基于-linux系統(tǒng)防火墻技術(shù)應(yīng)用

1、PAGE -PAGE . z.本科畢業(yè)設(shè)計(jì)題目：基于linu*系統(tǒng)的防火墻技術(shù)的研究和應(yīng)用 學(xué) 院：信息科學(xué)與工程學(xué)院 專 業(yè)：電子信息工程 學(xué) 號：9 學(xué)生：付劍雄 指導(dǎo)教師：富年 日 期：二一二年六月 摘 要隨著計(jì)算機(jī)網(wǎng)絡(luò)，特別是近年來Internet的飛速開展，各公司、企業(yè)、政府機(jī)關(guān)交流信息的方式正在發(fā)生變化。但這些部門面臨的最大的問題就是如何用一種有效的平安解決方案來保護(hù)網(wǎng)絡(luò)及信息系統(tǒng)不受攻擊。在眾多的方案中，防火墻是平安解決策略的關(guān)鍵局部。防火墻是一類平安防措施的總稱，它是在兩個(gè)網(wǎng)絡(luò)之間強(qiáng)制實(shí)施控制策略的一個(gè)系統(tǒng)或一組系統(tǒng)。本文主要是針對有關(guān)防火墻的技術(shù)和防火墻應(yīng)用的模型、設(shè)計(jì)和實(shí)現(xiàn)

2、進(jìn)展研究，通過對各種防火墻技術(shù)和防火墻體系構(gòu)造的分類比擬，對明確防火墻相關(guān)概念和選擇使用防火墻上具有指導(dǎo)意義。同時(shí)，介紹了一種在Linu*系統(tǒng)下集包過濾與代理于一身的復(fù)合防火墻的設(shè)計(jì)和實(shí)現(xiàn)過程。本課程設(shè)計(jì)介紹基于Netfilter/Iptables的包過濾防火墻的實(shí)現(xiàn)原理。對Linu*系統(tǒng)、TCP/IP的相關(guān)知識及Iptables語法做了介紹。詳細(xì)介紹了Iptables命令的使用舉例，通過實(shí)例介紹了基于Netfilter/Iptables的包過濾防火墻的配置過程。本課題目標(biāo)是設(shè)計(jì)并實(shí)現(xiàn)一種新型防火墻。這種防火墻既有包過濾的功能，又能在應(yīng)用層進(jìn)展代理，具有先進(jìn)的過濾和代理體系，能從數(shù)據(jù)鏈路層到應(yīng)

3、用層進(jìn)展全方位平安處理。TCP/IP協(xié)議和代理的直接相互配合，使系統(tǒng)的防欺騙能力和運(yùn)行的強(qiáng)健性都大大提高。實(shí)現(xiàn)了什么功能。在這里介紹的一些技術(shù)細(xì)節(jié)和實(shí)現(xiàn)策略可以為今后的防火墻構(gòu)造提供借鑒。這種防火墻技術(shù)不僅可以使系統(tǒng)更具有靈活性和可擴(kuò)展性，更使得系統(tǒng)的平安性得到提高。關(guān)鍵詞: 防火墻; 包過濾; 代理; 復(fù)合型防火墻; Linu*-. zAbstractRecently, with puter network and Internet increasing rapidly, its have changed forever the way of corporations, enterprise

4、s, and organizations municating. But the vital problem that they must face is how to protect their network and information system against attack by setting an effective network security solution. In all of this solution, firewall is one of the important parts.Firewall is a type of network security m

5、easure. A firewall is a system or group of systems that enforces an access control policy between two networks. In the dissertation, we study on the modeling, design, and implementation of firewall technologies and firewall application, By the paring and classifying the all types of firewall technol

6、ogy, we present a whole concept of firewall technology to reader. It is the good guide to choice and building firewall system. In additional, we illustrate a process of designing and implementing a ple* firewall system which make packet filter and pro*y under Linu* operation system, All of the detai

7、l of technologies and implementing strategies are a good e*ample to building firewall system in future. the firewalls are not only enhanced the fle*ible and e*pandable of application but also allowed to raise the systems safety.Key words: Firewall; Packet Filter; Pro*y; Hybrid-Firewall; Linu* 目 錄 TO

8、C o 1-3 h u HYPERLINK l _Toc9509 引 言 PAGEREF _Toc9509 5 HYPERLINK l _Toc29457 第1章 緒論 PAGEREF _Toc29457 6 HYPERLINK l _Toc5655 1.1 Intranet系統(tǒng)以及其平安問題 PAGEREF _Toc5655 6 HYPERLINK l _Toc4569 1.2 防火墻技術(shù) PAGEREF _Toc4569 7 HYPERLINK l _Toc3715 1.2.1 防火墻的定義 PAGEREF _Toc3715 8 HYPERLINK l _Toc11618 1.2.2 防火

9、墻的根本類型 PAGEREF _Toc11618 8 HYPERLINK l _Toc9250 1.2.3 包過濾防火墻 PAGEREF _Toc9250 9 HYPERLINK l _Toc20474 1.2.4 應(yīng)用網(wǎng)關(guān) PAGEREF _Toc20474 10 HYPERLINK l _Toc15766 1.3 設(shè)計(jì)與實(shí)現(xiàn)Linu*防火墻的緣起與目標(biāo) PAGEREF _Toc15766 12 HYPERLINK l _Toc32021 第2章 使用防火墻構(gòu)造平安的解決方案 PAGEREF _Toc32021 14 HYPERLINK l _Toc21198 2.1 堡壘主機(jī)或雙穴主機(jī)網(wǎng)關(guān)

10、 PAGEREF _Toc21198 14 HYPERLINK l _Toc20056 2.2 被屏蔽主機(jī)網(wǎng)關(guān) PAGEREF _Toc20056 15 HYPERLINK l _Toc31130 2.3 被屏蔽子網(wǎng) PAGEREF _Toc31130 15 HYPERLINK l _Toc8417 第3章 Linu*防火墻技術(shù) PAGEREF _Toc8417 17 HYPERLINK l _Toc26580 3.1 Linu* 防火墻技術(shù)的開展 PAGEREF _Toc26580 17 HYPERLINK l _Toc29906 3.2 利用Linu* 實(shí)現(xiàn)路由和包過濾 PAGEREF _

11、Toc29906 17 HYPERLINK l _Toc8130 3.2.1 Ipchains原理及簡介 PAGEREF _Toc8130 17 HYPERLINK l _Toc739 3.2.2 Ipchains命令使用簡介 PAGEREF _Toc739 22 HYPERLINK l _Toc24738 3.3 Linu*下代理的實(shí)現(xiàn) PAGEREF _Toc24738 28 HYPERLINK l _Toc22836 3.3.1代理效勞器概述 PAGEREF _Toc22836 28 HYPERLINK l _Toc1149 3.3.2 代理軟件的簡介和比擬 PAGEREF _Toc11

12、49 32 HYPERLINK l _Toc9298 結(jié) 論 PAGEREF _Toc9298 35 HYPERLINK l _Toc32184 致 PAGEREF _Toc32184 37 HYPERLINK l _Toc11529 參考文獻(xiàn) PAGEREF _Toc11529 38引 言隨著網(wǎng)絡(luò)的開展, 網(wǎng)絡(luò)的資源共享, 網(wǎng)上辦公,電子商務(wù)等蓬勃開展, 網(wǎng)絡(luò)給人們帶來了更快捷方便的信息交換和處理方式, 在各方面改變著人們的生產(chǎn),生活。為了充分利用網(wǎng)絡(luò)技術(shù)帶來的快捷和方便, 越來越多的公司和政府部門在公司或部門圍組建起自己的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)(Intranet), Intranet的技術(shù)優(yōu)勢,

13、給公司帶來了高效的工作效率的同時(shí), 也帶來了全新的平安問題。全球信息平安方面的研究工作者就此問題展開了廣泛而深入的研究，其中防火墻技術(shù)1是近年開展起來的一種網(wǎng)絡(luò)平安技術(shù)。顧名思義，它是在受保護(hù)網(wǎng)與外部網(wǎng)之間構(gòu)造一個(gè)保護(hù)層，把攻擊者擋在受保護(hù)網(wǎng)的外面。這種技術(shù)強(qiáng)制所有外網(wǎng)的連接都必須經(jīng)過此保護(hù)層，在此進(jìn)展檢查和連接，從而保護(hù)了受保護(hù)網(wǎng)資源免遭外部非法入侵。它通過監(jiān)測、限制或更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部網(wǎng)絡(luò)屏蔽有關(guān)受保護(hù)網(wǎng)絡(luò)的信息和構(gòu)造來實(shí)現(xiàn)對網(wǎng)絡(luò)的平安保護(hù)。本文將首先從Intranet的平安性入手, 分析Intranet面臨的平安問題，討論Intranet平安設(shè)計(jì)需求，然后詳述防火墻的

14、背景知識和關(guān)鍵技術(shù)，最后重點(diǎn)介紹我們提出的基于Linu*平臺的復(fù)合防火墻的設(shè)計(jì)和實(shí)現(xiàn)。緒論研究意義Intranet簡單地說是采用Internet的技術(shù)和產(chǎn)品建立的公司中專用企業(yè)網(wǎng)絡(luò)，人們可以利用現(xiàn)有的部網(wǎng)絡(luò)硬件、軟件和效勞器，采用Internet技術(shù)協(xié)議(如TCP/IP、HTTP、SMTP、HTML 等等)來建立企業(yè)Intranet。近年來，Intranet受到了人們的普遍關(guān)注，并得到了迅速開展。由于Intranet突破了傳統(tǒng)的企業(yè)管理信息系統(tǒng)的系統(tǒng)模式，采用了多層的Client/Server模式，并利用業(yè)已成熟而廣泛采用的Internet技術(shù)，因此，現(xiàn)代企業(yè)網(wǎng)絡(luò)都采用以Web為核心應(yīng)用，以T

15、CP/IP、HTTP為傳輸協(xié)議，通過瀏覽器與Web相連的后臺數(shù)據(jù)庫，構(gòu)成統(tǒng)一便利的信息交換平臺，同時(shí)又能較好地與傳統(tǒng)的企業(yè)信息系統(tǒng)相融合，使企業(yè)的傳統(tǒng)應(yīng)用平衡地過度到Intranet。隨著Intranet帶來的企業(yè)效.率的提高, 帶來了高度的信息共享和快捷便利的信息處理的方式的同時(shí), 也帶來了更大的平安性問題。一方面, 隨著企業(yè)規(guī)模的擴(kuò)大, 為了提高企業(yè)的工作效率, 加強(qiáng)部門間的信息交流和事務(wù)處理, 要求網(wǎng)上辦公的規(guī)模也逐漸深化, 通過Intranet共享的信息資源增多。這些不同的信息按照其不同的容和性質(zhì)及其程度, 應(yīng)當(dāng)設(shè)置不同的控制策略。 另一方面, 隨著企業(yè)規(guī)模的擴(kuò)大, Intranet也

16、相應(yīng)的擴(kuò)大, 連接到Intranet上工作的人員也增多, 企業(yè)的工作人員都通過Intranet共享的信息資源, 這樣從Intranet 部造成的平安威脅在增加，對資源的爭用也更突出。如果沒有完善的平安措施, 就可能由于工作人員的疏忽和誤操作,或者部人員的惡意犯罪, 造成絕密信息的泄露或系統(tǒng)信息資源的破壞。Intranet2的平安即保護(hù)部的信息資源, 使其不受意外的和蓄意的未經(jīng)授權(quán)的泄露和破壞。 為了實(shí)現(xiàn)這一平安目標(biāo), 就必須對Intranet上的信息資源實(shí)現(xiàn)有效的控制, 使得只有經(jīng)過授權(quán)的用戶才能以被授權(quán)的方式(讀, 寫, 執(zhí)行) 進(jìn)展。 制止非法用戶的非授權(quán)和合法用戶的越權(quán)。防火墻 介紹2.

17、 研究容3. 論文組織1.2 防火墻技術(shù)現(xiàn)代計(jì)算機(jī)環(huán)境中，由于環(huán)境的復(fù)雜性和多樣性，使得單純的主機(jī)平安防衛(wèi)越來越無法適應(yīng)網(wǎng)絡(luò)時(shí)代的要求，網(wǎng)絡(luò)平安防衛(wèi)模式在這種情況下應(yīng)運(yùn)而生。網(wǎng)絡(luò)平安效勞3的最大特點(diǎn)就是將分散的各種平安任務(wù)集中到一點(diǎn)來管理，把注意力集中到控制不同主機(jī)的網(wǎng)絡(luò)通信和它們所提供的效勞上來。采用網(wǎng)絡(luò)平安防衛(wèi)可以獲得很多的好處，例如，一個(gè)單獨(dú)的網(wǎng)絡(luò)防火墻可以保護(hù)幾百幾千臺計(jì)算機(jī)免于防火墻外的攻擊，即使部個(gè)別主機(jī)的主機(jī)防衛(wèi)水平比擬低。防火墻是一種網(wǎng)絡(luò)平安防衛(wèi)的典型實(shí)例。通常，將防火墻安裝在被保護(hù)的部網(wǎng)和外部網(wǎng)/Internet之間的連接點(diǎn)上，所有進(jìn)出部網(wǎng)絡(luò)的活動都必須經(jīng)過防火墻，這樣防火墻

18、就可以在此檢查這些活動，實(shí)施平安防措施。防火墻也可以被認(rèn)為是一種控制機(jī)制，決定哪些部效勞允許外部，哪些不允許，反之亦然。從邏輯上講，防火墻是一個(gè)別離器，是一個(gè)限制器，也是一個(gè)分析器4。防火墻是一種有效的網(wǎng)絡(luò)平安控制機(jī)制。它可以防止外部網(wǎng)絡(luò)發(fā)生的危險(xiǎn)涉及部網(wǎng)絡(luò)，歸納起來，其主要功能包括：限制*些用戶/信息進(jìn)入或離開一個(gè)被嚴(yán)格控制的子網(wǎng)：通過防火墻可以過濾掉不平安效勞和非法用戶，制止未授權(quán)的用戶受保護(hù)網(wǎng)絡(luò)。可以把防火墻設(shè)置成為只有預(yù)先被允許的效勞和用戶才能通過防火墻。這樣就降低了被保護(hù)子網(wǎng)遭受非法攻擊的風(fēng)險(xiǎn)性，大大提高了網(wǎng)絡(luò)平安性?？刂茖μ厥舛它c(diǎn)的：防火墻可以允許受保護(hù)網(wǎng)的一些主機(jī)被外部網(wǎng)，而另一

19、些被保護(hù)起來，防止不必要。提供監(jiān)視Internet平安和預(yù)警的方便端點(diǎn)：防火墻可以記錄下所有通過它的并提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。同時(shí)它也是審查和記錄Internet使用情況的最正確點(diǎn)，幫助網(wǎng)絡(luò)管理員掌握Internet連接費(fèi)用和帶寬擁擠的詳細(xì)情況，提供了一個(gè)減輕部門負(fù)擔(dān)的方法。各種的防火墻的構(gòu)造是不同的，有的是一臺主機(jī)，有的甚至是一個(gè)網(wǎng)絡(luò)系統(tǒng)。這要取決于站點(diǎn)的平安要求和投資等綜合因素。1.2.1 防火墻的定義防火墻Firewall的原始含義是一種建筑，用以防止著火的時(shí)候火不至從一個(gè)房間蔓延到另一個(gè)房間。后來，將其引入到計(jì)算機(jī)平安的領(lǐng)域來，特別是近年來多用于飛速開展的Internet網(wǎng)絡(luò)中。所

20、以，有時(shí)也叫Internet防火墻。防火墻5是在兩個(gè)網(wǎng)絡(luò)之間強(qiáng)制實(shí)施控制策略的一個(gè)系統(tǒng)或一組系統(tǒng)，是一個(gè)由多個(gè)部件組成的集合，它被放在兩個(gè)網(wǎng)絡(luò)之間，并具有如下特性：所有的從部到外部或從外部到部的通信都必須經(jīng)過它。只有部策略授權(quán)的通信才能被允許通過。系統(tǒng)本身要具有高可靠性。簡而言之，防火墻就是用來保護(hù)可信網(wǎng)絡(luò)不受非可信網(wǎng)絡(luò)侵入的一種機(jī)制，但它允許在這兩個(gè)網(wǎng)絡(luò)之間的進(jìn)展通信。這兩種網(wǎng)絡(luò)的最典型的例子就是企業(yè)部網(wǎng)和Internet。從平安策略和網(wǎng)絡(luò)配置的角度來看，防火墻就是附加了許多平安機(jī)制的主機(jī)系統(tǒng)或路由器，使得部網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離，通過限制網(wǎng)絡(luò)互訪，隱藏主機(jī)或子

21、網(wǎng)中的協(xié)議和效勞，并保護(hù)其部資源不受外部的攻擊或?yàn)E用。1.2.2 防火墻的根本類型經(jīng)過十余年的開展過程，目前存在應(yīng)用不同技術(shù)的多種防火墻，這些技術(shù)之間的區(qū)分不很明顯，但就其處理的數(shù)據(jù)對象和實(shí)現(xiàn)層次來說，大體上可分為包過濾和應(yīng)用層網(wǎng)關(guān)兩種類型6：包過濾防火墻：它是在IP層實(shí)現(xiàn)的，其處理對象是網(wǎng)絡(luò)報(bào)文/IP包。因此，它可以只用路由器完成。包過濾根據(jù)網(wǎng)絡(luò)報(bào)文的源IP地址、目的IP地址、源端口、目的端口及報(bào)文傳遞方向等報(bào)頭信息來判斷是否允許報(bào)文通過。應(yīng)用網(wǎng)關(guān)防火墻：它是在應(yīng)用層實(shí)現(xiàn)的，通過對網(wǎng)絡(luò)效勞的代理，檢查進(jìn)出網(wǎng)絡(luò)的各種效勞。其處理對象是各種不同的應(yīng)用效勞。由于網(wǎng)絡(luò)通訊基于層次參考模型，所以，不同

22、類型的防火墻也就處理不同層次抽象出的通訊數(shù)據(jù)。IP包過濾處理網(wǎng)絡(luò)層數(shù)據(jù)，應(yīng)用代理處理應(yīng)用層數(shù)據(jù)。隨著防火墻技術(shù)的不斷開展，近年來出現(xiàn)了許多加強(qiáng)功能的防火墻，本質(zhì)上講，它們都是這兩類根本類型。例如，現(xiàn)在出現(xiàn)了一種可以分析IP包數(shù)據(jù)區(qū)容的智能型包過濾器7，它通過深入檢查IP包而得出的有關(guān)各種Internet效勞的信息，進(jìn)而進(jìn)展控制，實(shí)際上屬于包過濾型防火墻。另外，有些防火墻是控制TCP通信會話層，如SOCKS，這種防火墻本質(zhì)上是應(yīng)用網(wǎng)關(guān)，只是對所有的應(yīng)用都通過控制連接會話來實(shí)施。1.2.3 包過濾防火墻包過濾防火墻工作于網(wǎng)絡(luò)體系構(gòu)造的IP層，作用對象是網(wǎng)絡(luò)報(bào)文或稱為IP包。眾所周知，在TCP/IP

23、網(wǎng)絡(luò)中，數(shù)據(jù)都是被封裝到不同的IP包中進(jìn)展傳輸?shù)?。包過濾防火墻就是截獲每個(gè)通過它的IP包，并進(jìn)展平安檢查，如果通過檢查，就將該IP包正常轉(zhuǎn)發(fā)出去，否則，阻止其通過，也就阻斷了網(wǎng)絡(luò)通訊。TCP/IP8體系構(gòu)造中，IP的信息主要包含以下容：IP源地址IP目的地址協(xié)議說明該IP包是TCP、UDP或ICMP包TCP或UDP的源端口TCP或UDP的目的端口ICMP信息類型在Internet中，提供*些特定效勞的效勞器一般都使用相對固定的端口。因此，包過濾器只需控制端口，也就控制了效勞。IP包過濾的功能應(yīng)用十分廣泛，最常見的就是包過濾路由器。它就是在路由IP包的同時(shí)基于一定的規(guī)則對IP包進(jìn)展平安檢查。這些

24、規(guī)則一般是基于一個(gè)五元組：包過濾就可以通過協(xié)議類型來控制特定協(xié)議，通過IP地址9來控制特定的源和目的主機(jī)，通過控制源和目的端口來控制特定網(wǎng)絡(luò)效勞，通過源/目的來控制是入網(wǎng)信息還是出網(wǎng)信息，即控制信息方向。同時(shí)，還可以制定IP地址和端口的組合規(guī)則，使得這種平安檢查更加細(xì)致。IP包過濾能夠有效地控制網(wǎng)絡(luò)的通信，具有速度快，效率高，花費(fèi)少，對用戶透明,支持任何協(xié)議等優(yōu)點(diǎn)，但它仍然存在著以下缺乏：允許外部客戶機(jī)直接連接部主機(jī)系統(tǒng)可能導(dǎo)致IP欺騙等基于源地址的網(wǎng)絡(luò)攻擊在復(fù)雜環(huán)境中，管理的復(fù)雜度迅速提高一般的包過濾的審計(jì)功能較弱不能提供用戶認(rèn)證包檢查型防火墻是一種新型的防火墻，本質(zhì)上也是應(yīng)用了包過濾技術(shù)，

25、所不同的是它不只根據(jù)IP信息進(jìn)展檢查過濾，而且還要檢查包的TCP頭甚至包的容。同時(shí)，還引入了動態(tài)規(guī)則的概念，減少許多防火墻系統(tǒng)的漏洞。1.2.4 應(yīng)用網(wǎng)關(guān)應(yīng)用網(wǎng)關(guān)就是在網(wǎng)關(guān)上執(zhí)行一些特定的應(yīng)用程序或效勞器程序，這些程序統(tǒng)稱為代理Pro*y程序。在一個(gè)網(wǎng)絡(luò)中，對于由向外的請求和由外向的請求的處理是不同的。一般認(rèn)為部網(wǎng)絡(luò)是比擬平安，外部網(wǎng)絡(luò)是危險(xiǎn)的。所以，要控制外部網(wǎng)絡(luò)向部的信息請求。這時(shí)，就由代理程序?qū)⑼獠坑脩魧Σ烤W(wǎng)絡(luò)的效勞請求依據(jù)已制定的平安規(guī)則決定是否向部真實(shí)效勞器提交。代理效勞替代外部用戶與部網(wǎng)絡(luò)中的效勞器進(jìn)展連接。一個(gè)代理就好象在應(yīng)用效勞和用戶之間的一個(gè)轉(zhuǎn)發(fā)器。當(dāng)一個(gè)遠(yuǎn)程用戶要請求部的效

26、勞時(shí)，它首先與這個(gè)代理相連，經(jīng)過認(rèn)證后，再由代理連到目的主機(jī)，同時(shí)，將效勞器的響應(yīng)傳送回給所代理的客戶，如圖1-1所示。在這個(gè)過程中，代理既是客戶程序又擔(dān)任效勞器的角色，對于真正的客戶請求來說，它是效勞器；而對于效勞器來說，它是一個(gè)客戶請求進(jìn)程。代理效勞是一種軟件防火墻的解決方案。從代理實(shí)現(xiàn)在不同的OSI網(wǎng)絡(luò)分層次構(gòu)造上來看，代理可分為回路層代理和應(yīng)用層代理；從代理控制的效勞數(shù)來看，代理可分為公用代理和專用代理。 回路層代理回路層代理是工作在傳輸層上的一種代理方法，實(shí)現(xiàn)時(shí)通常在通用的傳輸層之上插入代理模塊。由于對于所有網(wǎng)絡(luò)效勞，都通過共同的回路層代理，所以這種代理也叫公共代理。所有的入站和出站

27、連接都必須先連接代理。在建立連接之前，由代理效勞器先檢查連接會話請求，應(yīng)用控制規(guī)則決定是否建立連接，然后再建立連接，并一直監(jiān)控連接狀態(tài)。當(dāng)連接翻開時(shí)，回路層代理會將IP包在用戶應(yīng)用程序和Internet效勞之間進(jìn)展轉(zhuǎn)發(fā)。如果符合平安規(guī)則，則正常轉(zhuǎn)發(fā)；否則，IP數(shù)據(jù)包不得通過。回路層代理可以提供較詳盡的控制機(jī)制，其中包括認(rèn)證和其它客戶與代理之間的信息交換。其缺點(diǎn)在于它是控制連接的，不支持UDP的效勞。另外，這種代理不能提供太詳盡的審計(jì)信息。 應(yīng)用層代理應(yīng)用層代理防火墻能針對不同的應(yīng)用協(xié)議和特殊的平安效勞需求進(jìn)展處理，并且能對IP包中的數(shù)據(jù)甚至數(shù)據(jù)重組后的容進(jìn)展不同的處理的。通常，在這類防火墻系統(tǒng)

28、中，都會有多個(gè)代理分別對應(yīng)不同的應(yīng)用。每出現(xiàn)一種新的應(yīng)用，就必須提供新的與之對應(yīng)的代理，因此屬于專用代理。與回路層代理相比，應(yīng)用層代理與其對等實(shí)體之間具有更好的交互性。在這個(gè)過程中，代理程序既是客戶程序，又是效勞器程序。首先，代理以效勞器的身份接收的來自真正客戶的請求，然后，對客戶進(jìn)展認(rèn)證和平安檢查；平安檢查通過后，再以客戶機(jī)的身份將客戶請求轉(zhuǎn)發(fā)給真正的效勞器。待會話建立后，代理就作為一個(gè)轉(zhuǎn)接器，在已初始化的客戶機(jī)和效勞器之間拷貝數(shù)據(jù)。因?yàn)樵诳蛻魴C(jī)和效勞器之間的所有數(shù)據(jù)都由應(yīng)用程序代理存儲轉(zhuǎn)發(fā)，它對會話和數(shù)據(jù)擁有全部控制權(quán)。所以，應(yīng)用層代理能提供非常細(xì)致的認(rèn)證和對應(yīng)用效勞進(jìn)展控制。1.3 設(shè)計(jì)

29、與實(shí)現(xiàn)Linu*防火墻的緣起與目標(biāo)近幾年來，迅速崛起的Linu*成為IT產(chǎn)業(yè)最引人注目的焦點(diǎn)之一。Linu*10作為類Uni*的一個(gè)網(wǎng)絡(luò)操作系統(tǒng)，其良好的穩(wěn)定性，低廉的價(jià)格和開放的源代碼,在全球產(chǎn)生了巨大的影響。Linu*是一種符合GNU通用公共協(xié)議GPL的完全公開源碼的類UNI*系統(tǒng)。自1991年芬蘭赫爾辛基大學(xué)的Lines Torvalds首先開發(fā)成功，得到了許多UNI*程序員和愛好者地不斷完善。借助全新的Internet開發(fā)模式，短短幾年時(shí)間，Linu*已經(jīng)成長為一種功能強(qiáng)大、性能穩(wěn)定的操作系統(tǒng)。Linu*與UNI*高度兼容，穩(wěn)定性和可靠性都很好，但價(jià)格卻低廉得多。而且由于完全開放源代碼

30、，用戶不必?fù)?dān)憂操作系統(tǒng)中存在后門，與之相對的是，Windows系統(tǒng)的平安漏洞和后門時(shí)有報(bào)道，如最近披露的關(guān)于FrontPage98的秘密口令使的非授權(quán)易如反掌。越來越多的廠商開場支持Linu*并在其上開發(fā)應(yīng)用，使得Linu*的開展和推廣速度遠(yuǎn)遠(yuǎn)高于其他操作系統(tǒng)，如今已在網(wǎng)絡(luò)效勞器領(lǐng)域占據(jù)了超過20%的市場份額。操作系統(tǒng)作為用戶和計(jì)算機(jī)之間的界面，它一方面管理所有計(jì)算機(jī)系統(tǒng)資源，另一方面為用戶提供一個(gè)抽象的虛擬機(jī)，防止了對系統(tǒng)硬件的直接操作。Linu*良好的應(yīng)用前景和開放的代碼使得它成為我們開發(fā)防火墻的理想平臺。此外Linu*置的路由和防火墻功能亦是本課題緣起的另一重要因素。本課題目標(biāo)是設(shè)計(jì)并實(shí)

31、現(xiàn)一種新型防火墻。這種防火墻既有包過濾的功能，又能在應(yīng)用層進(jìn)展代理，具有先進(jìn)的過濾和代理體系，能從數(shù)據(jù)鏈路層到應(yīng)用層進(jìn)展全方位平安處理。TCP/IP協(xié)議和代理的直接相互配合，使系統(tǒng)的防欺騙能力和運(yùn)行的強(qiáng)健性都大大提高。-. z第2章 使用防火墻構(gòu)造平安的解決方案2.1 堡壘主機(jī)或雙穴主機(jī)網(wǎng)關(guān)如圖2-1所示，這種配置是用一臺裝有兩塊網(wǎng)卡的堡壘主機(jī)做防火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連。堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供效勞等。堡壘主機(jī) 受保護(hù)網(wǎng) 外部網(wǎng)圖2-1 堡壘主機(jī)解決方案圖雙穴主機(jī)網(wǎng)關(guān)11裝配的防火墻軟件一般不轉(zhuǎn)發(fā)TCP/IP協(xié)議，它為每種效勞提供專門的應(yīng)用程序。其使

32、用的便利性及平安性取決于管理者設(shè)置的方式：是否允許用戶登錄到防火墻上。如果設(shè)為允許，方便性提高了，但平安性會降低。例如假設(shè)*一合法用戶設(shè)置的口令比擬脆弱weak，很容易被計(jì)算出來，則設(shè)法取得該用戶口令的黑客會利用該用戶的登錄到防火墻上，設(shè)法取得超級用戶特權(quán)，這樣危險(xiǎn)帶擴(kuò)展到整個(gè)受保護(hù)網(wǎng)。雙穴主機(jī)網(wǎng)關(guān)優(yōu)于屏蔽路由器的地方是：堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。這對于日后的檢查很有用。但這不能幫助網(wǎng)絡(luò)管理者確認(rèn)網(wǎng)中哪些主機(jī)可能已被黑客入侵。雙穴主機(jī)網(wǎng)關(guān)的一個(gè)致命弱點(diǎn)是：一旦入侵者侵入堡壘主機(jī)并使其只具有路由功能，則任何網(wǎng)上用戶均可以隨便網(wǎng)。例如，假設(shè)堡壘主機(jī)的操作系統(tǒng)是U

33、NI*，系統(tǒng)管理者可以修改核心變量ipforwarding來制止TCP/IP轉(zhuǎn)發(fā)。但熟知該操作系統(tǒng)的黑客設(shè)法取得系統(tǒng)特權(quán)后，也可以重設(shè)該變量使其具有路由功能。系統(tǒng)管理員必須很注意監(jiān)視軟件的校訂級和網(wǎng)關(guān)主機(jī)的配置才能及早發(fā)現(xiàn)。2.2 被屏蔽主機(jī)網(wǎng)關(guān)屏蔽主機(jī)網(wǎng)關(guān)11易于實(shí)現(xiàn)也很平安，因此應(yīng)用廣泛。如圖2-2 所示，一個(gè)分組過濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使這個(gè)堡壘主機(jī)成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)，這確保了部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。進(jìn)出部網(wǎng)絡(luò)的數(shù)據(jù)只能沿圖中的虛線流動。堡壘主機(jī)屏蔽路由器網(wǎng)中其他主機(jī)外部網(wǎng)受保護(hù)網(wǎng)圖2-2 屏蔽主機(jī)

34、網(wǎng)關(guān)圖如果受保護(hù)網(wǎng)是一個(gè)虛擬擴(kuò)展的本地網(wǎng)，即沒有子網(wǎng)和路由器，則網(wǎng)的變化不影響堡壘主機(jī)和屏蔽路由器的配置。網(wǎng)關(guān)的根本控制策略由安裝在上面的軟件決定。如果攻擊者設(shè)法登錄到它上面，網(wǎng)中的其余主機(jī)就會受到很大威脅。這與雙穴主機(jī)網(wǎng)關(guān)受攻擊時(shí)的情形差不多。2.3 被屏蔽子網(wǎng) 堡壘主機(jī)外部網(wǎng)受保護(hù)網(wǎng)屏蔽路由器屏蔽路由器被屏蔽子網(wǎng)圖 2-3 屏蔽子網(wǎng)圖這種方法是在部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實(shí)現(xiàn)中，兩個(gè)分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)構(gòu)成一個(gè)非軍事區(qū)DMZ12，如圖2-3所示，部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可被屏蔽子網(wǎng)，但制止它們穿過被屏

35、蔽子網(wǎng)通信，象和FTP效勞器可放在DMZ中。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機(jī)作為唯一可點(diǎn)，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險(xiǎn)帶僅包括堡壘主機(jī)、屏蔽子網(wǎng)主機(jī)及所有連接網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。如果攻擊者試圖完全破壞防火墻，他必須重新配置連接三個(gè)網(wǎng)的路由器，既不切斷連接又不要把自己鎖在外面，同時(shí)又不使自己被發(fā)現(xiàn)，這樣也還是可能的。但假設(shè)制止網(wǎng)絡(luò)路由器或只允許網(wǎng)中的*些主機(jī)它，則攻擊會變得很困難。在這種情況下，攻擊者得先侵入堡壘主機(jī)，然后進(jìn)入網(wǎng)主機(jī)，再返回來破壞屏蔽路由器，整個(gè)過程中不能引發(fā)警報(bào)。-. zLinu*防火墻技術(shù) 你的工作Iptable實(shí)現(xiàn)局域網(wǎng)的平安控制3.1 Linu*

36、防火墻技術(shù)的開展Ipchains是linu*13的防火墻配置工具，以前叫Ipfwadm,版本的更新非?？欤F(xiàn)在的版本號是1.3.10。相對于Ipfwadm來講，Ipchains更容易配置，且功能更強(qiáng)大。最近，Linu*又推出新一代防火墻工具Iptable，但是其運(yùn)行還不穩(wěn)定。3.2 利用Linu* 實(shí)現(xiàn)路由和包過濾Linu*是一種可以運(yùn)行在PC上的網(wǎng)絡(luò)操作系統(tǒng)，對于硬件的要求低，穩(wěn)定性高，有良好的伸縮性。Linu*已置了路由和防火墻功能。在2.2核以后Linu*推出的技術(shù)是Ipchains,在2.4核版本后運(yùn)行的技術(shù)是Iptables,它繼續(xù)兼容Ipchains.3.2.1 Ipchains原

37、理及簡介 原理簡介Ipchains14即IP鏈，是由IP防火墻管理程序ipfwadm開展而來。從根本上說，Ipchains就是一種包過濾器。IpchainsIP鏈 作為Linu*核心的一局部，當(dāng)核心啟動時(shí)，Ipchains也啟動假設(shè)干個(gè)規(guī)則表，也叫鏈。包過濾器實(shí)際上是一段程序，它檢查IP包的，決定包的命運(yùn)。它可以丟棄DENY這些包就好似沒收到、承受ACCEPT或拒絕REJECT包如DENY，但它告訴包的發(fā)送者已經(jīng)承受。命令ipchains 用于過濾和地址轉(zhuǎn)換規(guī)則的建立，維護(hù)，及檢查。這些防火墻規(guī)則15可被分為三種不同的類型： input鏈、 output鏈和forward鏈，過濾

38、和地址轉(zhuǎn)換的控制基于這三種類型的規(guī)則設(shè)置。Input鏈?zhǔn)侵笍姆阑饓χ鳈C(jī)外部通過防火墻*塊網(wǎng)卡進(jìn)入防火墻主機(jī)的IP包的規(guī)則集合。Output鏈?zhǔn)侵笍姆阑饓χ鳈C(jī)通過防火墻*塊網(wǎng)卡出到防火墻主機(jī)外部的IP包的規(guī)則集合。Forward鏈?zhǔn)侵阜阑饓χ鳈C(jī)部從*塊網(wǎng)卡轉(zhuǎn)發(fā)到另一網(wǎng)卡的IP包的規(guī)則集合。當(dāng)一個(gè)包從Internet進(jìn)入配置了防火墻的linu*的主機(jī)，核使用輸入鏈決定該包的取舍。如果該包沒有被丟棄，則核繼而調(diào)用轉(zhuǎn)發(fā)鏈決定是否將該包發(fā)送到*個(gè)出口，最后當(dāng)包要被發(fā)出前，核通過輸出鏈來做決定。 一個(gè)鏈就是一個(gè)規(guī)則Rule表。規(guī)則的意思是：如果符合規(guī)則的定義，就按預(yù)先的設(shè)定對包作*種處理。如果包與此規(guī)則不

39、相符，就與下一個(gè)規(guī)則比擬。圖3-1說明了一個(gè)包進(jìn)入一臺機(jī)器的流程。Packet In ChecksunC DENYSanity OutputChainForwardChainInput Chain Chain DENY DENY/REJECTDemasqueradeedRoutingDecision YMasqueradLocalI/OInterfaceLocalProcess Y N N DENY/REJECT DENY/REJECTPacket Out 圖3-1 包進(jìn)入機(jī)器的流程1：checksum:當(dāng)一個(gè)包進(jìn)來時(shí)，核首先檢查它是不是被篡改。主要是檢查效驗(yàn)碼。(checksum)如果效驗(yàn)碼

40、不對，則此包被拒絕。 2：sanity:寫在每條防火鏈的前面，特別是input鏈。主要是檢驗(yàn)?zāi)切┎灰?guī)的包。如果包被sanity拒絕,則在syslog文件中有記載。 3：input:包進(jìn)入input鏈，按照上面所說的一條鏈中的包的流程來走。是被拒絕，否認(rèn)還是被承受，重定向等。 4：Demasqerade:包被承受。此包是由原來的包經(jīng)過偽裝后的包則解偽裝。5：Routing Decision:通過路由機(jī)制判斷包的目的地址,是本機(jī)器的還是需要轉(zhuǎn)發(fā)給其他遠(yuǎn)程機(jī)器的。 6：Local Process：如果包的目的地是本機(jī)器。則直接送到output鏈。 7：Lo interface:如果包是從local

41、process傳來的，則它從output鏈中出來后interface被改為lo,然后再從新被送到input鏈，以接口是lo的身份再一次通過各個(gè)防火鏈。8：forward:如果是需要轉(zhuǎn)發(fā)的包則進(jìn)入forward鏈。forward鏈對那些需要轉(zhuǎn)發(fā)的包進(jìn)展詳細(xì)的檢查，通過了再進(jìn)展轉(zhuǎn)發(fā)。 9：output：此鏈核對出去的包的詳細(xì)信息，假設(shè)符合，則讓它通過。 源代碼分析Ipchains置的規(guī)則鏈如何處理承受的包，從而完成過濾任務(wù)，這我們必須從源代碼進(jìn)展分析。為加速網(wǎng)絡(luò)的處理速度，Linu*核中的網(wǎng)絡(luò)局部采用統(tǒng)一的的緩沖區(qū)構(gòu)造skbuff17,各層協(xié)議間通過對skbuff的操作來完成各層協(xié)議的封裝和拆包。

42、一個(gè)個(gè)單獨(dú)的skbuff被組織成雙向鏈表的形式。網(wǎng)卡接收到的數(shù)據(jù)幀分配一塊存，然后將數(shù)據(jù)整理成skbuff 的構(gòu)造。在網(wǎng)絡(luò)協(xié)議處理的時(shí)候，數(shù)據(jù)均以skbuff的形式在各層之間傳遞、處理。Skbuff的強(qiáng)大功能在于它提供了眾多指針，可以快速定位各層協(xié)議的協(xié)議頭位置；它也同時(shí)保存了許多數(shù)據(jù)包信息如使用的網(wǎng)絡(luò)設(shè)備等，以便協(xié)議層根據(jù)需要靈活應(yīng)用。對IP包過濾的實(shí)現(xiàn)在IP層進(jìn)展，在IP協(xié)議層有3個(gè)關(guān)鍵的函數(shù)ip_rev( ),ip_forward( ),ip_output( )18,分別管理IP層的接收，轉(zhuǎn)發(fā)和發(fā)送工作。Ipchains中的3種置規(guī)則鏈分別對應(yīng)作用于這3個(gè)函數(shù)。下面我們通過對這些函數(shù)的介

43、紹，進(jìn)一步明確Ipchains的工作流程。Ip_rev( )是IP層的接收函數(shù)，由它來處理網(wǎng)卡接收到的數(shù)據(jù)包，它首先檢查：長度是否正確版本號是否正確是IPV4還是IPV6校驗(yàn)和是否正確在確定這些信息無誤后，則調(diào)用包過濾檢測：fw_res =call_in_firewall(PF_INET,dev,iph,&rport,&skb);call_in_firewall 會對輸入的數(shù)據(jù)包進(jìn)展規(guī)則檢查，fw_ res返回的便是匹配出來的規(guī)則。如果對應(yīng)的規(guī)則為不承受該數(shù)據(jù)包，則立即將此數(shù)據(jù)包丟棄：if(fw_ resdaddr,iph-saddr,iph-tos,dev)此時(shí)路由信息已包括在了skbuff

44、數(shù)據(jù)構(gòu)造的dst項(xiàng)中，緊接著調(diào)用skb-dst-input(skb)繼續(xù)處理。對發(fā)往本地高層協(xié)議的包，則調(diào)用ip_local_deliver( )進(jìn)展處理；對轉(zhuǎn)往其他主機(jī)的包，則實(shí)際調(diào)用ip_forward( )處理。值得注意的是，經(jīng)偽裝的包再回來時(shí)，其目的IP是防火墻的IP，經(jīng)路由后，也送入ip_local_deliver( )處理，在ip_local_deliver( )部先解偽裝，然后再查一次路由，發(fā)往本地的直接發(fā)往高層，否則依然調(diào)用ip_forward( )。Ip_forward( )用來處理發(fā)往其他主機(jī)的數(shù)據(jù)包。其函數(shù)流程為：因?yàn)閕p_forward( )接收的參數(shù)是一個(gè)skbuff

45、,它首先利用skbuff的指針，把IP頭找出：iph=skb-nh.iph因?yàn)閕p_forward( )由ip_rev( )調(diào)用，而在ip_rev( )中已查過了路由，此處只需利用skbuff的指針定位路由信息即可：struct rtable * rt；/* Route we use */rt=(stuct rtable*)skb-dst；如果此包的生存時(shí)間ttl已到，則丟棄：if(iph-ttlis_strict route & rt-rt_dst!=rt_rt_gateway) goto sr_failed;5)如果指定的偽裝功能，且上層協(xié)議是ICMP，則在此處處理一局部，且跳過后面的包過

46、濾處理： * if def CONFIG_IP_MASQUSERADE if (! (IPCB(skb)-flags &IPSKB-MASQUERADED) if (iph-protocol=IPPROTO_ICMP) fw_res=ip_fw_masq_icmp(&skb,maddr); if(fw_res) /*ICMP matched-skip firewall */ goto skip_call_fw_firewall； * end if6)如果上一步的前提不成立，則要經(jīng)過一次包過濾。 fw_res= call_fw_firewall(PF_INET,dev2,iph,NULL,&sk

47、b);7)因?yàn)檗D(zhuǎn)發(fā)的數(shù)據(jù)總是要送出的，緊接著會調(diào)用call_out_firewall( ),并把數(shù)據(jù)送出去。Ip_output( )完成數(shù)據(jù)包的發(fā)送，具體過程參照Ip_rev( )。我們已經(jīng)知道核在網(wǎng)絡(luò)層中自動調(diào)用用戶編寫的防火墻程序。但有一個(gè)前提條件就是用戶必須正確地將自己編寫的防火墻程序登記到核中，核中提供了防火墻的登記和卸載函數(shù)，分別是register_firewall和unregister_firewall。1、 register_firewall函數(shù)原型如下：int register_firewall(int pf,struct firewall_ops *fw)返回值：0代表成功，

48、小于0表示不成功。參數(shù)：* 協(xié)議標(biāo)志pf，主要的取值及其代表的協(xié)議如下：2代表Ipv4協(xié)議，4代表IP*協(xié)議，10代表Ipv6協(xié)議等。* 參數(shù)構(gòu)造fw定義如下：struct firewall_opsstruct firewall_ops *ne*t;int (*fw_forward)(struct firewall_ops *this, int pf, struct device *dev, void *phdr, void *arg, struct sk_buff *pskb);int (*fw_input)(struct firewall_ops *this, int pf, struct

49、 device *dev, void *phdr, void *arg, struct sk_buff *pskb);int (*fw_output)(struct firewall_ops *this, int pf, struct device *dev, void *phdr, void *arg, struct sk_buff *pskb);int fw_pf; int fw_priority; ;構(gòu)造中ne*t的域?qū)⒂珊藖硇薷?，使其指向下一個(gè)防火墻模塊。fw_pf域?yàn)閰f(xié)議標(biāo)志，含義同上。fw_priority指定優(yōu)先級，一般應(yīng)大于0。fw_input、fw_output、fw_for

50、ward是用戶編寫的防火墻函數(shù)模塊，在接收到網(wǎng)絡(luò)報(bào)和發(fā)送網(wǎng)絡(luò)報(bào)時(shí)核將調(diào)用這些模塊，后面將詳細(xì)討論。 2、 unregister_firewallunregister_firewall的原型說明與調(diào)用方法同register_firewall。3.2.2 Ipchains命令使用簡介過濾和地址轉(zhuǎn)換功能模塊植入LINU*核，因此利用Linu*系統(tǒng)命令ipchains來配置過濾和地址轉(zhuǎn)換規(guī)則。命令形式：ipchains命令19主要有以下幾種形式：ipchains ADC 鏈名 規(guī)則描述 選項(xiàng)ipchains RI 鏈名 規(guī)則索引 規(guī)則描述 選項(xiàng)ipchains D 鏈名 規(guī)則索引 選項(xiàng)ipchains

51、 LFZN* 鏈名 選項(xiàng)ipchains P 鏈名 操作target 選項(xiàng)ipchains M -L|-S 選項(xiàng)簡介： 命令ipchains 用于過濾和地址轉(zhuǎn)換規(guī)則的建立，維護(hù)，及檢查。這些防火墻規(guī)則可被分為三種不同的類型： input鏈、 output鏈和forward鏈，過濾和地址轉(zhuǎn)換的控制基于這三種類型的規(guī)則設(shè)置。操作: 每條規(guī)則都規(guī)定了IP 包要符合的標(biāo)準(zhǔn)和一種操作，如果IP 包不匹配此規(guī)則的標(biāo)準(zhǔn)，則檢查下一條規(guī)則；假設(shè)匹配則按規(guī)則中規(guī)定的操作對包進(jìn)展不同的處理。操作項(xiàng)的值是ACCEPT、DENY、REJECT、MASQ中的一個(gè)。ACCEPT表示準(zhǔn)許包通過；DENY則表示將包丟棄；RE

52、JECT 的作用與DENY相似，只是REJECT除了丟棄包外還向包的原端發(fā)送一個(gè)ICMP包告知發(fā)送者包被丟棄。MASQ 只在forward鏈中起作用，外出包的源IP地址會自動被轉(zhuǎn)換成防火墻主機(jī)的對外IP地址；進(jìn)入包在繞經(jīng)轉(zhuǎn)發(fā)鏈時(shí)也會被識別并進(jìn)展反向地址轉(zhuǎn)換。選項(xiàng)： ipchains命令20所使用的選項(xiàng)可分為幾個(gè)不同的組：命令這一類選項(xiàng)指定了ipchains命令所執(zhí)行的特定的行為，除以下指出的特殊情況外，在每一命令行中只能出現(xiàn)這類選項(xiàng)中的一個(gè)。-A 在選定的鏈上追加一條或多條規(guī)則，如果源或目的地址不止一個(gè)，則對每個(gè)可能的源地址目的地址組合都增加此規(guī)則。例如你設(shè)置一個(gè)能解析為多個(gè) IP 地址(使用

53、 DNS)的主機(jī)名, ipchains 將如同你對多個(gè)地址都設(shè)置了命令一樣發(fā)生作用。假設(shè)主機(jī)名.foo.解析為三個(gè) IP 地址, 主機(jī)名.bar.解析為兩個(gè) IP 地址, 則命令 ipchains -A input -j reject -s .bar. -d .foo. 將在 input 鏈中追加6條規(guī)則。-D (-I, -R) 的語法與 -A 完全一樣. 當(dāng)在一個(gè)鏈中有多個(gè)一樣的規(guī)則時(shí), 只有第一個(gè)被刪除。-D 從選定的鏈中刪除一條或多條規(guī)則。刪除規(guī)則有兩種形式：指定要?jiǎng)h除的規(guī)則在鏈中的索引；詳細(xì)描述要?jiǎng)h除的規(guī)則。首先如果我們知道它是鏈中的唯一規(guī)則, 我們可以使用編號刪除, 輸入:* ipc

54、hains -D input 1來刪除進(jìn)入鏈的編號1規(guī)則。第二條路是 -A 命令的鏡象, 但是用 -D 代替 -A. 當(dāng)你不愿意去數(shù)繁多的規(guī)則時(shí), 這是一個(gè)有用的方法. 這種情況下, 我們使用:* ipchains -D input -s -p icmp -j DENY-R 在指定的鏈中用新規(guī)則替換已存在的規(guī)則。 如果源或目的地址不止一個(gè)，則此命令無效規(guī)則從1 開場記數(shù)。Ipchains R 鏈名 原規(guī)則號 新規(guī)則描述 參數(shù)-I 將一條或多條規(guī)則到指定鏈中的指定位置。如果指定位置號為1 ，新規(guī)則將被插入到鏈的最先位置。-L 列出指定鏈中的所有規(guī)則。如果不指定是哪條鏈，所有鏈的規(guī)則信息都被列出。

55、-L有幾個(gè)可選項(xiàng). -n(數(shù)值)項(xiàng)非常有用, 它阻止 ipchains 去查找 IP 地址, 假設(shè)你的DNS沒有正確設(shè)置, 或你已經(jīng)過濾掉了 DNS 請求, 這將造成很大延時(shí)。 它還會導(dǎo)致端口用數(shù)字而不是名字被顯示出來。-v選項(xiàng)顯示規(guī)則的所有詳細(xì)信息，如包和字節(jié)計(jì)數(shù)器，TOS 掩碼， 接口， 和包標(biāo)記. 用其它的方法這些項(xiàng)都會被忽略。-F 覆蓋指定鏈上的規(guī)則。它等價(jià)于將鏈上的全部規(guī)則逐個(gè)刪除。* ipchains -F forward假設(shè)你不指定鏈, 則所有鏈都將被清空。-Z 將鏈上的規(guī)則和記數(shù)器清零。假設(shè)與命令-L 同時(shí)使用亦是合法的，這樣在清零之前先顯示鏈上的容，清零之后不可以再指定任何鏈

56、。-P 為鏈上的所有規(guī)則指定統(tǒng)一的操作。在操作局部已經(jīng)介紹了有可能的合法操作。只有非自定義的鏈才可以使用此命令，置的鏈名和自定義的鏈名不可以作為此命令用以指定的操作。-N -new-chain以給定的名字創(chuàng)立一條新的user defined鏈。不能與已有鏈同名。-M -masquerading允許觀察當(dāng)前IP偽裝的連接與-L一起?；蛘咴O(shè)置核IP 偽裝的參數(shù)與 S 一起。-S -set tcp tcpfin udp設(shè)置偽裝的超時(shí)值，-S 后跟三個(gè)以秒表示的超時(shí)值: TCP sessions, FIN 包到后的 TCP sessions, 和對于 UDP 包的。假設(shè)你不想改變這些值, 給個(gè) 0 值

57、即可。默認(rèn)值在 /usr/include/net/ip_masp.h 文件中, 目前分別是 15分, 2分和 5分。僅允許和 -M 一起使用。-C 用指定鏈中的規(guī)則對IP 包進(jìn)展檢查。它利用核中用以檢查實(shí)際網(wǎng)絡(luò)的例程來檢查IP 包，是極為有用的一個(gè)命令。它可以檢查所有自定義鏈和置鏈上的包，利用防火墻規(guī)則和IP 包中一樣的參數(shù)來對包進(jìn)展檢測，源地址、目的地址、協(xié)議、端口號是必須具備的。-h 幫助。提供命令語法的簡單描述。參數(shù)上面命令中規(guī)則的詳細(xì)描述是通過參數(shù)的組合來完成的，下面介紹一下ipchains命令中用到的一些參數(shù)的含義及用法21。-p ! protocol 此參數(shù)用以指定規(guī)則中的協(xié)議或待

58、檢查包中的協(xié)議 protocol的取值可以是tcp、udp、icmp中的一種或全部，也可以是代表這些協(xié)議的數(shù)字值，文件/etc/protocols中的任意一個(gè)協(xié)議名都是合法取值，在protocol前加上！表示非protocol協(xié)議。假設(shè)取值為零則代表所有協(xié)議，此情況將與任何協(xié)議均匹配。如果不設(shè)置此選項(xiàng)，則默認(rèn)取值為所有協(xié)議。在CHECK 命令中，此參數(shù)不能取all。 -s ! address/mask ! port:port 描述源地址。Address的取值可以是一個(gè)主機(jī)名、網(wǎng)絡(luò)名或者是一個(gè)單純的IP 地址，mask的取值可以是一個(gè)網(wǎng)絡(luò)掩碼或者是一個(gè)數(shù)字，此數(shù)字代表網(wǎng)絡(luò)掩碼中左邊所有1的個(gè)數(shù)。

59、例如：24,16代表網(wǎng)絡(luò)掩碼,8代表網(wǎng)絡(luò)掩碼。address前加！表示非的意思。 源地址中可以包含端口號或ICMP 包的類型，它可以是*種效勞的名稱、一個(gè)端口、一個(gè)數(shù)字化的ICMP 類型碼、或是命令ipchains h icmp 所顯示的任意一個(gè)ICMP 類型名。 可以使用port：port格式來指定端口號的圍，假設(shè)沒有指定第一個(gè)端口號，默認(rèn)從0開場；假設(shè)后一端口號沒有指定，則默認(rèn)為65535。 只有在用到tcp、udp、ICMP協(xié)議是才可以指定端口號。加！表示取非。當(dāng)使用Check命令時(shí)需且僅需一個(gè)端口號，假設(shè)使用-f標(biāo)志，則不允許使用任何端口號。-source-port ！ port：po

60、rt 此參數(shù)用以單獨(dú)指定源端口號或端口號圍，詳見-s中的介紹。-d ！ address /mask ！ port：port 指定目的地址。語法構(gòu)造描述見-s，對于無端口號的ICMP 協(xié)議，目的端口指數(shù)字化的ICMP 類型碼。-destination-port ！ port：port 單獨(dú)指定目的端口，詳見-s。-icmp-type ！ typename 指定ICMP 的類型利用-h icmp 選項(xiàng)可以查看合法的ICMP 類型名。將其附加于目的地址的定義中將更方便。-j target 此選項(xiàng)指定規(guī)則中的操作，即指定當(dāng)包與規(guī)則匹配時(shí)要做什么。-i ! name 指定一接口的名稱(eth0,eth1