Linux防火墙推荐.pdfVIP

计算机工程技术学院(软件学院) 毕业毕业设计设计(论文论文) 毕业毕业设计设计论文论文 题目题目： Linux 防火墙防火墙 题题目目 防火墙防火墙 专业： 网络系统管理 班级： 学生姓名： 学号： 指导教师姓名： 职称： 2007 年 05 月 Linux 防火墙介绍防火墙介绍 防火墙介绍防火墙介绍 摘摘 要要: 本文介绍了LINUX下常用的防火墙规则配置软件Iptables；从实现原 摘摘 要要 理、配置方法以及功能特点的角度描述了LINUX防火墙的功能 关键字关键字: LINUX防火墙 Iptables Ipchains 包过滤 关键字关键字 一 一 前言前言: 一一 前言前言 Linux 为增加系统安全性提供了防火墙保护。防火墙存在于你的计算机和网 络之间，用来判定网络中的远程用户有权访问你的计算机上的哪些资源。一个正 确配置的防火墙可以极大地增加你的系统安全性。防火墙作为网络安全措施中的 一个重要组成部分，一直受到人们的普遍关注。LINUX是这几年一款异军突起的 操作系统，以其公开的源代码、强大稳定的网络功能和大量的免费资源受到业界 的普遍赞扬。LINUX防火墙其实是操作系统本身所自带的一个功能模块。通过安 装特定的防火墙内核，LINUX操作系统会对接收到的数据包按一定的策略进行处 理。而用户所要做的，就是使用特定的配置软件（如iptables）去定制适合自 己的“数据包处理策略”。 二 二 防火墙防火墙 二二 防火墙防火墙 包过滤： 对数据包进行过滤可以说是任何防火墙所具备的最基本的功能，而LINUX防火墙 本身从某个角度也可以说是一种“包过滤防火墙”。在LINUX防火墙中，操作系 统内核对到来的每一个数据包进行检查，从它们的包头中提取出所需要的信息， 如源IP地址、目的IP地址、源端口号、目的端口号等，再与已建立的防火规则 逐条进行比较，并执行所匹配规则的策略，或执行默认策略。 值得注意的是，在制定防火墙过滤规则时通常有两个基本的策略方法可供选择： 一个是默认允许一切，即在接受所有数据包的基础上明确地禁止那些特殊的、不 希望收到的数据包；还有一个策略就是默认禁止一切，即首先禁止所有的数据包 通过，然后再根据所希望提供的服务去一项项允许需要的数据包通过。一般说来， 前者使启动和运行防火墙变得更加容易，但却更容易为自己留下安全隐患。 通过在防火墙外部接口处对进来的数据包进行过滤，可以有效地阻止绝大多数有 意或无意地网络攻击，同时，对发出的数据包进行限制，可以明确地指定内部网 中哪些主机可以访问互联网，哪些主机只能享用哪些服务或登陆哪些站点，从而 实现对内部主机的管理。可以说，在对一些小型内部局域网进行安全保护和网络 管理时，包过滤确实是一种简单而有效的手段。 代理： LINUX防火墙的代理功能是通过安装相应的代理软件实现的。它使那些不具备公 共IP的内部主机也能访问互联网，并且很好地屏蔽了内部网，从而有效保障了 内部主机的安全。 IP伪装： IP伪装（IP Masquerade）是LINUX操作系统自带的又一个重要功能。通过在系 统内核增添相应的伪装模块，内核可以自动地对经过的数据包进行“伪装”，即 修改包头中的源目的IP信息，以使外部主机误认为该包是由防火墙主机发出来 的。这样做，可以有效解决使用内部保留IP的主机不能访问互联网的问题，同 时屏蔽了内部局域网。 1 Linux下的包过滤防火墙管理工具: 在2.0的内核中,采用ipfwadm来操作内核包过滤规则。 在2.2的内核中,采用ipchains来控制内核包过滤规则。 在2.4的内核中,采用一个全新的内核包过滤管理工具——iptables。 2 包过滤防火墙的工作原理: 使用过滤器。数据包过滤用在内部主机和外部主机之间，过滤系统是一 台路由器或是一台主机