基于LINUX操作系统的防火墙技术及其具体实现1.docVIP

LINUX系统中防火墙功能的实现 西安电信：侯立群 学号：09R0317 陕西电信：马萌 学号：shx0001 摘要 本文介绍了LINUX下常用的防火墙规则配置软件Ipchains；从实现原理、配置方法以及功能特点的角度描述了LINUX防火墙的三种功能。 关键字 LINUX防火墙 ipchains 包过滤 代理 IP伪装 1 前言 随着时间的推移，越来越多的用户都开始依赖于互联网去工作、学习、娱乐，而这也就导致互联网攻击变得越来越多，使得用户的计算机每天都面临着很多潜伏的危险。为了抵御这些网络威胁，各大安全厂商陆续推出了多种类型的防火墙。顾名思义，防火墙就是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。这样一来，那些对用户计算机有着威胁的数据将会被防火墙拒之门外。防火墙作为一种网络或系统之间强制实行访问控制的机制，是确保网络安全的重要手段。针对不同的需求和应用环境，可以量身定制出不同的防火墙系统。防火墙大到可由若干路由器和堡垒主机构成，也可小到仅仅是网络操作系统上一个防火墙软件包所提供的包过滤功能。ipchains –A input –i eth1 –p tcp –s 192.168.0.2 1110 –d 192.168.0.1 8080 –j ACCEPT ipchains –A output –i eth0 –p tcp –s 202.117.120.1 1050 –d 211.100.31.131 80 –j ACCEPT ipchains –A input –i eth0 –p tcp !-y –s 211.100.31.131 80 –d 202.117.120.1 1050 –j ACCEPT ipchains –A output –i eth1 –p tcp ! –y –s 192.168.0.1 8080 –d 192.168.0.2 1110 –j ACCEPT 从上文对代理功能的原理和实现的叙述中，我们可以看出，LINUX防火墙实际上扮演了一个“代理网关”的角色。内部主机和远程服务器分别都只与防火墙进行连接，而真正的“起点”和“终点”之间却毫无联系。 3.3 IP伪装 IP伪装（IP Masquerade）是LINUX操作系统自带的又一个重要功能。通过在系统内核增添相应的伪装模块，内核可以自动地对经过的数据包进行“伪装”，即修改包头中的源目的IP信息，以使外部主机误认为该包是由防火墙主机发出来的。这样做，可以有效解决使用内部保留IP的主机不能访问互联网的问题，同时屏蔽了内部局域网。这一点，与前面所讲的代理所达到的目的是很类似的。 关于IP伪装在LINUX防火墙内部的具体实现过程仍以上边所示的典型情况为例，steven主机的IE进程直接与远程的Web服务器建立一个连接。当数据包到达防火墙的内部接口后，照样要例行INPUT链的检查。之后，数据包被送到FORWARD链，接受系统内核的“伪装处理”，即将包头中的源IP地址改为防火墙外部接口eth0的地址，并在系统中做下记录，以便一会儿对其回应包的目的IP进行“恢复”。这样，当该数据包顺利从外部接口出来时，其包头中源IP已被改为202.117.120.1。远程服务器会认为这是从防火墙的合法地址发来的，从而对其做出响应。当远程服务器返回的回应包到达防火墙时，先经过INPUT链，然后会根据系统关于IP伪装的记录对数据包的目的IP进行恢复，即将202.117.120.1改为192.168.0.2，最后再经过OUTPUT链返回到steven主机。 为了实现这个过程，我们必须在防火墙规则脚本中添加以下规则： ipchains –A input –i eth1 –p tcp –s 192.168.0.2 1110 –d 211.100.31.131 80 –j ACCEPT ipchains –A output –i eth0 –p tcp –s 202.117.120.1 1050 –d 211.100.31.131 80 –j ACCEPT ipchains –A input –i eth0 –p tcp !-y –s 211.100.31.131 80 –d 202.117.120.1 1050 –j ACCEPT ipchains –A output –i eth1 –p tcp ! –y –s 211.100.31.131 80 –d 192.168.0.2 1110 –j ACCEPT ipchains –A forward –i eth0 –s 192.168.0.2 1110 –d 211.100.31.131 80 –j