防火墙技术及其在Linux下的实现.doc

第23卷第1期 山东科技大学学报(自然科学版) V01．23 No．1 2 0 0 4年3月 Journal of Sl旧ndong University of Science and Technoktgy(Natural Science) Mar．2004 文章编号：1672— 3767(2004)01～0051— 04 防火墙技术及其在Linux下的实现 范英磊1，刘晓峰1，周宗平2 (1．山东科技大学信息科学与工程学院。山东泰安271019；2．山东科技大学同蝽中心，山东誊安271019) 摘 要：讨论了防火墙技术及分类，并以某学校校因网为例，分别介绍了Cisco PIX515E常规硬件防火墙 技术和基于Linux的Iptables软件防火墙技术及其配置方法，实现包过滤、NAT和数据包处理等功能，确保网 络安全。 关键词：防火墙；DMZ；netfiker；Iptables；包过滤；NAT；数据包处理 中圈分类号：TP393．08 文献标识码：A Firewali Technology and Its Implementation under Linux (FAN Ying-leil，LIU Xiao-fen91，ZHOU Zong-pingz (1．College of Info Science and Eng．，SUST，Taian，Shandong 271019，CK弛； 2．Network Center，SUST，Taian，Shandong 271019，China) Abstract：In this article，we discussed the technology and classification of the firewalls．And regarding some school campus network as an example，we respectively introduced the regular hardware firewall(Cisco PIX 515E)technology and the Iptables software firewall technology based on Linux and their deployment method implemented the functions including the package filtering，NAT and the data package handling to insure the network safety． Key words：firewall；DMZ；netfilter；Iptables；package filtering；NAT；package handling 防火墙是一种安全有效的防范技术，是在内 数据包实施有选择的通过。依据系统内预先设定 部网络与外部网络之间构筑的一个保护层，强制 的过滤规则。检查每个数据包。根据数据包的源 地址、目的地址、TCP／UDP源端口号、TCP／UDP 所有的连接都必须经过此保护层，并根据预先定 目的端口号及数据包头中的各种标志位等因素来 义的安全策略进行检查，只有被授权的通信才可 确定是否允许数据包通过。 以通过此保护层。这样就能保护内部的网络资源 免受非法入侵，并管理和监督内部网络对外部网 1．2应用代理(Application proxyJ 络的访问。 应用代理(application proxy)作用在应用层， 其特点是完全“隔离”了网络通信流，通过为每种 I 实现防火墙的主要技术 应用服务编制专门的代理程序，实现监视和控制 目前实现防火墙的主要技术有包过滤技术和 应用层通信流的作用。内郊网络只接受代理提出 应用代理技术。 的服务请求，拒绝外部网络其它节点的直接请求。 在实际应用中，防火墙通常是多种解决不同问题 1．1包过滤{package filter)技术 包过滤(package filter)技术是在网络层中对 的技术的有机结合。 收稿日期：2003— 11— 28 作者简介：范英磊(1978一)，女，山东栖霞人，硕士研究生，从事网络工程与系统管理方面的研究 万方数据  52 山东科技大学学报(自然科学版) 第23卷 作。该网络结构示意图如图1所示 2 防火墙产品的分类 防火墙产品的分类方法很多，一般分为硬件 防火墙和软件防火墙两种：硬件防火墙采用专用 的硬件设备，然后集成生产厂商的专用防火墙软 件；软件防火墙一般基于某种通用操作系统平台 开发，并直接在计算机上进行安装和配置。 3用一台硬件防火墙保护网络安全 Ciseo公司的PIX防火墙就是一种典型的硬 图1菜校园网防火墙结构示意图 件防火墙产品，通常具有至少3个接口，可以创建