Linux下基于iptables的防火墙设计与实现.pdfVIP

～ 茎 堕 塑 DesignandImplementationofLinuxFirewal1B．ased0nIptables 张玉辉 Zhang Yuhui (东华理工大学，江西 抚州 344Ooo) (EastchinauniversityofTechno1ogy，JiangxiFuzhou344OOO) 摘 要：该设计以FedoraCore9为开发平台．利用L1nux内核内置的1ptab1es机制，实现了一个适用于小型企业，并具有 IP共享器功能的防火墙。 关键宇：防火墙；网络安全；L1nux；1ptab1es；包过滤 中图分类号：TP393．08 文献标识码：A 文章编号：1671—4792一(2008)10—0。88—04 AbStract：A date packetfilter firewa11which isbased on theplatform Fedora C0re9 and make ful1use of theiDtab1esmechanism in thekerne1 ofLinux，is app1iedto smal1businesseswith IP sharingfuncti0n． KeywOrds：Firewal1；Network Security；Linux；Iptables；PacketFiltering O 引言 基于iptab1es防火墙是一种通用、廉价和有效的安全 随着防火墙技术和密码技术的结合，防火墙市场得到了 手段，它适用于所有网络服务，很大程度上满足了绝大多数 长足的发展，目前已经有checkPoint、Milkyway、sun、IBM、 用户的安全要求。包过滤类型防火墙工作在osI网络参考 TIS、A1tavista、Cyberguard、Netguard、Rapt0r、Ukiah、COm、 模型的网络层和传输层，这种类型的防火墙根据定义好的过 cisco、Bay、Microsoft和N。vell等几十家公司推出了功 滤规则审查每个数据包，以便确定其是否与某一条规则匹 能各不相同的防火墙产品系列。现在防火墙产品已成为 配。过滤规则基于IP包的包头信息，包头信息中包括 IP源 Internet网上发展最快的新兴行业之一。 地址、IP 目标地址、传输协议 (TcP、uDP、IcMP等)、TcP／ 本文基于Fedoracore(kernel2．6)平台，利用Linux uDP目标端口、数据报类型(sYN／AcK、数据、Ic旧 消息等)。 内核中内置的iptab】es机制，构建了一个适用于小型企业， 只有满足过滤条件的数据包才被转发到相应的目的地，其余 并具有 IP共享器功能的防火墙。 数据包贝u从数据流中丢弃 如果没有匹配规则，用户配置的 1 防火墙系统工作原理 默认参数会决定是转发还是丢弃数据包。 防火墙是一种创建从 Internet安全访问Intranet的 配置包过滤类型防火墙规则一般有两种方式 ：①首先允 方法，它授权用户访问Internet的权利，同时保护内部网 许所有的包，然后再禁止有危险的包通过防火墙 ：②首先禁 络免受直接来自Internet访问的侵害(如图一所示)。企业 止所有的包，然后再根据所需要的服务允许特定的包通过防 级防火墙可定义为：①切割被信任 (如子网段)与不被信任 火墙。 (Internet)的网段；②划分出可提供给 Internet的服务与 相比较而言，第二种方式更能保证网络的安全，但要求 必须受保护的服务；⑦分析出可接受与不可接受的数据包状 使用者知道server／c1ient交互的基本原理和特定服