基于LINUX操作系統(tǒng)的防火墻技術(shù) 4500字

基于LINUX操作系統(tǒng)的防火墻技術(shù)4500字1前言

防火墻作為網(wǎng)絡(luò)平安措施中的一個(gè)重要組成局部，一直受到人們的普遍關(guān)注。LINUX是這幾年一款異軍突起的操作系統(tǒng)，以其公開的源代碼、強(qiáng)大穩(wěn)定的網(wǎng)絡(luò)功能和大量的免費(fèi)資源受到業(yè)界的普遍贊揚(yáng)。LINUX防火墻其實(shí)是操作系統(tǒng)本身所自帶的一個(gè)功能模塊。通過(guò)安裝特定的防火墻內(nèi)核，LINUX操作系統(tǒng)會(huì)對(duì)接收到的數(shù)據(jù)包按一定的策略進(jìn)行處理。而用戶所要做的，就是使用特定的配置軟件〔如ipchains〕去定制適合自己的“數(shù)據(jù)包處理策略〞。

2LINUX防火墻配置軟件—Ipchains

Ipchains是LINUX2.1及其以上版本中所帶的一個(gè)防火墻規(guī)那么管理程序。用戶可以使用

它來(lái)建立、編輯、刪除系統(tǒng)的防火墻規(guī)那么。但通常，需要自己創(chuàng)立一個(gè)防火墻規(guī)那么腳本/etc/rc.d/rc.firewall，并使系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行這個(gè)腳本。

一個(gè)LINUX防火墻系統(tǒng)的平安機(jī)制是通過(guò)Input、Output、Forward這三個(gè)“防火鏈〞來(lái)實(shí)現(xiàn)的。而用戶正是使用ipchains在這三個(gè)“鏈〞上分別創(chuàng)立一套“防火規(guī)那么〞，來(lái)完成對(duì)到來(lái)數(shù)據(jù)包層層限制的目的，其組織結(jié)構(gòu)如圖1所示。

其中，每個(gè)鏈都包括一組由用戶創(chuàng)立的過(guò)濾規(guī)那么，數(shù)據(jù)包依次達(dá)到每個(gè)鏈，并比擬其中的每條規(guī)那么，直到找出匹配規(guī)那么并執(zhí)行相應(yīng)策略〔如通過(guò)、拒絕等〕，否那么執(zhí)行默認(rèn)策略。實(shí)際中，數(shù)據(jù)包在達(dá)到Input鏈之前還要進(jìn)行測(cè)試和正常性檢查，在到路由表之前還要被判斷是否被偽裝，這些，在本圖中都被省略了。

3LINUX防火墻的幾種常見功能

由于每一個(gè)用戶的要求和所處的環(huán)境都不一樣，LINUX防火墻會(huì)根據(jù)用戶的設(shè)置實(shí)現(xiàn)各種不同的功能。但一般說(shuō)來(lái)，下列三種功能是大多數(shù)用戶最常用到的。

3.1包過(guò)濾

對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾可以說(shuō)是任何防火墻所具備的最根本的功能，而LINUX防火墻本身從某個(gè)角度也可以說(shuō)是一種“包過(guò)濾防火墻〞。在LINUX防火墻中，操作系統(tǒng)內(nèi)核對(duì)到來(lái)的每一個(gè)數(shù)據(jù)包進(jìn)行檢查，從它們的包頭中提取出所需要的信息，如源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)等，再與已建立的防火規(guī)那么逐條進(jìn)行比擬，并執(zhí)行所匹配規(guī)那么的策略，或執(zhí)行默認(rèn)策略，這個(gè)過(guò)程在圖1中已經(jīng)形象的表現(xiàn)出來(lái)。

值得注意的是，在制定防火墻過(guò)濾規(guī)那么時(shí)通常有兩個(gè)根本的策略辦法可供選擇：一個(gè)是默認(rèn)允許一切，即在接受所有數(shù)據(jù)包的根底上明確地禁止那些特殊的、不希望收到的數(shù)據(jù)包；還有一個(gè)策略就是默認(rèn)禁止一切，即首先禁止所有的數(shù)據(jù)包通過(guò)，然后再根據(jù)所希望提供的效勞去一項(xiàng)項(xiàng)允許需要的數(shù)據(jù)包通過(guò)。一般說(shuō)來(lái)，前者使啟動(dòng)和運(yùn)行防火墻變得更加容易，但卻更容易為自己留下平安隱患。

通過(guò)在防火墻外部接口處對(duì)進(jìn)來(lái)的數(shù)據(jù)包進(jìn)行過(guò)濾，可以有效地阻止絕大多數(shù)有意或無(wú)意地網(wǎng)絡(luò)攻擊，同時(shí)，對(duì)發(fā)出的數(shù)據(jù)包進(jìn)行限制，可以明確地指定內(nèi)部網(wǎng)中哪些主機(jī)可以訪問(wèn)互聯(lián)網(wǎng)，哪些主機(jī)只能享用哪些效勞或登陸哪些站點(diǎn)，從而實(shí)現(xiàn)對(duì)內(nèi)部主機(jī)的管理。可以說(shuō)，在對(duì)一些小型內(nèi)部局域網(wǎng)進(jìn)行平安愛護(hù)和網(wǎng)絡(luò)管理時(shí)，包過(guò)濾的確是一種簡(jiǎn)單而有效的伎倆。

3.2代理

LINUX防火墻的代理功能是通過(guò)安裝相應(yīng)的代理軟件實(shí)現(xiàn)的。它使那些不具備公共IP的內(nèi)部主機(jī)也能訪問(wèn)互聯(lián)網(wǎng)，并且很好地屏蔽了內(nèi)部網(wǎng)，從而有效保障了內(nèi)部主機(jī)的平安。為了分明地描述這一重要功能的實(shí)現(xiàn)過(guò)程，特若下列典型情況，如圖2所示：

steven為內(nèi)部網(wǎng)中一臺(tái)IP是的主機(jī)，其上安裝有IE5.0瀏覽器，并配置為使用防火墻主機(jī)：8080作為代理。firewall就是我們討論的LINUX防火墻，有兩個(gè)網(wǎng)絡(luò)接口，分別是內(nèi)部接口eth1=、外部接口eth0=。在firewall主機(jī)上安裝有Web代理軟件“squid〞,并配置其代理端口為8080。為263網(wǎng)站的Web效勞器，IP為31，Web效勞端口80。

如果要從steven主機(jī)訪問(wèn)263的主頁(yè)，其具體的通信過(guò)程如圖中所示：

〔1〕IE通過(guò)steven的非專用端口1110(在1024~65535之間隨機(jī)產(chǎn)生)與防火墻的代理

端口8080建立連接，請(qǐng)求“〞頁(yè)面。

〔2〕squid代理接收到請(qǐng)求后，先查找域名“〞，得到地址31(該

步驟圖中省略)，然后通過(guò)防火墻端口1050與該地址的80端口建立一個(gè)連接，請(qǐng)求頁(yè)面。

〔3〕效勞器接到請(qǐng)求后將頁(yè)面?zhèn)鹘osquid代理。

〔4〕防火墻代理得到頁(yè)面后，把數(shù)據(jù)復(fù)制到〔1〕中所建立的連接上，IE得到數(shù)據(jù)并

將“〞頁(yè)面顯示出來(lái)。

通過(guò)以上描述，可以分明地了解到內(nèi)部主機(jī)、LINUX代理防火墻以及外部效勞器之間是如何進(jìn)行數(shù)據(jù)傳輸?shù)?，則，在LINUX防火墻內(nèi)部，那些“防火鏈〞又是如何工作的呢？其工作過(guò)程如圖3所示：

steven主機(jī)發(fā)來(lái)的數(shù)據(jù)包經(jīng)由內(nèi)部接口eth1進(jìn)來(lái)后，首先接受INPUT鏈的“檢查〞：系統(tǒng)內(nèi)核從包頭中提取出信息，與INPUT鏈中所有適用于eth1接口的過(guò)濾規(guī)那么逐個(gè)比擬，直到匹配通過(guò)。之后，該數(shù)據(jù)包被轉(zhuǎn)發(fā)給本地的代理進(jìn)程。同樣，代理進(jìn)程發(fā)送給遠(yuǎn)程Web效勞器的數(shù)據(jù)包在從防火墻外部接口發(fā)送出去之前，也要經(jīng)過(guò)OUTPUT鏈的“檢查〞，即與OUTPUT鏈中所有適用于eth0接口的規(guī)那么一一比擬。返回的過(guò)程正好與上述相反，在此就不再贅述

為了實(shí)現(xiàn)以上過(guò)程，我們必須在防火墻規(guī)那么腳本中添加下列規(guī)那么：

ipchains–Ainput–ieth1–ptcp–s1110–d8080–jACCEPT

ipchains–Aoutput–ieth0–ptcp–s1050–d3180–jACCEPT

ipchains–Ainput–ieth0–ptcp!-y–s3180–d1050–jACCEPT

ipchains–Aoutput–ieth1–ptcp!–y–s8080–d1110–jACCEPT

從上文對(duì)代理功能的原理和實(shí)現(xiàn)的表達(dá)中，我們可以看出，LINUX防火墻實(shí)際上扮演了一個(gè)“代理網(wǎng)關(guān)〞的角色。內(nèi)部主機(jī)和遠(yuǎn)程效勞器分別都只與防火墻進(jìn)行連接，而真正的“起點(diǎn)〞和“終點(diǎn)〞之間卻毫無(wú)聯(lián)系。

3.3IP偽裝

IP偽裝〔IPMasquerade〕是LINUX操作系統(tǒng)自帶的又一個(gè)重要功能。通過(guò)在系統(tǒng)內(nèi)核增添相應(yīng)的偽裝模塊，內(nèi)核可以自動(dòng)地對(duì)經(jīng)過(guò)的數(shù)據(jù)包進(jìn)行“偽裝〞，即修改包頭中的源目的IP信息，以使外部主機(jī)誤認(rèn)為該包是由防火墻主機(jī)發(fā)出來(lái)的。這樣做，可以有效解決使用內(nèi)部保存IP的主機(jī)不能訪問(wèn)互聯(lián)網(wǎng)的問(wèn)題，同時(shí)屏蔽了內(nèi)部局域網(wǎng)。這一點(diǎn)，與前面所講的代理所到達(dá)的目的是很類似的。

關(guān)于IP偽裝在LINUX防火墻內(nèi)部的具體實(shí)現(xiàn)過(guò)程，請(qǐng)看圖4。

仍以圖2中所示的典型情況為例，steven主機(jī)的IE進(jìn)程直接與遠(yuǎn)程的Web效勞器建立一個(gè)連接。當(dāng)數(shù)據(jù)包達(dá)到防火墻的內(nèi)部接口后，照樣要例行INPUT鏈的檢查。之后，數(shù)據(jù)包被送到FORWARD鏈，接受系統(tǒng)內(nèi)核的“偽裝處理〞，即將包頭中的源IP地址改為防火墻外部接口eth0的地址，并在系統(tǒng)中做下記錄，以便一會(huì)兒對(duì)其回應(yīng)包的目的IP進(jìn)行“恢復(fù)〞。這樣，當(dāng)該數(shù)據(jù)包順利從外部接口出來(lái)時(shí)，其包頭中源IP已被改為。遠(yuǎn)程效勞器會(huì)認(rèn)為這是從防火墻的合法地址發(fā)來(lái)的，從而對(duì)其做出響應(yīng)。當(dāng)遠(yuǎn)程效勞器返回的回應(yīng)包達(dá)到防火墻時(shí)，先經(jīng)過(guò)INPUT鏈，然后會(huì)根據(jù)系統(tǒng)關(guān)于IP偽裝的記錄對(duì)數(shù)據(jù)包的目的IP進(jìn)行恢復(fù)，即將改為，最后再經(jīng)過(guò)OUTPUT鏈返回到steven主機(jī)。

為了實(shí)現(xiàn)這個(gè)過(guò)程，我們必須在防火墻規(guī)那么腳本中添加下列規(guī)那么：

ipchains–Ainput–ieth1–ptcp–s1110–d3180–jACCEPT

ipchains–Aoutput–ieth0–ptcp–s1050–d3180–jACCEPT

ipchains–Ainput–ieth0–ptcp!-y–s3180–d1050–jACCEPT

ipchains–Aoutput–ieth1–ptcp!–y–s3180–d1110–jACCEPT

ipchains–Aforward–ieth0–s1110–d3180–jMASQ

與代理功能比擬而言，IP偽裝不需要安裝相應(yīng)的代理軟件，數(shù)據(jù)包的偽裝對(duì)用戶來(lái)說(shuō)都是“透明〞的，并且整個(gè)過(guò)程都是在IP層實(shí)現(xiàn)，因此實(shí)現(xiàn)速度較快。缺點(diǎn)是不能對(duì)經(jīng)過(guò)的數(shù)據(jù)包作詳細(xì)的記錄。

以上介紹了LINUX防火墻在實(shí)際的設(shè)置中常用到的三種功能。但一般說(shuō)來(lái)，用戶在創(chuàng)立自己的防火墻規(guī)那么腳本時(shí)，可以根據(jù)自己的需要將這三種功能組合起來(lái)實(shí)現(xiàn)。

4一個(gè)LINUX防火墻實(shí)例

下列是我前一段時(shí)間為某辦公室搭建的LINUX防火墻的實(shí)際配置，給出以供參考。

該室網(wǎng)絡(luò)拓?fù)鋱D如圖5：

有兩個(gè)局域網(wǎng)，LAN1地址：5/48

為公共網(wǎng)絡(luò)IP，LAN2地址為/,為內(nèi)部保存地址。LINUX防火墻有兩個(gè)內(nèi)部接口：0接LAN1；接LAN2。

現(xiàn)對(duì)防火墻進(jìn)行配置，使LAN2的主機(jī)通