基于透明模式Linux防火墙设计.docVIP

基于透明模式Linux防火墙设计摘要：随着计算机技术、通信技术和网络技术的发展，网络已经逐渐应用到比如办公网络化、网上资源共享等人们工作生活的各个方面。随着网络的大规模的应用，网络资源共享性提高，其安全性成为目前人们研究的重点课题。本文详细的介绍了linux系统中防火墙设计技术——透明模式技术。基于透明模式的防火墙可以进行转换内外网地址，以便屏蔽内部网段的访问细节，同时还可以使防火墙的服务器端口进行隐藏，使其无法被探测到，这样就极大的提高了防火墙的坑攻击性，加强了网络的安全性。 关键词：linux系统；网络安全；透明模式；防火墙设计 中图分类号：TP311.52文献标识码：A文章编号：1007-9599 (2012) 07-0000-02 一、引言 随着计算机技术、网络技术和现代通信技术的发展，信息安全成为众多科学工作者的研究重点。Linux系统作为一个开放的网络网络操作系统，被广泛的应用于教育、金融和政府企业网中，在应用过程中，防火墙技术越来越多的被应用于专用网络，和公用网络的互联环境中,因此，linux系统的防火墙设计大大的影响人们办公的利于弊。防火墙集成了计算机的硬件和软件，位于两个或者多个网段之间，能够实施对网络资源的访问控制，在任何两个或者多个网络之间，按照一定的安全策略实施数据包的安全检测，判断各个网络之间的通信能否被许可，时刻监视网络的运行现状。 本文基于作者多年的研究和实践经验，详细的描述了linux2.4系统内核中，防火墙设计的相关技术，比如数据包过滤、Netfilter/Iptables架构、透明模式等，并基于这些技术针对linux防火墙进行了设计[1]，详细的探讨了防火墙控制系统的设计，以便为人们在使用linux系统时，设计防火墙提供参考。 二、背景技术 （一）Linux系统简介 Linux是一种自由的和开放源码的类Unix操作系统，其得名于计算机业余爱好者Linus Torvalds。当前存在着许多不同的linux系统版本，比如大家众所周知的linux2.2和linux2.4系列。虽然他们的产生时间和版本不同，但是它们都使用了linux内核，严格来讲，Linux这个词本身只表示Linux内核，但实际上人们已经习惯了用Linux来形容整个基于Linux内核，并且使用GNU 工程各种工具和数据库的操作系统。Linux可以安装在各种计算机硬件设备中，比如从平板电脑、手机、路由器和视频游戏控制台，到台式计算机、大型机和超级计算机。Linux是一个领先的操作系统，世界上运算最快的10台超级计算机运行的都是Linux操作系统。 （二）Linux系统的数据包过滤 对于Linux系统的防火墙设计与实现[2]来讲，为了能够判定网中的流通的数据包等是否合法，需要有网络安全人员或者是系统管理员制定一组详细的网络通信规则，这组规则具有一个中心控制点，使用该组规则能够检测网络中的数据包并且能够流出合法的数据包信息，使系统不受损害。包过滤是防火墙设计过程中使用的一种必备技术，因为网络流量是是由网络中的IP数据包有机形成，网络流量凭靠流的形式展现在网络中，并且从系统的发送端经过网络留到接收端。形成网络流量的IP数据包包括两个部分，其分别是包头和数据，其中包头里含有接收数据的目的地址、数据来源的源地址以及数据包传输过程中采用的某种传输协议类型等信息，因此Linux防火墙系统就可以根据防火墙设置的相应的安全检查规则严格的检查这些数据包中的包头和数据，这样就能够确定网络中流通的数据包是否合法，接收端是否接授被检测到的IP数据包，还是拒绝流过的IP数据包，这个过程我们就称之为IP数据包过滤[3]。 （三）Netfilter/Iptables架构分析 在Linux2.4系统的内核中，其提供了一个非常强大的防火墙工具——Netfilter/Iptables组件，该工具使用起来非常灵活，并且功能十分强大，其使用控制规则对网络中流入和流出的数据包信息进行非常细化的控制。Netfilter/Iptables组件基于信息包过滤表(tables)有机组成，该过滤表包含了控制网段中数据包处理的一些规则集(rules)。IP数据包根据规则集中包含的包过滤类型，将这些规则放入链(chains)中，同时规定Linux系统2.4内核对来网络中流入流出的数据包进行处置。Netfilter/Iptables组件的工作原理以及其结构组成如下所述[4]。 1. Netfilter/Iptables的工作原理简述。在Linux2.4系统内核中，Netfilter/Iptables是Linux系统发展过程中的第4代包过滤防火墙系统[5]，该系统仅仅可以用来扩展网络服务，并没有具体实现包过滤的程序，是