iptables_防火墙技术研究及实现.docVIP

iptables防火墙技术研究及实现 丁健 1，杨建良 2 1.武汉理工大学计算机科学与技术学院，武汉 (430070) 2.武汉计算机外部设备研究所，武汉 (430070) E-mail：dingjian1983@ 要：计算机网络的迅速发展给人类社会带来了前所未有的飞跃，极大的提高了工作效率， 摘 丰富了人们的精神生活，而与此同时也带来了一个日益严峻的问题--网络安全。防火墙作为 一种行之有效的网络安全机制，已经得到广大用户的接受和认同。另一方面，网络应用的日 益广泛使得各种不同的应用层协议不断涌现，这些协议在方便使用网络的同时也带了各种问 题。例如 P2P协议在有多个用户同时进行下载的情况下会占用大量的网络资源，严重影响 网络的正常服务。因此，如何识别这些协议并在需要的时候对其加以过滤具有很高的实用价 值。作者在研究包过滤、代理服务、状态检测等防火墙基本实现技术的基础上，提出一种基 于应用层协议过滤的 iptables防火墙解决方案。 关键词：网络安全；防火墙；iptables；Layer7-filter 中图分类号：TP393.408 1. 引言 随着互联网的飞速发展，社会的信息化程度不断提高，当资源共享广泛用于经济、政治、 军事以及科学、生活的各个领域，网络的用户来自于社会各个阶层与部门时，大量在网络中 存储和传输的数据就需要保护，这些数据在存储和传输的过程中，都有可能被盗用和篡改， 计算机网络十分脆弱，它的安全性遭到破坏就要付出很高的代价 ,网络的安全问题成为信息 化、网络化过程中必须解决的首要问题[1,2] 。 对于连接到网络上的 Linux系统来说，防火墙是必不可少的防御机制，它可以控制允 许合法的网络流量进出系统，而禁止其它任何网络流量。在 Linux的防火墙体系 Netfilter下 有一个基于数据流应用层内容过滤模块 Layer7-filter，它使用模式匹配把进入设备的数据包 应用层内容与协议规则进行比对，如果匹配成功就说明这个数据包属于某种协议。 本文简要介绍防火墙的工作方式，以及防火墙的基本分类，并且讨论了每一种防火墙的 优缺点，在此基础上，提出一种基于应用层协议过滤的 iptables防火墙解决方案。 2. 防火墙技术概述 2.1防火墙的功能 防火墙是指隔离在本地网络与外界网络之间的一道执行控制策略的防御系统 ,它对网络 之间传输的数据包依照一定的安全策略进行检查 ,以决定通信是否被允许，对外屏蔽内部网 的信息、结构和运行状态，并提供安全和审计的安装控制点，从而到达保护内部网络不受外 部非授权用户访问，过滤不良信息的目的[3]。 防火墙一般放在私网、信任网络和公网之间，当把本地网或内部网与外部网络或 Internet 相连接的时候，最有效的保证网络安全的办法就是在它们之间加入防火墙，因此，从防火墙 的功能来说，主要包含以下几个方面： 1）过滤掉不安全服务和非法用户。 2）控制对特殊站点的访问。 3）提供监视 Internet安全和预警的方便端点[4,5] 。 - 1 -  2.2防火墙技术的发展 防火墙技术的发展经历了包过滤型、应用级网关（代理服务器型防火墙）和检测型三种 基本类型。 2.2.1包过滤型(Packet Filtering)技术包过滤技术 事实上是基于路由器的技术，它通常由分组过滤路由器对 IP分组进行选择，允许或拒 绝特定的分组通过。在网络层对数据包进行选择，选择的依据是每个数据包的源地址、目的 地址、所用的端口号、协议等因素，或它们的组合来确定是否允许该数据包通过。 包过滤的优点是配置简单，一个过滤路由器能协助保护整个网络，数据包过滤对用户透 明，过滤路由器速度快、效率高[6]。 包过滤防火墙具有根本的缺陷，其安全控制在网络层、传输层实现，安全控制的力度也 只限于源地址、目的地址和端口号，因而只能进行初步的安全控制，对于恶意的拥塞攻击、 内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。 2.2.2应用代理网关(Application Level Gateways)技术 应用代理网关是在应用层上建立协议过滤和转发功能 ,安装在客户机与真实服务器之 间。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包 进行必要的分析、登记和统计，形成报告。应用代理网关防火墙彻底隔断内网与外网的直接 通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。 所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的 TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求[7]。 应用代理网关的优点是能生成各项记录，能灵活、完全地控制进出的流量、内容，能过滤数 据内容，能为用户提供透