Linux内核中Netflter／Iptables防火墙的技术分析.pdfVIP

甏 嚣 霪 蒺 维普资讯誊 棼 ： 笺蠹藏g |霸 _ 《螽。：菇 氇 l 学术 技米。 Linux内核中Ne Iter／IptabIes防火墙的技术分析 潘 贤 (浙江医院信息中心，浙江 杭州 310013) 摘 要：Linux提供的基于内核netflter框架的防火墙 ，具有通用性和可扩展性的特点，实现 了一种性价比较高的安全方案，可以 有效地阻止恶意攻击，成为很 多网络安全管理 员的选择。该文首先介绍防火墙的主要技术，然后详细介绍 了LinuX内核防火墙 netflter／iptables的实现原理 ，说明如何应用Linux内核netfilter和 iptables实现包过滤型防火墙，保护内部网络的安全。 关键词：防火墙；Linux；Netfilter；Iptables Researchandanalysison Netf¨ter／IptabIesFirewallinLinuxKernel PAN Xian fZ 娩噜Hospital,Hano#zbouJ／oo／J,P Ok~ha) Abstract：Netfilterframework firewallinLjnux Kernelthat havethe characteristic ofGeneralAvailability andextensible， implementationa liable safety schemeeffectively．Thispaper introducesthenetflter framework used in a Lfnux kernelafter version elaborateson theusageofnetfilter discussingthethemany fieldswhichnetfiltercanbeappliedin． Key words：Firewall；Linux；Netflter；Iptables 1引言 单叙述如下 ： LinuX 操作系统提供了一套完全免费的解决方案 ， (1)包过滤规则必须被过滤设备端 口存储起来； 其内置防火墙 内核Netfilter和 Iptables功能非常强大。 (2)当包到达端 口时，对包报头进行语法分析。大多 Linux内核版本中集成了Netfilter框架 ，用户空间的防 数包过滤设备只检查 IP、TCP或者 UDP报头中的字段 ； 火墙管理工具也相应地发展为 iptables。在经历了Linux (3)包过滤规则以特殊的方式存储。应用于包的规则 2．5 和 2．6 的发展以后 ，可以说 ，netfilter／iptables经 顺序与包过滤器规则存储顺序必须相 同； 受住 了大量用户广泛使用的考验 ，得到了普遍认可 ，用 (4)若一条规则阻止包传输或接收，则此包不被允 户可以使用 netfilter在 内核空间非常高效地进行分组 许； 过滤、网络地址转换和分组重组。因此 ，研 究如何基于 (5)若一条规则允许包传输或接收，则此包可以被继 netfilter／iptables构建满足 自己实际需求的防火墙 ，具 续处理 ； 有一定的实际意义 。