Linux系统的防火墙技术设计和实现
2014-03-22潘天贺
潘天贺
[摘 要]在计算机网络技术飞速发展的今天,网络安全问题日益突出,防火墙技术也越来越受到人们的关注。在众多的网络防火墙产品中,Linux操作系统上的防火墙软件特点显著,这些优势是其他防火墙产品不可比拟的。选用这类软件确实是最低硬件需求的可靠、高效的解决方案。但用户最关心的还是安全系统的性能,有关部门根据网络安全调查和分析曾得出结论:网络上的安全漏洞和隐患绝大部分是因网络设置不当引起的。Linux防火墙由以前的ipchains到如今的iptables,功能日渐强大和完善。iptables以filter的三个链处理input、output和forward数据包。通过对INPUT链、OUTPUT链以及FORWARD链上规则的添加和应用来实现ALG防火墙,达到对网络的保护和限制的目的。
[关键词]Linux 防火墙 iptables
中图分类号:TD956.2 文献标识码:A 文章编号:1009-914X(2014)10-0027-01
Based on Linux system design and realization of the firewall
[Abstract]Network security issues have become increasingly prominent in the rapid development of computer network technology, firewall technology, more and more people pay attention.Firewall software on the Linux operating system features significantly in many network firewall products, these advantages unmatched by other firewall products. The selection of this type of software is indeed reliable and efficient solutions for the minimum hardware requirements. But users are most concerned about is the performance of the security system, the relevant departments according to the survey and analysis of network security has concluded: network security vulnerabilities and hidden mostly caused due to improper network settings. Linux firewall by the previous ipchains iptables, now function increasingly powerful and perfect. iptables to filter three chain processing input, output and forward packets. ALG firewall the adding and application of the rules on the INPUT chain, OUTPUT chain FORWARD chain, to achieve the purpose of network protection and restrictions.
[Key words]Linux firewall iptables
一、Linux操作系统
1.1 Linux系统简介
Linux是一种自由和开放源码的类Unix操作系统,Linux有许多不同的版本,但它们都使用了Linux内核。严格来讲,Linux这个词本身只表示Linux内核,但实际上人们已经习惯了用Linux来形容整个基于Linux内核,并且使用GNU 工程各种工具和数据库的操作系统。
1.2 Linux防火墙配置命令简介
1.2.1 概述
Linux防火墙通过使用iptables系统提供的特殊命令建立这些规则,并将其添加到内核空间特定信息包过滤表内的链中。
1.2.2 表(table)
[-t table]选项允许使用标准表之外的任何一个表。表只包含一个特定类型的包处理规则和链的包过滤表。
1.2.3 命令(command)
命令的部分最重要的部分是iptables命令。它告诉iptables命令去做什么。
1.3 netfilter/iptables组件
1.3.1 简介
netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。
1.3.2 功能
Linux的防火墙是由netfilter和iptables两个组件构成。netfilter组件也称为内核空间(kernelspace),iptables 组件称为用户空间(userspace),通过iptables执行命令或者修改配置文件来设置规则,netfilter接收指令和读取配置文件来使这些规则生效。
1.3.3 工作方式
Netfilter组件由数据包过滤表组成,用来控制数据包过滤处理的规则集。
Iptables组件它可以更容易插入、修改和删除数据信息包过滤表中的规则。(见图1)
二、防火墙技术
2.1 防火墙的定义
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
2.2 防火墙的种类
不同的防火墙其运用的技术不同,总的来说分以下几类:1 .包过滤防火墙;2.应用网关防火墙;3. 状态检测防火墙;4. 复合型防火墙。
三、防火墙的设计
3.1 设计思路
对于连接到网络上的 Linux 系统来说,防火墙是必不可少的防御机制,它只允许合法的网络流量进出系统,而禁止其它任何网络流量。
3.2 配置规则
一个LINUX防火墙系统需要一个合理的、高效的并且简单的安全机制,而安全机制通常是通过Input、Output、Forward这三条“防火链”来实现。
四、结束语
netfilter/iptables 的最大优点是它可以配置有状态的防火墙,这是 ipfwadm 和 ipchains 等以前的工具都无法提供的一种重要功能。
netfilter/iptables 的另一个重要优点是,它使用户可以完全控制防火墙配置和信息包过滤。
另外,netfilter/iptables 是免费的,这对于那些想要节省费用的人来说十分理想,它可以代替昂贵的防火墙解决方案。
参考文献
[1] Robert L.Ziegler,《Linux防火墙》人民邮电出版社,2000.10.
[2] W.Richard Stevens,《TCP/IP详解 卷一:协议》机械工业出版社,2000.4.1.
[3] 中国计算机报 出版日期:2001-09-27 总期号:1058 本年期号:73 看安全策略定防火墙.
[4] 《卡饭月刊》第32期(2011.11) 关于防火墙规则.
[5] 防火墙 http://baike.baidu.com/view/3067.htm.
[6] 防火墙的工作原理及比较 360论坛网络专 http://bbs.360.cn/4028137/35952409.html.endprint
[摘 要]在计算机网络技术飞速发展的今天,网络安全问题日益突出,防火墙技术也越来越受到人们的关注。在众多的网络防火墙产品中,Linux操作系统上的防火墙软件特点显著,这些优势是其他防火墙产品不可比拟的。选用这类软件确实是最低硬件需求的可靠、高效的解决方案。但用户最关心的还是安全系统的性能,有关部门根据网络安全调查和分析曾得出结论:网络上的安全漏洞和隐患绝大部分是因网络设置不当引起的。Linux防火墙由以前的ipchains到如今的iptables,功能日渐强大和完善。iptables以filter的三个链处理input、output和forward数据包。通过对INPUT链、OUTPUT链以及FORWARD链上规则的添加和应用来实现ALG防火墙,达到对网络的保护和限制的目的。
[关键词]Linux 防火墙 iptables
中图分类号:TD956.2 文献标识码:A 文章编号:1009-914X(2014)10-0027-01
Based on Linux system design and realization of the firewall
[Abstract]Network security issues have become increasingly prominent in the rapid development of computer network technology, firewall technology, more and more people pay attention.Firewall software on the Linux operating system features significantly in many network firewall products, these advantages unmatched by other firewall products. The selection of this type of software is indeed reliable and efficient solutions for the minimum hardware requirements. But users are most concerned about is the performance of the security system, the relevant departments according to the survey and analysis of network security has concluded: network security vulnerabilities and hidden mostly caused due to improper network settings. Linux firewall by the previous ipchains iptables, now function increasingly powerful and perfect. iptables to filter three chain processing input, output and forward packets. ALG firewall the adding and application of the rules on the INPUT chain, OUTPUT chain FORWARD chain, to achieve the purpose of network protection and restrictions.
[Key words]Linux firewall iptables
一、Linux操作系统
1.1 Linux系统简介
Linux是一种自由和开放源码的类Unix操作系统,Linux有许多不同的版本,但它们都使用了Linux内核。严格来讲,Linux这个词本身只表示Linux内核,但实际上人们已经习惯了用Linux来形容整个基于Linux内核,并且使用GNU 工程各种工具和数据库的操作系统。
1.2 Linux防火墙配置命令简介
1.2.1 概述
Linux防火墙通过使用iptables系统提供的特殊命令建立这些规则,并将其添加到内核空间特定信息包过滤表内的链中。
1.2.2 表(table)
[-t table]选项允许使用标准表之外的任何一个表。表只包含一个特定类型的包处理规则和链的包过滤表。
1.2.3 命令(command)
命令的部分最重要的部分是iptables命令。它告诉iptables命令去做什么。
1.3 netfilter/iptables组件
1.3.1 简介
netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。
1.3.2 功能
Linux的防火墙是由netfilter和iptables两个组件构成。netfilter组件也称为内核空间(kernelspace),iptables 组件称为用户空间(userspace),通过iptables执行命令或者修改配置文件来设置规则,netfilter接收指令和读取配置文件来使这些规则生效。
1.3.3 工作方式
Netfilter组件由数据包过滤表组成,用来控制数据包过滤处理的规则集。
Iptables组件它可以更容易插入、修改和删除数据信息包过滤表中的规则。(见图1)
二、防火墙技术
2.1 防火墙的定义
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
2.2 防火墙的种类
不同的防火墙其运用的技术不同,总的来说分以下几类:1 .包过滤防火墙;2.应用网关防火墙;3. 状态检测防火墙;4. 复合型防火墙。
三、防火墙的设计
3.1 设计思路
对于连接到网络上的 Linux 系统来说,防火墙是必不可少的防御机制,它只允许合法的网络流量进出系统,而禁止其它任何网络流量。
3.2 配置规则
一个LINUX防火墙系统需要一个合理的、高效的并且简单的安全机制,而安全机制通常是通过Input、Output、Forward这三条“防火链”来实现。
四、结束语
netfilter/iptables 的最大优点是它可以配置有状态的防火墙,这是 ipfwadm 和 ipchains 等以前的工具都无法提供的一种重要功能。
netfilter/iptables 的另一个重要优点是,它使用户可以完全控制防火墙配置和信息包过滤。
另外,netfilter/iptables 是免费的,这对于那些想要节省费用的人来说十分理想,它可以代替昂贵的防火墙解决方案。
参考文献
[1] Robert L.Ziegler,《Linux防火墙》人民邮电出版社,2000.10.
[2] W.Richard Stevens,《TCP/IP详解 卷一:协议》机械工业出版社,2000.4.1.
[3] 中国计算机报 出版日期:2001-09-27 总期号:1058 本年期号:73 看安全策略定防火墙.
[4] 《卡饭月刊》第32期(2011.11) 关于防火墙规则.
[5] 防火墙 http://baike.baidu.com/view/3067.htm.
[6] 防火墙的工作原理及比较 360论坛网络专 http://bbs.360.cn/4028137/35952409.html.endprint
[摘 要]在计算机网络技术飞速发展的今天,网络安全问题日益突出,防火墙技术也越来越受到人们的关注。在众多的网络防火墙产品中,Linux操作系统上的防火墙软件特点显著,这些优势是其他防火墙产品不可比拟的。选用这类软件确实是最低硬件需求的可靠、高效的解决方案。但用户最关心的还是安全系统的性能,有关部门根据网络安全调查和分析曾得出结论:网络上的安全漏洞和隐患绝大部分是因网络设置不当引起的。Linux防火墙由以前的ipchains到如今的iptables,功能日渐强大和完善。iptables以filter的三个链处理input、output和forward数据包。通过对INPUT链、OUTPUT链以及FORWARD链上规则的添加和应用来实现ALG防火墙,达到对网络的保护和限制的目的。
[关键词]Linux 防火墙 iptables
中图分类号:TD956.2 文献标识码:A 文章编号:1009-914X(2014)10-0027-01
Based on Linux system design and realization of the firewall
[Abstract]Network security issues have become increasingly prominent in the rapid development of computer network technology, firewall technology, more and more people pay attention.Firewall software on the Linux operating system features significantly in many network firewall products, these advantages unmatched by other firewall products. The selection of this type of software is indeed reliable and efficient solutions for the minimum hardware requirements. But users are most concerned about is the performance of the security system, the relevant departments according to the survey and analysis of network security has concluded: network security vulnerabilities and hidden mostly caused due to improper network settings. Linux firewall by the previous ipchains iptables, now function increasingly powerful and perfect. iptables to filter three chain processing input, output and forward packets. ALG firewall the adding and application of the rules on the INPUT chain, OUTPUT chain FORWARD chain, to achieve the purpose of network protection and restrictions.
[Key words]Linux firewall iptables
一、Linux操作系统
1.1 Linux系统简介
Linux是一种自由和开放源码的类Unix操作系统,Linux有许多不同的版本,但它们都使用了Linux内核。严格来讲,Linux这个词本身只表示Linux内核,但实际上人们已经习惯了用Linux来形容整个基于Linux内核,并且使用GNU 工程各种工具和数据库的操作系统。
1.2 Linux防火墙配置命令简介
1.2.1 概述
Linux防火墙通过使用iptables系统提供的特殊命令建立这些规则,并将其添加到内核空间特定信息包过滤表内的链中。
1.2.2 表(table)
[-t table]选项允许使用标准表之外的任何一个表。表只包含一个特定类型的包处理规则和链的包过滤表。
1.2.3 命令(command)
命令的部分最重要的部分是iptables命令。它告诉iptables命令去做什么。
1.3 netfilter/iptables组件
1.3.1 简介
netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。
1.3.2 功能
Linux的防火墙是由netfilter和iptables两个组件构成。netfilter组件也称为内核空间(kernelspace),iptables 组件称为用户空间(userspace),通过iptables执行命令或者修改配置文件来设置规则,netfilter接收指令和读取配置文件来使这些规则生效。
1.3.3 工作方式
Netfilter组件由数据包过滤表组成,用来控制数据包过滤处理的规则集。
Iptables组件它可以更容易插入、修改和删除数据信息包过滤表中的规则。(见图1)
二、防火墙技术
2.1 防火墙的定义
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
2.2 防火墙的种类
不同的防火墙其运用的技术不同,总的来说分以下几类:1 .包过滤防火墙;2.应用网关防火墙;3. 状态检测防火墙;4. 复合型防火墙。
三、防火墙的设计
3.1 设计思路
对于连接到网络上的 Linux 系统来说,防火墙是必不可少的防御机制,它只允许合法的网络流量进出系统,而禁止其它任何网络流量。
3.2 配置规则
一个LINUX防火墙系统需要一个合理的、高效的并且简单的安全机制,而安全机制通常是通过Input、Output、Forward这三条“防火链”来实现。
四、结束语
netfilter/iptables 的最大优点是它可以配置有状态的防火墙,这是 ipfwadm 和 ipchains 等以前的工具都无法提供的一种重要功能。
netfilter/iptables 的另一个重要优点是,它使用户可以完全控制防火墙配置和信息包过滤。
另外,netfilter/iptables 是免费的,这对于那些想要节省费用的人来说十分理想,它可以代替昂贵的防火墙解决方案。
参考文献
[1] Robert L.Ziegler,《Linux防火墙》人民邮电出版社,2000.10.
[2] W.Richard Stevens,《TCP/IP详解 卷一:协议》机械工业出版社,2000.4.1.
[3] 中国计算机报 出版日期:2001-09-27 总期号:1058 本年期号:73 看安全策略定防火墙.
[4] 《卡饭月刊》第32期(2011.11) 关于防火墙规则.
[5] 防火墙 http://baike.baidu.com/view/3067.htm.
[6] 防火墙的工作原理及比较 360论坛网络专 http://bbs.360.cn/4028137/35952409.html.endprint