基于LINUX操作系统的防火墙技术及其具体实现的论文.docVIP

　　基于LINUX操作系统的防火墙技术及其具体实现的论文 摘要 本文介绍了linux下常用的防火墙规则配置软件ipchains；从实现原理、配置方法以及功能特点的角度描述了linux防火墙的三种功能；并给出了一个linux防火墙实例作为参考。 关键字 linux防火墙 ipchains 包过滤 代理 ip伪装 1 前言 防火墙作为网络安全措施中的一个重要组成部分，一直受到人们的普遍关注。linux是这几年一款异军突起的操作系统，以其公开的源代码、强大稳定的网络功能和大量的免费资源受到业界的普遍赞扬。linux防火墙其实是操作系统本身所自带的一个功能模块。通过安装特定的防火墙内核，linux操作系统会对接收到的数据包按一定的策略进行处理。而用户所要做的，就是使用特定的配置软件（如ipchains）去定制适合自己的“数据包处理策略”。 2 linux防火墙配置软件—ipchains ipchains是linux 2.1及其以上版本中所带的一个防火墙规则管理程序。用户可以使用 它来建立、编辑、删除系统的防火墙规则。但通常，需要自己创建一个防火墙规则脚本 /etc/rc.d/rc.firep等。 [!] –y -y表明tcp握手中的连接请求标志位syn; ! –y 表示对该请求的响应。 -s src-ip [port] 指明数据包的源ip地址，port表示本规则适用的端口号。 -d dst-ip [port] 指明数据包的目的ip地址及端口号。 -j policy 指定本规则对匹配数据包的处理策略：accept、deny或reject。 -l 在系统日志/var/log/messages中记录与该规则匹配的数据包。 3 linux防火墙的几种常见功能 由于每一个用户的要求和所处的环境都不一样，linux防火墙会根据用户的设置实现各种不同的功能。但一般说来，以下三种功能是大多数用户最常用到的。 3.1 包过滤 对数据包进行过滤可以说是任何防火墙所具备的最基本的功能，而linux防火墙本身从某个角度也可以说是一种“包过滤防火墙”。在linux防火墙中，操作系统内核对到来的每一个数据包进行检查，从它们的包头中提取出所需要的信息，如源ip地址、目的ip地址、源端口号、目的端口号等，再与已建立的防火规则逐条进行比较，并执行所匹配规则的策略，或执行默认策略，这个过程在图1中已经形象的表现出来。 值得注意的是，在制定防火墙过滤规则时通常有两个基本的策略方法可供选择：一个是默认允许一切，即在接受所有数据包的基础上明确地禁止那些特殊的、不希望收到的数据包；还有一个策略就是默认禁止一切，即首先禁止所有的数据包通过，然后再根据所希望提供的服务去一项项允许需要的数据包通过。一般说来，前者使启动和运行防火墙变得更加容易，但却更容易为自己留下安全隐患。 通过在防火墙外部接口处对进来的数据包进行过滤，可以有效地阻止绝大多数有意或无意地网络攻击，同时，对发出的数据包进行限制，可以明确地指定内部网中哪些主机可以访问互联网，哪些主机只能享用哪些服务或登陆哪些站点，从而实现对内部主机的管理。可以说，在对一些小型内部局域网进行安全保护和网络管理时，包过滤确实是一种简单而有效的手段。 3.2 代理 linux防火墙的代理功能是通过安装相应的代理软件实现的。它使那些不具备公共ip的内部主机也能访问互联网，并且很好地屏蔽了内部网，从而有效保障了内部主机的安全。为了清楚地描述这一重要功能的实现过程，特假设以下典型情况，如图2所示： steven为内部网中一台ip是的主机，其上安装有ie5.0浏览器，并配置为使用防火墙主机：8080作为代理。fireasquerade）是linux操作系统自带的又一个重要功能。通过在系统内核增添相应的伪装模块，内核可以自动地对经过的数据包进行“伪装”，即修改包头中的源目的ip信息，以使外部主机误认为该包是由防火墙主机发出来的。这样做，可以有效解决使用内部保留ip的主机不能访问互联网的问题，同时屏蔽了内部局域网。这一点，与前面所讲的代理所达到的目的是很类似的。 关于ip伪装在linux防火墙内部的具体实现过程，请看图4。 仍以图2中所示的典型情况为例，steven主机的ie进程直接与远程的asq 与代理功能比较而言，ip伪装不需要安装相应的代理软件，数据包的伪装对用户来说都是“透明”的，并且整个过程都是在ip层实现，因此实现速度较快。缺点是不能对经过的数据包作详细的记录。 以上介绍了linux防火墙在实际的设置中常用到的三种功能。但一般说来，用户在创建自己的防火墙规则脚本时，可以根据自己的需要将这三种功能组合起来实现。 4 一个linux防火墙实例 以下是我前一段时间为某办公室搭建的linux防火墙的实际配置，给出以供参考。 该室网络拓扑图如图