龙源期刊网 http://www.qikan.com.cn
探讨基于Linux操作系统下的防火墙技术与应用
作者:袁 敏
来源:《电脑知识与技术》2008年第34期
摘要:文章阐述了防火墙的基本原理、特点和功能,并通过实例实现基于Linux系统环境下,使用防火墙的方法。
关键词:防火墙;包过滤;网络地址转换;代理服务器
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)34-1623-04 Discussion Based on the Linux Operating System and Application Firewall Technology YUAN Min
(Hefei University of Technology Institute of Computer and Information, Hefei 230069, China) Abstract: The article describes the basic principles of the firewall, the features and functionality, and through examples of systems based on Linux environment, the use of firewalls. Key words: firewall; packe filtering; nat; proxy service
随着Inetnet的普及,它与人们日常工作的关系越来越紧密,因而越来越多的局域网创建了Internet代理上网服务。但当一个局域网的内部接上Internet之后,其内部资源就像代卖的羔羊一样,面临任人宰割的危险,因而除了考虑计算机病毒、系统的健壮性等内部原因之外,更主要的是防止非法用户通过Internet的入侵,目前这种防范措施主要是靠防火墙的技术完成。 1 防火墙原理
防火墙(Firewall)是指隔离在本地网络与外界网络之间的一道防御系统,是此类防范措施的总称。在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(本地局域网)的连接,同时不会妨碍人们对风险区域的访问。
防火墙不是一段单独的计算机程序或一件设备。防火墙是一种非常有效的网络安全模型。在逻辑上,它是过滤器、限制器和分析器,在物理上,它是被放在两个网络边界上的用于加强访问控制(阻隔非法访问)的一组硬件设备(如路由器、主机),或者是各种系统组件的网络组合(包括路由器、主机和配有的相关软件)。
龙源期刊网 http://www.qikan.com.cn
目前的防火墙从结构上讲,可分为两种: 1) 代理主机结构(如图1 所示) ■ 图1
2) 路由器加过滤器结构(如图2 所示) ■ 图2
所有的Internet通信都是通过独立数据包的变换来完成的。每个包由源主机向目标主机传输。包是Internet上信息传输的基本单位,虽常说电脑之间的“连接”,但这连接实际上是由被连接的两台电脑之间传送的独立数据包组成的。实质上,它们“同意”相互之间的连接,并各自向发送者发出应答包,让发送者知道数据被接收。
到达了目的地──不论两台计算机相距有多远,每个Internet数据包都必须包含一个目标地址和端口号,和源主机的IP地址及端口号,以便接受者知道了是谁发出了这个包。也就是说,每一个在Internet上传送的包,都必须含有Internet源地址和目标地址。一个IP地址总是指向Internet上的一台单独机器,而端口号则和机器上的某种服务或会话向关联。
既然防火墙检查每个到达你的计算机的数据包,那么,在这个包被运行的任何软件看到之前,防火墙有完全的否决权,可以禁止你的计算机接收Internet上的任何东西。
当第一个请求建立连接的包被你的计算机回应后,一个TCP/IP被端口打开。如果到达的包不被受理,这个端口就会迅速地从Internet上消失,谁也别想和它连上。
但防火墙真正的目的于选择哪些包该拦截,哪些包该放行。既然每个到达的包都含有正确的发送者的IP地址(以便接收者发送回应包),那么,基于源主机IP地址及端口号和目标主机IP 地址及端口号的一些组合,防火墙可以过滤掉一些到达的包。 2 防火墙的特点 防火墙具备以下特点:
1) 广泛的服务支持:通过将动态的、应用层的过滤能力和认证相结合,可实现WEB浏览器、HTTP服务器、FTP等。
2) 对私有数据的加密支持:保证通过Internet进行虚拟私人网络和商务活动不受损坏。
龙源期刊网 http://www.qikan.com.cn
3) 客户端认证只允许制定的用户访问内部网络或选择服务:局域网内部分支机构用户之间安全通信的附加部分。
4) 反欺骗:欺骗是从外部获取访问权的常用手段,它使数据包好似来自网络内部。防火墙能监视这样的数据包并并能扔掉它们。
5) C/S模式和跨平台支持:能使运行在一个平台的管理模块控制运行在另一个平台的监视模块。
3 防火墙的功能
1) 防火墙是阻塞点。它可以强迫所有进出的信息都通过这唯一的、狭窄的检查点,这样就可以集中实施安全策略,而不是对每台主机都进行单独的保护,显然集中式管理要比分散式管理高效且经济。
2) 防火墙可以实施强制的安全策略。可以允许某些服务通过防火墙,而禁止其它服务通过,这样可以有效地保护内部网络,不让入侵者利用那些存在严重安全缺陷的服务。这种安全策略可以随情况的不同而变化,具有很大的灵活性。
3) 防火墙可以记录网络上的活动情况。这样,管理员可以通过检查日志来跟踪和发现入侵者。
4) 使用内部防火墙可以防止一个网段的问题向另一个网段传播。 4 防火墙的分类
1) 包过滤(Packet Filtering)防火墙:拒绝接受从未授权的主机发送的数据包,并拒绝接受使用未授权服务的连接请求。
2) 网络地址翻译(Network Address Translation,NAT)防火墙:翻译内部主机的IP地址而使外部检测器无法探测到它们。
3) 代理服务器(Proxy Service)防火墙:代理内部主机进行高层应用连接,完全中断内部主机和外部主机的网络层连接。 5 防火墙的实现
该文主要介绍通过包过滤方法的实例,来实现Linux系统环境下的防火墙。 5.1 包过滤防火墙的工作层次