linux防火墻技術(shù)論文
linux防火墻技術(shù)論文
在眾多的網(wǎng)絡(luò)防火墻產(chǎn)品中,Linux操作系統(tǒng)上的防火墻軟件特點(diǎn)顯著,學(xué)習(xí)啦小編整理了linux防火墻技術(shù)論文,有興趣的親可以來(lái)閱讀一下!
linux防火墻技術(shù)論文篇一
Linux系統(tǒng)的防火墻技術(shù)設(shè)計(jì)和實(shí)現(xiàn)
[摘 要]在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)飛速發(fā)展的今天,網(wǎng)絡(luò)安全問(wèn)題日益突出,防火墻技術(shù)也越來(lái)越受到人們的關(guān)注。在眾多的網(wǎng)絡(luò)防火墻產(chǎn)品中,Linux操作系統(tǒng)上的防火墻軟件特點(diǎn)顯著,這些優(yōu)勢(shì)是其他防火墻產(chǎn)品不可比擬的。選用這類軟件確實(shí)是最低硬件需求的可靠、高效的解決方案。但用戶最關(guān)心的還是安全系統(tǒng)的性能,有關(guān)部門根據(jù)網(wǎng)絡(luò)安全調(diào)查和分析曾得出結(jié)論:網(wǎng)絡(luò)上的安全漏洞和隱患絕大部分是因網(wǎng)絡(luò)設(shè)置不當(dāng)引起的。Linux防火墻由以前的ipchains到如今的iptables,功能日漸強(qiáng)大和完善。iptables以filter的三個(gè)鏈處理input、output和forward數(shù)據(jù)包。通過(guò)對(duì)INPUT鏈、OUTPUT鏈以及FORWARD鏈上規(guī)則的添加和應(yīng)用來(lái)實(shí)現(xiàn)ALG防火墻,達(dá)到對(duì)網(wǎng)絡(luò)的保護(hù)和限制的目的。
[關(guān)鍵詞]Linux 防火墻 iptables
中圖分類號(hào):TD956.2 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-914X(2014)10-0027-01
Based on Linux system design and realization of the firewall
[Abstract]Network security issues have become increasingly prominent in the rapid development of computer network technology, firewall technology, more and more people pay attention.Firewall software on the Linux operating system features significantly in many network firewall products, these advantages unmatched by other firewall products. The selection of this type of software is indeed reliable and efficient solutions for the minimum hardware requirements. But users are most concerned about is the performance of the security system, the relevant departments according to the survey and analysis of network security has concluded: network security vulnerabilities and hidden mostly caused due to improper network settings. Linux firewall by the previous ipchains iptables, now function increasingly powerful and perfect. iptables to filter three chain processing input, output and forward packets. ALG firewall the adding and application of the rules on the INPUT chain, OUTPUT chain FORWARD chain, to achieve the purpose of network protection and restrictions.
[Key words]Linux firewall iptables
一、Linux操作系統(tǒng)
1.1 Linux系統(tǒng)簡(jiǎn)介
Linux是一種自由和開(kāi)放源碼的類Unix操作系統(tǒng),Linux有許多不同的版本,但它們都使用了Linux內(nèi)核。嚴(yán)格來(lái)講,Linux這個(gè)詞本身只表示Linux內(nèi)核,但實(shí)際上人們已經(jīng)習(xí)慣了用Linux來(lái)形容整個(gè)基于Linux內(nèi)核,并且使用GNU 工程各種工具和數(shù)據(jù)庫(kù)的操作系統(tǒng)。
1.2 Linux防火墻配置命令簡(jiǎn)介
1.2.1 概述
Linux防火墻通過(guò)使用iptables系統(tǒng)提供的特殊命令建立這些規(guī)則,并將其添加到內(nèi)核空間特定信息包過(guò)濾表內(nèi)的鏈中。
1.2.2 表(table)
[-t table]選項(xiàng)允許使用標(biāo)準(zhǔn)表之外的任何一個(gè)表。表只包含一個(gè)特定類型的包處理規(guī)則和鏈的包過(guò)濾表。
1.2.3 命令(command)
命令的部分最重要的部分是iptables命令。它告訴iptables命令去做什么。
1.3 netfilter/iptables組件
1.3.1 簡(jiǎn)介
netfilter/iptables IP 信息包過(guò)濾系統(tǒng)是一種功能強(qiáng)大的工具,可用于添加、編輯和除去規(guī)則,這些規(guī)則是在做信息包過(guò)濾決定時(shí),防火墻所遵循和組成的規(guī)則。
1.3.2 功能
Linux的防火墻是由netfilter和iptables兩個(gè)組件構(gòu)成。netfilter組件也稱為內(nèi)核空間(kernelspace),iptables 組件稱為用戶空間(userspace),通過(guò)iptables執(zhí)行命令或者修改配置文件來(lái)設(shè)置規(guī)則,netfilter接收指令和讀取配置文件來(lái)使這些規(guī)則生效。
1.3.3 工作方式
Netfilter組件由數(shù)據(jù)包過(guò)濾表組成,用來(lái)控制數(shù)據(jù)包過(guò)濾處理的規(guī)則集。
Iptables組件它可以更容易插入、修改和刪除數(shù)據(jù)信息包過(guò)濾表中的規(guī)則。(見(jiàn)圖1)
二、防火墻技術(shù)
2.1 防火墻的定義
防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。
2.2 防火墻的種類
不同的防火墻其運(yùn)用的技術(shù)不同,總的來(lái)說(shuō)分以下幾類:1 .包過(guò)濾防火墻;2.應(yīng)用網(wǎng)關(guān)防火墻;3. 狀態(tài)檢測(cè)防火墻;4. 復(fù)合型防火墻。
三、防火墻的設(shè)計(jì)
3.1 設(shè)計(jì)思路
對(duì)于連接到網(wǎng)絡(luò)上的 Linux 系統(tǒng)來(lái)說(shuō),防火墻是必不可少的防御機(jī)制,它只允許合法的網(wǎng)絡(luò)流量進(jìn)出系統(tǒng),而禁止其它任何網(wǎng)絡(luò)流量。
3.2 配置規(guī)則
一個(gè)LINUX防火墻系統(tǒng)需要一個(gè)合理的、高效的并且簡(jiǎn)單的安全機(jī)制,而安全機(jī)制通常是通過(guò)Input、Output、Forward這三條“防火鏈”來(lái)實(shí)現(xiàn)。
四、結(jié)束語(yǔ)
netfilter/iptables 的最大優(yōu)點(diǎn)是它可以配置有狀態(tài)的防火墻,這是 ipfwadm 和 ipchains 等以前的工具都無(wú)法提供的一種重要功能。netfilter/iptables 的另一個(gè)重要優(yōu)點(diǎn)是,它使用戶可以完全控制防火墻配置和信息包過(guò)濾。另外,netfilter/iptables 是免費(fèi)的,這對(duì)于那些想要節(jié)省費(fèi)用的人來(lái)說(shuō)十分理想,它可以代替昂貴的防火墻解決方案。
參考文獻(xiàn)
[1] Robert L.Ziegler,《Linux防火墻》人民郵電出版社,2000.10.
[2] W.Richard Stevens,《TCP/IP詳解 卷一:協(xié)議》機(jī)械工業(yè)出版社,2000.4.1.
[3] 中國(guó)計(jì)算機(jī)報(bào) 出版日期:2001-09-27 總期號(hào):1058 本年期號(hào):73 看安全策略定防火墻.
[4] 《卡飯?jiān)驴返?2期(2011.11) 關(guān)于防火墻規(guī)則.
[5] 防火墻 .
[6] 防火墻的工作原理及比較 360論壇網(wǎng)絡(luò)專 .
linux防火墻技術(shù)論文篇二
基于透明模式的Linux防火墻設(shè)計(jì)
摘要:隨著計(jì)算機(jī)技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)已經(jīng)逐漸應(yīng)用到比如辦公網(wǎng)絡(luò)化、網(wǎng)上資源共享等人們工作生活的各個(gè)方面。隨著網(wǎng)絡(luò)的大規(guī)模的應(yīng)用,網(wǎng)絡(luò)資源共享性提高,其安全性成為目前人們研究的重點(diǎn)課題。本文詳細(xì)的介紹了linux系統(tǒng)中防火墻設(shè)計(jì)技術(shù)——透明模式技術(shù)?;谕该髂J降姆阑饓梢赃M(jìn)行轉(zhuǎn)換內(nèi)外網(wǎng)地址,以便屏蔽內(nèi)部網(wǎng)段的訪問(wèn)細(xì)節(jié),同時(shí)還可以使防火墻的服務(wù)器端口進(jìn)行隱藏,使其無(wú)法被探測(cè)到,這樣就極大的提高了防火墻的坑攻擊性,加強(qiáng)了網(wǎng)絡(luò)的安全性。
關(guān)鍵詞:linux系統(tǒng);網(wǎng)絡(luò)安全;透明模式;防火墻設(shè)計(jì)
中圖分類號(hào):TP311.52文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2012) 07-0000-02
一、引言
隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和現(xiàn)代通信技術(shù)的發(fā)展,信息安全成為眾多科學(xué)工作者的研究重點(diǎn)。Linux系統(tǒng)作為一個(gè)開(kāi)放的網(wǎng)絡(luò)網(wǎng)絡(luò)操作系統(tǒng),被廣泛的應(yīng)用于教育、金融和政府企業(yè)網(wǎng)中,在應(yīng)用過(guò)程中,防火墻技術(shù)越來(lái)越多的被應(yīng)用于專用網(wǎng)絡(luò),和公用網(wǎng)絡(luò)的互聯(lián)環(huán)境中,因此,linux系統(tǒng)的防火墻設(shè)計(jì)大大的影響人們辦公的利于弊。防火墻集成了計(jì)算機(jī)的硬件和軟件,位于兩個(gè)或者多個(gè)網(wǎng)段之間,能夠?qū)嵤?duì)網(wǎng)絡(luò)資源的訪問(wèn)控制,在任何兩個(gè)或者多個(gè)網(wǎng)絡(luò)之間,按照一定的安全策略實(shí)施數(shù)據(jù)包的安全檢測(cè),判斷各個(gè)網(wǎng)絡(luò)之間的通信能否被許可,時(shí)刻監(jiān)視網(wǎng)絡(luò)的運(yùn)行現(xiàn)狀。
本文基于作者多年的研究和實(shí)踐經(jīng)驗(yàn),詳細(xì)的描述了linux2.4系統(tǒng)內(nèi)核中,防火墻設(shè)計(jì)的相關(guān)技術(shù),比如數(shù)據(jù)包過(guò)濾、Netfilter/Iptables架構(gòu)、透明模式等,并基于這些技術(shù)針對(duì)linux防火墻進(jìn)行了設(shè)計(jì)[1],詳細(xì)的探討了防火墻控制系統(tǒng)的設(shè)計(jì),以便為人們?cè)谑褂胠inux系統(tǒng)時(shí),設(shè)計(jì)防火墻提供參考。
二、背景技術(shù)
(一)Linux系統(tǒng)簡(jiǎn)介
Linux是一種自由的和開(kāi)放源碼的類Unix操作系統(tǒng),其得名于計(jì)算機(jī)業(yè)余愛(ài)好者Linus Torvalds。當(dāng)前存在著許多不同的linux系統(tǒng)版本,比如大家眾所周知的linux2.2和linux2.4系列。雖然他們的產(chǎn)生時(shí)間和版本不同,但是它們都使用了linux內(nèi)核,嚴(yán)格來(lái)講,Linux這個(gè)詞本身只表示Linux內(nèi)核,但實(shí)際上人們已經(jīng)習(xí)慣了用Linux來(lái)形容整個(gè)基于Linux內(nèi)核,并且使用GNU 工程各種工具和數(shù)據(jù)庫(kù)的操作系統(tǒng)。Linux可以安裝在各種計(jì)算機(jī)硬件設(shè)備中,比如從平板電腦、手機(jī)、路由器和視頻游戲控制臺(tái),到臺(tái)式計(jì)算機(jī)、大型機(jī)和超級(jí)計(jì)算機(jī)。Linux是一個(gè)領(lǐng)先的操作系統(tǒng),世界上運(yùn)算最快的10臺(tái)超級(jí)計(jì)算機(jī)運(yùn)行的都是Linux操作系統(tǒng)。
(二)Linux系統(tǒng)的數(shù)據(jù)包過(guò)濾
對(duì)于Linux系統(tǒng)的防火墻設(shè)計(jì)與實(shí)現(xiàn)[2]來(lái)講,為了能夠判定網(wǎng)中的流通的數(shù)據(jù)包等是否合法,需要有網(wǎng)絡(luò)安全人員或者是系統(tǒng)管理員制定一組詳細(xì)的網(wǎng)絡(luò)通信規(guī)則,這組規(guī)則具有一個(gè)中心控制點(diǎn),使用該組規(guī)則能夠檢測(cè)網(wǎng)絡(luò)中的數(shù)據(jù)包并且能夠流出合法的數(shù)據(jù)包信息,使系統(tǒng)不受損害。包過(guò)濾是防火墻設(shè)計(jì)過(guò)程中使用的一種必備技術(shù),因?yàn)榫W(wǎng)絡(luò)流量是是由網(wǎng)絡(luò)中的IP數(shù)據(jù)包有機(jī)形成,網(wǎng)絡(luò)流量憑靠流的形式展現(xiàn)在網(wǎng)絡(luò)中,并且從系統(tǒng)的發(fā)送端經(jīng)過(guò)網(wǎng)絡(luò)留到接收端。形成網(wǎng)絡(luò)流量的IP數(shù)據(jù)包包括兩個(gè)部分,其分別是包頭和數(shù)據(jù),其中包頭里含有接收數(shù)據(jù)的目的地址、數(shù)據(jù)來(lái)源的源地址以及數(shù)據(jù)包傳輸過(guò)程中采用的某種傳輸協(xié)議類型等信息,因此Linux防火墻系統(tǒng)就可以根據(jù)防火墻設(shè)置的相應(yīng)的安全檢查規(guī)則嚴(yán)格的檢查這些數(shù)據(jù)包中的包頭和數(shù)據(jù),這樣就能夠確定網(wǎng)絡(luò)中流通的數(shù)據(jù)包是否合法,接收端是否接授被檢測(cè)到的IP數(shù)據(jù)包,還是拒絕流過(guò)的IP數(shù)據(jù)包,這個(gè)過(guò)程我們就稱之為IP數(shù)據(jù)包過(guò)濾[3]。
(三)Netfilter/Iptables架構(gòu)分析
在Linux2.4系統(tǒng)的內(nèi)核中,其提供了一個(gè)非常強(qiáng)大的防火墻工具——Netfilter/Iptables組件,該工具使用起來(lái)非常靈活,并且功能十分強(qiáng)大,其使用控制規(guī)則對(duì)網(wǎng)絡(luò)中流入和流出的數(shù)據(jù)包信息進(jìn)行非常細(xì)化的控制。Netfilter/Iptables組件基于信息包過(guò)濾表(tables)有機(jī)組成,該過(guò)濾表包含了控制網(wǎng)段中數(shù)據(jù)包處理的一些規(guī)則集(rules)。IP數(shù)據(jù)包根據(jù)規(guī)則集中包含的包過(guò)濾類型,將這些規(guī)則放入鏈(chains)中,同時(shí)規(guī)定Linux系統(tǒng)2.4內(nèi)核對(duì)來(lái)網(wǎng)絡(luò)中流入流出的數(shù)據(jù)包進(jìn)行處置。Netfilter/Iptables組件的工作原理以及其結(jié)構(gòu)組成如下所述[4]。
1. Netfilter/Iptables的工作原理簡(jiǎn)述。在Linux2.4系統(tǒng)內(nèi)核中,Netfilter/Iptables是Linux系統(tǒng)發(fā)展過(guò)程中的第4代包過(guò)濾防火墻系統(tǒng)[5],該系統(tǒng)僅僅可以用來(lái)擴(kuò)展網(wǎng)絡(luò)服務(wù),并沒(méi)有具體實(shí)現(xiàn)包過(guò)濾的程序,是一個(gè)包過(guò)濾系統(tǒng)的結(jié)構(gòu)化底層開(kāi)發(fā)框架。Netfilter/Iptables框架共包含三個(gè)組成部分:一是為各種網(wǎng)絡(luò)協(xié)議定義的一些相關(guān)的鉤子函數(shù),比如為IPV4定義了五個(gè)鉤子函數(shù),這些函數(shù)可以在網(wǎng)絡(luò)中數(shù)據(jù)包經(jīng)過(guò)某些協(xié)議棧的關(guān)鍵點(diǎn)時(shí)被用來(lái)調(diào)用;二是linux2.4內(nèi)核的每一個(gè)模塊都可以針對(duì)各種協(xié)議一個(gè)或者是很多個(gè)鉤子進(jìn)行注冊(cè),以便實(shí)現(xiàn)掛接;三是用來(lái)傳遞給用戶的數(shù)據(jù)包,其在排隊(duì)的數(shù)據(jù)包中使用異步處理的方法。
2. IPv4中Netfilter/Iptables的結(jié)構(gòu)簡(jiǎn)述。Netfilter/Iptables提供了三個(gè)基本的功能表[6]:網(wǎng)絡(luò)地址轉(zhuǎn)換表(NAT) 、數(shù)據(jù)包過(guò)濾表(filter)和數(shù)據(jù)包處理表(mangle)。其中每個(gè)表又通常由若干鏈構(gòu)成,一個(gè)鏈既是許多規(guī)則中的一個(gè)過(guò)濾清單,根據(jù)過(guò)濾規(guī)則能夠處理的數(shù)據(jù)包的類型,將其分組到各個(gè)鏈中。其工作過(guò)程是如果一個(gè)網(wǎng)絡(luò)中流通的IP數(shù)據(jù)包與某一規(guī)則相匹配,防火墻就允許該包通過(guò),既是接受該數(shù)據(jù)包;否則,就丟球或者拒絕接受該數(shù)據(jù)包,通過(guò)這些功能就可以防止非法數(shù)據(jù)流通,以便保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全。
3. Netfilter/Iptables的內(nèi)置規(guī)則。Netfilter/Iptables可以通過(guò)讀取在網(wǎng)絡(luò)中流入和流出的IP數(shù)據(jù)包的頭部,分析其具體信息,然后就和規(guī)則集相比較,這樣就可以確定IP數(shù)據(jù)包是接受轉(zhuǎn)發(fā)還是拒絕接受,對(duì)于被拒絕的IP數(shù)據(jù)包,Netfilter/Iptables內(nèi)置規(guī)則集默認(rèn)丟棄或者按照某種定義的動(dòng)作來(lái)處理數(shù)據(jù)包。在linux2.4內(nèi)核中,其建立了三個(gè)Iptables,其中Filter包含input、output以及forward鏈,該Iptable的主要作用是用來(lái)過(guò)濾一般的IP數(shù)據(jù)包,;Nat包含prerouting、output和postrouting鏈,其作用是用來(lái)轉(zhuǎn)發(fā)IP數(shù)據(jù)包;Mangle包括prerouting和output鏈,其可以使用一些規(guī)則記錄用于高級(jí)路由的IP數(shù)據(jù)包。
三、Linux透明模式防火墻實(shí)現(xiàn)
(一)透明模式的結(jié)構(gòu)和優(yōu)點(diǎn)
在人們上網(wǎng)等過(guò)程中,由于計(jì)算機(jī)系統(tǒng)中安裝了防火墻,導(dǎo)致網(wǎng)速變慢,給人們帶來(lái)了各種不方便,比如無(wú)法登錄某些被限制的有用網(wǎng)站,網(wǎng)速變慢等問(wèn)題,為了解決防火墻帶來(lái)的這種弊端,在本文中l(wèi)inux系統(tǒng)防火墻的實(shí)現(xiàn)過(guò)程中,我們采用了新穎的Iptables+Squid透明模式,用于設(shè)計(jì)和實(shí)現(xiàn)防火墻[7]的功能。在基于透明模式防火墻網(wǎng)絡(luò)系統(tǒng)中,數(shù)據(jù)訪問(wèn)流程如下:用戶與代理服務(wù)器進(jìn)行對(duì)話,然后接受客戶的請(qǐng)求,與真實(shí)的服務(wù)器相連接,然后請(qǐng)求得到響應(yīng)數(shù)據(jù)并將其反饋給用戶。使用透明模式的防火墻可以解決很多問(wèn)題,比如網(wǎng)絡(luò)速度慢和IP地址緊缺等。在防火墻的實(shí)現(xiàn)規(guī)則設(shè)置中,基于透明模式的防火墻系統(tǒng)采用了比包過(guò)濾較深層次的數(shù)據(jù)包檢查策略,網(wǎng)絡(luò)的內(nèi)部用戶如果在訪問(wèn)外網(wǎng)數(shù)據(jù)時(shí),基于透明模式的訪問(wèn)方式無(wú)需進(jìn)行服務(wù)器代理設(shè)置,就能夠使用戶與外界資源直接進(jìn)行高速的通信,大大的減少了用戶上網(wǎng)的時(shí)間,加快了網(wǎng)絡(luò)訪問(wèn)的速度。另外,采用透明模式的防火墻系統(tǒng),可以很方便的進(jìn)行內(nèi)網(wǎng)和外網(wǎng)地址轉(zhuǎn)換,屏蔽內(nèi)部網(wǎng)絡(luò)的訪問(wèn)細(xì)節(jié)信息,使得防火墻的服務(wù)器端口被系統(tǒng)隱藏,使其無(wú)法潛在的攻擊者所探測(cè)到,就能夠大大的提高網(wǎng)絡(luò)的安全性,減少被黑客攻擊的幾率。
(二)基于Iptables+Squid實(shí)現(xiàn)透明模式
Squid是一個(gè)代理服務(wù)器軟件[8],其通常在Unix/Linux系統(tǒng)下工作并且能夠支持許多種協(xié)議,該軟件能夠緩存我們網(wǎng)絡(luò)上使用的數(shù)據(jù),也即是當(dāng)服務(wù)器軟件使用Squid之后,服務(wù)器內(nèi)存中就會(huì)建立一個(gè)哈希表,也稱為散列表,該哈希表用來(lái)保存在硬盤中的緩存目錄的配置狀態(tài)。如果網(wǎng)絡(luò)上用戶發(fā)出代理請(qǐng)求時(shí),Squid接收用戶的請(qǐng)求并且下載申請(qǐng),然后自動(dòng)的處理其所下載的請(qǐng)求數(shù)據(jù)信息。Squid可以構(gòu)造非常復(fù)雜的代理訪問(wèn)控制結(jié)構(gòu),能夠提供多種訪問(wèn)控制策略,并且能夠節(jié)省很多網(wǎng)絡(luò)帶寬,其具有系統(tǒng)運(yùn)行穩(wěn)定,運(yùn)行效率高,響應(yīng)及時(shí)等十分強(qiáng)大的功能。
四、 Linux防火墻訪問(wèn)控制系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)
在linux系統(tǒng)防火墻設(shè)計(jì)與實(shí)現(xiàn)過(guò)程中,訪問(wèn)控制系統(tǒng)的設(shè)計(jì)是非常關(guān)鍵的,訪問(wèn)控制系統(tǒng)設(shè)計(jì)的好壞,直接影響防火墻的功能是否健全,性能是否優(yōu)越,以及其他非功能性約束。
(一)訪問(wèn)控制系統(tǒng)的設(shè)計(jì)思想和功能
本文所設(shè)計(jì)的訪問(wèn)控制系統(tǒng)基于透明模式技術(shù)。該模式與普通模式相比較,具有配置簡(jiǎn)單靈活、適用范圍廣等許多優(yōu)點(diǎn)。在linux系統(tǒng)內(nèi)核下,基于iptables+squid實(shí)現(xiàn)透明模式技術(shù)[9],因此該防火墻具有一定的包過(guò)濾功能。由于Linux系統(tǒng)內(nèi)核防火墻設(shè)計(jì)過(guò)程中,其包過(guò)濾機(jī)制存在一定的局限性,存在著缺陷,比如過(guò)濾能力非常有限。如果網(wǎng)絡(luò)內(nèi)部的用戶向代理服務(wù)器發(fā)出訪問(wèn)請(qǐng)求時(shí),使用某些具有隱蔽性的技術(shù)和手段,這樣就可以使得數(shù)據(jù)包無(wú)需通過(guò)iptables+Squid就能夠訪問(wèn)外部的網(wǎng)絡(luò),防火墻系統(tǒng)的檢測(cè)機(jī)制的作用就會(huì)被降低,為了解決上面的問(wèn)題,在本文中,筆者基于多年的實(shí)踐經(jīng)驗(yàn),基于透明模式,設(shè)計(jì)并提出了一種新穎的內(nèi)部用戶訪問(wèn)控制系統(tǒng),這種系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)思想如下:系統(tǒng)根據(jù)網(wǎng)絡(luò)內(nèi)部的用戶發(fā)出的數(shù)據(jù)信息,讓防火墻系統(tǒng)的服務(wù)器抓取該數(shù)據(jù)信息中的IP數(shù)據(jù)包的頭部,詳細(xì)的按照訪問(wèn)控制規(guī)則對(duì)其進(jìn)行分析,根據(jù)iptables定義的防火墻規(guī)則鏈檢測(cè)數(shù)據(jù)包是否合法;另外在服務(wù)器的另一個(gè)端口時(shí)刻偵聽(tīng)已經(jīng)流出去的數(shù)據(jù)信息,通過(guò)反饋信息對(duì)其進(jìn)行檢測(cè)過(guò)濾,與此同時(shí),服務(wù)器還要對(duì)已經(jīng)流出去的相應(yīng)請(qǐng)求數(shù)據(jù)包進(jìn)行日志登記,在防火墻系統(tǒng)的控制管理過(guò)程中,我們可以查看過(guò)長(zhǎng)的數(shù)據(jù)信息或者是過(guò)快的一連串的異常數(shù)據(jù)請(qǐng)求行為,以便從中發(fā)現(xiàn)可疑現(xiàn)象。
因此,綜上所述,本文中所設(shè)計(jì)和實(shí)現(xiàn)的防火墻訪問(wèn)控制系統(tǒng)的主要功能主要由以下幾個(gè)方面共同組成:
1.適用范圍廣泛,可用于各種網(wǎng)絡(luò)應(yīng)用協(xié)議;2.禁止內(nèi)部用戶越過(guò)防火墻非法訪問(wèn);3.根據(jù)對(duì)數(shù)據(jù)包頭部的分析,實(shí)現(xiàn)動(dòng)態(tài)包過(guò)濾功能,加強(qiáng)了系統(tǒng)的性能和安全性;4.系統(tǒng)提供日志審計(jì),以便記錄系統(tǒng)訪問(wèn)、系統(tǒng)管理及針對(duì)安全策略的網(wǎng)絡(luò)訪問(wèn)情況。
(二)訪問(wèn)控制系統(tǒng)的實(shí)現(xiàn)
1.防火墻規(guī)則初始化:?jiǎn)?dòng)forward功能;配置缺省原則;設(shè)置nat規(guī)則;設(shè)置內(nèi)外網(wǎng)連接規(guī)則;設(shè)置icmp規(guī)則;設(shè)置透明模式。
2.偵聽(tīng)數(shù)據(jù)包:訪問(wèn)控制系統(tǒng)能夠在任何時(shí)刻監(jiān)聽(tīng)是否有發(fā)往Squid的數(shù)據(jù)包信息的訪問(wèn)請(qǐng)求,使用的偵聽(tīng)數(shù)據(jù)包技術(shù)主要可以采用基于客戶機(jī)與服務(wù)器分布式通信技術(shù)來(lái)實(shí)現(xiàn)。在客戶機(jī)與服務(wù)器分布式的通信過(guò)程中,訪問(wèn)控制系統(tǒng)就可以通過(guò)Socket截獲或者抓卻客戶機(jī)發(fā)送給服務(wù)器的數(shù)據(jù)包,另外基于該種技術(shù),訪問(wèn)控制系統(tǒng)可以同時(shí)將多個(gè)Socket連入同一個(gè)端口,這樣就可以使得所有的客戶機(jī)均可以用統(tǒng)一的通信前端與服務(wù)器進(jìn)行通信。
3.數(shù)據(jù)包截獲和分析:該模塊從接收到的數(shù)據(jù)包中提取出來(lái)IP數(shù)據(jù)包的頭部信息,對(duì)其進(jìn)行分析,并從數(shù)據(jù)包提取所需要的信息。
4.訪問(wèn)控制管理:訪問(wèn)控制管理是該控制系統(tǒng)設(shè)計(jì)過(guò)程中最為關(guān)鍵的一個(gè)部分,當(dāng)經(jīng)過(guò)數(shù)據(jù)包分析之后,可以認(rèn)證用戶身份,然后通過(guò)對(duì)內(nèi)核防火墻過(guò)濾規(guī)則的操作來(lái)實(shí)現(xiàn)對(duì)用戶的訪問(wèn)控制。訪問(wèn)控制管理模塊生成一個(gè)shell腳本的start文件,該文件可以用來(lái)創(chuàng)建一個(gè)基礎(chǔ)的iptables規(guī)則,并且初始化input、output及forward鏈,同時(shí)為每一個(gè)服務(wù)創(chuàng)建一個(gè)對(duì)應(yīng)的防火鏈,并在forward鏈中添加規(guī)則,將相應(yīng)服務(wù)端口的請(qǐng)求轉(zhuǎn)發(fā)給服務(wù)鏈。訪問(wèn)控制管理模塊同時(shí)定義了所有服務(wù)對(duì)應(yīng)的TCP/UDP端口及服務(wù)種類。
五、結(jié)束語(yǔ)
總而言之,隨著網(wǎng)絡(luò)資源使用的方便程度越來(lái)越多,使用網(wǎng)絡(luò)的人必將迅速增加,如何保證網(wǎng)絡(luò)信息安全成為許多研究者的工作重點(diǎn)。本文利用Linux內(nèi)核防火墻中的包過(guò)濾機(jī)制iptables和代理服務(wù)器軟件squid實(shí)現(xiàn)了透明模式的防火墻,其具有置簡(jiǎn)單靈活、適用范圍廣等許多優(yōu)點(diǎn),并且提出了解決系統(tǒng)內(nèi)部用戶訪問(wèn)的安全性問(wèn)題,為linux系統(tǒng)防火墻設(shè)計(jì)引入了新的理念。隨著信息安全技術(shù)的發(fā)展,linux防火墻設(shè)計(jì)也必將產(chǎn)生更多的有效設(shè)計(jì)原理和方法,以保證網(wǎng)絡(luò)應(yīng)用環(huán)境的安全。
參考文獻(xiàn):
[1]周曉梅.Linux內(nèi)核防火墻及其應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007(06)
[2]鄭超,高學(xué)全,張建勛.基于Linux防火墻的局域網(wǎng)安全環(huán)境設(shè)計(jì)與實(shí)現(xiàn)[J].科學(xué)技術(shù)與工程,2008(11)
[3]秦濤.在LINUX下使用Iptables作為防火墻研究[J].內(nèi)蒙古電大學(xué)刊,2009(01)
[4]鄭超,張建勛.Linux防火墻Netfilter-iptables擴(kuò)展機(jī)制及應(yīng)用研究[J].計(jì)算機(jī)與數(shù)字工程,2009(06)
[5]朱萍.基于透明代理的Linux防火墻的設(shè)計(jì)與實(shí)現(xiàn)[J].合肥工業(yè)大學(xué)學(xué)報(bào)(自然科學(xué)版),2007(05)
[6]劉軍,鄭傳波,張凱.基于數(shù)據(jù)包過(guò)濾和透明代理相結(jié)合的防網(wǎng)絡(luò)攻擊[J].計(jì)算機(jī)工程與設(shè)計(jì),2005(05)
[7]宛鉞.基于iptables的Linux防火墻的配置和實(shí)現(xiàn)[J].沈陽(yáng)航空工業(yè)學(xué)院學(xué)報(bào),2008(02)
[8]潘賢.Linux內(nèi)核中Netfilter/Iptables防火墻的技術(shù)分析[J].計(jì)算機(jī)安全,2008(08)
[9]劉建峰,潘軍,李祥和.Linux防火墻內(nèi)核中Netfilter和Iptables的分析[J].微計(jì)算機(jī)信息,2006(03)