SUSE+LINUX操作系统的防火墙功能设计.pdfVIP

SUSE LINUX操作系统的防火墙功能设计 1 1 金素文 唐怀瓯 （1． 安徽省大气探测技术保障中心 安徽合肥 230031） 摘要：在 Suse Linux系统中通过 iptables定义一些规则来配置防火墙的功能，或利用系统本身 基于 sysconfig 的防火墙脚本，即 SuSEfirewall2，通过 YaST 来快速配置防火墙的功能。本文 从这两个方面来实现 Suse Linux中防火墙包过滤、NAT转换等功能。 关键词：Suse Linux、iptables、SuSEfirewall2 1、引言 目前全国范围内的气象数据通信传输、处理系统基本采用Suse Linux 操作系统，同时各省气 象部门的数据接收服务器、数据库服务器、数据共享服务器也较多的搭建在 Suse Linux 操作系统 上。为了防止资料外泄和服务器被恶意破坏而造成数据服务器瘫痪，系统维护人员可以启用 Suse Linux 操作系统自身的防火墙，保证该系统服务器能够稳定运行。 本部门 Suse Linux 服务器主要承担 ftp、ssh、samba 以及HTTP 代理等服务功能，与之关联 的网络有本地网，部门VPN 专网、以及 internet 网。为配置一个合适的防火墙，应将防火墙默认 设置带有以下拒绝策略，即： 只允许许可的机器访问本地许可的服务。 只允许通过您的系统访问外部服务(ftp、ssh、samba、http) 。 forward 规则设为拒绝(除非您有其它系统的保护，参阅下边) 。 其它的连入连出都是禁止的。 为了网络的安全，应该采取“拒绝全部而允许部分”原则。即是，当启用防火墙时，完全不允许 任何网络流量进入机器，然后启用那些防火墙/服务器/ 网络的操作所必须的服务。 2、实现iptables防火墙 在 Linux （2.4 版以及以后的内核）系统上配置防火墙，可以使用 iptables 命令来完成。iptables 是 Linux 系统中为用户提供的 netfilter 管理工具，用于实现对 Linux 内核中网络防火墙的管理。 Iptables 内建的规则表有三个，分别是：nat 、mangle 和 filter 【1】 。防火墙包过滤功能通过-t filter 参数实现，地址转换功能通过-t nat 实现，设置网络流量整形等应用功能通过-t mangle 实现。包 过滤功能（packet filter ）规则表主要包括3 个规则链：INPUT 、FORWARD 、OUTPUT，用来进 行封包过滤的处理动作基本规则都建立在此规则表中；地址转换功能（nat ）规则表主要包括 3 个规则链：PREROUTING 、POSTROUTING 、OUTPUT ，主要功能为进行一对一、一对多、多 对多等网址转译工作（SNAT、DNAT ），每个封包只会经过这个规则表一次；网络流量整形等应 用功能（mangle ）规则表包括 5 个规则链 PREROUTING 、POSTROUTING 、INPUT 、OUTPUT 和 FORWARD ，定义某些特殊的应用如改写封包（TTL、TOS ）或者设定MARK （将封包作记号， 以便进行后续的过滤）。其中，INPUT 链用于处理访问防火墙本机的数据，OUTPUT 链用于处理 防火墙本机访问其他主机的数据，FORWARD 链用于处理需要经过防火墙转发的数据包，源地 址、目标地址均不是防火墙本机，POSTROUTING 、PREROUTING 链分别用于在确定路由后、 确定路由前对数据包进行处理。 2.1 包过滤型（packet filter） 包过滤是一种内置于 Linux 内核路由功能之上的防火墙类型，其防火墙是工作在TCP/IP 网 络层。包过滤防火墙是用一个管理工具（如 netfilter ）查看所流经的数据包的包头(header)，由此 1 决定整个包是被丢弃(DROP)，还是被接受(ACCEPT)(让这个包通过) ，或者是被执行其它更复杂 的动作。包过滤工作流程图如下：