配置 Snort依靠命令啟動時指定的配置文件進行配置，通常是/etc/snort.conf，可以編輯Snort配置文件源文件所在目錄下/etc/snort.conf來進行配置。 # vi /root/snort/snort-2.8.0RC2/etc/ 其中需要修改的地方如下： Var HOME_NET yournetwork Var RULE_PATH /etc/snort/rules Preprocessor http_inspect:global\ 此外還可以根據需要選擇規則集合當中的規則文件，例如： iis_unicode_map /etc/snort/rules/Unicode.map 1252 Include /etc/snort/rules/reference.config Include /etc/snort/rules/classification.config yournetwork即為所釆用的IP地址段，規則文件所在目錄為剛才下載規則文件解壓縮所在目錄。 （3）使用 輸入下面代碼： #snort –D –c /root/snort/snort-2.8.0RC2/etc/snort.conf 其中，-D參數表明Snort以後台進程方式運行，-c指名所釆用的配置文件位置。啟動之後可以查看/var/log/snort/alert內容來檢査結果。 #vi alert [**][1:469:3]ICMP PING NMAP [**] [Classification:Attempted Information Leak][Priority:2] 01/28-17:30:33.813923 192.168.100.122 ->202.12.37.7 ICMP TTL:50 TOS:0x0 ID:36381 IpLen:20 Dgmlen:28 Type:8 Code:0 ID:51597 Seq:14292 ECHO [Xref=>http://www.whitehats.com/info/IDS162] [**][122:1:0](portscan)TCP Portscan[**] 01/28-17:30:33.916752 192.168.12.1 ->202.12.37.7 PROTO255 TTL:0 TOS:0x0 ID:0 iplen:20 Dgmlen:182 DF 由上可以看到，告警文件中記錄了網絡當中一次Nmap端口掃描的行為。   防火牆系統 1、基本原理 防火牆適用於用戶網絡系統的邊界，屬於用戶網絡邊界的安全保護設備。所謂網絡邊界即是釆用不同安全策略的兩個網絡連接處，比如用戶網絡和互聯網之間連接、跟其它業務往來單位的網絡連接及用戶內網不同部門之間的連接等。防火牆的目的就是在網絡連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火牆的數據流，實現對進、出內部網絡的服務和訪問的審計和控制。 目前，有很多廠商提供各種類型的防火牆平台，通常有幾種常用的分類方法：    按照產品形式可分為硬件防火牆和軟件防火牆； 按照性能可以分為百兆級和千兆級防火牆； 按照操作模式可分為透明模式、路由模式和NET（網絡地址轉換）； 按照部署位置可分為邊界防火牆和主機/個人防火牆； l按照OSI模型層次可分為包過濾防火牆、狀態檢測 防火牆和應用代理防火牆。 其中包過濾防火牆是最基本的防火牆，由一些基本路由設備通過內部的網絡訪問控制規則實現。它一般是工作在網絡層，但在現代網絡結構中，為了實現負載均衡/高可用性，也可能在網絡第二層實現。包過濾防火牆的訪問控制功能由一套規則集組成，這些規則集是基於網絡報文的以下信息實現的源地址、目的地址、流量類型、網絡會話特征或物理端口。 下面介紹的iptables就是一款優秀的網絡層防火牆用他能很容易構建一個功能強大、性能優異的防火牆系統。 2.iptables的安裝、配置和使用 Netfilter/iptables IP數據包過濾系統是一個功能強大的工具，可用於添加、編輯和除去規則，這些規則是在做數據包過濾決策時防火牆所遵循和組成的規則。這些規則存儲在專用的數據包過濾表中，而這些表則集成在Linux內核中。Linux 2.4內核提供的防火牆系統實際上由netfilter和iptables組成。netfilter組件是內核的一部分，由一些數據包過濾表組成、這些表包含內核用來控制數據包過濾處理的規則集。iptables組件是一種工具，運行在用戶空間， 它用來維護存儲在內核中的數據包過濾表中的規則。通過 iptalbes可以方便地修改、添加和刪除規則，也可以構建自己的定制規則。內核根據規則來決定，對來自某些源、前往某些目的地或具有某些協議類型的數據處理，可以是 ACCEPT（允許該數據包通過）、DROP(丟棄該數據包)，或者是REJECT（阻塞數據包）。 根據規則處理的數據包類型，可以將規則分組在不同鏈中。處理入站數據包的規則被添加到INPUT鏈中；處理出站數據包的規則被添加到OUTPUT鏈中；處理正在轉發的數據包的規則被添加到FORWARD鏈中。這三個鏈是基本數據包過濾表中內置的缺省主鏈。 此外，還有其它許多可用鏈類型，如PREROUTING和POSTROUTING,以及提供用戶定義的鏈。每個鏈都可以有一個策略，它定義“缺省目標”，也就是要執行的缺省操作，當數據包與鏈中的任何規則都不匹配時，執行此操作。 建立規則並將鏈放在適當的位置之後，就可以開始進行真正的數據包過濾工作。這時內核空間從用戶空間接管工作。當數據包到達防火牆時，內核先檢查數據包的頭信息，尤其是數據包的目的地，這個過程稱為路由。 如果數據包源自外界並前往系統，而且防火牆是打開的，那麼內核將它傳遞到內核空間數據包過濾表的INPUT鏈。如果數據包源自系統內部或系統所連接的內部網上的其它源，並且此數據包要前往另一個外部系統，那麼數據包被傳遞到OUTPUT鏈。類似的，源自外部系統並前往外部系統的數據包被傳遞到FORWARD鏈。接下來，將數據包的頭信息與它所傳遞到的鏈中的每條規則進行比較，看它是否與某條規則全匹配，如果數據包與某條規則匹配，那麼內核就對該數據包執行由該規則的目標指定的操作。但是，如果數據包與這條規則不匹配，那麼它將與鏈中的下一條規則進行比較。最後，如果數據包與鏈中的任何規則都不匹配，那麼內核將參考該鏈的策略來決定如何處理該數據包。 (1)安裝 通常的Linux發行版本都支持iptalbes，很多情況下它已經隨著操作系統而被安裝。如果在安裝操作系統時沒有選擇防火牆支持，那麼需要重新編譯內核才能使用iptables。對於如何重新編譯內核，這裡就不再贅述。關於iptables的安裝可以參看iptables使用手冊，或者相應How-to文檔http://www.linuxguruz.com/iptables/howto/iptables-HOWTO.html (2)配置 下面介紹iptalbes的常用參數。 ◆對規則的操作 加入(append)一個新規則到一個鏈(-A)的最後。 在鏈內某個位置插入(insert)一個新規則(-I)，通常是插在最前面。 在鏈內某個位置替換(replace)一條規則(-R)。 在鏈內某個位置刪除(delete)一條規則(-D)。 刪除(delete)鏈內第一條規則(-D)。 ◆指定源地址和目的地址 通過“――source/--src/-s”可以指定源地址(這裡的/表示或者的意思，下同),通過“—destination/--dst/-s”可以指定目的地址。有四種方法可以指定IP地址：使用完整的域名，如www.buaa.educn；使用IP地址，如192.168.1.1；用X.X.X.X/X.X.X.X指定一個網絡地址，如192.168.1.0/255.255.255.0； 用X.X.X.X/X指定一個網絡地址，如192.168.1.0/24，這裡的24表明了子網掩碼的有效位數。 ◆指定網絡接口 使用”—in-interface/-i”或“—out-interface/-o”來指定網絡接口。 ◆指定協議及端口 通過“――protocol/-p”選項來指定協議，如果是UDP和TCP協議，還可使用“—source-port/--sport”和“—destination-port/--dport”來指明端 口。 關於防火牆的具體應用，這裡限於篇幅就不詳細介紹，在以後的文章中會以一個具體的例子來說明如何利用iptables的防火牆和網絡地址轉換（NAT）功能來提供一個安全、穩定、可靠的Internet接入。 小結      Linux系統以其強大的功能和開放的平台，為許多安全工具提供支持。除了以上列舉到的Nmap、Nessue、Snort、iptables等軟件外，還有諸多的安全工具能夠在Linux平台下運行。掌握這些工具的原理、配置和使用對於維護信息系統的安全性來說是極其重要的。 linux 服務器必備的常用安全軟件來自：http://www.woaidiannao.com/html/aqfd/6962.html