电脑编程技巧与维护Linux防火墙技术及配置实例何长林。唐永中(河西学院网络中心,张掖734000)摘要:随着网络在人们工作和生活中的作用越来越重要。对网络安全性的要求也越来越高。建立防火墙是分隔内外网的有效措施。而Linux系统自带的防火墙工具—net6lter,iptables凭借免费、功能强、使用灵活等优点越来越多地应用到网络中。本文就Linux防火墙做了分析,并且用实例介绍了如何在Linux下通过netfiher/iptables配置防火墙。关键词:防火墙;netfilter;iptablesFirewalltechnologyandconfigurationexamplesbasedImChanglin,TANGY伽g出仙gonLinux(NetworkCenterHexiUniversity,Zhangye734000)thefirewallisoftheeffectivetoAbstract:SettingupmeasuresisolatetheinternalnetworkfromtheexternalforthebyLinux,isin-analyzedLinuxnetworksecuritybecomesmoreandmoreimportantnowadays.Netfiltediptables,whichisself-containedcreasinglyappliedinnetworkforitsfreeofandintroducedhowtoconfiguratecharge,powerfulfunctionalityandbetterflexibility.ThispaperLinux-basedfirewallwithexamples.Keyword:firewall;netfiher;iptablesl引言1969年第一个远程分组交换网ARPANET的问世,标志通过边界控制强化内部网络的安全政策。防火墙一般安放在被保护网络的边界,这样必须做到以下几点,才能使防火墙起到安全保护作用:(1)所有进出被保护网络的通信必须通过防火墙。(2)所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权。(3)防火墙本身是不可被入侵的。2.2防火墙的功能(1)访问控制功能,通过禁止或允许特定用户访问特定的资源,保护网络的内部资源和数据。(2)内容控制功能,根据数据内容进行控制。(3)伞面的日志功能,完整地记录网络访问情况,记录通过防火墙的信息内容和活动。(4)对网络攻击进行检测和告警。(5)自身的安全和可用性,防火墙要保证自身的安全,不被非法侵入,保证正常的工作。同时,防火墙也要保证可用性,否则网络就会被中断,网络连接就失去意义。3着现代计算机网络的诞生。从1969年到今天的四十年中,计算机网络技术迅速发展,尤其是Interact的高速发展,使得网络的重要性和对社会的影响力越来越大。网络也迅速普及于各行各业和人们的Et常生活中,比如电子商务、电子货币、网络银行、电子政务等等这些新业务的兴起使得网络安全受到越来越多的威胁。为了抵抗对网络和系统的安全威胁,通常采用的安伞措施包括防火墙、防病毒、入侵检测、漏洞扫描、存储备份、日志审计、应急响应、灾难恢复等。其中防火墙则是根据网络特点,通过边界控制强化内部网络的安全策略。而Hnux操作系统具有丰富的网络功能、可靠的安全性、良好的町移植性、开放源代码的优点,使得越来越多的服务器选择了Linux操作系统。Linux提供了一个非常优秀的防火墙亡具-_1netfilter/iptables。它完全免费、功能强大、使用灵活、可以对流人和流出的信息进行细化控制,且町以在一台低配置机器上很好地运行。因此,研究基于Linux的防火墙技术具有重要的意义。2Bemlter的发展及框架内容每一个主要的Linux版本中都有不同的防火墙软件套件。防火墙原理2.1什么是防火墙防火墙原是汽车中一个部件的名称。在汽车中,利用防Iptabels(netfilter)应用程序被认为是Linux中实现包过滤功能的第四代应用程序。第一代是Linux内核1.1版本所使用的Alan火墙把乘客和引擎隔开,以便汽车引擎一旦着火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。而在网络中,所谓“防火墙”是建立在内外部网络边界的过滤封锁机制,内部网络被认为是安全和可信赖的,而外部网络(通常是Interact)被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未授权的通信进出被保护的内部网络,Cox从BSDUnix中移植过来的ipfw。在2.0版的内核中,Neul—JosVos和其它一些程序员对ipfw进行了扩展,并且添加了ipfwadm用户工具。在2.2版内核中,Russell和Michaeling做了一些非常重要的改进,也就是在该内核中,Russell添加了帮助用户控制过滤规则的ipchains工具。后来,Russell又完成了其名为netfilter的内核框架。这些防火墙软件套件一般都比其前任有所改进,表现越来越出众。netfilter/iptables已经包含在了2.4以后的内核当中,它可以实现防火墙、NAT本文收稿日期:2008年11月8日一90一万方数据COMPUTINGSECURITYTECHNIQUES(网络地址翻译)和数据包的分割等功能。netfiher工作在内核内部,而iptables则是让用户定义规则集的表结构。neffilter/ipmbles是从ipchains和ipfwadm(IP防火墙管理)演化而来的。iptables只读取数据包的头,所以不会给信息流增加负担,此外它也无需进行验证。如果要想获得更好的安全性,可以将其和一个代理服务器(比如squid)相结合。netfiher框架包含以下三部分:(1)为每种网络协议(IPv4、IPv6等)定义一套钩子甬数(IPv4定义了5个钩子函数),这些钩子函数在数据报流过协议栈的几个关键点被调用。在这几个点中,协议栈将把数据报及钩子函数标号作为参数调用neff'alter框架。(2)内核的任何模块可以对每种协议的一个或多个钩子进行注册,实现挂接,这样当某个数据包被传递给netfiher框架时,内核能检测是否有任何模块对该协议和钩子函数进行了注册。若注册了,则调用该模块的注册时使用的回调函数,这样这些模块就有机会检查(可能还会修改)该数据包、丢弃该数据包及指示netfiher将该数据包传人用户李问的队列。(3)那些排队的数据包是被传递给用户空间异步地进行处理。一个用户进程能检查数据包、修改数据包,甚至可以重新将该数据包通过离开内核的同一个钩子函数注入到内核中。netfiher包含的数据结构在提供报文过滤器的内核中称为表(table),每个表包含成为链的一系列规则。表共有三种:过滤器表、网络地址转换表和修复表。每个规则包括一系列标准和一个对象。当对象适合标准时,就被应用到数据报文中。4Linux防火墙配置实例如图l所示,有局域网LANl和LAN2分别通过防火墙的两个内部接口202.201.120.70和192.168.1.1连接,LANI为外部网络IP地址:202.201.120.65129,LAN2为内部保留网络IP地址:192.168.1.0/24。图1网结构示翩现通过对防火墙进行配置,使得LANl中的丰机被限制使用几种常用的互联网服务(DNS、SMTP、POP3、Hn_P和raP)。使LAN2中的主机通过地址转换访问互联网,且只允许使用外部Web代理服务器202.201.112.34的1252端121。所创建的主要防火墙规则如下:(1)创建默认的策略/sbin/iptablesPinputDENY/sbin/iptablesPoutputREJECT,sbin/iptabl。3PforwardREJECT万方数据计算机安全技术在这个默认策略中。默认丢弃或拒绝所有数据报文,所有输入防火墙系统的数据报文被丢弃;所有由防火墙自己创建的数据报文被拒绝;所有通过系统往前传输的数据报文被拒绝。这就是所渭的“先锁卜所有的门和窗户,然后打开需要的门和窗户”的安全配置策略。(2)配置策略满足LAN1和LAN2中主机访问网络的要求配置策略使得源地址为192.168.1.0/24,目标地址为202.201.112.34的数据包都可以通过eth2进入网络:/sbin/iptables—ainput-ieth2一Ptcp-s192.168.1.0/241024:65535-d202.201.112.341252-jACCEPT配置策略使得源地址为202.201.112.34,目标地址为192.168.1.0/24的主机都可以通过eth2访问外网:/sbin/iptables—aoutput—ieth2-ptcpl-y-s202.201.112.341252-d192.168.1.0/241024:65535-jACCEPT配置IPMasq(IPMasquerade)实现NAT功能:/sbin/iptables-aforward-ietIl0-s202.201.120.65/29-jAC—CEPT/sbin/iptables-afb刑ard-ieth0-s192.168.1.o/24-jMASQ/sbin/iptables-aforward-ieml-d202.201.120.65/29-jAC—CEPT/sbin/iptables—aoutput-iethO-jACCEPT配置策略使得LANl中的主机被限制使用几种常用的互联网服务:/sbin/iptables—ainput—iettlO-picmp-sany/(}3-d202.201.120.65/29-jACCEPT/sbin/iptables—ainput-ienlO-picmp-sany/Oll-d202.201.120.65/29-jACCEPT/sbin/iptables—ainput-iethO-picmp-sany/O0-d202.201.120.65/29-jACCEPT/sbin/iptables—ainput—iethO-ptcp!—y—s202.201.112.341252-jACCEPT5结语本文就防火墙的原理以及Linux内核防火墙netfilter/ipta-bles做了介绍,并且用实例介绍了在Linux下通过netfiher/ipta-hies如何配置防火墙。本文所构建的防火墙在实验中运行良好,也需要在实际直用中逐步改进。参考文献[1】1MohammedJ.Kabir著.邓少Bd等译.RedHatLinux安全与优化【M】,中固水利水电出版社,2004.[2】剖析Linux防火墙[EB/OLI.[3】RobertL.Ziegler著.UNUX防火墙[M1.人民邮电出版社,2000.【4】梁子森,李晓军,王志刚.基于Linux的IPtables共享上网及防火墙配置田.计算机与现代化,2008,(8):51—53.作者简介何长林,男(1980一),河西学院网络中心助教,研究方向:网络管理应用。唐永中。男(1964一),甘肃民勤.河西学院网络中心副教授,研究方向:数据库技术、网络管理开发应用。一91—’:鉴。慧:烹龇№毗h锄删咖泌∥Linux防火墙技术及配置实例
作者:作者单位:刊名:英文刊名:年,卷(期):被引用次数:
何长林, 唐永中, HE Changlin, TANG Yongzhong河西学院网络中心,张掖,734000
电脑编程技巧与维护
COMPUTER PROGRAMMING SKILLS & MAINTENANCE2009,(2)0次
1.Mohammed J.Kabir.邓少Bd Red Hat Linux安全与优化 20042.剖析Linux防火墙 2008
3.Robert L.Ziegler LINUX防火墙 2000
4.梁子森.李晓军.王志刚 基于Linux的IPtables共享上网及防火墙配置[期刊论文]-计算机与现代化 2008(08)
1.期刊论文 王琼.WANG Qiong 使用NetFilter构建Linux防火墙 -电脑知识与技术2010,06(25)
该文主要深入分析了NetFilter的基本原理和内核模块编程的基本要点.在此基础上设计了一个基于NetFilter机制的可对网络数据包进行严格过滤的包过滤防火墙.该防火墙运行在内核态,具有很高的效率.数据包处理能力较强.同时NetFilter框架的使用使其具有良好的代码结构,易于维护和扩展.
2.期刊论文 姚晓宇.赵晨 Linux内核防火墙Netfilter实现与应用研究 -计算机工程2003,29(8)
介绍了Linux内核防火墙的发展,对2.4.x内核中的Netfilter框架的流程和IPv4协议栈中Netfilter的实现进行了分析,通过一个内核防火墙模块实例介绍了基于Netfilter框架下的内核防火墙设计方法,对Netfilter框架下的防火墙高级功能扩展进行了展望.
3.期刊论文 谭群峰.彭英龙 基于Linux Netfilter的DDoS防火墙设计 -湖南工业职业技术学院学报2010,10(4)
分布式拒绝服务攻击(DDoS)作为网络攻击中的一种重要手段,对网络安全的威胁日益严重.文章在分析当前常用的防火墙技术以及Linux Netfilter防火墙框架基础上,应用状态检测技术,设计了一款基于Netfilter框架的DDoS防火墙.验证结果表明,该防火墙能够较好的防御DDoS攻击.
4.期刊论文 曾树洪.ZENG Shu-hong 防火墙Netfilter内核分析及应用研究 -惠州学院学报2009,29(6)
Netfilter是一个功能强大、具有很好扩展性和维护性的防火墙,在研究防火墙的原理、实现上具有重要的借鉴意义.本文首先介绍了Netfilter防火墙的框架原理,然后详细的分析了钩子函数的注册、调用及相关主要函数的实现,最后用实例说明如何通过自定义钩子函数来进行防火墙配置,此方案具有良好的扩展性和通用性.
5.学位论文 高鸿峰 基于Netfilter的IPv6防火墙研究 2007
随着Internet的迅速发展,当前Internet核心协议——IPv4在面临址资源即将耗尽、端对端连接以及对网络安全等问题,不能适应新的网络应用和Internet的发展。IPv6作为下一代Internet核心协议取代IPv4成为必然。同时,IPv6的网络安全问题也摆在人们面前。防火墙作为一种有效的网络安全设备已在IPv4网络得到广泛的应用,但在IPv6环境中针对防火墙应用的还尚待研究。
Linux作为一种开放源代码的操作系统,在世界各地有着广泛的应用。Linux内核版本2.4中已采用了Netfilter的防火墙框架,且内核中已支持IPv6协议栈。目前Linux防火墙作为一种包过滤防火墙在IPv4下的应用稳定可靠,在IPv6下的应用尚未得到重视。 基于以上分析选择在Linux环境下研究基于Netfilter框架的IPv6防火墙。
本文介绍了IPv4与IPv6的比较,详细讨论了IPv6编址方案和IPv6报文格式,网络安全体系结构和网络安全处理过程,防火墙核心技术和体系结构以及Netfilter框架。
针对目前缺乏IPv6环境下的高性价比的防火墙的现状,具体论述了基于Netfilter的IPv6防火墙系统总体方案的选择及其实现思路,描述了系统环境的硬件平台的选择和基本环境的裁减、优化,重点讨论了在Linux环境下基于Netfilter框架的IPv6防火墙系统的几个关键功能:包过滤、连线跟踪、状态检测包处理的工作原理和具体实现。
6.期刊论文 詹瑾.谢赞福.ZHAN Jin.XIE Zan-fu Linux内核Netfilter包过滤防火墙的设计与实现 -科学技术与工程2010,10(18)
讨论并分析了Netfilter的功能框架、工作原理及数据包过滤的实现机制,研究了在Netfilter框架中如何扩展用户自定义的可装载内核模块,开发并实现了IPv4协议下基于IP和端口的数据包过滤防火墙功能.深入学习和研究Netfilter框架及其可扩展性,该研究也为构建特定用户安全需求的防火墙系统提供借鉴.
7.学位论文 黄国伟 基于Netfilter的内容过滤防火墙的设计与实现 2007
计算机网络已经成为人们日常生活中获取信息的重要手段之一,丰富的信息资源在带给大家便利和娱乐的同时,也逐渐成为新的安全威胁。垃圾邮件不断增多;含有暴力、色情等内容的不良网页肆意泛滥;携带反动言论的即时消息迅速传播;使用动态端口的P2P软件在疯狂地抢占网络带宽;病毒和入侵攻击事件随处可见。但是传统的防火墙技术面临着高安全性和高性能难以兼得的尴尬局面。而具有高匹配效率的包过滤防火墙,对于网络通信内容的监测、过滤、处理又无能为力。为此,本文设计并实现了一款适合中小型用户的具有基本包过滤、内容过滤和日志管理等混合功能的新型防火墙。这款防火墙以Linux的Netfilter架构为基础,采用L7-filter和ULOG扩展模块,构建了该防火墙的三个功能模块:
1、基本包过滤模块:该模块实现的功能与传统防火墙功能类似,就是首先在网络层和传输层对数据包的进行基本的IP地址和端口的过滤,过滤掉一部分非法的访问IP地址及端口,最大限度地减少随后的内容过滤模块的工作量,进一步提高内容过滤的效率。
2、内容过滤模块:在该模块中采用了基于协议分析的内容过滤算法,并在核心态内实现了对内容过滤模块的动态加载。更重要的是,用户可以自定义防火墙的过滤规则,使防火墙对数据包的过滤和处理功能的实现简便易行。
3、日志记录模块:该模块能把iptables过滤的包的详细信息从繁多的系统日志中分离出来,并按照自定义格式导入到数据库中。这样,对数据包信息的查询和分析将变得轻而易举。
以上对Netfilter防火墙所做的功能扩展,能够很好的应用在各种局域网的控制服务器上,有效地控制不良信息内容的传播以及对P2P应用数据包的封堵。
8.期刊论文 徐亮.梁华庆.XU Liang.LIANG Hua-qing Netfilter防火墙抗ARP攻击的防御特性设计 -科学技术与工程2009,9(13)
Netfilter是Linux下的一个防火墙框架,具有很好的扩展性.在对ARP攻击原理和Netfilter防火墙工作原理进行分析的基础上,设计了基于
Netfilter防火墙的抗ARP攻击的防御特性.该防御特性针对ARP欺骗攻击和ARP洪泛攻击分别采用了相应的防御方案,成功地解决了ARP攻击造成的动态ARP表项被恶意篡改以及动态ARP表被打满而无法学习新的ARP表项的关键问题.
9.学位论文 岳新 Linux2.4内核下基于Netfilter框架可扩展性研究与实现 2005
随着Internet的飞速发展,计算机网络在各个领域的广泛应用,网络安全问题也日益突出地显露出来并受到人们的广泛关注。
该文首先分析了网络安全问题的现状,研究了各种网络攻击的方法,讨论了各种实现网络安全的技术。而防火墙作为最早出现的网络安全产品和使用量最大的安全产品,在保护网络安全方面起着十分重要的作用,它是保障被保护网络和外部网络之间信息传输安全性的有效手段。
Linux良好的网络性能和开放源码的特点,使越来越多的用户选择了Linux作为防火墙的操作平台。Linux防火墙的发展也是相当迅速的,最开始是Linux2.0内核的Ipfwadm,随后是2.2内核的Ipchains,到Linux2.4和2.6内核的Netfilter/Iptables框架,防火墙的基本概念发生了很大变化,整体设计也有了较大的发展。Netfilter框架是一个通用的、可扩展的的框架,其本身提供了包过滤(PacketFilter)、网络地址转换(NAT)功能和包处理系统。 该文对netfilter框架原理和iptables工作过程进行了深入的研究,分析了在netfilter框架下防火墙的设计与实现,通过iptables和POM库扩展命令设计了一个简单的防火墙系统,并且在内核模式下编写了一个测试模块来说明netfilter框架的可扩展性。目的是希望通过对netiflter的二次开发研究,在保障网络安全的前提下,尽可能降低费用,来开发较高性价比的防火墙系统。Netfilter框架技术的进一步研究必将对推动防火墙技术的发展。
10.期刊论文 朱立才.杨寿保.宋舜宏.Zhu Licai.Yang Shoubao.Song Shunhong Netfilter/iptables防火墙性能优化方案与实现 -计算机工程与应用2006,42(15)
随着网络带宽的增加,匹配规则集的增大,对netfilter/iptables防火墙的性能要求也越来越高.文章在对netfilter/iptables工作机制进行分析的基础上,提出了基于防火墙规则分组的方法提高规则匹配效率的优化方案,并在Linux下进行了具体实现.测试结果表明这种方法能够有效提高防火墙的性能.
本文链接:http://d.g.wanfangdata.com.cn/Periodical_dnbcjqywh200902035.aspx授权使用:河池学院(hcxyIP),授权号:d528bb8d-d519-4c6b-8d53-9e6b0103d647
下载时间:2011年1月14日
