防火墙的技术与发展

1、. .摘 要防火墙作为一种网络或系统之间强制实行的控制机制，是确保网络平安的重要手段，有基于通用操作系统设计的防火墙，也有基于专用操作系统设计的防火墙。由于Linux源代码的开放性，所以，Linux成为研究防火墙技术的一个很好的平台。本文介绍 Linux的防火墙技术 Netfilter/Iptables 在 Linux 内核中的具体实现。讨论了Linux内核防火墙套件Netfilter 实现的一些根本技术：包过滤。Linux下常用的防火墙规那么配置软件Iptables；从实现原理、配置方法以及功能特点的角度描述了Linux防火墙的功能；并给出了Linux下简单防火墙的搭建。关键字：防火墙，Ne

2、tfilter，IptablesABSTRACTThe firewall took between one kind of network or the system forces the access control mechanism which implements,is guarantees the network security the important method, has based on the general operating system design firewall, also has based on the special-purpose operating

3、 system design firewall. As a result of Linux source code openness, therefore, Linux bees the research firewall technology a very good platform. This article introduces Linux firewall technology Netfilter/Iptables in Linux essence concrete realization. Discussed Linux essence firewall set of Netfilt

4、er realizations some basic technologies: the package filter. Under Linux monly used firewall rule disposition software Iptables; from the realization principle, the disposition method as well as the function characteristic angle described theLinux firewall function; and build up a simple firewall in

5、Linux.Key words:Firewall, Netfilter, Iptables- 优选. .目录摘 要IABSTRACTII第一章 绪 论11.1前言11.2开发背景1第二章 防火墙技术 22.1防火墙概述22.2包过滤技术 2第三章 Netfilter/Iptables 33.1 Netfilter框架63.1.1 Netfilter框架的介绍63.1.2数据包流经网络协议栈的分析63.2 管理工具：Iptables103.2.1 Iptables 防火墙规那么配置管理工具103.2.1 Iptables工具的应用方法11第四章 Linux下简单防火墙的搭建134.1防火墙搭建的

6、战略规划134.2Iptables规那么脚本16第五章 总结与展望185.1 应用前景185.2 总体体会18参考文献10致 谢11. .word.zl. .第一章 绪 论1.1 前言Linux 可以追溯到UC Berkeley分校的Unix，因此从某种意义上讲，Linux本身就是一种网络操作系统，Linux在实现网络功能方面有着独特的优势。防火墙的初步功能首次出现在Linux1.1内核中，到Linux2.0内核时，其部件IPFwadm对防火墙局部已进展了很大改进和增强；Linux2.2.x内核发布时，IPchains和单独开发的NAT等模块已经可以比较完整地实现内核IP防火墙功能，从Linu

7、x的2.4内核开场的Netfilter最终废除了Ipchains，其主要原因有：IPchain是以内核级运行的C及C+代码，没有很好地提供从用户空间IPchains的接口，限制了IPchains的可扩展性。1.2 开发背景在网络平安问题日趋严峻的今天，防火墙作为第一道防线起着关键的作用。防火墙可以对流经它的网络通信进展扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能制止特定端口的流出通信，封锁特洛伊木马。最后，它可以制止来自特殊站点的，从而防止来自不明入侵者的所有通信。从而对防火墙的研究成为研究热点。第二章 防火墙技术2.1防火墙概述防火墙是一

8、个或一组实施控制策略的系统。它在内部网络专用网络与外部网络功用网络之间形成一道平安保护屏障，防止非法用户内部网络上的资源和非法向外传递内部信息，同时也防止这类非法和恶意的网络行为导致内部网络运行遭到破坏。它根本功能是过滤并可能阻挡本地网络或者网络的某个局部与Internet之间的数据传送数据包。防火墙的主要功能包括:1防火墙本身支持一定的平安策略。2提供一定的或接入控制机制。3容易扩大、更改新的效劳和平安策略。4具有代理效劳功能，包含先进的鉴别技术。5采用过滤技术，根据需求来允许或拒绝某些效劳。6防火墙的编程语言应较灵活，具有友好的编程界面。并用具有较多的过滤属性，包括源和目的IP地址、协议类

9、型、源和目的的TCP/UDP端口以及进入和输出的接口地址。2.2 包过滤技术包过滤技术是防火墙的一种最根本的实现技术，具有包过滤技术的装置是用来控制内、外网络间数据流的流入和流出，包过滤技术中的数据包大局部是基于TCP/IP协议平台的，其中包括网络层的IP数据包，运输层的TCP和UDP数据包以及应用层的FTP、Telnet和HTTP等应用协议数据包三局部内容。过滤技术依靠以下三个根本依据来实现“允许或不允许某些包通过防火墙：1 包的目的地址及目的端口；2 包的源地址及源端口；3 包的传输协议。第三章 Netfilter/Iptables3.1 Netfilter框架3.1.1 Netfilte

10、r框架的介绍Netfilter是Linux2.4实现的防火墙框架，Netfilter提供了一个抽象、通用化的框架定义一个子功能实现的就是包过滤子系统。Netfilter由一系列基于协议栈的钩子组成，这些钩子都对应某一具体的协议。每一个协议对应的钩子函数都定义在协议具体的头文件中，如对应于IPv4的钩子函数就定义在内核头文件：/Linux/netfilter_ipv4.h中。3.1.2 数据包流经网络协议栈的分析1、收到数据，中断发生通常的，当一块网卡接收到属于其自己MAC地址或者播送的以太网络数据帧时，就会引发一个中断，网卡驱动的中断处理程序获得时机，通过I/O，DMA复制网络帧数据到内存中。

11、然后网络驱动程序将创立一个skb构造，将网络帧数据填充，设置时间戳，区分类型后，将skb送入对应的包接收队列其实就是添加到系统中的一个双向链表中。2、数据接收软中断内核调用kernel/softirq.c:do_softirq()执行数据包接收软中断(NET_RX_SOFTIRQ)，将skb从CPU的接收队列中取出来，交给对应IPv4协议处理程序。协议处理程序将对传入的数据包进展一些完整性监测，如果监测失败，那么将数据包丢弃。通过完整性监测以后，将进展一些必要的清理操作，去掉可能多余的填充数据，并且重新计算数据包的长度。3.2 管理工具：Iptables3.2.1 Iptables 防火墙规那

12、么配置管理工具Netfilter框架在内核中主要负责PACKET的获得和重新注入，而对PACKET的匹配预处理主要由规那么表来完成。当我们用Iptables命令配置工具配置一条规那么后，Iptables应用程序会运用iptables-standalone.c:main():do_mand()，然后再调用libiptc库提供的iptc_mit()函数向核心提交该操作请求。该函数根据请求会设置一个struct ipt_replace构造，用来描述规那么所涉及的表和HOOK点等信息，并在其后附接当前这条规那么一个struct ipt_entry构造。从而将命令行输入转换为程序可读的格式。组织好这些数

13、据后，iptc_mit()调用setsockopt()系统调用来启动核心处理这一请求：setsockopt( sockfd,/通过socket创立的原始套接字，TC_IPPROTO,/即IPPROTO_IPSO_SET_REPLACE, /即IPT_SO_SET_REPLACErepl, /struct ipt_replace构造sizeof(*repl) + (*handle)->entries.size)3.2.1 Iptables工具的应用方法一个Iptables命令根本上包含如下五局部1希望工作在哪个表上2希望使用该表的哪个链3进展操作插入、添加、删除、修改4对特定规那么的目标动

14、作5匹配数据报条件. .word.zl. .第四章 Linux下简单防火墙的搭建4.1防火墙搭建的战略规划包过滤防火墙的规那么是由一组接收和制止规那么列表组成，规那么列表中定义了数据包是否可以通过网络接口。防火墙规那么通过数据*的字段是否允许一个数据包通过。当默认策略设置为制止一切时，假设数据*的字段与规那么匹配，那么路由器将该数据包转发至指定的目的地，否那么将该数据包丢弃或被阻止并反响一个错误状态信息给发出端的计算机。一、输入包过滤1、远程源地地址过滤在包过滤的层次上，数据*中的源地址是识别IP数据包发送者的唯一方法。1假冒本地IP地址从外部输入的数据包声称是来自本地计算机的数据包，因为源地

15、址是唯一可获得的信息，而它可以被修改，所以这是用户在包过滤的层次上唯一检测到的欺骗形式。2回环接口地址回环地址是TCP/IP协议在本地网络效劳使用的内部专用地址，目的是将网络通信请求或处理通过回环地址发给本机的网络效劳，而不许发送到网络上。通常，回环网络的网络地址是，回环地址是，主机名使用localhost，回环网络标识lo。2、本地目的地址过滤网卡只接收发给本机的数据包和播送数据包。也就是说，网卡将滤掉除播送数据包以外的，目的地址不是本机地址的普通数据包。例如，地址55是对网络上的所有主机进展播送。二、输出包过滤输出消息过滤的重要

16、应用层运行局域网效劳时，不把本地数据包和本地系统信息泄漏到因特网上。1、本地源地址过滤通过本地源地址过滤，可以防止本地用户仿造IP地址，欺骗其他的。2、远程目的地址过滤对于输出数据包，需要限定特定类型的数据包，这个目的地址只能是特定的远程网络或单机。此时，防火墙规那么将定义这些数据包允许到达的目的地必须是有明确的IP地址或限定的IP地址范围内的目的地。4.2 Iptables规那么脚本1.删除任何已存在的规那么。记住在定义任何一个防火墙规那么前，都要删除存在于所有链的规那么。命令如下346：iptables -F2.配置默认的拒绝规那么。实际应用中配置的根本原那么是：先拒绝所有的效劳，然后再根

17、据用户的需要设置相应的效劳。参考配置程序如下：iptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P FORWARD DROP第五章 总结与展望5.1 应用前景Netfilter/Iptables的包过滤架构是Linux内核开发人员通过对Ipfwadm/Ipchains等早期的包过滤程序的开发经历和全世界用户反响的分析，重新设计，改造而形成的相对成熟的Linux内核包过滤框架。本文从理论和实践两方面对Linux2.4.x内核对防火墙的处理作了分析，目的是使一般小型企业针对自己实际情况，设计专门的防火墙成为可能。 5.2 总体体会经过几个

18、月的磨炼和努力，总结出只有在强压与竞争中才会有意想不到的收获和进步。毕业设计培养了作者本人综合运用所学的根底理论，根本知识和根本技能，分析解决实际问题的能力，它在某种程度上是前面各个学习环节的继续，深化和检验。认为自身在这次毕业设计中培养了以下四方面的能力：l 综合运用所学专业根本理论，提高查阅文献、论文和资料的能力。l 提高自身进展技术总结和撰写论文的能力。l 编程的过程是不断学习的过程，当有更好、更简洁的程序时，要注意扬弃的结合。l 设计既要重视分工，重视设计作品的完整性，重视风格的统一性。l 要注重编程过程中的细节，有时细小的失误也会形成极大的麻烦。毕业设计让作者本人体会到科学的精神。面对随时而来的挫折，自己不断的给自己鼓劲，抑制困难，勇往直前。参考文献1 博嘉科技主编Linux防火墙技术探秘国防工业，2002 2 James F.Kurose,，Keith W.Ross著计算机网络-用自顶向下方法描述因特网特色人发邮电，2004 3 X斌等编Linux网络编程清华大学，20004 X伟，龚汉明，X青编著UNIX根底教程清华大学，20035 X琳等编著网络管理与应用人民邮电，20006 X建华等编著 网络系统管理-Linux实训篇人民邮电,20037 W.