探讨基于Ｌｉｎｕｘ操作系统下的防火墙技术与应用.docVIP

探讨基于Ｌｉｎｕｘ操作系统下的防火墙技术与应用 　　摘要：文章阐述了防火墙的基本原理、特点和功能，并通过实例实现基于Linux系统环境下，使用防火墙的方法。 　　关键词：防火墙；包过滤；网络地址转换；代理服务器 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)34-1623-04 　　Discussion Based on the Linux Operating System and Application Firewall Technology 　　YUAN Min 　　(Hefei University of Technology Institute of Computer and Information, Hefei 230069, China) 　　Abstract: The article describes the basic principles of the firewall, the features and functionality, and through examples of systems based on Linux environment, the use of firewalls. 　　Key words: firewall; packe filtering; nat; proxy service 　　随着Inetnet的普及，它与人们日常工作的关系越来越紧密，因而越来越多的局域网创建了Internet代理上网服务。但当一个局域网的内部接上Internet之后，其内部资源就像代卖的羔羊一样，面临任人宰割的危险，因而除了考虑计算机病毒、系统的健壮性等内部原因之外，更主要的是防止非法用户通过Internet的入侵，目前这种防范措施主要是靠防火墙的技术完成。 　　1 防火墙原理 　　防火墙（Firewall）是指隔离在本地网络与外界网络之间的一道防御系统，是此类防范措施的总称。在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域（即Internet或有一定风险的网络）与安全区域（本地局域网）的连接，同时不会妨碍人们对风险区域的访问。 　　防火墙不是一段单独的计算机程序或一件设备。防火墙是一种非常有效的网络安全模型。在逻辑上，它是过滤器、限制器和分析器，在物理上，它是被放在两个网络边界上的用于加强访问控制（阻隔非法访问）的一组硬件设备（如路由器、主机），或者是各种系统组件的网络组合（包括路由器、主机和配有的相关软件）。 　　目前的防火墙从结构上讲，可分为两种： 　　1) 代理主机结构（如图1 所示） 　　■ 　　图1 　　2) 路由器加过滤器结构（如图2 所示） 　　■ 　　图2 　　所有的Internet通信都是通过独立数据包的变换来完成的。每个包由源主机向目标主机传输。包是Internet上信息传输的基本单位，虽常说电脑之间的“连接”，但这连接实际上是由被连接的两台电脑之间传送的独立数据包组成的。实质上，它们“同意”相互之间的连接，并各自向发送者发出应答包，让发送者知道数据被接收。 　　到达了目的地──不论两台计算机相距有多远，每个Internet数据包都必须包含一个目标地址和端口号，和源主机的IP地址及端口号，以便接受者知道了是谁发出了这个包。也就是说，每一个在Internet上传送的包，都必须含有Internet源地址和目标地址。一个IP地址总是指向Internet上的一台单独机器，而端口号则和机器上的某种服务或会话向关联。 　　既然防火墙检查每个到达你的计算机的数据包，那么，在这个包被运行的任何软件看到之前，防火墙有完全的否决权，可以禁止你的计算机接收Internet上的任何东西。 　　当第一个请求建立连接的包被你的计算机回应后，一个TCP/IP被端口打开。如果到达的包不被受理，这个端口就会迅速地从Internet上消失，谁也别想和它连上。 　　但防火墙真正的目的于选择哪些包该拦截，哪些包该放行。既然每个到达的包都含有正确的发送者的IP地址（以便接收者发送回应包），那么，基于源主机IP地址及端口号和目标主机IP 地址及端口号的一些组合，防火墙可以过滤掉一些到达的包。 　　2 防火墙的特点 　　防火墙具备以下特点： 　　1) 广泛的服务支持：通过将动态的、应用层的过滤能力和认证相结合，可实现WEB浏览器、HTTP服务器、FTP等。 　　2) 对私有数据的加密支持：保证通过Internet进行虚拟私人网络和商务活动不受损坏。 　　3) 客户端认证只允许制定的用户访问内部网络或选择服务：局域网内部分支机构用户之间安全通信的附加部分。 　　4) 反欺骗：欺骗是从外部获取访问权的常用手段，它使