网桥式防火墙在科学数据库中心网络环境的应用.pdfVIP

网桥式防火墙在科学数据库中心网络环境的应用 耿立宏张波苏力合 (中国科学院计算机网络信息中心，北京100080) 摘要本文结合科学数据库中心网络特点，提出了一种在LINUX环境下透明防 火墙解决方案，详细介绍了其工作特点和在实际网络环境中的应用方法 关键词防火墙网桥规则过滤 1．需求背景 科学数据库中心网络环境由运行环境和开发环境组成，运行环境提供对外服务，开发环 境由办公环境和开发服务器组成。两个环境分别处在不同的网段，分别通过各自的路由器与 库中心的网络在没有防火墙之前是直接与Internet连接的，内网的安全基本上是采取单机安全 人用机采取了一定的安全措施，甚至有的安装了单机防火墙，但是没有一个统一的安全屏障 来抵御外网入侵，由于工作的需要，运行环境和开发环境要开放较多的服务，这必然为外网 的非法入侵提供了可趁之机。因此，在网络的出nan装防火墙成为必须要做的工作。 传统的防火墙安装两个以上的网络接口，每个接口连接不同的网段，由于科学数据库中 Address 心网络环境采用真实口地址，防火墙不能采用NAT(Network 转换，是指当数据包通过一个系统的时候，系统改变数据包的源地址或目的地址)方式，如 果在现有的网络中添加传统防火墙，势必要改变已有的网络环境的配置。那么怎样才能在网 络中添加防火墙后而不需要修改网络中任何设备的参数呢?实现这一目标的方法就是网桥式 防火墙。 2．网桥式防火墙工作原理 传统防火墙和网桥式防火墙区别在于：传统防火墙类似路由器一样工作，内部网络将防 火墙看做是通向外部网络的网关，外部网络将防火墙看做是连往内部被保护的网络的网关， 且路由式防火墙是在基于OSI模型的第三层(IP层)运行，每块网卡(至少两块)必须有自己 的口地址，而且不能属于同一个子网，这样，内网或外网的机器才能通过防火墙互相访问， 但由于路由式防火墙对网络进行了子网划分，使得内部网络中的可用P地址范围减少，限制 了内部网主机的数量。而对于桥式防火墙，一个重要的方面就是它在OSI模型的第二层运行， 这就是说网络接口没有口地址，它通过包传递的方式将互相通讯的数据包传递到另一网卡， 网络上，由于无法看到防火墙的口地址，对于网内或网外的机器均感觉不到有防火墙的存在， 我们可以把它放在两个路由器之间，或者一个路由器和交换机之间，甚至可以只把它放在单 机前面。但是在防火墙上可以设置规则，控制数据包的传递。实现的机理就是网桥的原理。 因此如果网络中已经存在一个网关、路由器，就可以在不改动已有网络拓扑结构的情况下， 190 增加防火墙。 实际应用中，网桥式防火墙除了上述具有的使用灵活特点外，在效率上比路由式防火墙 也有一定的优势，由于路由式防火墙工作在网络层，要进行数据包的转发，就必须在防火墙 上配置路由表，路由式防火墙既要做过滤规则判断，又要进行路由判断。相比之下，网桥式 防火墙在过滤规则中屏蔽了路由功能，防火墙不需要考虑路由和网络接口配置，因此其效率 比路由式防火墙的效率要高。下表是两种防火墙的比较。 、—＼ 路由式防火墙 网桥式防火墙 改变网络结构 是 否 需要口地址 是 否 可用IP地址范围 减少 不变 防火墙规则设置 规则中设置网卡接口 规则中不需要设置网卡接口 网桥式防火墙技术方案：Linux下的iptables-I-bridge 2．1iptables 这个全新的内核包 不再使用ipchains，而是采用一个全新的内核包过虑管理工具一iptables。 过虑工具将使用户更易于理解其工作原理，更容易被使用，同时也具有更为强大的功能。 相关模块(如iptables模块)。 ”链”(chains)组成，而每条链中可以有一条或数条规贝lJ(rule)组成。