1、 a 基礎理論 b 應用研究 c 調查報告 d 其他本科生畢業論文（設計）基于linux的防火墻設計二級學院：信息科學與技術學院專 業：計算機科學與技術年 級：2009級學 號：2009344328作者姓名：xx指導教師：xx 副教授完成日期：2012年6月23日linux的防火墻安全配置專業名稱：計算機科學與技術作者姓名：xx指導教師：xx論文答辯小組組 長： xx 成 員： xx xx 論文成績： 摘 要防火墻作為一種網絡或系統之間強制實行的訪問控制機制，是確保網絡安全的重要手段，有基于通用操作系統設計的防火墻，也有基于專用操作系統設計的防火墻。由于linux源代碼的開放性，所以，linu

2、x成為研究防火墻技術的一個很好的平臺。本文介紹 linux的防火墻技術 netfilter/iptables 在 linux 內核中的具體實現。討論了linux內核防火墻套件netfilter 實現的一些基本技術：包過濾。linux下常用的防火墻規則配置軟件iptables；從實現原理、配置方法以及功能特點的角度描述了linux防火墻的功能；并給出了linux下簡單防火墻的搭建。關鍵字：防火墻，netfilter，iptablesabstractthe firewall took between one kind of network or the system forces the acce

3、ss control mechanism which implements, is guarantees the network security the important method, has based on the general operating system design firewall, also has based on the special-purpose operating system design firewall. as a result of linux source code openness, therefore, linux becomes the r

4、esearch firewall technology a very good platform. this article introduces linux firewall technology netfilter/iptables in linux essence concrete realization. discussed linux essence firewall set of netfilter realizations some basic technologies: the package filter. under linux commonly used firewall

5、 rule disposition software iptables; from the realization principle, the disposition method as well as the function characteristic angle described the linux firewall function; and build up a simple firewall in linux.key words: firewall, netfilter, iptablesiiilinux防火墻安全配置目 錄摘 要iiabstractii第一章 緒 論11.1

6、前言11.2 開發背景1第二章 防火墻技術12.1防火墻概述12.2 包過濾技術1第三章 netfilter/iptables23.1 netfilter框架23.2 管理工具：iptables2第四章 linux下簡單防火墻的搭建54.1防火墻搭建的戰略規劃54.2 iptables規則腳本6第五章 總結與展望95.1 應用前景95.2 總體體會9iiiilinux防火墻安全配置第一章 緒 論1.1 前言linux 可以追溯到uc berkeley分校的unix，因此從某種意義上講，linux本身就是一種網絡操作系統，linux在實現網絡功能方面有著獨特的優勢。防火墻的初步功能首次出現在li

7、nux 1.1內核中，到linux 2.0內核時，其部件ipfwadm對防火墻部分已進行了很大改進和增強；linux 2.2.x內核發布時，ipchains和單獨開發的nat等模塊已經可以比較完整地實現內核ip防火墻功能，從linux的2.4內核開始的netfilter最終廢除了ipchains，其主要原因有：ipchain是以內核級運行的c及c+代碼，沒有很好地提供從用戶空間訪問ipchains的接口，限制了ipchains的可擴展性。1.2 開發背景在網絡安全問題日趨嚴峻的今天，防火墻作為第一道防線起著關鍵的作用。防火墻可以對流經它的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計

8、算機上被執行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。從而對防火墻的研究成為研究熱點。第二章 防火墻技術2.1防火墻概述防火墻是一個或一組實施訪問控制策略的系統。它在內部網絡（專用網絡）與外部網絡（功用網絡）之間形成一道安全保護屏障，防止非法用戶訪問內部網絡上的資源和非法向外傳遞內部信息，同時也防止這類非法和惡意的網絡行為導致內部網絡運行遭到破壞。它基本功能是過濾并可能阻擋本地網絡或者網絡的某個部分與internet之間的數據傳送（數據包）。防火墻的主要功能包括:1防火墻本身支持一定的

9、安全策略。2提供一定的訪問或接入控制機制。3容易擴充、更改新的服務和安全策略。4具有代理服務功能，包含先進的鑒別技術。5采用過濾技術，根據需求來允許或拒絕某些服務。6防火墻的編程語言應較靈活，具有友好的編程界面。并用具有較多的過濾屬性，包括源和目的ip地址、協議類型、源和目的的tcp/udp端口以及進入和輸出的接口地址。2.2 包過濾技術包過濾技術是防火墻的一種最基本的實現技術，具有包過濾技術的裝置是用來控制內、外網絡間數據流的流入和流出，包過濾技術中的數據包大部分是基于tcp/ip協議平臺的，其中包括網絡層的ip數據包，運輸層的tcp和udp數據包以及應用層的ftp、telnet和http等

10、應用協議數據包三部分內容。過濾技術依靠以下三個基本依據來實現“允許或不允許”某些包通過防火墻：1 包的目的地址及目的端口；2 包的源地址及源端口；3 包的傳輸協議。第三章 netfilter/iptables3.1 netfilter框架netfilter是linux 2.4實現的防火墻框架，netfilter提供了一個抽象、通用化的框架定義一個子功能實現的就是包過濾子系統。netfilter對數據包的處理流程是在整個網絡流程的若干個位置放置一些鉤子（hook），且在鉤子處定義一些處理函數對數據包進行處理。在ipv4中，它定義了五個鉤子函數，分別是1）nf-ip-pre-routing；2）n

11、f-ip-local-in；3）nf-ip-forward；4）nf-ip-post-routing；5）nf-ip-local-out。如圖所示：數據包從左邊進入系統，進行簡單的校驗（如版本、ip校驗）后，經過hook點，由鉤子函數nf-ip-pre-routing進行處理；然后進入路由代碼，其決定該數據包是轉發還是發給本機；若該數據包是發給本機的則在hook點，則由鉤子函數nf-ip-local-in處理后傳遞給上層協議；若該數據包應該被轉發，則它在hook點由nf-ip-forward鉤子函數處理；經過轉發的數據包在hook點由nf-ip-post-routing處理后再傳輸到網絡上。而

12、且本地產生的數據包在hook點經由nf-ip-local-out鉤子函數處理后進行路由選擇處理，然后經由nf-ip-post-routing處理并發送到網絡上。數據包在經過這些hook點時，相應的鉤子函數將被調用，通過對數據包進行操作，向netfilter返回表示接受或丟棄。 3.2 管理工具：iptables3.2.1 iptables 防火墻規則配置管理工具防火墻提供有關對來自某個源地址、到某個目的地或具有特定協議類型的信息包要做些什么的指令，規則控制信息包的過濾。通過使用iptables系統提供的特殊命令iptables建立這些規則，并將其添加到內核空間特定信息包過濾表內的鏈中。3.2.

13、1 iptables工具的應用方法一個iptables命令基本上包含如下五部分（1）希望工作在哪個表上（2）希望使用該表的哪個鏈（3）進行操作（插入、添加、刪除、修改）（4）對特定規則的目標動作（5）匹配數據報條件一般語法如下： iptables -t table command match target table 表是包含僅處理特定類型信息包的規則和鏈的信息包過濾表。有三個可用的表選項：filter、nat和mangle（該選項非必要）commad command部分是iptables命令最重要的部分。它告訴iptables命令要做什么，例如插入規則、將規則添加到鏈的末尾或刪除規則。mat

14、ch 指定信息包與規則匹配所應具有的特征（如源地址、目的地址、協議等）。（該選項非必要）target 由規則指定的操作，對與那些規則匹配的信息包執行這些操作.12第四章 linux下簡單防火墻的搭建4.1防火墻搭建的戰略規劃包過濾防火墻的規則是由一組接收和禁止規則列表組成，規則列表中定義了數據包是否可以通過網絡接口。防火墻規則通過數據包頭的字段是否允許一個數據包通過。當默認策略設置為禁止一切時，若數據包頭的字段與規則匹配，則路由器將該數據包轉發至指定的目的地，否則將該數據包丟棄或被阻止并反饋一個錯誤狀態信息給發出端的計算機。網絡拓撲圖如下:搭建環境：三臺linux主機，分別為內網rh1：ip地

15、址為；防火墻rh2：有兩塊網卡，分別為eth0，eth1，ip地址分別是,；外網rh3：ip地址為；外網rh4：ip地址為；其中將/24設置為vnet1,/24設置為vnet2。4.2 iptables規則腳本一、在有建立網頁并做好相關配置的rh1里打開web服務器服務，mysql服務，ftp服務service httpd startservice mysqld startservice vsftpd startvi /etc/xinetd.d/t

16、elnet :disable=yes =disable=no二、在rh1和rh3 ,rh4添加以下路由信息分別為：route add net netmask gw route add net netmask gw route add net netmask gw 三、首先啟動rh2 的etc/sysctl.conf 配置文件，打開其ip轉發功能 #control ip packet

17、 forwarding net.ipv4.ip_forward = 1service network restart四、防火墻配置策略可以使用固定防火墻策略，即用配置工具或手動修改iptables配置文件，(如：vi etc/sysconfig/iptables )iptables服務讀取配置文件，加載編寫的規則腳本，這里使用的是非固定防火墻策略:1.catfire_wall在新建的fire1配置文件添加以下命令（1）清空存在于所有鏈的規則iptables -fiptables -xiptables -z（2）配置默認的拒絕規則。實際應用中配置的基本原則是：先拒絕所有的服務，然后再根據用戶的需

18、要設置相應的服務。參考配置程序如下：iptables -p input drop iptables -p forward drop iptables -p output accept #允許loopback!iptables -a input -i lo -j acceptiptables -a input p tcp dport 22 -j acceptiptables -a input -m state -state established,related -j accept#配置使得rh3訪問rh1的http，ftp，telnet服務iptables -a forward -p tcp

19、-i eth1 -o eth0 -dport 80 s -j acceptiptables -a forward -p tcp -o eth1 -i eth0 -sport 80 s -j acceptiptables -a forward -p tcp -dport 23 -j acceptiptables -a forward -p tcp -sport 23 -j acceptiptables -a forward -p tcp -m multiport -dport 20,21 -j acceptiptables -a forward -

20、p tcp -m multiport -sport 20,21 -j accept2.賦予腳本文件執行權限：chmod +x fire_wall3.執行腳本：./fire_wall#對于rh1的瀏覽器有有：對于rh4的瀏覽器有：rh3和rh4的ftp，telnet，ssh訪問都有：通過rh4的smap掃描rh1端口有：第五章 總結與展望5.1 應用前景netfilter/iptables的包過濾架構是linux內核開發人員通過對ipfwadm/ipchains等早期的包過濾程序的開發經驗和全世界用戶反饋的分析，重新設計，改造而形成的相對成熟的linux內核包過濾框架。本文從理論和實踐兩方面對linux2.4.x內核對防火墻的處理作了分析，目的是使一般小型企業針對自己實際情況，設計專門的防火墻成為可能。 5.2 總體體會從linux的學習開始，到現在linux結課，我對linux又了初步的了解，如，安裝linux，l