LINUX操作系统防火墙研究设计.docVIP

. 页 1 防火墙的概论 1.1 防火墙技术 现代计算机环境中，由于环境的复杂性和多样性，使得单纯的主机安全防卫越来越无法适应网络时代的要求，网络安全防卫模式在这种情况下应运而生。网络安全服务的最大特点就是将分散的各种安全任务集中到一点来管理，把注意力集中到控制不同主机的网络通信和它们所提供的服务上来。采用网络安全防卫可以获得很多的好处，例如，一个单独的网络防火墙可以保护几百几千台计算机免于防火墙外的攻击，即使内部个别主机的主机防卫水平比较低。 防火墙是网络安全防卫的一种典型实例。通常，防火墙被安装在被保护的内部网和外部网/Internet之间的连接点之上，所有进出内部网络的活动都必须经过防火墙的检查，并且实施网络安全策略。也可以吧防火墙看成是一种访问控制机制，决定哪些内部服务允许外部访问，哪些不允许外部访问，反之亦然。从逻辑角度上讲，防火墙是一个分离器和限制器，同时也是一个分析器。 防火墙是有效的网络安全控制机制之一。防火墙可以阻止外部网络发生的危险波及内部网络，总的来说其主要功能包括：（1）对特殊端点的访问进行控制：防火墙可以允许外部网访问受保护网的一些主机，而另一些主机被保护起来，防止不必要的访问。（2）提供监视Internet安全和预警的方便端点：防火墙可以对所有通过它的访问进行记录并提供网络使用情况的统计数据。同时它也是审查和记录Internet使用情况的最佳点，帮助网络管理员掌握Internet连接费用和带宽拥挤的详细情况，同时提供了一个减轻部门负担的方法。（3）限制某些用户或信息进入或离开一个被严格控制的子网：通过防火墙可以过滤掉不安的全服务和非法的用户，禁止未授权的用户访问受保护的网络。可以把防火墙设置成为只有预先被允许的服务和用户才能通过防火墙。这样就降低了被保护子网遭受非法攻击的风险性，大大提高了网络安全性。 不同的防火墙构造是不一样的，有的是一台主机，有的甚至是一个网络系统。具体要取决于站点的安全要求和投资等综合因素。 1.2 防火墙的定义 防火墙的原始含义是一种建筑，用以防止着火的时候火不至从一个房间蔓延到另一个房间。后来，将其引入到计算机安全的领域来，特别是近年来多用于飞速发展的Internet网络中。所以，有时也叫Internet防火墙。 防火墙是在两个网络之间强制实施访问控制策略的一个或一组系统，是有多个部件组成的一个集合，防火墙被放在两个网络之间，并且具有以下特性：所有的从内部到外部或从外部到内部的通信都必须经过防火墙；只有经过内部访问策略授权后的通信才被允许通过；系统本身要具有较高的可靠性。 简而言之，防火墙就是用来保护可信网络不受非可信网络侵入的一种机制，但它允许在这两个网络之间的进行通信。这两种网络的最典型的例子就是企业内部网和Internet。 从安全策略和网络配置的角度来看，防火墙就是附加了许多安全机制的主机系统或路由器，使得内部网络与Internet之间或者与其他外部网络互相隔离，通过限制网络互访，隐藏主机或子网中的协议和服务，并保护其内部资源不受外部的攻击或滥用。 1.3防火墙的基本类型 经过十余年的发展过程，目前存在应用不同技术的多种防火墙，这些技术之间的区分不很明显，但从处理的数据对象和实现层次的角度说，大体上可分为包过滤防火墙和应用层网关防火墙两种类型。 1.3.1 包过滤防火墙的定义 包过滤防火墙是在IP层实现的，其处理对象是网络报文/IP包。因此，它可以只用路由器完成。包过滤防火墙根据网络报文的目的IP地址、源IP地址、目的端口、源端口及报文传递方向等报头信息来判断是否允许该报文通过。 1.3.2 应用网关防火墙的定义 应用网关防火墙：它是在应用层实现的，通过对网络服务的代理，检查进出网络的各种服务。其处理对象是各种不同的应用服务。 1.4 防火墙的应用 由于网络通讯基于层次参考模型，所以，不同类型的防火墙也就处理不同层次抽象出的通讯数据。IP包过滤处理网络层数据，应用代理处理应用层数据。随着防火墙技术的不断发展，近年来出现了许多加强功能的防火墙，本质上讲，它们都是这两类基本类型。例如，现在出现了一种可以分析IP包数据区内容的智能型包过滤器，它通过深入检查IP包而得出的有关各种Internet服务的信息，进而进行访问控制，实际上属于包过滤型防火墙。另外，有些防火墙是控制TCP通信会话层，如SOCKS，这种防火墙本质上是应用网关，只是对所有的应用都通过控制连接会话来实施。 2 LINUX下的防火墙iptables 2.1 iptables的包过滤功能 任何防火墙所具备的最基本的功能就是对数据包进行过滤，从某个角度讲，LINUX防火墙本身也是一种“包过滤防火墙”。在LINUX防火墙中，LINUX 内核对到来的每一个数据包进行检查，并从它们的包头中提取出所需要的信息，如目的I