基于IPTABLESWeb认证系统实现.docVIP

基于IPTABLESWeb认证系统实现 　　摘 要：在Linux操作系统中，利用IPTABLES服务实现了防火墙、NAT功能，并将端口转发规则和Web应用服务相结合，实现了用户Web认证功能，保证了内网计算机的安全。经过测试，系统能够高效稳定地运行，实现了设计目标。 　　关键词：防火墙 网络地址转换 端口转发 访问日志 　　中图分类号：TP393.08 文献标识码：B 文章编号：1673-8454（2009）03-0056-03 　　 　　一、引言 　　 　　随着Internet的迅速发展，宽带网络的接入日益增多，Internet用户的数量也迅速膨胀。尤其对于高校中的网络接入数量也快速增加，学校中网络管理人员面临着IP地址缺乏、用户访问认证、二级单位上网管理以及内部网络安全等一系列问题。特别是公安部门要求对上网用户进行身份认证和上网记录保存的问题，对网管人员提出了严格的要求。Linux操作系统的稳定安全和网络性能优异等特色，使其成为广大网管人员解决上述问题的首选。 　　IPTABLES是在Linux操作系统下基于2.4内核版本之后集成的网络安全工具，该工具实现了多种网络安全功能，如：数据包过滤、状态保持、NAＴ（Ｎｅｔｗｏｒｋ Ａｄｄｒｅｓｓ Ｔｒａｎｓｌａｔｉｏｎ，网络地址翻译），以及抗攻击等等。利用该工具可以在较低配置下的传统PC机上实现安全稳定、功能强大的防火墙+NAT系统，因此它被企业和高校广泛采用，成为一种比较成熟的技术。然而随着对网络安全性要求的日益提高，用户认证功能越来越受到重视，基于IPTABLES提供的上述功能却不能满足这一需求。 　　Squid是Linux平台下最为流行的代理服务器，是解决用户上网认证的有效方法。但是Squid也存在着一些缺陷，如：命中率和效率相对低下；支持的协议类型有限；需要在客户端计算机对浏览器或其他网络软件进行设置；某些服务对代理访问有限制等等，使其应用受到很大局限。透明代理是NＡＴ（ＩＰＴＡＢＬＥＳ）和代理（Ｓｑｕｉｄ）的完美结合，此种工作方式不需要在客户端浏览器或其他网络工具上进行任何设置，用户感觉不到代理服务器的存在。然而由于Squid不支持在透明代理模式下启用身份认证功能，所以它仍然不能解决用户认证问题，且Squid自身的性能依然存在缺陷。 　　 　　二、系统应用模块 　　 　　为了解决上述问题，依据透明代理的实现思路，即利用IPTABLES将发往80端口的数据包转发到Squid服务器的3128端口，将上网认证工作交给Squid处理的方法。该方法实现了基于IPTABLES的Web认证系统，它既发挥了IPTABLES服务NAT性能上的优势，又实现了用户上网认证功能。 　　该系统主要应用了IPTABLES服务的防火墙功能、NAT功能、端口转发功能，并利用Ulogd工具实现了IPTABLES的日志记录功能。同时在Linux系统中部署了Tomcat服务器，用于实现用户认证和IPTABLES规则修改功能。 　　利用IPTABLES规则实现防火墙具有很高的灵活性和稳定性，在本系统中防火墙安全政策定义为正面列表，即将INPUT、OUTPUT、FORWARD等规则设置为DROP来禁止所有的数据包通过，然后再分别设置规则来允许合法的数据包通过，这样系统的安全性就被提高。NAT功能将每个内网计算机节点的地址转换成一个外网IP地址，使之能够访问外网的资源，采用该方式能有效地解决二级单位的上网问题。端口转发功能也就是重定向，当IPTABLES服务接收到一个数据包后，不是转发这个包，而是将其重定向到系统上的某一个应用程序，最常见的应用就是和Squid配合使用，使其成为透明代理。Ulogd工具将IPTABLES的访问日志记录到Mysql数据库中，便于对数据进行分析和操作，同时也满足了公安部对上网日志保存的要求，在本系统中依据数据库中的日志记录来判断计算机的上网状态。Tomcat容器是一款优秀的Web服务器，它可与Java语言程序相结合，用来实现用户认证和对Linux系统sh脚本命令的操作，从而实现对IPTABLES规则的动态设置。 　　 　　三、系统功能及实现方法 　　 　　1.网络环境 　　网络环境如图1所示，是典型的三层网络结构。 　　 　　接入层为Cisco2950设备，负责接入客户端计算机，并划分VLAN；汇聚层为Cisco 3550设备，负责实现各个VLAN之间的互联互通，并接入核心层设备Cisco3750。Linux服务器安装双网卡作为网关，负责内网与外网的连接。在本系统中内网设为192网段，外网设为10网段，Linux服务器内网网卡IP地址设为192.168.1.254（eth0），外网网卡IP地址设为10.80.1.100（eth1）。为了实现