用IPTABLES构建LINUX+FIREWALL在校园网中的应用.pdfVIP

·32· EraNo．112006 Computer 用IPTABLES构建LlNUX 孙元军 (三峡大学信息技术中心，湖北宜昌443000) 摘要：在校园网迅速发展的现在，服务器的安全问题成了网络管理员最为关心的问题。为了提高服务器的安全性，文章 等；并给出了一套关于web服务的访问进出规则。 关键词：LINUX；FIREwALL；IPTABLES；校园网 0引言 TcP／UDP端口及进出接口等过滤属性；防火墙应该忠实地支持 自己的安全性策略，并能灵活地容纳新的服务和机构，改变所需 校园网与Intemet互联，不单为校园网内用户提供服务，还 的安全策略；防火墙应包含集中化的sMTP访问能力，以简化本 为整个Intemet提供诸如：web、E—Mail、Rp等服务，这为外来 入侵者一“黑客”提供了可乘之机。黑客们会尽其所能对网络 地与远程系统的sMTP连接，实现本地E—mail集中处理；防火 服务器进行攻击，如：窃取秘密资料，投入病毒，破坏主机系统 墙使用L矾ux操作系统，不同版本的LINux其安全性也有差 等。如果不采取有效防范措施，服务器就很容易被攻破。当然， 别，应该作为防火墙的一部分考虑，当用其他安全工具时，要保 防范措施有很多种，各有千秋。本文主要介绍采用防火墙的措 证防火墙主机的完整性，而且该系统应能整体安装，防火墙及操 施。采用什么形式的防火墙，应视具体情况而定：对于资金少、 作系统应该可更新，并能用简易的方法解决系统故障等。 又有科研人员的单位，可以采用成本低，需要二次开发的防火 2LINUXFIREWALL的特点。 墙软件；对于资金雄厚的单位，可使用高性能设备、购置安全性 基于学校的情况：资金有限、科研人员多的特点，所以推荐 较高的商业防火墙。 LINux 使用源代码开放的I胛ABLEs FIREwALL。使用 LINux 1防火墙原理及其功能 FIREwALL的具体好处有以下几点： 防火墙就是一种行之有效的安全机制，是保护区的一道安 首先，成本低。目前国内外已有很多的防火墙产品，如：国 全防线，它能够将保护区以外的非法入侵及访问拒之门外；它提 外的NETscREEN以及国内的瑞星、天网等。这些产品几乎已 供信息安全服务，是实现网络和信息安全的基础设施。根据实际 具备防火墙的所有功能，其价格对于中小型企业来说，是可望 防火墙所使用的机制，防火墙所操作的TcP，口协议栈层次以及 所使用的网络和路由体系结构，防火墙有多种不同的含义。 其次，可靠性高。LINux 防火墙有3种最常用的含义：(1)包过滤防火墙。包过滤防码是公开的，对于一些不可靠的代码，可以很容易辨别出来。 火墙通常在操作系统内部实现，并且操作在IP网络和传输协 另外，灵活性好。LINux系统是一个自由的操作系统，可 议层。它对IP包头信息过滤后，通过对包的路由作决策来保护 以根据自己的需要，修改内核的接口。 系统。所有的IP包头包含了源、目的IP地址、IP协议消息类型 3LINUX FIREWALL的构架 (在LINux系统中包含的IP防火墙机制支持3种IP消息类 3．1设计目标 型：IcMP、uDP、TcP)。除此之外，包头里根据协议类型还包含