- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
探讨基于Linux操作系统下的防火墙技术与应用
摘要:文章阐述了防火墙的基本原理、特点和功能,并通过实例实现基于Linux系统环境下,使用防火墙的方法。
关键词:防火墙;包过滤;网络地址转换;代理服务器
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)34-1623-04
Discussion Based on the Linux Operating System and Application Firewall Technology
YUAN Min
(Hefei University of Technology Institute of Computer and Information, Hefei 230069, China)
Abstract: The article describes the basic principles of the firewall, the features and functionality, and through examples of systems based on Linux environment, the use of firewalls.
Key words: firewall; packe filtering; nat; proxy service
随着Inetnet的普及,它与人们日常工作的关系越来越紧密,因而越来越多的局域网创建了Internet代理上网服务。但当一个局域网的内部接上Internet之后,其内部资源就像代卖的羔羊一样,面临任人宰割的危险,因而除了考虑计算机病毒、系统的健壮性等内部原因之外,更主要的是防止非法用户通过Internet的入侵,目前这种防范措施主要是靠防火墙的技术完成。
1 防火墙原理
防火墙(Firewall)是指隔离在本地网络与外界网络之间的一道防御系统,是此类防范措施的总称。在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(本地局域网)的连接,同时不会妨碍人们对风险区域的访问。
防火墙不是一段单独的计算机程序或一件设备。防火墙是一种非常有效的网络安全模型。在逻辑上,它是过滤器、限制器和分析器,在物理上,它是被放在两个网络边界上的用于加强访问控制(阻隔非法访问)的一组硬件设备(如路由器、主机),或者是各种系统组件的网络组合(包括路由器、主机和配有的相关软件)。
目前的防火墙从结构上讲,可分为两种:
1) 代理主机结构(如图1 所示)
■
图1
2) 路由器加过滤器结构(如图2 所示)
■
图2
所有的Internet通信都是通过独立数据包的变换来完成的。每个包由源主机向目标主机传输。包是Internet上信息传输的基本单位,虽常说电脑之间的“连接”,但这连接实际上是由被连接的两台电脑之间传送的独立数据包组成的。实质上,它们“同意”相互之间的连接,并各自向发送者发出应答包,让发送者知道数据被接收。
到达了目的地──不论两台计算机相距有多远,每个Internet数据包都必须包含一个目标地址和端口号,和源主机的IP地址及端口号,以便接受者知道了是谁发出了这个包。也就是说,每一个在Internet上传送的包,都必须含有Internet源地址和目标地址。一个IP地址总是指向Internet上的一台单独机器,而端口号则和机器上的某种服务或会话向关联。
既然防火墙检查每个到达你的计算机的数据包,那么,在这个包被运行的任何软件看到之前,防火墙有完全的否决权,可以禁止你的计算机接收Internet上的任何东西。
当第一个请求建立连接的包被你的计算机回应后,一个TCP/IP被端口打开。如果到达的包不被受理,这个端口就会迅速地从Internet上消失,谁也别想和它连上。
但防火墙真正的目的于选择哪些包该拦截,哪些包该放行。既然每个到达的包都含有正确的发送者的IP地址(以便接收者发送回应包),那么,基于源主机IP地址及端口号和目标主机IP 地址及端口号的一些组合,防火墙可以过滤掉一些到达的包。
2 防火墙的特点
防火墙具备以下特点:
1) 广泛的服务支持:通过将动态的、应用层的过滤能力和认证相结合,可实现WEB浏览器、HTTP服务器、FTP等。
2) 对私有数据的加密支持:保证通过Internet进行虚拟私人网络和商务活动不受损坏。
3) 客户端认证只允许制定的用户访问内部网络或选择服务:局域网内部分支机构用户之间安全通信的附加部分。
4) 反欺骗:欺骗是从外部获取访问权的常用手段,它使
您可能关注的文档
- 神经网络的应用研究探讨.doc
- 深化和依托校企合作,优化课程体系.doc
- 神经网络极速学习方法研究进展.doc
- 神经网络计算机原理及实现方法.doc
- 神圣VS自由《英雄之城》四族兵种详解.doc
- 肾病专科电子病历系统的分析与设计.doc
- 声讯服务系统无缝连接方案.doc
- 省级精品课程《图形图像处理》的建设探索与体会.doc
- 省级雷达拼图资料监控与统计系统.doc
- 生活乱如麻 小秘书来提醒.doc
- 2025年制造业智能制造服务产业政策支持与市场趋势.docx
- 2025年制造业转型新篇章:3D打印技术在制造业大规模生产中的应用案例分析.docx
- 2025年制造业高质量发展报告:产业生态构建与区域布局分析.docx
- 2025年制造业智能化升级趋势研究报告.docx
- 2025年制造业绿色供应链与绿色供应链政策法规研究报告.docx
- 2025年冰雪旅游项目投资可行性研究报告:冰雪旅游项目政策法规解读.docx
- 2025年农村金融风险防范与化解机制创新报告.docx
- 2025年农村金融服务创新模式对农村金融扶贫的推动作用报告.docx
- 2025年农村集体产权制度改革与新型农业经营主体培育分析.docx
- 2025年农村金融服务改革对新型农业经营主体培育的机遇与挑战.docx
最近下载
- CAD软件:PTC Creo 二次开发all.docx VIP
- 部编版语文六年级上册全册教学设计(教案).pdf VIP
- 《宪法基本知识课件:公务员考试公基必备》.ppt VIP
- 航空概论完整全套教学课件.pptx
- 辽宁研发楼室内精装修冬季施工方案.doc VIP
- 《饮用水源保护区》课件.ppt VIP
- 2022年CCAA注册审核员《产品认证基础》试题(网友回忆版).docx VIP
- 证明某人是某个公司的实际控制人的协议书6篇.docx VIP
- 2025-2026新人教版小学3三年级数学上册全册教案【新教材】.doc
- 精品解析:天津市河西区2024-2025学年八年级下学期期末数学试卷(解析版).docx VIP
文档评论(0)