中小型企业linux 防火墙的设计和应用【荐】.pdfVIP

中国科技论文在线 中小型企业linux 防火墙的设计和应用 黄洁 中国传媒大学计算机学院 , 北京 (100024) E-mail: laoyuer_819@163.com 摘 要:本文阐述了Iptables 防火墙的原理以及Netfilter 架构，详细论述了基于中小型企业的 特殊条件下，构建网络防火墙的思想和步骤。具体规划网络拓扑结构，完成高效性价比防火 墙的设计，并给出相关脚本。提炼出重要数据结构、数据处理流程，掌握 Linux 内核框架 的实现机制。设计并实现了一种基于Linux 防御ddos 攻击以及其他常见攻击的防火墙系统。 该系统提高了受到拒绝服务攻击时为正常用户提供服务的能力。 关键词: 防火墙；Netfilter ；网络地址转换 在飞速发展的信息时代，在残酷竞争的商场，谁先掌握了信息，谁就先掌握了契机， Internet 的迅猛发展满足了人们对信息的渴求，然而Inter-net 里也存在许多不安全的因素:网 络信息的非法攫取、网络体系的不期破坏……都将给企业带来难以估计的损失，防火墙以一 个网络卫士的身份应运而生，实现着管理者的安全策略，有效地维护着企业保护网络的安全。 中小型企业有着特殊的身份，网络拓扑结构简单，流量少，安全策略不复杂，资金不雄 厚等特点，因此通过其防火墙实行 NAT ，有效地实行局域网共享防火墙真实 IP 地址，既节 俭了网络费用，解决 IP 地址短缺困难，又能屏蔽子网抵制一定的网络攻击。Linux 操作系统 自带的Iptables 防火墙可以很方便地解决这个问题，可设置局域网防火墙做网关，其他计算 机做工作站，通过在网关中运行防火墙软件，可以使局域网通过一个 IP 地址连接 Internet， 按防火墙中相应的规则处理进出数据包。对外界而言，所有局域网的包都是从网关 Linux 主 机发出，因而感觉不到防火墙保护的网络，即察觉不到防火墙内部网络的存在。 1 防火墙 Netfilter 的原理 iptables 是与最新的 2.4.x 版 linux 内核集成的ip 信息包过滤系统。如果 Linux 系统连 接到因特网或 LAN 、服务器或连接 LAN 和因特网的代理服务器， 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables IP 信息包过滤系统是一种功能强大的工具，可用于添加、编辑和除去规 则，这些规则是在做信息包过滤决定时，防火墙所遵循和组成的规则。这些规则存储在专用 的信息包过滤表中，而这些表集成在 Linux 内核中。在信息包过滤表中，规则被分组放在 我们所谓的链（chain ）中。虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体，但它 实际上由两个组件 netfilter 和 iptables 组成。netfilter 组件也称为内核空间（kernelspace ）， 是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规 则集。 图 1 是 linux2.4 内核Netfilter 架构示意图。Netfilter 是 Linux 核心中一个通用架构，它 提供了一系列的“表”(tables)，每个表由若干“链”(chains)组成，而每条链中可以有一条或数条 规则(rule)组成[2]。系统缺省的表是filter。但是在使用NAT 的时候，我们所使用的表不再 是filter，而是nat表，所以我们必须使用-t 指明这一点。因为系统缺省的表是filter，所 以在使用filter 功能时我们没有必要显式的指明-t filter。 -1- 中国科技论文在线 图 1 Netfilter 架构示意图