基于LINUX操作系统的防火墙技术及其具体实现计算机理论....pdfVIP

基于LINUX操作系统的防火墙技术及其具体实现计算机理论....pdf

  1. 1、本文档共7页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

摘要本文介绍了LINUX下常用的防火墙规则配置软件Ipchains;从实现原理、配置方法

以及功能特点的角度描述了LINUX防火墙的三种功能;并给出了一个LINUX防火墙实例

作为参考。

关键字LINUX防火墙ipchains包过滤代理IP伪装

1前言

防火墙作为网络安全措施中的一个重要组成部分,一直受到人们的普遍关注。

LINUX是这几年一款异军突起的操作系统,以其公开的源代码、强大稳定的网

络功能和大量的免费资源受到业界的普遍赞扬。LINUX防火墙其实是操作系统

本身所自带的一个功能模块。通过安装特定的防火墙内核,LINUX操作系统会

对接收到的数据包按一定的策略进行处理。而用户所要做的,就是使用特定的

配置软件(如ipchains)去定制适合自己的“数据包处理策略”。

2LINUX防火墙配置软件—Ipchains

Ipchains是LINUX2.1及其以上版本中所带的一个防火墙规则管理程序。用户

可以使用

它来建立、编辑、删除系统的防火墙规则。但通常,需要自己创建一个防火墙

规则脚本/etc/rc.d/rc.firewall,并使系统启动时自动运行这个脚本。

一个LINUX防火墙系统的安全机制是通过Input、Output、Forward这三个“防

火链”来实现的。而用户正是使用ipchains在这三个“链”上分别创建一套

“防火规则”,来完成对到来数据包层层限制的目的,其组织结构如图1所

示。

其中,每个链都包括一组由用户创建的过滤规则,数据包依次到达每个

链,并比较其中的每条规则,直到找出匹配规则并执行相应策略(如通过、拒

绝等),否则执行默认策略。实际中,数据包在到达Input链之前还要进行测

试和正常性检查,在到路由表之前还要被判断是否被伪装,这些,在本图中都

被省略了。

Ipchains经常使用的命令行格式如下:

Ipchains–Achain[–iinterface][–pprotocol][[!]-y]

[–ssource-ip[port]][-ddestination-ip[port]]–jpolicy[-l]

对各选项的说明如下表:

-Achain添加一规则到链尾。chain可为input、output、

forward。

-iinterface指定本规则适用的网络接口。通常有eth0、

eth1、lo、ppp0等。

-pprotocol指定本规则适用的IP协议,如tcp、udp、icmp

等。

[!]–y-y表明tcp握手中的连接请求标志位SYN。!–y表示对

该请求的响应。

-ssrc-ip[port]指明数据包的源IP地址,port表示本规则适用

的端口号。

-ddst-ip[port]指明数据包的目的IP地址及端口号。

-jpolicy指定本规则对匹配数据包的处理策略:ACCEPT、DENY或

REJECT。

-l在系统日志/var/log/messages中记录与该规则匹配的数据包。

3LINUX防火墙的几种常见功能

由于每一个用户的要求和所处的环境都不一样,LINUX防火墙会根据用户的设

置实现各种不同的功能。但一般说来,以下三种功能是大多数用户最常用到

的。

3.1包过滤

对数据包进行过滤可以说是任何防火墙所具备的最基本的功能,而LINUX防火

墙本身从某个角度也可以说是一种“包过滤防火墙”。在LINUX防火墙中,操

作系统内核对到来的每一个数据包进行检查,从它们的包头中提取出所需要的

信息,如源IP地址、目的IP地址、源端口号、目的端口号等,再与已建立的

防火规则逐条进行比较,并执行所匹配规则的策略,或执行默认策略,这个过

程在图1中已经形象的表现出来。

值得注意的是,在制定防火墙过滤规则时通常有两个基本的策略方法可供选

择:一个是默认允许一切,即在接受所有数据包的基础上明确地禁止那些特殊

的、不希望收到的数据包;还有一个策略就是默认禁止一切,即首先禁止所有

的数据包通过,然后再根据所希望提供的服

文档评论(0)

132****7006 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档