基于Linux的网络防火墙设计方法计算机专业.doc

摘要 随着Internet的迅速发展，网络越来越成为了人们日常生活不可或缺的一部分，而随之引出的网络安全问题也越来越突出，成为人们不得不关注的问题。 为了在一个不安全的网际环境中构造出一个相对安全的环境，保证子网环境下的计算机的安全运行免受到外部的侵害，针对当前的网络问题，本文主要介绍了几种流行的防火墙技术及其工作原理。在防火墙的基本概念、作用和基本类型的基础上，重点分析了linux诸版本中所使用的基于包过滤型防火墙的工作原理，并在此基础上对linux2.4版本出现的iptables技术作了详细的构架环境分析以及实现，以此来测试和部署出一个较为安全的网络环境，使得在一个不安全的网络环境中有效防范外部网络的攻击行为，让整个网络具有较高的安全级别。 关键词： 防火墙、网络安全、Linux、包过滤技术、Iptables Abstract With the rapid development of Internet, the network is more and more become an integral part of People’s daily life, and subsequently leads to the problem of network security that has become increasingly prominent, as people have concerns. In order to construct a relatively safe environment in a secure environment, to ensure the subnet environment of computer security operation and not infringed by the external, in view of the current network problems, this paper mainly introduces several popular firewall technology and how it works. On the basis of the basic concept, role and basic types behind a firewall, we mainly analys its working principle,which is based on the working principle of packet filter firewall in each version of Linux,and based on that, we analyzed in detail and achieve the structure environment of iptables technology which appears in version 2.4 of Linux,and use it to test and deploy a safer network environment,which will make computers can effectively guard against external network attack behavior in an unsafe network environment, let whole network has a higher level of security. 朗读 显示对应的拉丁字符的拼音 字典 Key Words: firewall、Network Security、Linux、Packet filtering technology、Iptables 目录 第1章 绪论 1 1.1 选题的意义 1 1.2 研究内容与论文工作 1 1.3 论文的组织 2 第2章 网络安全概念及常用防火墙技术 3 2.1 计算机网络安全的概念 3 2.2 计算机防火墙中的常用技术 3 第3章 Linux系统的特点 10 第4章 基于linux的网络防火墙技术 12 第5章 linux网络防火墙的架构环境 16 第6章 linux网络防火墙的实验方法 19 第7章 总结及进一步研究 23 7.1 总结 23 7.2 进一步研究 23 参考文献 25 致谢 26 第1章 绪论 1.1 选题的意义 近年来，计算机网络技术的不断发展，使得网络应用逐渐得到普及。网络已经越来越成为了人们日常生活不可或缺的一部分，逐渐成为了一个无所不在、无所不用的工具。足不出户，人们便可以了解到全球网络上面丰富的经济、文化等信息，甚至即时的了解到世界上任何一个角落所正在发生的事情。而然，随着网络应用的不断普及和增多，网络安全问题也越来越突出，这源于计算机网络连接方式的多样性、终端分布不均性、网络开放性以及网络资源共享性等因素。因此连接到互联网上的计算机非常容易遭受到病毒、黑客、恶意软件和其他一些非法行为的攻击。所以为了确保网络上信息的安全传输，计算机网络的安全与防范措施的研究必然要提上议事日程。 防火墙技术是一种目前使用最为广泛的网络安全防护技术，它可以是一个或者一组实施访问控制策略的系统，可以是软件、硬件亦或者是两者的结合，其目的是提供一种对网络的安全保护策略。防火墙的设计通常位于内部网络与外部网络之间，以实现监视、控制和改变内部和外部网络之间流动的网络通信，控制外部计算机对内部访问的环境，确定访问的时间、权限、服务类型和质量等。总而言之，防火墙技术是要尽最大的努力来保护用户或者企业的信息不受侵害。 在Internet上面，黑客使用恶意代码，比如说病毒、蠕虫、特洛伊木马等等来尝试查找未受保护的计算机。虽然有些攻击仅仅是一种恶作剧，但是很大部分的攻击确实怀有恶意的，甚至有的攻击试图去删除您所用计算机中的信息，使系统崩溃或者窃取相关隐私信息，这就使得信息保护的意思尤为重要。幸运的是，我们可以通过使用防火墙来降低感染的风险，所以研究、配置和测试计算机的防火墙自然是我们非常关系和值得考虑的问题。 1.2 研究内容与论文工作 本文所研究的内容以及工作主要如下： （1）阅读相关的资料文献，了解领域内相关技术等知识。 （2）熟悉Linux操作系统的特点，并懂得相关的操作知识。 （3）学习和研究Linux系统下网络防火墙技术的知识，初步学会如何配置防火墙。 （4）熟练掌握配置的防火墙的测试工作，能根据需要配置出个人的防火墙。 1.3 论文的组织 （1）第二章，介绍计算机网络安全的基本概念以及常用的网络防火墙技术。 （2）第三章，介绍linux系统的特点 （3）第四章，介绍基于linux操作系统的网络防火墙技术，并介绍相关技术的构架环境，进而实现linux网络防火墙。 （4）第五章，介绍linux网络防火墙的架构环境 （5）第六章，介绍linux网络防火墙的实验方法 （4）第七章，对本文进行总结，指出本文研究的成果、存在的不足以及自身对项目的体会。 第2章 网络安全概念及常用防火墙技术 2.1 计算机网络安全的概念 计算机网络安全不仅包括组网的硬件、管理控制网络的软件，也包括共享的资源，快捷的网络服务，所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。国际标准化组织（ISO）对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。参照ISO给出的计算机安全定义，认为计算机网络安全是指：“保护计算机网络系统中的硬件，软件和数据资源，不因偶然或恶意的原因遭到破坏、更改、泄露，使网络系统连续可靠性地正常运行，网络服务正常有序。” 2.2 计算机防火墙中的常用技术 n 2.2.1 包过滤技术 防火墙的一类。传统的包过滤功能在路由器上常可看到，而专门的防火墙系统一般在此之上加了功能的扩展，如状态检测等。它通过检查单个包的地址，协议，端口等信息来决定是否允许此数据包通过。 包过滤防火墙是最简单的一种防火墙，它在网络层截获网络数据包，根据防火墙的规则表，来检测攻击行为。包过滤防火墙一般作用在网络层（IP层），故也称网络层防火墙（Network Lev Firewall）或IP过滤器（IP filters）。数据包过滤（Packet Filtering）是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。 包过滤技术(IP Filtering or packet filtering) 的原理在于监视并过滤网络上流入流出的IP包，拒绝发送可疑的包。基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤（Packet Filtering）。由于Internet 与Intranet 的连接多数都要使用路由器，所以Router成为内外通信的必经端口，Router的厂商在Router上加入IP 过滤 功能，过滤路由器也可以称作包过滤路由器或筛选路由器（Packet FilterRouter）。防火墙常常就是这样一个具备包过滤功能的简单路由器，这种Firewall应该是足够安全的，但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的，因而在安全要求较高的场合，通常还配合使用其它的技术来加强安全性。 包过滤技术的工作原理。路由器逐一审查数据包以判定它是否与其它包过滤规则相匹配。每个包有两个部分：数据部分和包头。过滤规则以用于IP顺行处理的包头信息为基础，不理会包内的正文信息内容。包头信息包括：IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配，且规则允许这包，这一包则根据路由表中的信息前行。如果未找到一个匹配，且规则拒绝此包，这一包则被舍弃。如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。 包过滤规则允许Router取舍以一个特殊服务为基础的信息流，因为大多数服务检测器驻留于众所周知的TCP/UDP端口。 包过滤防火墙的分类。它包括静态包过滤类型防火墙和动态包过滤类型防火墙。 静态包过滤类型防火墙这类防火墙几乎是与路由器同时产生的，它是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。 动态包过滤类型防火墙。这类防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测(Stateful Inspection)技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。 包过滤技术包括两种基本类型。无状态检查的包过滤和有状态检查的包过滤。其区别在于后者通过记住防火墙的所有通信状态，并根据状态信息来过滤整个通信流，而不仅仅是包。 有许多方法可以绕过包过滤器进入Internet，包过滤技术存在以下几个缺陷： 1． TCP只能在第0个分段中被过滤。 2． 特洛伊木马可以使用NAT来使包过滤器失效。 3． 许多包过滤器允许1024以上的端口通过。 典型过滤规则介绍。典型的过滤规则有以下几种：允许特定名单内