返回
linux操作系统中的防火墙技术及其应用new

linux操作系统中的防火墙技术及其应用new

ID:18542772

大小:159.56 KB

页数:6页

时间:2018-09-18

linux操作系统中的防火墙技术及其应用new_第1页
linux操作系统中的防火墙技术及其应用new_第2页
linux操作系统中的防火墙技术及其应用new_第3页
linux操作系统中的防火墙技术及其应用new_第4页
linux操作系统中的防火墙技术及其应用new_第5页
资源描述:

《linux操作系统中的防火墙技术及其应用new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Linux操作系统中的防火墙技术及其应用概述在众多的网络防火墙产品中,Linux操作系统上的防火墙软件特点显著。它们和Linux一样,具有强大的功能,大多是开放软件,不仅可免费使用而且源代码公开。这些优势是其他防火墙产品不可比拟的。选用这类软件确实是最低硬件需求的可靠、高效的解决方案。但用户最关心的还是安全系统的性能,有关部门根据网络安全调查和分析曾得出结论:网络上的安全漏洞和隐患绝大部分是因网络设置不当引起的。使用Linux平台上的这些优秀软件同样也存在这样的问题。要使系统安全高效地运行,安装人员和管理人员必须能够理解该软件产品的运

2、行机制并能深入分析所采用的防火墙设置策略会不会被人利用。本文仅对Linux平台上的IP包过滤防火墙软件Ipchains进行探讨。防火墙的基本模型基于TCP/IP协议簇的Internet网际互联完全依赖于网络层以上的协议栈(网络层的IP协议、传输控制协议TCP/UDP协议和应用层协议)。考虑到网络防火墙是为了保持网络连通性而设立的安全机制,因此防火墙技术就是通过分析、控制网络以上层协议特征,实现被保护网络所需安全策略的技术。构建防火墙有三类基本模型:即应用代理网关、电路级网关(CircuitLevelGateway)和网络层防火墙。它们

3、涉及的技术有应用代理技术和包过滤技术等。应用代理网关允许内部网络上的用户通过防火墙非直接地访问Internet。它根据用户的请求代替用户与目的地进行连接。由于应用代理网关在应用层进行代理,所以它可以对应用协议进行控制,而且还可以在应用级进行记录。它比网络级防火墙的安全措施更加严格,因为它能提供更详细的审计报告、跟踪用户和应用进程以及IP包的参数。然而,采用应用层防火墙对网络性能有较大影响。由于对任何用户的请求都要求应用代理进程为其提供应用服务,所以速度较慢,并且不如网络层防火墙那样透明以及维护不便等。在Linux上实现这种防火墙模型的

4、软件有squid等。电路级网关与应用代理网关类似,但进行的代理通常与应用无关。这样就失去了详尽记录和精确定义规则的能力。电路级网关是一台运行网关应用程序的设备,它只支持TCP/IP应用,使用TCP端口实现网络资源和用户应用程序之间的通信。它还要求客户端使用特殊软件才能为应用到应用的通信服务。SOCKS是Linux上实现这类防火墙模型的软件。网络层的IP包过滤防火墙在IP包水平上工作。它根据在每个包中的源地址、目的地址和包类型等信息控制包的流动。更彻底的过滤过程是检查包中的源、目的端口号以及连接状态等信息。这种防火墙比较安全,但缺少足够

5、的记录信息。它可以阻止外部网络访问被保护的内部网络,但不能记录谁访问了公开的系统,以及谁从内部网络访问Internet。在Linux内核中支持IP包过滤,所以不需要增加其他软件就可以构建包过滤防火墙,Ipchains软件包是Linux平台上一个功能强大的包过滤策略管理软件,用于设置可靠的防火墙系统。Ipchains及IP伪装原理在Linux系统上,支持包过滤的核心中有三个规则列表,这些列表称为防火墙链。三个链分别称为输入链、输出链和转发链。当一个包从Internet进入配置了防火墙的Linux主机,内核使用输入链决定该包的取舍。如果该

6、包没有被丢弃,则内核继而调用转发链决定是否将包发送到某个出口,最后包要被发出前,内核通过输出链来做决定。图1Ipchains流程图一个链是一系列规则的列表。每个规则规定:如果包的包头与规则相匹配,那么对包进行相应的处理。如果该规则与包不匹配,则引入链中的下一条规则。最后,如果没有要引入的规则,内核根据内置策略决定如何做。在一个有安全意识的系统中,该规则通常告诉内核将包拒绝或丢弃。通过适当配置IP过滤规则,即三条链的过滤策略,该防火墙可以控制输入的包来自信任的IP网段,也可配置为只对外开放指定的TCP/UDP端口号。这些策略可分别指定到

7、防火墙主机的某固定接口设备如以太网卡、PPP连接等。除这三条链外,我们还可以配置用户自定义的规则链。在三条链的执行中可随时跳转到自定义链执行,完成后再回到主链,这使过滤规则可以相当灵活。在防火墙链中有一些特殊的跳转目标值如下表所示:   在防火墙链中的IP伪装是一个比包过滤策略更加安全的解决方案,它同时解决了Internet中IP地址资源不足的问题。IP伪装是指当一台计算机访问Internet时能够将其IP地址伪装成其他地址的机制。如果连接到Internet上的一个Linux主机具有IP伪装功能,那么与该Linux计算机无论是在同一个

8、局域网上还是通过PPP连接的,尽管它们没有正式的IP地址,都可与Internet连接。这意味着可将一系列主机藏在一个网关系统之后来访问Internet,它们的访问在外界看来是不可见的。由于要伪装的主机没有正式的IP地址,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。