新建网站怎样绑定域名,绿色国外网站,实体店做团购有那些网站,手机应用软件开发工具摘要
随着Internet的迅速发展#xff0c;网络越来越成为了人们日常生活不可或缺的一部分#xff0c;而随之引出的网络安全问题也越来越突出#xff0c;成为人们不得不关注的问题。 为了在一个不安全的网际环境中构造出一个相对安全的环境#xff0c;保证子网环境下的计算机…摘要
随着Internet的迅速发展网络越来越成为了人们日常生活不可或缺的一部分而随之引出的网络安全问题也越来越突出成为人们不得不关注的问题。 为了在一个不安全的网际环境中构造出一个相对安全的环境保证子网环境下的计算机的安全运行免受到外部的侵害针对当前的网络问题本文主要介绍了几种流行的防火墙技术及其工作原理。在防火墙的基本概念、作用和基本类型的基础上重点分析了linux诸版本中所使用的基于包过滤型防火墙的工作原理并在此基础上对linux2.4版本出现的iptables技术作了详细的构架环境分析以及实现以此来测试和部署出一个较为安全的网络环境使得在一个不安全的网络环境中有效防范外部网络的攻击行为让整个网络具有较高的安全级别。 关键词 防火墙、网络安全、Linux、包过滤技术、Iptables
Abstract With the rapid development of Internet, the network is more and more become an integral part of People’s daily life, and subsequently leads to the problem of network security that has become increasingly prominent, as people have concerns. In order to construct a relatively safe environment in a secure environment, to ensure the subnet environment of computer security operation and not infringed by the external, in view of the current network problems, this paper mainly introduces several popular firewall technology and how it works. On the basis of the basic concept, role and basic types behind a firewall, we mainly analys its working principle,which is based on the working principle of packet filter firewall in each version of Linux,and based on that, we analyzed in detail and achieve the structure environment of iptables technology which appears in version 2.4 of Linux,and use it to test and deploy a safer network environment,which will make computers can effectively guard against external network attack behavior in an unsafe network environment, let whole network has a higher level of security.
Key Words: firewall、Network Security、Linux、Packet filtering technology、Iptables
目录
第1章 绪论 1 1.1 选题的意义 1 1.2 研究内容与论文工作 1 1.3 论文的组织 2 第2章 网络安全概念及常用防火墙技术 3 2.1 计算机网络安全的概念 3 2.2 计算机防火墙中的常用技术 3 第3章 Linux系统的特点 10 第4章 基于linux的网络防火墙技术 12 第5章 linux网络防火墙的架构环境 16 第6章 linux网络防火墙的实验方法 19 第7章 总结及进一步研究 23 7.1 总结 23 7.2 进一步研究 23 参考文献 25 致谢 26
第1章 绪论
1.1 选题的意义 近年来计算机网络技术的不断发展使得网络应用逐渐得到普及。网络已经越来越成为了人们日常生活不可或缺的一部分逐渐成为了一个无所不在、无所不用的工具。足不出户人们便可以了解到全球网络上面丰富的经济、文化等信息甚至即时的了解到世界上任何一个角落所正在发生的事情。而然随着网络应用的不断普及和增多网络安全问题也越来越突出这源于计算机网络连接方式的多样性、终端分布不均性、网络开放性以及网络资源共享性等因素。因此连接到互联网上的计算机非常容易遭受到病毒、黑客、恶意软件和其他一些非法行为的攻击。所以为了确保网络上信息的安全传输计算机网络的安全与防范措施的研究必然要提上议事日程。 防火墙技术是一种目前使用最为广泛的网络安全防护技术它可以是一个或者一组实施访问控制策略的系统可以是软件、硬件亦或者是两者的结合其目的是提供一种对网络的安全保护策略。防火墙的设计通常位于内部网络与外部网络之间以实现监视、控制和改变内部和外部网络之间流动的网络通信控制外部计算机对内部访问的环境确定访问的时间、权限、服务类型和质量等。总而言之防火墙技术是要尽最大的努力来保护用户或者企业的信息不受侵害。 在Internet上面黑客使用恶意代码比如说病毒、蠕虫、特洛伊木马等等来尝试查找未受保护的计算机。虽然有些攻击仅仅是一种恶作剧但是很大部分的攻击确实怀有恶意的甚至有的攻击试图去删除您所用计算机中的信息使系统崩溃或者窃取相关隐私信息这就使得信息保护的意思尤为重要。幸运的是我们可以通过使用防火墙来降低感染的风险所以研究、配置和测试计算机的防火墙自然是我们非常关系和值得考虑的问题。 1.2 研究内容与论文工作 本文所研究的内容以及工作主要如下 1阅读相关的资料文献了解领域内相关技术等知识。 2熟悉Linux操作系统的特点并懂得相关的操作知识。 3学习和研究Linux系统下网络防火墙技术的知识初步学会如何配置防火墙。 4熟练掌握配置的防火墙的测试工作能根据需要配置出个人的防火墙。 1.3 论文的组织 1第二章介绍计算机网络安全的基本概念以及常用的网络防火墙技术。 2第三章介绍linux系统的特点 3第四章介绍基于linux操作系统的网络防火墙技术并介绍相关技术的构架环境进而实现linux网络防火墙。 4第五章介绍linux网络防火墙的架构环境 5第六章介绍linux网络防火墙的实验方法 4第七章对本文进行总结指出本文研究的成果、存在的不足以及自身对项目的体会。
第2章 网络安全概念及常用防火墙技术
2.1 计算机网络安全的概念 计算机网络安全不仅包括组网的硬件、管理控制网络的软件也包括共享的资源快捷的网络服务所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。国际标准化组织ISO对计算机系统安全的定义是为数据处理系统建立和采用的技术和管理的安全保护保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。参照ISO给出的计算机安全定义认为计算机网络安全是指“保护计算机网络系统中的硬件软件和数据资源不因偶然或恶意的原因遭到破坏、更改、泄露使网络系统连续可靠性地正常运行网络服务正常有序。” 2.2 计算机防火墙中的常用技术 2.2.1 包过滤技术 防火墙的一类。传统的包过滤功能在路由器上常可看到而专门的防火墙系统一般在此之上加了功能的扩展如状态检测等。它通过检查单个包的地址协议端口等信息来决定是否允许此数据包通过。 包过滤防火墙是最简单的一种防火墙它在网络层截获网络数据包根据防火墙的规则表来检测攻击行为。包过滤防火墙一般作用在网络层IP层故也称网络层防火墙Network Lev Firewall或IP过滤器IP filters。数据包过滤Packet Filtering是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。 包过滤技术(IP Filtering or packet filtering) 的原理在于监视并过滤网络上流入流出的IP包拒绝发送可疑的包。基于协议特定的标准路由器在其端口能够区分包和限制包的能力叫包过滤Packet Filtering。由于Internet 与Intranet 的连接多数都要使用路由器所以Router成为内外通信的必经端口Router的厂商在Router上加入IP 过滤 功能过滤路由器也可以称作包过滤路由器或筛选路由器Packet FilterRouter。防火墙常常就是这样一个具备包过滤功能的简单路由器这种Firewall应该是足够安全的但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的因而在安全要求较高的场合通常还配合使用其它的技术来加强安全性。 包过滤技术的工作原理。路由器逐一审查数据包以判定它是否与其它包过滤规则相匹配。每个包有两个部分数据部分和包头。过滤规则以用于IP顺行处理的包头信息为基础不理会包内的正文信息内容。包头信息包括IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配且规则允许这包这一包则根据路由表中的信息前行。如果未找到一个匹配且规则拒绝此包这一包则被舍弃。如果无匹配规则一个用户配置的缺省参数将决定此包是前行还是被舍弃。 包过滤规则允许Router取舍以一个特殊服务为基础的信息流因为大多数服务检测器驻留于众所周知的TCP/UDP端口。 包过滤防火墙的分类。它包括静态包过滤类型防火墙和动态包过滤类型防火墙。 静态包过滤类型防火墙这类防火墙几乎是与路由器同时产生的它是根据定义好的过滤规则审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。 动态包过滤类型防火墙。这类防火墙采用动态设置包过滤规则的方法避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪并且根据需要可动态地在过滤规则中增加或更新条目。 包过滤技术包括两种基本类型。无状态检查的包过滤和有状态检查的包过滤。其区别在于后者通过记住防火墙的所有通信状态并根据状态信息来过滤整个通信流而不仅仅是包。 有许多方法可以绕过包过滤器进入Internet包过滤技术存在以下几个缺陷 1 TCP只能在第0个分段中被过滤。 2 特洛伊木马可以使用NAT来使包过滤器失效。 3 许多包过滤器允许1024以上的端口通过。 典型过滤规则介绍。典型的过滤规则有以下几种允许特定名单内的内部主机进行Telnet输入对话、只允许特定名单内的内部主机进行FTP输入对话、只允许所有Telnet 输出对话、只允许所有FTP 输出对话、拒绝来自一些特定外部网络的所有输入信息。 有些类型的攻击很难用基本包头信息加以鉴别因为这些独立于服务。一些Router可以用来防止这类攻击但过滤规则需要增加一些信息而这些信息只有通过以下方式才能获悉研究Router选择表、检查特定的IP选项、校验特殊的片段偏移等。这类攻击有以下几种 源IP地址欺骗攻击入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口则舍弃每个含有这个源IP地址的信息包就可以挫败这种源欺骗攻击。 源路由攻击源站指定了一个信息包穿越Internet时应采取的路径这类攻击企图绕过安全措施并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式来挫败这类攻击。 残片攻击入侵者利用IP残片特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断。舍弃所有协议类型为TCP、IP片断偏移值等于1的信息包即可挫败残片的攻击。 从以上可看出定义一个完善的安全过滤规则是非常重要的。通常过滤规则以表格的形式表示其中包括以某种次序排列的条件和动作序列。每当收到一个包时则按照从前至后的顺序与表格中每行的条件比较直到满足某一行的条件然后执行相应的动作(转发或舍弃)。有些数据包过滤在实现时“动作”这一项还询问若包被丢弃是否要通知发送者(通过发ICMP信息)并能以管理员指定的顺序进行条件比较直至找到满足的条件。 对流进和流出网络的数据进行过滤可以提供一种高层的保护。建议过滤规则如下 1任何进入内部网络的数据包不能把网络内部的地址作为源地址。 2任何进入内部网络的数据包必须把网络内部的地址作为目的地址。 3任何离开内部网络的数据包必须把网络内部的地址作为源地址。 4任何离开内部网络的数据包不能把网络内部的地址作为目的地址。 5任何进入或离开内部网络的数据包不能把一个私有地址private address或在RFC1918中 127.0.0.0/8.的地址作为源或目的地址。 6阻塞任意源路由包或任何设置了IP选项的包。 7保留、DHCP自动配置和多播地址也需要被阻塞。0.0.0.0/8 、169.254.0.0/16 、192.0.2.0/24 、224.0.0.0/4 、240.0.0.0/4。 包过滤技术的优点 1一个过滤路由器能协助保护整个网络。绝大多数Internet防火墙系统只用一个包过滤路由器 2过滤路由器速度快、效率高。执行包过滤所用的时间很少或几乎不需要什么时间由于过滤路由器只检查报头相应的字段一般不查看数据报的内容而且某些核心部分是由专用硬件实现的如果通信负载适中且定义的过滤很少的话则对路由器性能没有多大影响 3包过滤路由器对终端用户和应用程序是透明的。当数据包过滤路由器决定让数据包通过时它与普通路由器没什么区别甚至用户没有认识到它的存在因此不需要专门的培训或在每主机上设置特别的软件。 包过滤技术的局限性 1定义包过滤器可能是一项复杂的工作。因为网管员需要详细地了解Internet各种服务、包头格式和他们在希望每个域查找的特定的值。如果必须支持复杂的过滤要求的则过滤规则集可能会变得很长很复杂并且没有什么工具可以用来验证过滤规则的正确性。 2路由器信息包的吞吐量随过滤器数量的增加而减少。路由器被优化用来从每个包中提取目的IP地址、查找一个相对简单的路由表而后将信息包顺向运行到适当转发接口。如果过滤可执行路由器还必须对每个包执行所有过滤规则。这可能消耗CPU的资源并影响一个完全饱和的系统性能。 3不能彻底防止地址欺骗。大多数包过滤路由器都是基于源IP地址、目的IP地址而进行过滤的而IP地址的伪造是很容易、很普遍的。 4一些应用协议不适合于数据包过滤。即使是完美的数据包过滤也会发现一些协议不很适合于经由数据包过滤安全保护。如RPC、X- Window和FTP。而且服务代理和HTTP的链接大大削弱了基于源地址和源端口的过滤功能。 5正常的数据包过滤路由器无法执行某些安全策略。例如数据包说它们来自什么主机而不是什么用户因此我们不能强行限制特殊的用户。同样地数据包说它到什么端口而不是到什么应用程序当我们通过端口号对高级协议强行限制时不希望在端口上有别的指定协议之外的协议而不怀好意的知情者能够很容易地破坏这种控制。 6一些包过滤路由器不提供任何日志能力直到闯入发生后危险的封包才可能检测出来。它可以阻止非法用户进入内部网络但也不会告诉我们究竟都有谁来过或者谁从内部进入了外部网络。 2.2.2 NAT技术 网络地址翻译NATNetwork Address Translation最初的设计目的是增加在专用网络中可使用的IP地址数但现在则用于屏蔽内部主机。 NAT的工作原理 为了解决IP地址的不足问题提出了网络地址翻译的方法。NAT能处理IP数据包将其中的地址部分进行转换对内部和外部IP进行直接映射从一批可使用的外部IP地址池中动态选择一个地址分配给内部主机或者不但转换IP地址还转换端口地址从而使多个内部主机能够共享一个外部IP地址。 NAT通过将专用网络中的专用IP地址转换成在Internet上使用的全球唯一的公共IP地址从而实现对黑客有效地隐藏所有TCP/IP级的有关内部主机信息的功能使外部主机无法探测到它们。所以NAT实质上是一个基本代理即一个主机充当代理代表内部所有主机发出请求从而将内部主机的身份从公用网上隐藏起来了。 NAT技术使得一个私有网络可以通过internet注册IP连接到外部世界位于inside网络和outside网络中的NAT路由器在发送数据包之前负责把内部IP翻译成外部合法地址。内部网络的主机不可能同时与外部网络通信所以只有一部分内部地址需要翻译。 当映射一个外部IP到内部地址时可以利用TCP的load distribution技术。使用这个特征时内部主机基于round-robin机制将外部进来的新连接定向到不同的主机上去。Load distribution只有在影射外部地址到内部地址的时候才有效。 NAT防火墙最基本的翻译模式 按照普及程度和可用性顺序翻译模式包括 静态翻译。在这种模式中一个指定的内部网络源有一个从改变的固定翻译表。 动态翻译。在这种模式中为了隐藏内部主机的身份或扩展内部网的地址空间一个大的Internet客户群共享单一一个或一组小的Internet IP地址。 负载平衡翻译。在这种模式中一个IP地址和端口被翻译为同等配置的多个服务器的一个集中处这样一个公共地址可以为许多服务器服务。 网络冗余翻译。在这种模式中多个Internet连接被附加在一个NAT防火墙上从而防火墙根据负载和可用性对这些连接进行选择和使用。 网络地址翻译都和IP数据包过滤一起使用就构成一种更复杂的包过滤型的防火墙。仅仅具有包过滤能力的路由器其防火墙能力还是比较弱反抗外部入侵的能力也较差而和网络地址翻译技术相结合就能起到更好的安全确保。 2.2.3 应用代理技术 代理服务是另一种类型的防火墙它通常是一个软件模块运行在一台主机上。代理服务器与路由器的合作路由器实现内部和外部网络交互时的信息流导向将所有的相关应用服务请求传递给代理服务器。代理服务作用在应用层其特点是完全“阻隔”了网络通信流通过对每种应用服务编制专门的代理程序实现监视和控制应用层通信流的作用。 代理服务的实质是中介作用它不允许内部网和外部网之间进行直接的通信。其工作原理说明如下 1、当外部网的用户希望访问内部网某个应用服务器时实际上是向运行在防火墙上的代理服务软件提出请求建立连接。 2、由代理服务器代表它向要访问的应用系统提出请求建立连接。 3、应用系统给予代理服务器响应 4、代理服务器给予外部网用户以响应。 外部网用户与应用服务器之间的数据传输全部由代理服务器中转外部网用户无法直接与应用服务器交互避免了来自外部用户的攻击。 通常代理服务是针对特定的应用服务而言的不同的应用服务可以设置不同的代理服务器如FTP代理服务器、TELNET代理服务器等。 目前很多内部网络都同时使用分组过滤路由器和代理服务器来保证内部网络的安全性并且取得了较好的效果。 应用代理技术的发展阶段 在代理型防火墙技术的发展过程中经历了两个不同的版本即第一代应用网关型代理防火墙和第二代自适应代理防火墙。 第一代应用网关(Application Gateway)型防火墙 这类防火墙是通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后就好像是源于防火墙外部网卡一样 从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。 第二代自适应代理(Adaptive proxy)型防火墙 它是近几年才得到广泛应用的一种新防火墙类型。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个它们分别是自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。在“自适应代理服务器”与 “动态包过滤器”之间存在一个控制通道。在对防火墙进行配置时用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后自适应代理就可以根据用户的配置信息决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者它将动态地通知包过滤器增减过滤规则满足用户对速度和安全性的双重要求。 代理类型防火墙的最突出的优点就是安全。由于它工作于最高层所以它可以对网络中任何一层数据通信进行筛选保护而不是像包过滤那样只是对网络层的数据进行过滤。 另外代理型防火墙采取是一种代理机制它可以为每一种应用服务建立一个专门的代理所以内外部网络之间的通信不是直接的而都需先经过代理服务器审核通过后再由代理服务器代为连接根本没有给内、外部网络计算机任何直接会话的机会从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。 代理防火墙的最大缺点就是速度相对比较慢当用户对内外部网络网关的吞吐量要求比较高时代理防火墙就会成为内外部网络之间的瓶颈。因为防火墙需要为不同的网络服务建立专门的代理服务在自己的代理程序为内、外部网络用户建立连接时需要时间所以给系统性能带来了一些负面影响但通常不会很明显。 代理的优点
代理易于配置。代理因为是一个软件所以它比过滤路由器容易配置配置界面十分友好。如果代理实现的好可以对配置协议要求较低从而避免配置错误。代理能生成各项记录。因为代理在应用层检查各项数据所以可以按一定准则让代理生成各项日志和记录。这些日志和记录对于流量分析和安全检查是十分重要和宝贵的。代理能灵活、安全地控制进出信息。通过采取一定的措施按照一定的规则可以借助代理实现一整套的安全策略控制进出的信息。 4代理能过滤数据内容。可以把一些过滤规则应用于代理让它在应用层实现过滤功能。 代理的缺点代理速度比路由器要慢。代理对于用户来说并不是透明的。对于每项服务代理可能要求不同的服务器。代理服务通常要求对客户或过程进行限制。代理不能改进底层协议的安全性。
第3章 Linux系统的特点
Linux操作系统是一类Unix计算机操作系统的统称。它是一个名字叫做Linus Torvald的芬兰人业余发明的linux操作系统的名字由来也源于此。先如今它已经成为了一个羽翼丰满的32位计算机的操作系统其性能可以和商业的x86Unix操作系统想媲美。Linux操作系统是一款自由软件并且在专用的网站上公布了该系统的源代码。因此引起了全世界操作系统爱好者的兴趣不断地对linux进行修改和补充并在各种系统配合下进行测试这使得linux日趋完善和成熟。 Linux操作系统的特点
真正的多任务多用户操作系统 只有很少的操作系统能提供真正的多任务能力尽管许多操作系统声明支持多任务但并不完全准确。而Linux则充分利用了X86CPU的任务切换机制实现了真正多任务、多用户环境允许多个用户同时执行不同的程序并且可以给紧急任务以较高的优先级。具有强大的平台可伸缩性 Linux可以运行在386以上及各种RISC体系结构机器上 。Linux最早诞生于微机环境一系列版本都充分利用了X86CPU的任务切换能力使X86CPU的效能发挥得淋淋尽致而这一点连Windows都没有做到。Linux能运行在笔记本电脑、PC、工作站直至巨型机上而且几乎能在所有主要CPU芯片搭建的体系结构上运行包括Intel/AMD及HP-PA、MIPS、PowerPC、UltraSPARC、ALPHA等RISC芯片它是unix操作系统的完整实现。 从发展的背景看Linux与其他操作系统的区别是Linux是从一个比较成熟的操作系统UNIX发展而来的UNIX上的绝大多数命令都可以在Linux里找到并有所加强。我们可以认为它是Unix系统的一个变种因而UNIX的优良特点如可靠性、稳定性以及强大的网络功能强大的数据库支持能力以及良好的开放性等都在Linux上一一体现出来。且在Linux的发展过程中Linux的用户能大大地从Unix团体贡献中获利它能直接获得Unix相关的相应支持和帮助。真正的多任务多用户 POSIX是基于UNIX的第一个操作系统簇国际标准Linux遵循这一标准这使UNIX下许多应用程序可以很容易地移植到Linux下相反也是这样。丰富的图形用户界面 Linux的图形用户界面是Xwindow系统。Xwindow可以做MSWindows下的所有事情而且更有趣、更丰富用户甚至可以在几种不同风格的窗口之间来回切换。强大的网络功能 实际上Linux就是依靠互联网才迅速发展了起来Linux具有强大的网络功能也是自然而然的事情。它可以轻松地与TCP/IP、LANManager、Windows for Workgroups、Novell Netware或Windows NT网络集成在一起还可以通过以太网或调制解调器连接到Internet上。 Linux不仅能够作为网络工作站使用更可以胜任各类服务器如X应用服务器、文件服务器、打印服务器、邮件服务器、新闻服务器等等。开发功能强 Linux支持一系列的UNIX开发它是一个完整的UNIX开发平台几乎所有的主流程序设计语言都已移植到Linux上并可免费得到如C、C、Fortran77、ADA、PASCAL、Modual2和3、Tcl/TkScheme、SmallTalk/X等。
第4章 基于linux的网络防火墙技术
在众多网络防火墙产品中Linux操作系统上的防火墙软件特点显著。首先是Linux操作系统作为一个类Unix网络操作系统在系统的稳定性、健壮性都独具优势。更何况Linux不但本身的源代码完全开放而且系统包含了建立Internet网络环境所需要的所有服务软件包如Apache Web服务器、DNS服务器、Mail服务器、Database服务器等。同样基于Linux的防火墙软件不但具有强大的功能而且大部分都是开放软件。 Linux内核从1.1版本开始就已经具备包过滤功能。第一代是linux内核1.1版本所使用的AlanCox从BSO Unix中移植过来的ipfw。在2.0的内核中对ipfw进行了扩展并且添加了ipfwadm用户工具所以在2.0的内核中开始采用ipfwadm来操作内核的包过滤规则。到了2.2版的内核中添加了帮助用户控制过滤规则的ipchains工具所以此版本中linux内核采用了ipchains来控制内核的包过滤规则后来又发展完成了其名为netfilter的内核框架。发展到2.4.x时Ipchains被一个全新的包过滤管理工具Iptables所替代netfilter/iptables可以实现防火墙、NAT和数据包的分割等功能。因此无论拥有哪个版本的Linux内核无论选择哪个版本的Linux来构建自己的企业网都可以利用现有的系统构建出一个理想实用的防火墙。 Linux提供的防火墙软件包内置于linux内核中是一种基于包过滤型的防火墙实现技术其中心思想是根据网络层IP包头中的源地址、目的地址以及包类型等信息来控制包的流向更为彻底的过滤则是要检查包中的源端口、目的端口以及连接状态等信息。 下面将就linux所提供的ipfw、ipchains和iptables三种最为实用的防火墙技术作分析介绍重点介绍iptables的实现。 4.1 IPFW防火墙技术 该软件包的全称是IpfwadmIpfwadm程序包提供了建立规则的能力根据这些规则可以确定允许什么样的包进出本网络。简单说来防火墙就是一对开关一个开关允许包通过另一个开关禁止包通过。现代防火墙系统一般都会附加审计跟踪、加密认证、地址伪装和VPN等多种功能。作为一个安全开关防火墙可定义的安全策略有两个
一切未被允许的都被禁止一切未被禁止的都被允许。 很显然上述的两种策略中策略1的安全性明显高于策略2的但它是以牺牲灵活性和可访问资源为代价来提高安全性的。Ipfwadm系统提供了IP的封装它允许用户使用Internet上的一个公共IP地址空间。 4.2 Ipchains防火墙技术 在下一版本的Linux内核中ipchains取代了ipfwadm它提供了更为严格的包过滤控制机制提供了包括包过滤、地址伪装和透明代理在内的完整的防火墙功能。Linux 2.2内核中提供的Ipchains通过四类防火墙规则列表来提供防火墙规则的控制这些列表称为防火墙链它们分别是IP input链、IP output链、IP forward链和user defined链。一个链实际上就是一个规则表所谓规则即当被检测的包头符合规则的定义时就按照预置的设定对该包进行相应的处理。输入链指的是对内连接请求的过滤规则输出链指的是对外连接请求的过滤规则转发链是指对内部与外部通信包转发的过滤规则用户定义链是用户自己定义的规则。 当一个数据包进入Linux防火墙系统时Linux内核使用输入链以决定对这个包的操作如果这个包不被丢弃内核则使用转发链来决定是否将这个包转发到某个出口当这个包到达一个出口被发出前内核使用输出链最后确定是丢弃该包还是转发该包。在上面的过程中如果输入链已经决定处理这个包则核心需要决定下一步包应该发到什么地方即进行路由。如果没找到匹配的设置则这个包就需要进入目标值指定的下一条链此时目标值有可能是一条用户自定义链也有可能是一个特定的值这些值包括ACCEPT、DENY、REJECT、MASQ、REDIREC和RETURE。其中MASQ通知核心将该包伪装该值支队转发链和用户自定义链其作用REDIRECT用来通知核心将包改送到一个本地端口该值只对输入链和用户自定义链起作用并且只有UDP和TCP协议才可以使用该值。 在Linux系统IP链的转发链上可以配置IP伪装。实际上IP伪装是一个比包过滤策略更安全的解决方案它不仅能够提供一种安全机制还同时解决了 Internet中IP地址资源不足的问题。IP伪装使一台计算机在访问Internet时能够将本台机器的真正IP地址伪装成其它地址。如果连接到 Internet上的一台主机具有IP伪装功能则这台机器不管是通过局域网还是PPP拨号都可以与Internet连接。尽管在使用PPP时这样的主机根本没有自己正式的IP地址。这说明可以将一台主机隐藏在一个网关后面来访问Internet使得这台主机既实现了对Internet的访问又实现了其访问对外界的不可见性即隐藏性。显然这种隐藏性使得系统非常安全因为外界根本意识不到主机的存在也就不可能对主机实施存取操作更不能入侵和破解。通常情况下使用IANA保留的私有地址来进行伪装。 在防火墙转发链配置IP伪装后内部网络上的主机向Internet发送访问IP包时内核将源IP地址换成网关的IP地址并记录被伪装的IP地址后再转发该IP包。当这个包的Internet应答包从Internet进入网关时内核执行去除IP伪装的操作即将目的地址替换成内部地址。通过适当的设置IP伪装可以在某个网段、某台主机、某个接口、某个协议甚至是某个协议的某些端口上实现非常灵活。IP伪装可以将内部网络的细节对外部网络屏蔽掉因此IP伪装提供了很好的安全性。 4.3 Iptables防火墙技术 相对于2.2内核提供的IP链来说自2.4版本之后的内核提供了更好的灵活性和可扩展性它并非是2.2内核中防火墙技术的简单增强而是一次完全的重新实现所以相比于之前的版本其内核提供的防火墙软件在结构上面发生了非常大的变化。与IP链相比 Iptables的检测点变成了5个并在每个检测点上登记需要处理的函数登记通过nf-register-hook函数保存在全局变量nf-hook中来实现。当包到达此检测点时实现登记的函数按照预先定义好的优先级别来执行。相对于2.2内核提供的IP链来说Iptables实现的不仅仅是包过滤功能而是通过Netfilter实现一整套框架结构在这个框架之上实现包过滤、NAT等模块功能从而提供更好的可扩展性和灵活性。 Iptables的系统缺省表为filter该表包含了INPUT链、FORWARD链和OUTPUT链。每一条链中可以定义一条或数条规则每一条规则都以如下格式定义 条件/处理方式。 当一个数据包到达一个链时系统就会从第一条规则开始检查看是否符合该规则所定义的条件。如果满足系统将根据该条规则所定义的方法处理该数据包如果不满足则继续检查下一条规则。如果该数据包不符合该链中的任何一条规则系统就会根据该链预先定义的策略policy来处理该数据包。 Iptables/Netfilter是内置在Linux内核中的所以可以将相应的软件包编译到内核中从而完成 Iptables防火墙的安装。Netfilter框架能够在内核2.3.5及以上版本实现。在将软件包重新编译进内核时要求选择和Netfilter 相关的项目。这些项目通常都是位于“Networking options”子项下。需要注意的是Iptables和 Ipchains/Ipfwadm是相对立的在使用Iptables时就不能同时使用Ipchains/Ipfwadm。选择完所需选项后就可以执行编译操作了。 Iptables实际上是一个操作过滤规则的工具。利用Iptables工具可以对Netfilter中的链和规则进行操作。Iptables使用与 IP链基本相同的语法和命令格式除了对链和规则进行操作外Iptables还提供其它一些操作如通过–source/–src/-s指定源地址通过–destination/–dst/-s指定目的地址通过–protocol/-p选项指定协议如-p tcp使用–in-interface/-i或–out-interface/-o指定网络接口指定IP碎片等等。
第5章 linux网络防火墙的架构环境
5.1环境搭建 软件VMware workstation 版本7.1.4 build-385536 系统Red hat enterprise linux 6.0
图5-1运行界面 5.2主要实验命令 Iptables包过滤防火墙实现的主要命令参数
对链的操作 建立一个新链 (-N)。 删除一个空链 (-X)。 改变一个内建链的原则 (-P)。 列出一个链中的规则 (-L)。 清除一个链中的所有规则 (-F)。 归零(zero) 一个链中所有规则的封包字节(byte) 记数器 (-Z)。对规则的操作 加入(append) 一个新规则到一个链 (-A)的最后。 在链内某个位置插入(insert) 一个新规则(-I)通常是插在最前面。 在链内某个位置替换(replace) 一条规则 (-R)。 在链内某个位置删除(delete) 一条规则 (-D)。 删除(delete) 链内第一条规则 (-D)。指定源地址和目的地址 通过–source/–src/-s来指定源地址(这里的/表示或者的意思下同)通过–destination/–dst/-s来指定目的地址。可以使用以下四中方法来指定ip地址 a. 使用完整的域名如“www.linuxaid.com.cn” b. 使用ip地址如“192.168.1.1” c. 用x.x.x.x/x.x.x.x指定一个网络地址如“192.168.1.0/255.255.255.0”; NAT相关的IPTABLES命令语法 1、指定表 iptables命令默认的表是filter要使用nat表必须指出 iptables -t nat 2、指定操作命令 -A在所选的链的链尾加入一条规则 -D在所选的链中删除一条匹配的规则 -R在所选的链中替换一条匹配的规则 -I在链内某个位置插入一条新规则 -L列出指定链的所有规则 3、规则匹配器 1–source或–src或-s 匹配源地址 –destination或–dst或-s 匹配目的地址 匹配地址的书定 使用完全域名www.baidu.com 使用IP地址192.168.1.1 使用192.168.10./255.255.255.0指定一个网络地址 使用192.168.1.0/24指定一个网络地址(24为掩码,默认的为32,即192.168.1.1192.168.1.1/32) 2匹配网络接口 对于PREROUTING链,只能用 -i 来匹配进来的网络接口 对于POSTROUTIN,OUTPUT链,只能用 -o 来匹配出去的网络接口 3匹配协议及端口 -p 匹配协议如udp,tcp –sport,–dport 匹配源端口和目的端口 4、目标动作 1对于POSTROUTING链可以使用以下的目标动作 a-j SNAT --to-source/–to IP1[-IP2]:[port1 [port2] ] –to-source或–to用于指定一个或一个IP地址范围和一个或一段 可选取的端口号只能用于UDPTCP协议
第6章 linux网络防火墙的实验方法
以下命令需要用root身份 清空防火墙规则
图6-1root身份进入 清空防火墙规则 iptables -N DOS #新增一条名为DOS的新链用来防范DOS攻击 iptables -A DOS -m limit --limit 100/s -j ACCEPT #接受最大平均流量为每秒100个包 iptables -A DOS -m limit --limit 300/s -j DROP #拒绝最大平均流量为每秒300个包 iptables -A DOS -m limit --limit 310/s -j LOG --log-prefix “DOS” –log-level 3 #将最大平均流量为每秒310个包记录日志日志名为DOS日志级别为3
图6-2新增一条名为DOS的新链用来防范DOS攻击
允许ip为baidu.com的机访问A机的Web服务服务监听80端口 图6-3设置Web服务和服务监听端口
允许ip为122.96.80.81的主机访问本机的SMTP服务, 服务监听25端口
图6-4设置主机访问本机的SMTP服务,和服务监听端口 Linux NAT 服务器配置
图6-5 LinuxNAT 服务器配置 将linux服务器配置成NAT服务器带动另一个linux局域网客户端上Internet 1.清除原有的filter中的规则
图6-6清除原有的filter中的规则 2.设置防火墙对内对外转发的包设为丢弃。 iptables –P INPUT DROP iptables –P OUTPUT DROP iptables –P FORWARD DROP
图6-7 设置防火墙对内对外转发的包为丢弃 3.设置防火墙对转发的包设为允许通过 iptables –P FORWARD ACCEPT
图6-8 设置防火墙对转发的包设为允许通过 4.NAT设置将nat表的包的源地址伪装成eth0的合法的IP地址 iptables –t nat –A POSTROUTING –o eth0 –j MASQUERADE
图6-9 NAT设置 5.查看nat表的规则 iptables –t nat –L
图6-10 查看NAT表的规则 6.保存规则 service iptables save 7.重启iptables服务 service iptables restart
图6-11 重启iptables服务 最后能够上网
图6-12 能够上网
第7章 总结及进一步研究
7.1 总结 本文首先介绍了网络应用中所主要用到的三个防火墙技术。Linux以其公开的源代码、强大稳定的网络功能和大量的免费资源受到业界的普遍赞扬。Linux防火墙其实是操作系统本身所自带的一个功能模块。通过安装特定的防火墙内核Linux操作系统会对接收到的数据包按一定的策略进行处理而用户所要做的就是使用特定的配置软件如ipchains去定制适合自己的“数据包处理策略”。所以本文在介绍了Linux系统的特点之后又进一步介绍了Linux操作系统下的各个版本的防火墙技术并通过实践完成了linux系统下的防火墙的配置并通过实验来验证了相关防火墙技术配置的有效性。 7.2 进一步研究 从以上分析可以知道防火墙技术经理了包过滤、应用代理网关再到状态检测三个阶段。而这三种技术都有很大的缺陷。 包过滤防火墙它工作在网络层对数据包的源及目的IP具有识别和控制作用由于只对数据包的IP地址、TCP/UDP协议和端口进行了分析故而处理速度较快但是其缺点也是非常的明显而且是根本性的。该技术不能防范黑客攻击、不至此应用层协议、对于新出现的威胁更是无法处理所以该技术太过初级无法完成保护内网安全的职责。 应用代理网关技术是彻底阻断内网与外网的直接通信所有通信都必须经应用层代理软件转发访问者任何时候都不能和服务器建立直接的TCP连接对数据包的检测能力比较强但是带来的缺点也非常的突出。应用代理网关技术难于配置一旦配置出错将影响到内网的安全防范能力处理速度非常地慢不能支持大规模的并发连接所以对速度要求较高的行业来说该技术难以实现。 状态检测技术在大为提到安全防范能力的同时也改进了流量的处理速度其采用了一系列优化的技术使得防火墙性能大幅度得到提升能应用在各个网络环境中所以一般高性能的防火墙都采用了状态检测技术。 所以从各个技术的优缺点以及当今社会的现状发展趋势看我们可以进一步研究如何让防火墙在远程办公中有效地抵抗外部攻击的同时又能合法的实现远程访问实现更细粒度的访问控制黑客的攻击是网络防火墙防御的主要职责从受到攻击的协议和端口来看http协议是最受攻击的协议相应的端口为80端口所以进一步的研究方向可以考虑在现有的防火墙产品中尽可能地关闭80端口能够进行数据包的深度检测防火墙应该能够分辨并组织数据包的恶意行为包检测技术的方案是需要增加签名检测 从而分辨出正常和异常的数据流。所以我们可以进一步实现这些功能。与此同时在当前防火墙性能不减的前提下能够进一步提高其处理的速度也是我们进一步研究的方向。
参考文献
[1] 黎连业. 防火墙及应用技术. 北京清华大学出版社,2005-10-19 [2] 王斌. 防火墙与网络安全——入侵检测和VPNs.北京清华大学出版社2005-5-13 [3] 包过滤技术.http://baike.baidu.com/view/3026687.htm#sub3026687 [4] 李洋. Linux安全技术内幕. 北京清华大学出版社2010-6-7 [5] 刘晓辉. 交换机·路由器·防火墙. 北京电子工业出版社2007-08
