基于Linux的防火墻設計

1、 a 基礎理論 b 應用研究 c 調查報告 d 其他本科生畢業(yè)論文（設計）基于linux的防火墻設計二級學院：信息科學與技術學院專 業(yè)：計算機科學與技術年 級：2009級學 號：2009344328作者姓名：xx指導教師：xx 副教授完成日期：2012年6月23日linux的防火墻安全配置專業(yè)名稱：計算機科學與技術作者姓名：xx指導教師：xx論文答辯小組組 長： xx 成 員： xx xx 論文成績： 摘 要防火墻作為一種網(wǎng)絡或系統(tǒng)之間強制實行的訪問控制機制，是確保網(wǎng)絡安全的重要手段，有基于通用操作系統(tǒng)設計的防火墻，也有基于專用操作系統(tǒng)設計的防火墻。由于linux源代碼的開放性，所以，linu

2、x成為研究防火墻技術的一個很好的平臺。本文介紹 linux的防火墻技術 netfilter/iptables 在 linux 內核中的具體實現(xiàn)。討論了linux內核防火墻套件netfilter 實現(xiàn)的一些基本技術：包過濾。linux下常用的防火墻規(guī)則配置軟件iptables；從實現(xiàn)原理、配置方法以及功能特點的角度描述了linux防火墻的功能；并給出了linux下簡單防火墻的搭建。關鍵字：防火墻，netfilter，iptablesabstractthe firewall took between one kind of network or the system forces the acce

3、ss control mechanism which implements, is guarantees the network security the important method, has based on the general operating system design firewall, also has based on the special-purpose operating system design firewall. as a result of linux source code openness, therefore, linux becomes the r

4、esearch firewall technology a very good platform. this article introduces linux firewall technology netfilter/iptables in linux essence concrete realization. discussed linux essence firewall set of netfilter realizations some basic technologies: the package filter. under linux commonly used firewall

5、 rule disposition software iptables; from the realization principle, the disposition method as well as the function characteristic angle described the linux firewall function; and build up a simple firewall in linux.key words: firewall, netfilter, iptablesiiilinux防火墻安全配置目 錄摘 要iiabstractii第一章 緒 論11.1

6、前言11.2 開發(fā)背景1第二章 防火墻技術12.1防火墻概述12.2 包過濾技術1第三章 netfilter/iptables23.1 netfilter框架23.2 管理工具：iptables2第四章 linux下簡單防火墻的搭建54.1防火墻搭建的戰(zhàn)略規(guī)劃54.2 iptables規(guī)則腳本6第五章 總結與展望95.1 應用前景95.2 總體體會9iiiilinux防火墻安全配置第一章 緒 論1.1 前言linux 可以追溯到uc berkeley分校的unix，因此從某種意義上講，linux本身就是一種網(wǎng)絡操作系統(tǒng)，linux在實現(xiàn)網(wǎng)絡功能方面有著獨特的優(yōu)勢。防火墻的初步功能首次出現(xiàn)在li

7、nux 1.1內核中，到linux 2.0內核時，其部件ipfwadm對防火墻部分已進行了很大改進和增強；linux 2.2.x內核發(fā)布時，ipchains和單獨開發(fā)的nat等模塊已經(jīng)可以比較完整地實現(xiàn)內核ip防火墻功能，從linux的2.4內核開始的netfilter最終廢除了ipchains，其主要原因有：ipchain是以內核級運行的c及c+代碼，沒有很好地提供從用戶空間訪問ipchains的接口，限制了ipchains的可擴展性。1.2 開發(fā)背景在網(wǎng)絡安全問題日趨嚴峻的今天，防火墻作為第一道防線起著關鍵的作用。防火墻可以對流經(jīng)它的網(wǎng)絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計

8、算機上被執(zhí)行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。從而對防火墻的研究成為研究熱點。第二章 防火墻技術2.1防火墻概述防火墻是一個或一組實施訪問控制策略的系統(tǒng)。它在內部網(wǎng)絡（專用網(wǎng)絡）與外部網(wǎng)絡（功用網(wǎng)絡）之間形成一道安全保護屏障，防止非法用戶訪問內部網(wǎng)絡上的資源和非法向外傳遞內部信息，同時也防止這類非法和惡意的網(wǎng)絡行為導致內部網(wǎng)絡運行遭到破壞。它基本功能是過濾并可能阻擋本地網(wǎng)絡或者網(wǎng)絡的某個部分與internet之間的數(shù)據(jù)傳送（數(shù)據(jù)包）。防火墻的主要功能包括:1防火墻本身支持一定的

9、安全策略。2提供一定的訪問或接入控制機制。3容易擴充、更改新的服務和安全策略。4具有代理服務功能，包含先進的鑒別技術。5采用過濾技術，根據(jù)需求來允許或拒絕某些服務。6防火墻的編程語言應較靈活，具有友好的編程界面。并用具有較多的過濾屬性，包括源和目的ip地址、協(xié)議類型、源和目的的tcp/udp端口以及進入和輸出的接口地址。2.2 包過濾技術包過濾技術是防火墻的一種最基本的實現(xiàn)技術，具有包過濾技術的裝置是用來控制內、外網(wǎng)絡間數(shù)據(jù)流的流入和流出，包過濾技術中的數(shù)據(jù)包大部分是基于tcp/ip協(xié)議平臺的，其中包括網(wǎng)絡層的ip數(shù)據(jù)包，運輸層的tcp和udp數(shù)據(jù)包以及應用層的ftp、telnet和http等

10、應用協(xié)議數(shù)據(jù)包三部分內容。過濾技術依靠以下三個基本依據(jù)來實現(xiàn)“允許或不允許”某些包通過防火墻：1 包的目的地址及目的端口；2 包的源地址及源端口；3 包的傳輸協(xié)議。第三章 netfilter/iptables3.1 netfilter框架netfilter是linux 2.4實現(xiàn)的防火墻框架，netfilter提供了一個抽象、通用化的框架定義一個子功能實現(xiàn)的就是包過濾子系統(tǒng)。netfilter對數(shù)據(jù)包的處理流程是在整個網(wǎng)絡流程的若干個位置放置一些鉤子（hook），且在鉤子處定義一些處理函數(shù)對數(shù)據(jù)包進行處理。在ipv4中，它定義了五個鉤子函數(shù)，分別是1）nf-ip-pre-routing；2）n

11、f-ip-local-in；3）nf-ip-forward；4）nf-ip-post-routing；5）nf-ip-local-out。如圖所示：數(shù)據(jù)包從左邊進入系統(tǒng)，進行簡單的校驗（如版本、ip校驗）后，經(jīng)過hook點，由鉤子函數(shù)nf-ip-pre-routing進行處理；然后進入路由代碼，其決定該數(shù)據(jù)包是轉發(fā)還是發(fā)給本機；若該數(shù)據(jù)包是發(fā)給本機的則在hook點，則由鉤子函數(shù)nf-ip-local-in處理后傳遞給上層協(xié)議；若該數(shù)據(jù)包應該被轉發(fā)，則它在hook點由nf-ip-forward鉤子函數(shù)處理；經(jīng)過轉發(fā)的數(shù)據(jù)包在hook點由nf-ip-post-routing處理后再傳輸?shù)骄W(wǎng)絡上。而

12、且本地產(chǎn)生的數(shù)據(jù)包在hook點經(jīng)由nf-ip-local-out鉤子函數(shù)處理后進行路由選擇處理，然后經(jīng)由nf-ip-post-routing處理并發(fā)送到網(wǎng)絡上。數(shù)據(jù)包在經(jīng)過這些hook點時，相應的鉤子函數(shù)將被調用，通過對數(shù)據(jù)包進行操作，向netfilter返回表示接受或丟棄。 3.2 管理工具：iptables3.2.1 iptables 防火墻規(guī)則配置管理工具防火墻提供有關對來自某個源地址、到某個目的地或具有特定協(xié)議類型的信息包要做些什么的指令，規(guī)則控制信息包的過濾。通過使用iptables系統(tǒng)提供的特殊命令iptables建立這些規(guī)則，并將其添加到內核空間特定信息包過濾表內的鏈中。3.2.

13、1 iptables工具的應用方法一個iptables命令基本上包含如下五部分（1）希望工作在哪個表上（2）希望使用該表的哪個鏈（3）進行操作（插入、添加、刪除、修改）（4）對特定規(guī)則的目標動作（5）匹配數(shù)據(jù)報條件一般語法如下： iptables -t table command match target table 表是包含僅處理特定類型信息包的規(guī)則和鏈的信息包過濾表。有三個可用的表選項：filter、nat和mangle（該選項非必要）commad command部分是iptables命令最重要的部分。它告訴iptables命令要做什么，例如插入規(guī)則、將規(guī)則添加到鏈的末尾或刪除規(guī)則。mat

14、ch 指定信息包與規(guī)則匹配所應具有的特征（如源地址、目的地址、協(xié)議等）。（該選項非必要）target 由規(guī)則指定的操作，對與那些規(guī)則匹配的信息包執(zhí)行這些操作.12第四章 linux下簡單防火墻的搭建4.1防火墻搭建的戰(zhàn)略規(guī)劃包過濾防火墻的規(guī)則是由一組接收和禁止規(guī)則列表組成，規(guī)則列表中定義了數(shù)據(jù)包是否可以通過網(wǎng)絡接口。防火墻規(guī)則通過數(shù)據(jù)包頭的字段是否允許一個數(shù)據(jù)包通過。當默認策略設置為禁止一切時，若數(shù)據(jù)包頭的字段與規(guī)則匹配，則路由器將該數(shù)據(jù)包轉發(fā)至指定的目的地，否則將該數(shù)據(jù)包丟棄或被阻止并反饋一個錯誤狀態(tài)信息給發(fā)出端的計算機。網(wǎng)絡拓撲圖如下:搭建環(huán)境：三臺linux主機，分別為內網(wǎng)rh1：ip地

15、址為；防火墻rh2：有兩塊網(wǎng)卡，分別為eth0，eth1，ip地址分別是,；外網(wǎng)rh3：ip地址為；外網(wǎng)rh4：ip地址為；其中將/24設置為vnet1,/24設置為vnet2。4.2 iptables規(guī)則腳本一、在有建立網(wǎng)頁并做好相關配置的rh1里打開web服務器服務，mysql服務，ftp服務service httpd startservice mysqld startservice vsftpd startvi /etc/xinetd.d/t

16、elnet :disable=yes =disable=no二、在rh1和rh3 ,rh4添加以下路由信息分別為：route add net netmask gw route add net netmask gw route add net netmask gw 三、首先啟動rh2 的etc/sysctl.conf 配置文件，打開其ip轉發(fā)功能 #control ip packet

17、 forwarding net.ipv4.ip_forward = 1service network restart四、防火墻配置策略可以使用固定防火墻策略，即用配置工具或手動修改iptables配置文件，(如：vi etc/sysconfig/iptables )iptables服務讀取配置文件，加載編寫的規(guī)則腳本，這里使用的是非固定防火墻策略:1.catfire_wall在新建的fire1配置文件添加以下命令（1）清空存在于所有鏈的規(guī)則iptables -fiptables -xiptables -z（2）配置默認的拒絕規(guī)則。實際應用中配置的基本原則是：先拒絕所有的服務，然后再根據(jù)用戶的需

18、要設置相應的服務。參考配置程序如下：iptables -p input drop iptables -p forward drop iptables -p output accept #允許loopback!iptables -a input -i lo -j acceptiptables -a input p tcp dport 22 -j acceptiptables -a input -m state -state established,related -j accept#配置使得rh3訪問rh1的http，ftp，telnet服務iptables -a forward -p tcp

19、-i eth1 -o eth0 -dport 80 s -j acceptiptables -a forward -p tcp -o eth1 -i eth0 -sport 80 s -j acceptiptables -a forward -p tcp -dport 23 -j acceptiptables -a forward -p tcp -sport 23 -j acceptiptables -a forward -p tcp -m multiport -dport 20,21 -j acceptiptables -a forward -

20、p tcp -m multiport -sport 20,21 -j accept2.賦予腳本文件執(zhí)行權限：chmod +x fire_wall3.執(zhí)行腳本：./fire_wall#對于rh1的瀏覽器有有：對于rh4的瀏覽器有：rh3和rh4的ftp，telnet，ssh訪問都有：通過rh4的smap掃描rh1端口有：第五章 總結與展望5.1 應用前景netfilter/iptables的包過濾架構是linux內核開發(fā)人員通過對ipfwadm/ipchains等早期的包過濾程序的開發(fā)經(jīng)驗和全世界用戶反饋的分析，重新設計，改造而形成的相對成熟的linux內核包過濾框架。本文從理論和實踐兩方面對linux2.4.x內核對防火墻的處理作了分析，目的是使一般小型企業(yè)針對自己實際情況，設計專門的防火墻成為可能。 5.2 總體體會從linux的學習開始，到現(xiàn)在linux結課，我對linux又了初步的了解，如，安裝linux，l