基于linux的防火墙技术研究

《基于linux的防火墙技术研究》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、基于Linux的防火墙技术研究随着计算机X络技术飞速发展，X络安全也面临着许多重要的问题，本文着重介绍了Linux防火墙技术的研究和其关键技术，并应用于实际。它具有配置简单、安全性高和抵御能力强等优点。关键词：X络；Linux防火墙；包过滤技术引言　　随着计算机X络技术飞速发展，X络所面临的威肋也越来越大，如何保护X络及信息安全是许多机构面临的重要问题，现在解决X络安全问题的一个有效方法就是在内部X和外部X之间设置防火墙系统。因此，对于防火墙技术的研究和实践，无论从理论上还是实际应用中都具有十分重要的意义。1Linux防火墙的简介　　从理论上

2、讲，Linux防火墙是根据定义好的安全策略来限制计算机或X络的硬件或软件工具，它介于外部X络与被保护X络之间，实现对被保护X络的访问控制。现介绍的Linux防火墙软件称为iptables，它能够对数据包的连接状态做详尽的分析，例如：是否为新连接或响应数据包、是否为转向连接等等，通过这些分析能对一些可能被攻击者利用的弱点加以阻隔[1]。　　Linux防火墙底层结构是filter结构，filter和iptables组成了功能强大的filter/iptablesIP信息包过滤系统。它可以以对流入和流出的信息进行细化控制，可用于添加、编辑和除去规则，

3、这些规则是在做信息包过滤的决定时，防火墙所遵循和组成的规则。2Linux防火墙技术的研究　　如今X络服务器的操作系统较多，Linux系统可以称为PC上的免费Unix，其对硬件要求较低、代码公开、具有良好的收缩性等优势，从而广受欢迎。所以一种基于Linux操作系统将包过滤、代理和安全IP通道技术有机结合的防火墙系统，不仅仅可以通过过滤来实现安全，而且有应用层代理服务。Linux防火墙系统由内层具有包过滤功能的包过滤模块、外层具有代理功能的代理服务模块和安全IP通道技术模块实现安全防护，下面将Linux防火墙系统的一些关键技术加以介绍。2.1数据

4、包过滤技术　　数据包过滤技术是在X络层对数据包进行分析、选择，选择的依据是系统设置的过滤逻辑，称为访问控制表。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过【2】。　　其核心是包过滤算法的设计，由于包过滤器作用于X络层，因此它只能根据所收到的每个数据包的源和目的地址、TCP/UDP源和目的端口号及数据包头中的各种标志位(称之为过滤数据)来进行过滤操作。Linux防火墙系统可以采用混合技术的双层结构，内部X络给外部X络提供的服务只由代理服务模块提供，且可以使用标准的代理软件实现

5、，因此包过滤模块可以根据上述过滤数据按照包过滤规则很好地进行数据过滤。2.2代理服务器技术　　代理服务器技术作用在应用层，它用来提供应用层服务的控制，起到内部X络向外部X络申请服务时中间转接作用。内部X络只接受代理提出的服务请求，拒绝外部X络其它接点的直接请求。代理技术能进行安全控制又可以加速访问，能够有效地实现防火墙内外计算机系统的隔离，安全性好，还可用于实施较强的数据流监控、过滤、记录和报告等功能。2.3安全IP通道技术　　本质上，安全IP通道利用IP安全协议将IP包数据和其包头封装在加密的IP包中，然后进行传送。包在通道的一端被加密，如

6、P服务类型攻击包等的设置策略，它具有配置简单、安全性高和抵御能力强等优点【3】。4结束语　　Linux防火墙可以对常见的蠕虫、探测扫描、病毒等大多数攻击具有良好的抵御作用。Linux防火墙具有很好的灵活性，可以方便地对防火墙进行功能扩允。由于配置了防火墙，可能引起如FTP、、MSN等协议软件无法止常使用，也有可能引起RPC(远程过程调用)无法执行，这需要用户根据实际情况来配置相应的服务来开启这些服务。须特别注意的是，防火墙也叫能被内部攻击，它并不是万能的，还需要和入侵检测等其它X络安全技术配合使用，起构成完整的X络安全解决方案。