基于linux的iable防火墙包过滤设计.docVIP

PAGE 13 - 基于Linux IPtables的防火墙设计与实现 摘要：防火墙作为网络安全技术的重要手段，已成为使用最多的网络安全解决方案。在对现有防火墙技术分析的基础上，构建了一种基于 Linux嵌入式 Iptables的防火墙。 Iptables管理工具是一种基于包过滤防火墙工具，利用 Iptables工具，通过设置规则，可以实现 Linux环境下防火墙的功能。该文是在嵌入式 Iptables Netfilter框架下的构建的 Iptables策略，用户可以自己编制规则来构建防火墙的过滤策略，使得防火墙具有很好的稳定性与可扩展性。本防火墙包括最基本的包过滤和网络地址转换（ NAT）功能，它可以满足小型局域网安全性与网络应用，该文介绍了基于 Linux嵌入式 Netfilter/Iptables的包过滤防火墙的配置过程。 关键词： Linux；Iptables；防火墙 1、概述 随着计算机网络应用的日益普及和网络技术的不断发展，网络安全已成为一个不可避免的话题。网络信息系统在金融、政治、商业、交通、电信、文教等方面发挥越来越大的作用。随着网络规模的不断扩大与应用技术的不断进步，网络极易受到攻击 ,若不采取一定的安全措施，会造成经济损失。为了保护内部网络安全，通常会在互联网与企业网络或校园网间使用防火墙，基于 Linux嵌入式 Iptables的防火墙是目前研究的热点，专业的防火墙产品价格比较昂贵，中小心企业与中小学校无力购买。 Linux嵌入式 Iptables的防火墙给了我们一个新的选择。它提供了一套完全免费的解决方案 ,其内置防火墙功能非常强大，甚至超过了许多昂贵的商用软件。 2 、Linux防火墙发展现状和Iptables的优势 近年来 Linux得到了迅速的发展，这既得益于它的自由软件属性和稳定、高效、健壮的内核 ,也与 Linux是一个高性能的网络操作系统密不可分。 Linux2.4内核中 Netfilter/Iptables的出现，为构建 Linux下防火墙提供了很好的平台。 Iptables是基于 Linux操作系统 2.4之上内核版本的集成网络安全工具包。该工具通过配置可以实现多种网络技术安全功能，如：状态保持、数据包过滤、 NAT（网络地址翻译 )以及抵抗攻击等等。利用该工具可以在任意配置下的服务器、 PC机上实现功能强大、安全稳定的防火墙，因此它被众多企业和高校广泛采用，是一种比较成熟的网络安全技术。 由于 Netfilter/Iptables新型内核防火墙功能的增强 ,所以对其应用的深入研究也已引起重视。 Linux下的 Iptables工具也成为用户空间(userspace)，它使插入、修改和除去信息包过滤表中的规则变得容易。 Iptables还具有以下五点优势： 1）完全摒弃了 ipchains的设计，以新的构架（Netfilier）实现，模块化设计更加清晰，扩展性更强； 2）实现完整的动态 NAT.Ipchains中实际是多对的“地址伪装”； 3）实现基于 MAC及用户过滤； 4）实现真正的基于状态的过滤，不再是简单的查看 TCP包的标志位； 5）实现包速率限制等。 有了上述的优势所以在 Linux环境下用 Iptables做防火墙就使得用户操作更加简单、防护要求更加规范、防护措施更到位、效率更高。 3、嵌入式IPtables的原理 iptables就是 Linux操作系统下支持的 netfilter机制的配置工具，它也就相当于一个应用程序，用户可以根据自己需要合理的对 netfilter进行配置（包过滤规则， NAT等等）。所以要实现 netfilter（iptables）就要从两个方面来考虑：首先用户层的 iptables配置命令。其次是内核支持 netfilter； 3.1编译内核，支持netfilter表 在宿主主机上进入 Linux内核的目录，配置所需的内核模块： cd /usr/src/linux make menuconfig 选中如下内核选项： General setup [*] Network packet filtering (replaces ipchains) [*] Sysctl support（在 ROMFS文件系统中/proc/sys/net/ipv4/出现 ip_forward） Networking options IP: Netfilter Configuration （全部选择即可） 这样在 Linux内核中就选择支持了 netfilter表。接下来只需编译并生