📄 计算机世界网-linux系统中的防火墙技术及其应用.htm
字号:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!-- saved from url=(0050)http://www.ccw.com.cn/htm/app/salon/01_12_10_2.asp -->
<HTML><HEAD><TITLE>计算机世界网-Linux系统中的防火墙技术及其应用</TITLE>
<META http-equiv=Content-Type content="text/html; charset=gb2312">
<STYLE>.a14 {
FONT-SIZE: 14px; TEXT-INDENT: 25px; LINE-HEIGHT: 20px
}
.f {
FONT-SIZE: 18px; COLOR: #0f3ccd
}
IMG {
BORDER-RIGHT: 0px; BORDER-TOP: 0px; BORDER-LEFT: 0px; BORDER-BOTTOM: 0px
}
TD {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
P {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
INPUT {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
A:link {
COLOR: black; TEXT-DECORATION: none
}
A:visited {
COLOR: #80006f; TEXT-DECORATION: none
}
A:hover {
COLOR: black; TEXT-DECORATION: underline
}
</STYLE>
<META content="MSHTML 6.00.2800.1400" name=GENERATOR></HEAD>
<BODY leftMargin=0 topMargin=2>
<CENTER>
<STYLE>.v12 {
FONT-WEIGHT: bold; FONT-SIZE: 10pt; COLOR: #ffffff
}
.v14 {
FONT-SIZE: 14px; TEXT-INDENT: 25px; LINE-HEIGHT: 20px
}
IMG {
BORDER-RIGHT: 0px; BORDER-TOP: 0px; BORDER-LEFT: 0px; BORDER-BOTTOM: 0px
}
TD {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
P {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
INPUT {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
SELECT {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
A:link {
COLOR: black; TEXT-DECORATION: none
}
A:visited {
COLOR: #80006f; TEXT-DECORATION: none
}
A:hover {
COLOR: black; TEXT-DECORATION: underline
}
</STYLE>
<STYLE>.v13 {
FONT-WEIGHT: bold; FONT-SIZE: 10pt; COLOR: #ffffff
}
.v12 {
FONT-WEIGHT: bold; FONT-SIZE: 13px; COLOR: #4c029c
}
.v14 {
FONT-SIZE: 14px; TEXT-INDENT: 25px; LINE-HEIGHT: 20px
}
IMG {
BORDER-RIGHT: 0px; BORDER-TOP: 0px; BORDER-LEFT: 0px; BORDER-BOTTOM: 0px
}
TD {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
P {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
INPUT {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
SELECT {
FONT-SIZE: 12px; font-fammily: verdana,宋体
}
A:link {
COLOR: black; TEXT-DECORATION: none
}
A:visited {
COLOR: #80006f; TEXT-DECORATION: none
}
A:hover {
COLOR: black; TEXT-DECORATION: underline
}
</STYLE>
<!--头-->
<TABLE cellSpacing=0 cellPadding=0 width=767 align=center border=0>
<TBODY>
<TR>
<TD vAlign=bottom>
<TABLE cellSpacing=0 cellPadding=0 border=0>
<TBODY>
<TR>
<TD vAlign=top><IMG
src="计算机世界网-Linux系统中的防火墙技术及其应用.files/ccwlogo.gif"></TD></TR>
<TR>
<TD vAlign=top height=27><IMG height=27
src="计算机世界网-Linux系统中的防火墙技术及其应用.files/knowledge.gif"
width=207></TD></TR></TBODY></TABLE></TD>
<TD vAlign=bottom width=556 bgColor=#4c029c height=96>
<TABLE height=96 cellSpacing=0 cellPadding=0 width=556 bgColor=#4c029c
border=0>
<TBODY>
<TR>
<TD vAlign=bottom bgColor=#ffffff colSpan=2 height=25><IMG
src="计算机世界网-Linux系统中的防火墙技术及其应用.files/top.gif" useMap=#F></TD></TR>
<TR vAlign=center>
<TD vAlign=center align=middle height=60><!-- <a href="/search/" target=_blank><img src="/img2/esearch.GIF" border=0 width=468 height=60></a> --><A
href="http://www.ccw.com.cn/html/search/thememail/"
target=_blank><IMG height=60
src="计算机世界网-Linux系统中的防火墙技术及其应用.files/topbanner_thememail.gif"
width=468 border=0></A> </TD>
<TD align=middle width="15%">
<TABLE width="95%">
<TBODY>
<TR>
<TD><A href="mailto:center@ccw.com.cn?subject=我要投稿:"
target=_blank><FONT class=v13>我要投稿</A><BR><A
href="mailto:center@ccw.com.cn?subject=编读往来"><FONT
class=v13>编读往来</A><BR><A
href="javascript:AddBookMark('计算机世界网首页')"><FONT
class=v13>加入收藏</A></FONT></FONT></FONT></TD></TR></TBODY></TABLE></TD></TR>
<TR>
<TD bgColor=#ffffff colSpan=2 height=1></TD></TR>
<TR>
<TD bgColor=#b4aafc colSpan=2 height=2></TD></TR></TBODY></TABLE><MAP
name=F><AREA shape=RECT target=_blank coords=29,3,61,18
href="http://www.ccw.com.cn/"><AREA shape=RECT target=_blank
coords=72,3,143,18 href="http://www.ccw.com.cn/news1/"><AREA shape=RECT
target=_blank coords=155,2,216,18
href="http://www.ccw.com.cn/center/"><AREA shape=RECT target=_blank
coords=225,2,299,18 href="http://www.ccw.com.cn/work/"><AREA shape=RECT
target=_blank coords=310,3,364,19
href="http://www.ccw.com.cn/search/"><AREA shape=RECT target=_blank
coords=372,2,412,19 href="http://www3.ccw.com.cn/"><AREA shape=RECT
target=_blank coords=424,2,550,18
href="http://www2.ccw.com.cn/"></MAP></TD></TR>
<TR>
<TD bgColor=#b4aafc colSpan=2>
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0>
<TBODY>
<TR>
<TD align=middle width="26%"><FONT
class=v12>【2004年3月8日】 </FONT></TD>
<TD class=V12><A href="http://www.ccw.com.cn/center/topic.asp">专
题</A> /</TD>
<TD class=V12><A href="http://www.ccw.com.cn/center/tech.asp">技
术</A> /</TD>
<TD class=V12><A href="http://www.ccw.com.cn/center/prod.asp">产
品</A> /</TD>
<TD class=V12><A href="http://www.ccw.com.cn/center/app.asp">应
用</A> /</TD>
<TD class=V12><A href="http://www.ccw.com.cn/center/net.asp">网
络</A> /</TD>
<TD class=V12><A href="http://www.ccw.com.cn/center/prog.asp">编
程</A> /</TD>
<TD class=V12><A href="http://www.ccw.com.cn/center/skill.asp">技
巧</A> </TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE>
<TABLE width=728 align=center>
<TBODY>
<TR>
<TD align=middle>
<TABLE width="100%">
<TBODY>
<TR>
<TD
class=a14><I>防火墙是在计算机上设立的防止内部网络与公共网络直接访问的安全机制。充当防火墙的设备或系统处于被保护网络与Internet之间。防火墙的安全作用是双向的,一方面防止来自不可信网络的非授权访问;另一方面能限制网络内部对互联网络的访问。</I></TD></TR></TBODY></TABLE><BR>
<H2><FONT color=#0f3ccd>Linux系统中的防火墙技术及其应用</FONT></H2><BR><B>武汉通信指挥学院
张威</B></TD></TR>
<TR>
<TD align=right>01-12-10 下午 12:58:11<BR>
<HR width=718 color=#f46240 SIZE=1>
</TD></TR></TBODY></TABLE><BR>
<TABLE width=728 align=center>
<TBODY>
<TR>
<TD vAlign=top width=600>
<TABLE width="100%">
<TBODY>
<TR>
<TD class=a14><B>概述</B></TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD
class=a14>在众多的网络防火墙产品中,Linux操作系统上的防火墙软件特点显著。它们和Linux一样,具有强大的功能,大多是开放软件,不仅可免费使用而且源代码公开。这些优势是其他防火墙产品不可比拟的。选用这类软件确实是最低硬件需求的可靠、高效的解决方案。但用户最关心的还是安全系统的性能,有关部门根据网络安全调查和分析曾得出结论:网络上的安全漏洞和隐患绝大部分是因网络设置不当引起的。使用Linux平台上的这些优秀软件同样也存在这样的问题。要使系统安全高效地运行,安装人员和管理人员必须能够理解该软件产品的运行机制并能深入分析所采用的防火墙设置策略会不会被人利用。本文仅对Linux平台上的IP包过滤防火墙软件Ipchains进行探讨。</TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD class=a14><B>防火墙的基本模型</B></TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD
class=a14>基于TCP/IP协议簇的Internet网际互联完全依赖于网络层以上的协议栈(网络层的IP协议、传输控制协议TCP/UDP协议和应用层协议)。考虑到网络防火墙是为了保持网络连通性而设立的安全机制,因此防火墙技术就是通过分析、控制网络以上层协议特征,实现被保护网络所需安全策略的技术。构建防火墙有三类基本模型:即应用代理网关、电路级网关(Circuit
Level Gateway)和网络层防火墙。它们涉及的技术有应用代理技术和包过滤技术等。</TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD
class=a14>应用代理网关允许内部网络上的用户通过防火墙非直接地访问Internet。它根据用户的请求代替用户与目的地进行连接。由于应用代理网关在应用层进行代理,所以它可以对应用协议进行控制,而且还可以在应用级进行记录。它比网络级防火墙的安全措施更加严格,因为它能提供更详细的审计报告、跟踪用户和应用进程以及IP包的参数。然而,采用应用层防火墙对网络性能有较大影响。由于对任何用户的请求都要求应用代理进程为其提供应用服务,所以速度较慢,并且不如网络层防火墙那样透明以及维护不便等。在Linux上实现这种防火墙模型的软件有squid等。</TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD
class=a14>电路级网关与应用代理网关类似,但进行的代理通常与应用无关。这样就失去了详尽记录和精确定义规则的能力。电路级网关是一台运行网关应用程序的设备,它只支持TCP/IP应用,使用TCP端口实现网络资源和用户应用程序之间的通信。它还要求客户端使用特殊软件才能为应用到应用的通信服务。SOCKS是Linux上实现这类防火墙模型的软件。</TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD
class=a14>网络层的IP包过滤防火墙在IP包水平上工作。它根据在每个包中的源地址、目的地址和包类型等信息控制包的流动。更彻底的过滤过程是检查包中的源、目的端口号以及连接状态等信息。这种防火墙比较安全,但缺少足够的记录信息。它可以阻止外部网络访问被保护的内部网络,但不能记录谁访问了公开的系统,以及谁从内部网络访问Internet。在Linux内核中支持IP包过滤,所以不需要增加其他软件就可以构建包过滤防火墙,Ipchains软件包是Linux平台上一个功能强大的包过滤策略管理软件,用于设置可靠的防火墙系统。</TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD class=a14><B>Ipchains及IP伪装原理</B></TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD
class=a14>在Linux系统上,支持包过滤的核心中有三个规则列表,这些列表称为防火墙链。三个链分别称为输入链、输出链和转发链。当一个包从Internet进入配置了防火墙的Linux主机,内核使用输入链决定该包的取舍。如果该包没有被丢弃,则内核继而调用转发链决定是否将包发送到某个出口,最后包要被发出前,内核通过输出链来做决定。</TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD class=a14>
<DIV align=center><IMG
src="计算机世界网-Linux系统中的防火墙技术及其应用.files/01_12_10_2a.jpg"><BR>图1
Ipchains 流程图</DIV></TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD
class=a14>一个链是一系列规则的列表。每个规则规定:如果包的包头与规则相匹配,那么对包进行相应的处理。如果该规则与包不匹配,则引入链中的下一条规则。最后,如果没有要引入的规则,内核根据内置策略决定如何做。在一个有安全意识的系统中,该规则通常告诉内核将包拒绝或丢弃。</TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD
class=a14>通过适当配置IP过滤规则,即三条链的过滤策略,该防火墙可以控制输入的包来自信任的IP网段,也可配置为只对外开放指定的TCP/UDP端口号。这些策略可分别指定到防火墙主机的某固定接口设备如以太网卡、PPP连接等。除这三条链外,我们还可以配置用户自定义的规则链。在三条链的执行中可随时跳转到自定义链执行,完成后再回到主链,这使过滤规则可以相当灵活。</TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD class=a14>在防火墙链中有一些特殊的跳转目标值如下表所示:</TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD class=a14>
<DIV align=center><IMG
src="计算机世界网-Linux系统中的防火墙技术及其应用.files/01_12_10_2b.jpg"></DIV></TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD
class=a14>在防火墙链中的IP伪装是一个比包过滤策略更加安全的解决方案,它同时解决了Internet中IP地址资源不足的问题。IP伪装是指当一台计算机访问Internet时能够将其IP地址伪装成其他地址的机制。如果连接到Internet上的一个Linux主机具有IP伪装功能,那么与该Linux计算机无论是在同一个局域网上还是通过PPP连接的,尽管它们没有正式的IP地址,都可与Internet连接。这意味着可将一系列主机藏在一个网关系统之后来访问Internet,它们的访问在外界看来是不可见的。</TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD class=a14>由于要伪装的主机没有正式的IP地址,可以使用IANA(Internet Assigned Numbers
Authority)保留的私有网络地址,即:</TD></TR></TBODY></TABLE>
<TABLE width="100%">
<TBODY>
<TR>
<TD class=a14>10.0.0.0~10.255.255.255⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -