摘要 本文介绍了LINUX下常用的防火墙规矩配置软件Ipchains;从实现原理、配置法子 以及功效特性的角度描绘了LINUX防火墙的三种功效;并给出了一个LINUX防火墙实例作为参考。
要害字 LINUX防火墙 ipchains 包过滤 代理 IP装作
1 前言
防火墙作为网络安全措施 中的一个首要组成部分,一直受到人们的广泛关注。LINUX是这几年一款异军崛起的操作系统 ,以其公开的源代码、强大稳固的网络功效和大宗的免费资源受到业界的广泛赞美 。LINUX防火墙其实是操作系统 本身所自带的一个功效模块。通过安装特定的防火墙内核,LINUX操作系统 会对接管到的数据包按必然的策略进行处理 。而用户所要做的,就是应用特定的配置软件(如ipchains)去定制适宜自己的“数据包处理 策略”。
2 LINUX防火墙配置软件—Ipchains
Ipchains是LINUX 2.1及其以上版本中所带的一个防火墙规矩管理程序。用户可以应用
它来建立 、编辑 、删除系统 的防火墙规矩。但通常,需要 自己创立一个防火墙规矩脚本 /etc/rc.d/wall,并使系统 启动时主动运行这个脚本。
一个LINUX防火墙系统 的安全机制是通过Input、Output、Forward这三个“防火链”来实现的。而用户正是应用 ipchains在这三个“链”上分辨 创立一套“防火规矩 ”,来完成对到来数据包层层限制的目标,其组织结构 如图1所示。
其中,每个链都包孕一组由用户创立的过滤规矩,数据包依次达到每个链,并对比其中的每条规矩,直到找出匹配规矩并履行相应策略(如通过、回绝等),否则履行默认策略。实际中,数据包在达到 Input链之前还要进行测试和正常性反省,在到路由表之前还要被确定 是否被装作,这些,在本图中都被省略了。
Ipchains 经常应用的命令行款式如下:
Ipchains –A chain [–i interface] [–p protocol] [[!] -y]
[–s source-ip [port]] [-d destination-ip [port]] –j policy [-l]
对各选项的阐明如下表:
-A <chain> 添加一规矩到链尾。chain可为input、output、forward。
-i <interface> 指定本规矩实用的网络接口。通常有eth0、eth1、lo、ppp0等。
-p <protocol> 指定本规矩实用的IP协议 ,如tcp、udp、icmp等。
[!] –y -y表明tcp握手中的连接 恳求标记位SYN; ! –y 表现对该恳求的响应。
-s src-ip [port] 指明数据包的源IP地址,port表现本规矩实用的端口号。
-d dst-ip [port] 指明数据包的目标 IP地址及端口号。
-j policy 指定本规矩对匹配数据包的处理 策略:ACCEPT、DENY或REJECT。
-l 在系统 日志/var/log/messages中记载 与该规矩匹配的数据包。
3 LINUX防火墙的几种常见功效
由于每一个用户的请求和所处的环境都不一样,LINUX防火墙会根据 用户的设置实现各种不同的功效。但一般说来,以下三种功效是大多数用户最常用到的。
3.1 包过滤
对数据包进行过滤可以说是任何防火墙所具备的最根基的功效,而LINUX防火墙本身从某个角度也可以说是一种“包过滤防火墙”。在LINUX防火墙中,操作系统 内核对到来的每一个数据包进行反省,从它们的包头中提取出所需要 的信息,如源IP地址、目标 IP地址、源端口号、目标端口号等,再与已建立 的防火规矩逐条进行对比,并履行所匹配规矩的策略,或履行默认策略,这个历程在图1中已经形象的表现 出来。
值得注意的是,在制定 防火墙过滤规矩时通常有两个根基的策略法子 可供选择:一个是默认容许一切,即在接管所有数据包的根基上明确 地阻挠那些特别的、不盼望收到的数据包;还有一个策略就是默认阻挠一切,即首先阻挠所有的数据包通过,然后再根据 所盼望供给的服务去一项项容许需要 的数据包通过。一般说来,前者使启动和运行防火墙变得更加容易,但却更容易为自己留下安全隐患。
通过在防火墙外部接口处对进来的数据包进行过滤,可以有效地禁止绝大多数有意或无意地网络攻击,同时,对发出的数据包进行限制,可以明确 地指定内部网中哪些主机可以造访互联网,哪些主机只能享用哪些服务或登陆哪些站点,从而实现对内部主机的管理。可以说,在对一些小型内部局域网进行安全保护和网络管理时,包过滤确凿是一种简略而有效的手法。
3.2 代理
