Linux个人防火墙设计与实现.doc

目录 摘 要 2 1 引言 1 1.1 课程设计的意义 1 1.2 课程设计的目的 1 1.3 Linux防火墙的简单介绍 1 2 Linux 防火墙的功能 2 2.1 包过滤功能 2 1.2 代理服务功能 3 1.3 包伪装功能 3 3 Linux 防火墙技术 5 3.1 Linux 防火墙技术的发展 5 3.2 利用Linux 实现路由和包过滤 5 3.3 Ipchains原理及简介 5 3.4 源代码分析 7 3.5 Ipchains命令使用简介 10 4 Linux防火墙构造安全的解决方案 17 4.1 堡垒主机或双穴主机网关 17 4.2 被屏蔽主机网关 17 4.3 被屏蔽子网 18 5 防火墙的设计与实现 20 5.1 网络结构 20 5.2 防火墙的实现要求 20 5.3 防火墙的实现原理 21 5.4 防火墙的建立过程 23 6 总结 26 参考文献 27  Linux个人防火墙的设计与实现 摘 要 防火墙在配置上能够防止来自“外部”世界未经授权的交互式登录。这大大有助于防止破坏者登录到你网络中的计算机上。本课程设计介绍基于Netfilter/Iptables的包过滤防火墙的实现原理。对Linux系统、TCP/IP的相关知识及Iptables语法做了介绍。详细介绍了Iptables命令的使用举例，通过实例介绍了基于Netfilter/Iptables的包过滤防火墙的配置过程。 关键词 网络操作系统；包过滤；防火墙 1 引言 1.1 课程设计的意义 随着网络的发展, 网络的资源共享, 网上办公,电子商务等蓬勃发展, 越来越多的公司和政府部门在公司或部门范围内组建起自己的计算机网络系统(Intranet), Intranet[3]的技术优势, 给公司带来了高效的工作效率的同时, 也带来了全新的安全问题。 全球信息安全方面的研究工作者就此问题展开了广泛而深入的研究，其中防火墙技术[1]是近年发展起来的一种网络安全技术。顾名思义，它是在受保护网与外部网之间构造一个保护层，把攻击者挡在受保护网的外面。这种技术强制所有内外网的连接都必须经过此保护层，在此进行检查和连接，从而保护了受保护网资源免遭外部非法入侵。它通过监测、限制或更改跨越防火墙的数据流，尽可能地对外部网络屏蔽有关受保护网络的信息和结构来实现对网络的安全保护。 本文将首先从Intranet的安全性入手, 分析Intranet面临的安全问题，讨论Intranet安全设计需求，然后详述防火墙的背景知识和关键技术，最后重点介绍我们提出的基于Linux平台的复合防火墙[5]的设计和实现。 1.2 课程设计的目的 本课程设计设主要目的是在Linux操作系统下完成基于Netfilter/Iptables的包过滤防火墙的设计与实现。Internet等网络服务给人们的生活带来极大便利的同时也存在很多隐患，学会基于Netfilter/Iptables[6]的包过滤防火墙的配置就能在一定程度上有效地抵御来自网络上的攻击。通过完成课程设计的过程，学习包过滤防火墙[1]的相关知识，同时也深化对这学期Linux课程的学习。 1.3 Linux防火墙的简单介绍 netfilter/iptables是Linux系统提供的一个非常优秀的防火墙工具，它完全免费、功能强大、使用灵活、占用系统资源少，可以对经过的数据进行非常细致的控制。本节首先介绍有关iptables防火墙的基本知识，包括netfilter框架、iptables防火墙结构与原理、iptables命令格式等内容。 2 Linux 防火墙的功能 目前市场上有许多商用防火墙软件出售,但它们大多价格高昂，使许多个人及小企业用户难以承受。Linux 的出现给了我们一个新的选择。它提供了一套完全免费的解决方案,其内置防火墙功能非常强大，甚至超过了许多昂贵的商用软件。 2.1 包过滤功能 根据数据包的包头中某些标志性的字段，对数据包进行过滤。当数据包到达防火墙时，防火墙根据包头中的某些字段中的一些或全部进行判断，决定接受还是丢弃数据包。包过滤可能发生在以下几个时刻：接收到数据包时，发送数据包时以及转发数据包时。Linux中过滤包的方法如下： （1）将包头和过滤规则逐一进行匹配。 （2）第一条与包匹配的规则将决定以下采取的行动：首先，此规则指定的策略将被应用到该包上。应用在一个包的策略包括以下几种：接受(Accept)，即允许包通过该过滤器；抛弃(Reject)，即丢掉该包并发一个“主机不可到达”的 ICMP报文回发送者；拒绝(Deny)，即丢掉该包且不发任何返回信息。 其次，修改此规则对应的包和字节计数器的值；再次，一些关于包的信息会有选择性地被写入日志中。有的规则中可能含有参数来定义如何改写包头的服务