1、. .摘 要防火墻作為一種網絡或系統之間強制實行的控制機制，是確保網絡平安的重要手段，有基于通用操作系統設計的防火墻，也有基于專用操作系統設計的防火墻。由于Linux源代碼的開放性，所以，Linux成為研究防火墻技術的一個很好的平臺。本文介紹 Linux的防火墻技術 Netfilter/Iptables 在 Linux 內核中的具體實現。討論了Linux內核防火墻套件Netfilter 實現的一些根本技術：包過濾。Linux下常用的防火墻規那么配置軟件Iptables；從實現原理、配置方法以及功能特點的角度描述了Linux防火墻的功能；并給出了Linux下簡單防火墻的搭建。關鍵字：防火墻，Ne

2、tfilter，IptablesABSTRACTThe firewall took between one kind of network or the system forces the access control mechanism which implements,is guarantees the network security the important method, has based on the general operating system design firewall, also has based on the special-purpose operating

3、 system design firewall. As a result of Linux source code openness, therefore, Linux bees the research firewall technology a very good platform. This article introduces Linux firewall technology Netfilter/Iptables in Linux essence concrete realization. Discussed Linux essence firewall set of Netfilt

4、er realizations some basic technologies: the package filter. Under Linux monly used firewall rule disposition software Iptables; from the realization principle, the disposition method as well as the function characteristic angle described theLinux firewall function; and build up a simple firewall in

5、Linux.Key words:Firewall, Netfilter, Iptables- 優選. .目錄摘 要IABSTRACTII第一章 緒 論11.1前言11.2開發背景1第二章 防火墻技術 22.1防火墻概述22.2包過濾技術 2第三章 Netfilter/Iptables 33.1 Netfilter框架63.1.1 Netfilter框架的介紹63.1.2數據包流經網絡協議棧的分析63.2 管理工具：Iptables103.2.1 Iptables 防火墻規那么配置管理工具103.2.1 Iptables工具的應用方法11第四章 Linux下簡單防火墻的搭建134.1防火墻搭建的

6、戰略規劃134.2Iptables規那么腳本16第五章 總結與展望185.1 應用前景185.2 總體體會18參考文獻10致 謝11. .word.zl. .第一章 緒 論1.1 前言Linux 可以追溯到UC Berkeley分校的Unix，因此從某種意義上講，Linux本身就是一種網絡操作系統，Linux在實現網絡功能方面有著獨特的優勢。防火墻的初步功能首次出現在Linux1.1內核中，到Linux2.0內核時，其部件IPFwadm對防火墻局部已進展了很大改進和增強；Linux2.2.x內核發布時，IPchains和單獨開發的NAT等模塊已經可以比較完整地實現內核IP防火墻功能，從Linu

7、x的2.4內核開場的Netfilter最終廢除了Ipchains，其主要原因有：IPchain是以內核級運行的C及C+代碼，沒有很好地提供從用戶空間IPchains的接口，限制了IPchains的可擴展性。1.2 開發背景在網絡平安問題日趨嚴峻的今天，防火墻作為第一道防線起著關鍵的作用。防火墻可以對流經它的網絡通信進展掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火墻還可以關閉不使用的端口。而且它還能制止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以制止來自特殊站點的，從而防止來自不明入侵者的所有通信。從而對防火墻的研究成為研究熱點。第二章 防火墻技術2.1防火墻概述防火墻是一

8、個或一組實施控制策略的系統。它在內部網絡專用網絡與外部網絡功用網絡之間形成一道平安保護屏障，防止非法用戶內部網絡上的資源和非法向外傳遞內部信息，同時也防止這類非法和惡意的網絡行為導致內部網絡運行遭到破壞。它根本功能是過濾并可能阻擋本地網絡或者網絡的某個局部與Internet之間的數據傳送數據包。防火墻的主要功能包括:1防火墻本身支持一定的平安策略。2提供一定的或接入控制機制。3容易擴大、更改新的效勞和平安策略。4具有代理效勞功能，包含先進的鑒別技術。5采用過濾技術，根據需求來允許或拒絕某些效勞。6防火墻的編程語言應較靈活，具有友好的編程界面。并用具有較多的過濾屬性，包括源和目的IP地址、協議類

9、型、源和目的的TCP/UDP端口以及進入和輸出的接口地址。2.2 包過濾技術包過濾技術是防火墻的一種最根本的實現技術，具有包過濾技術的裝置是用來控制內、外網絡間數據流的流入和流出，包過濾技術中的數據包大局部是基于TCP/IP協議平臺的，其中包括網絡層的IP數據包，運輸層的TCP和UDP數據包以及應用層的FTP、Telnet和HTTP等應用協議數據包三局部內容。過濾技術依靠以下三個根本依據來實現“允許或不允許某些包通過防火墻：1 包的目的地址及目的端口；2 包的源地址及源端口；3 包的傳輸協議。第三章 Netfilter/Iptables3.1 Netfilter框架3.1.1 Netfilte

10、r框架的介紹Netfilter是Linux2.4實現的防火墻框架，Netfilter提供了一個抽象、通用化的框架定義一個子功能實現的就是包過濾子系統。Netfilter由一系列基于協議棧的鉤子組成，這些鉤子都對應某一具體的協議。每一個協議對應的鉤子函數都定義在協議具體的頭文件中，如對應于IPv4的鉤子函數就定義在內核頭文件：/Linux/netfilter_ipv4.h中。3.1.2 數據包流經網絡協議棧的分析1、收到數據，中斷發生通常的，當一塊網卡接收到屬于其自己MAC地址或者播送的以太網絡數據幀時，就會引發一個中斷，網卡驅動的中斷處理程序獲得時機，通過I/O，DMA復制網絡幀數據到內存中。

11、然后網絡驅動程序將創立一個skb構造，將網絡幀數據填充，設置時間戳，區分類型后，將skb送入對應的包接收隊列其實就是添加到系統中的一個雙向鏈表中。2、數據接收軟中斷內核調用kernel/softirq.c:do_softirq()執行數據包接收軟中斷(NET_RX_SOFTIRQ)，將skb從CPU的接收隊列中取出來，交給對應IPv4協議處理程序。協議處理程序將對傳入的數據包進展一些完整性監測，如果監測失敗，那么將數據包丟棄。通過完整性監測以后，將進展一些必要的清理操作，去掉可能多余的填充數據，并且重新計算數據包的長度。3.2 管理工具：Iptables3.2.1 Iptables 防火墻規那

12、么配置管理工具Netfilter框架在內核中主要負責PACKET的獲得和重新注入，而對PACKET的匹配預處理主要由規那么表來完成。當我們用Iptables命令配置工具配置一條規那么后，Iptables應用程序會運用iptables-standalone.c:main():do_mand()，然后再調用libiptc庫提供的iptc_mit()函數向核心提交該操作請求。該函數根據請求會設置一個struct ipt_replace構造，用來描述規那么所涉及的表和HOOK點等信息，并在其后附接當前這條規那么一個struct ipt_entry構造。從而將命令行輸入轉換為程序可讀的格式。組織好這些數

13、據后，iptc_mit()調用setsockopt()系統調用來啟動核心處理這一請求：setsockopt( sockfd,/通過socket創立的原始套接字，TC_IPPROTO,/即IPPROTO_IPSO_SET_REPLACE, /即IPT_SO_SET_REPLACErepl, /struct ipt_replace構造sizeof(*repl) + (*handle)->entries.size)3.2.1 Iptables工具的應用方法一個Iptables命令根本上包含如下五局部1希望工作在哪個表上2希望使用該表的哪個鏈3進展操作插入、添加、刪除、修改4對特定規那么的目標動

14、作5匹配數據報條件. .word.zl. .第四章 Linux下簡單防火墻的搭建4.1防火墻搭建的戰略規劃包過濾防火墻的規那么是由一組接收和制止規那么列表組成，規那么列表中定義了數據包是否可以通過網絡接口。防火墻規那么通過數據*的字段是否允許一個數據包通過。當默認策略設置為制止一切時，假設數據*的字段與規那么匹配，那么路由器將該數據包轉發至指定的目的地，否那么將該數據包丟棄或被阻止并反響一個錯誤狀態信息給發出端的計算機。一、輸入包過濾1、遠程源地地址過濾在包過濾的層次上，數據*中的源地址是識別IP數據包發送者的唯一方法。1假冒本地IP地址從外部輸入的數據包聲稱是來自本地計算機的數據包，因為源地

15、址是唯一可獲得的信息，而它可以被修改，所以這是用戶在包過濾的層次上唯一檢測到的欺騙形式。2回環接口地址回環地址是TCP/IP協議在本地網絡效勞使用的內部專用地址，目的是將網絡通信請求或處理通過回環地址發給本機的網絡效勞，而不許發送到網絡上。通常，回環網絡的網絡地址是，回環地址是，主機名使用localhost，回環網絡標識lo。2、本地目的地址過濾網卡只接收發給本機的數據包和播送數據包。也就是說，網卡將濾掉除播送數據包以外的，目的地址不是本機地址的普通數據包。例如，地址55是對網絡上的所有主機進展播送。二、輸出包過濾輸出消息過濾的重要

16、應用層運行局域網效勞時，不把本地數據包和本地系統信息泄漏到因特網上。1、本地源地址過濾通過本地源地址過濾，可以防止本地用戶仿造IP地址，欺騙其他的。2、遠程目的地址過濾對于輸出數據包，需要限定特定類型的數據包，這個目的地址只能是特定的遠程網絡或單機。此時，防火墻規那么將定義這些數據包允許到達的目的地必須是有明確的IP地址或限定的IP地址范圍內的目的地。4.2 Iptables規那么腳本1.刪除任何已存在的規那么。記住在定義任何一個防火墻規那么前，都要刪除存在于所有鏈的規那么。命令如下346：iptables -F2.配置默認的拒絕規那么。實際應用中配置的根本原那么是：先拒絕所有的效勞，然后再根

17、據用戶的需要設置相應的效勞。參考配置程序如下：iptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P FORWARD DROP第五章 總結與展望5.1 應用前景Netfilter/Iptables的包過濾架構是Linux內核開發人員通過對Ipfwadm/Ipchains等早期的包過濾程序的開發經歷和全世界用戶反響的分析，重新設計，改造而形成的相對成熟的Linux內核包過濾框架。本文從理論和實踐兩方面對Linux2.4.x內核對防火墻的處理作了分析，目的是使一般小型企業針對自己實際情況，設計專門的防火墻成為可能。 5.2 總體體會經過幾個

18、月的磨煉和努力，總結出只有在強壓與競爭中才會有意想不到的收獲和進步。畢業設計培養了作者本人綜合運用所學的根底理論，根本知識和根本技能，分析解決實際問題的能力，它在某種程度上是前面各個學習環節的繼續，深化和檢驗。認為自身在這次畢業設計中培養了以下四方面的能力：l 綜合運用所學專業根本理論，提高查閱文獻、論文和資料的能力。l 提高自身進展技術總結和撰寫論文的能力。l 編程的過程是不斷學習的過程，當有更好、更簡潔的程序時，要注意揚棄的結合。l 設計既要重視分工，重視設計作品的完整性，重視風格的統一性。l 要注重編程過程中的細節，有時細小的失誤也會形成極大的麻煩。畢業設計讓作者本人體會到科學的精神。面對隨時而來的挫折，自己不斷的給自己鼓勁，抑制困難，勇往直前。參考文獻1 博嘉科技主編Linux防火墻技術探秘國防工業，2002 2 James F.Kurose,，Keith W.Ross著計算機網絡-用自頂向下方法描述因特網特色人發郵電，2004 3 X斌等編Linux網絡編程清華大學，20004 X偉，龔漢明，X青編著UNIX根底教程清華大學，20035 X琳等編著網絡管理與應用人民郵電，20006 X建華等編著 網絡系統管理-Linux實訓篇人民郵電,20037 W.