关闭

关闭

封号提示

内容

首页 基于Linux的netfilteriptables防火墙的实现.pdf

基于Linux的netfilteriptables防火墙的实现.pdf

基于Linux的netfilteriptables防火墙的实现…

上传者: 用户luzynxnkft 2014-03-28 评分1 评论0 下载0 收藏0 阅读量586 暂无简介 简介 举报

简介:本文档为《基于Linux的netfilteriptables防火墙的实现pdf》,可适用于IT/计算机领域,主题内容包含第l卷第期通化师范学院学报V.l年月JOURNALOFTONGHUATEACHERSCOLLEGEFeb.基于Linux的netfiher/ipta符等。

第l卷第期通化师范学院学报V.l年月JOURNALOFTONGHUATEACHERSCOLLEGEFeb.基于Linux的netfiher/iptables防火墙的实现王继魁(吉林师范大学tl舅t机学院。吉林四平)摘要:目前防火墙作为一种有效的网络安全机制被广泛的应用Linux平台以其稳定、健壮及廉价的特性取得广泛的应用Hnux防火墙技术也逐渐被认可.文中分析了Linux下netfilter/iptables的结构框架及其使用方法并给出了一个防火墙实例.关键词:linuxnedilter/iptables防火墙中图分类号:TP文献标志码:A文章编号:()收稿日期:一ll一作者简介:王继魁(一)男吉林四平市吉林师范大学计算机学院教师.防火墙是能够在不同的网络之间明显区隔出实体线路联机的软件和硬件设备组合.被区隔开来的网络能够透过封包转送技术来相互通讯透过防火墙的安全管理机制能够决定数据流通问题以达到网络安全保护的目的.防火墙可概略归类为硬件式防火墙和软件式防火墙但实际上无论是硬件式或软件式防火墙他们都需要使用硬件作为联机介质和使用软件来设定安全策略.硬件式防火墙是使用专有的硬件和操作系统而软件式防火墙则可使用一般的电脑硬件和通用的操作系统.硬件式防火墙费用昂贵中小型用户难以支付.而Linux提供了一个非常优秀的防火墙工具netfilter/iptables.它完全免费、功能强大、使用灵活、可以对流人和流出的信息进行细化控制且可以在廉价PC机上很好地运行.本文将对使用nemlter/iptabl船实现防火墙的架设进行阐述.netfiher/iptables结构框架.netfdter/iptables简介netfiher/iptables被认为是Linux中实现包过滤功能的第四代应用程序.netfiher/iptables包含在Linux.以后的内核中它可以实现防火墙、NAT(网络地址翻译)和数据包的分割等功能.netfalter工作在内核内部而iptables则是让用户定义规则集的表结构.netfilter/iptables从ipchaim和ipwadfm(P防火墙管理)演化而来功能更加强大..netfilter/iptables包处理内核模块可以注册一个新的规则表(table)并要求数据报流经指定的规则表.这种数据报选择用于实现数据报过滤(filter表)网络地址转换(NAT表)及数据报处理(marIgle表).LinLLX.内核提供的这三种数据报处理功能都基于netllher的钩子函数和IP表.它们是独立的模块相互之间是独立的.它们都完美的集成到由Netfileter提供的框架中.(I)包过滤.filter表格不会对数据报进行修改而只对数据报进行过滤.iptables优于ipehmm的一个方面就是它更为小巧和快速.它是通过钩子函数NF.IPLOCALINNFIPJ'oRWARD及NFIPLOCALOUT接入netfiher框架的如图.因此对于任伺个数据报只有一个地方对其进行过滤.()NAT.NAT表格监听三个Netfiher钩子函数:NFIPPRE~ROUTING、NFIPPOSTROUTING及NFIPLOCALOUT如图.NFjePREROUTING实现对需要转发的数据报的源地址进行地址转换而NFIPPOSTROUTING则对需要转发的数据包的目的地址进行地址转换.对于本地数据报的目的地址的转换则由NFIPLOCALOUT来实现.NAT表格不同于filter表格因为只有新连接的第一个数据报将遍历表格而随后的数据报将根据第一个数据报的结果进行同样的转换处理.NAT表格被用在源NAT、目的NAT、伪装(其是源NAT的一个特例)及透明代理(其是目的NAT的一个特例).()数据报处理(Packetmangling).mangle表格在NFnPREROUTING和NFnLOCALOUT钩子中进行注册。如图.使用mangle表可以实现对数据报的修改或给数据报些带外数据.当前m蛐gle表支持修改TOS位及设置skb的nfmard字段.图netfilter框架结构图iptables用法Iptables基本语法:iptables一ttablecommandmatchtarget.()表(table).一ttable选项允许使用标准表之外的任何表.表是包含仅处理特定类型附上一信息包的规则和链的信息包过滤表.有三个可用的表选项:filter、nat和m趿gle.该选项不是必需的如果未指定则falter作为缺省表.()命令(command).command部分是iptables命令最重要的部分.它告诉iptables命令要做什么例如插入规则、将规则添加到链的末尾或删除规则.万方数据一A该命令将一条规则附加到链的末尾.一D该命令从链中删除该规则.一P该命令设置链的缺省目标即策略.一N用命令中所指定的名称创建一个新链.一F此参数用于快速清除.()匹配(match).iptables命令的可选match部分指定信息包与规则匹配所应具有的特征(如源地址、目的地址、协议等).一P通协议匹配用于检查某些特定协议.一该源匹配用于根据信息包的源IP地址来与它们匹配.一d该目的地匹配用于根据信息包的目的地IP地址来与它匹配.()目标(target).目标是由规则指定的操作对与那些规则匹配的信息包执行这些操作.除了允许用户定义的目标之外还有许多可用的目标选项.ACCEPT接收该数据包.DROP丢弃该数据包.REJECT丢弃该数据包并将错误消息发回给信息包的发送方.RETURN返回到前面调用的链.防火墙实例假设网络环境如下:在主机A架设防火墙.主机A安装双网卡ethO和ethleth为接人Intemetethl接入局域网.IP地址设定如下:ethO:...ethl:...局域网内存在以下服务器:www服务器:...郇服务器:...email服务器:...下面将用iptabhs建立包过滤防火墙主要是对内部的各种服务器提供保护.()在/etc/rc.d/目录下用touch命令建立firewall文件执行chmoduxfirewall增加文件可执行权限编辑/ete/re.d/re.cal文件在末尾加上/ete/re.d/firewall以确保开机时能自动执行该脚本.()刷新所有的链的规则:睾!/bin./shecho“Startingiptablesrules”#Rekshallchains/sbin/iptabhsF先禁止转发任何包再一步步设置允许通过的包.所以首先设置防火墙FORWARD链的策略为DROP:/tbin/iptableaPFORWARDDROP()设置关于服务器的包过虑规则.服务器/客户机交互是双向的所以要设置数据包出去和返回的规则先建立针对来自Imemct数据包的过虑规则.WWW服务:服务端口为采用tcp或udp协议.规则为:ethO=>允许目的为内部网www服务器的包./sbin/iptablesAFORWARDPtcpd...一一dpoftWwwiethOjACCEPTtrY服务:FrP需要两个端口因为肿有命令通道和数据通道.其中命令端口为数据端口为并且有主动和消极两种服务模式现在大多数兀P客户端均支持消极模式这种模式安全性更高.FTP服务采用tcp协议.规则为:ethO=>仅允许目的为内部网ftp服务器的包./sbin/iptahlesAFORWARDPtepd...一一dport卸一iethOjACCEPT)EMAIL服务:包含smtp和pop两个协议.这里只考虑针对smtp的安全性问题.smtp端口为l采用tcp协议.eth=>仅允许目的为email服务器的smtp请求./sbin/iptablesAFORWARDPtcpd...一一dportsmq,一iethOjACCEPT()设置针对Intranet客户的过虑规则.对于Intemet对Intmne£客户的返回包定义如下规则./sbin/iptablesAFORWARDPtcp一/一一sport卸一datad.../一iethOjACCEPT/sbin/iptablesAFOI讯ARDPtopd.../一syniethOjACCEPT/sbin/iptablesAFOR疆ARDPudpd..../一ieihOjACCEPT说明:第一条允许Intranet客户采用消极模式访问Internet的FTP服务器第二条接收来自Internet的非连接请求tcp包最后一条接收所有udp包主要是针对oicq等使用udp的服务.()接受来自整个Intranet的数据包过虑定义如下规则:/sbin/iptablesAFORWARDs.../一iethljACCEPT通过上述步骤我们建立了一个相对完整的防火墙.只对外开放了有限的几个端口同时提供了客户对Intemet的无缝访问.结束语通过Linux下的netfiher/iptables技术可以在普通Pc机上配置出防火墙无疑是一种简单快速而且经济高效的方法.只要熟练掌握LimLx的netfilter/iptables及其相关的技术完全可以配置出一功能强大的防火墙.参考文献:(蔓)拉什著.Linux防火墙M】.陈健译.人民邮电出版社.】SteveSuehring。等著.Linux防火墙M】.何泾沙等译.北京机械工业出版社。.Documentationaboutthenetfilter/iptablespmjectEB/OL】hnp://wⅥw.netfilter.org/doeumentatiotffindex.html#documentationhowto(责任编辑:王前)万方数据基于Linux的netfilteriptables防火墙的实现作者:王继魁作者单位:吉林师范大学,计算机学院,吉林,四平,刊名:通化师范学院学报英文刊名:JOURNALOFTONGHUANORMALUNIVERSITY年卷(期):()被引用次数:次参考文献(条)拉什陈健Linux防火墙SteveSuehring何泾沙Linux防火墙Documentationaboutthenetfilteriptablesproject相似文献(条)期刊论文李毅Linux中基于NetfilterIptables的防火墙研究科技信息()随着Internet的普及,网络的安全显得尤为重要Linux作为一种易于管理,维护的操作系统,在稳定性等方面都独具优势,其在网络安全领域也十分出色本文阐述了Netfilter的框架结构,以及NetfilterIptables的工作原理,提出了把Iptables与网络入侵检测(NIDS)有机的结合,来动态抗御SYNFlood攻击的方法实验表明,该方法可以有效地抵御SYNFlood攻击学位论文胡安磊基于Linux和IPSec的VPN的实现、分析与改进本文的内容主要分为四部分文章的第一部分主要介绍VPN的协议及其原理首先介绍了VPN用到的最关键的技术安全隧道技术然后介绍了数据链路层实现隧道技术的PPTP、LTP协议和网络层实现隧道技术的IPSec协议其中对IPSec协议进行了重点和详细的描述与分析,分析了现有的IPSec协议族的AH、ESP、IKE三个主要的组成协议以及与它们相关的安全联盟数据库和安全策略数据库并且描述了它们之间的关系文章的第二部分研究了IPSec在Linux下的实现首先对IPSec在Linux下的实现原理进行了分析研究,这其中涉及到Linux下的NetfilterIPtables防火墙子系统,正是它与IPSec的交互使得在Linux下实现IPSec成为现实我们分析了NetfilterIPtables的工作原理并且提出了它的一种应用,在此基础上研究和分析了IPSec与NetfilterIPtables的交互过程中数据包的处理流程然后对具体的实现FreeSWAN进行了分析,与之前的原理性分析相呼应,使得IPSec在Linux下的实现原理显得更为清晰文章的第三部分对实现中的几个关键问题进行了研究并在理论上提出了一些改进的意见我们主要研究的是NAT问题,文章详细分析了IPSec和NAT的不兼容性,然后给出了解决的方案,并在所给出的解决方案的基础上提出了IKE仂商过程中解决NAT问题的理论上的方案最后提出了一些其它的可以继续研究的问题文章的第四部分提出了几个基于前面研究分析的FreeSWAN的VPN的实用方案并对各个方案进行了分析本文分析和研究了IPSec在Linux下的实现(FreeSWAN)并针对其中的几个关键问题提出了改进的方案,给出了实用的VPN实施方案,并且由于Linux和FreeSWAN均为源代码开放软件,有了上述的研究和分析也使得以后的开发和改进工作变得容易期刊论文胡安磊周大水李大兴Linux中NetfilterIPtables的应用研究计算机应用与软件,()Netfilter是Linuxx内核中实现数据包过滤、网络地址转换(NAT)以及数据包处理的通用功能框架本文阐述了Netfilter的功能框架,并以如何用IPtables在Linux上实现基于Netfilter的包过滤防火墙和网络地址转换(NAT)为例介绍NetfilterIPtables的应用学位论文武杰基于netfilteriptables的状态检测防火墙的实现和改进随着互联网的发展黑客的攻击也变的越来越多防火墙随之也就扮演着越来越重要的角色。传统的防火墙主要以包过滤为主对单个数据包进行检测这在一定的程度上抵御了一些攻击但是它对一个非法的连接可能无能为力于是一种基于状态连接检测的防火墙随之出现。而且由于Linux的开源性人们研究基于它上的防火墙变得很热。本文首先介绍了Linux内核中自带的防火墙模块netfilter和用户空间工具iptables以及状态检测机制并分析它们的原理和源代码然后在此基础上实现了一个基于状态检测的改进的防火墙。本文使用iptables来配置防火墙所需要的规则搭建了基本的框架同时分析了抵御syn洪水攻击的传统方法网关超时设置、syn网关、syn代理和syncookies提出了一个改进的方法使synack和ack数据包不再进行规则的匹配而且能够在半连接队列满的情况下仍然能够响应TCP的连接请求分析了Land攻击和Smurf攻击的原理给出了抵御这两种攻击的解决方案。最终经过测试防火墙能够以较高的效率抵御外来的入侵。期刊论文潘贤PANXianLinux内核中NetfilterIptables防火墙的技术分析计算机安全()Linux提供的基于内核netfiter框架的防火墙,具有通用性和可扩展性的特点,实现了一种性价比较高的安全方案,可以有效地阻止恶意攻击,成为很多网络安全管理员的选择该文首先介绍防火墙的主要技术,然后详细介绍了Linux内核防火墙netfilteriptables的实现原理,说明如何应用Linux内核netfiter和iptables实现包过滤型防火墙,保护内部网络的安全期刊论文郑超张建勋ZhengChaoZhangJianxunLinux防火墙Netfilteriptables扩展机制及应用研究计算机与数字工程,()分析了Linux内核的Netfilter在IP协议栈的位置和结构,介绍了应用patchomatic结构扩展Netfilteriptables目标(target)选项的机制和方法以实例说明如何通过自定义的target选项分析输出网络堆栈,实现在不同网络节点分析观察网络数据包学位论文刘毅MoIP网关中防火墙模块的设计与实现随着互联网技术的飞速发展信息共享需求与实现的矛盾得以有效化解但开放信息资源的安全日益成为一个不容忽视的技术和社会问题。防火墙作为本地网络与外部网络之间的安全屏障可以隔离风险网络与本地网络的连接同时不会妨碍人们对外部网络的访问是一种非常有效的网络安全模型。Linux具有良好的网络性能和开放源码的特点而且Linux和内核的防火墙子系统Netfilteriptables简洁高效、可扩展性好使越来越多的开发者选择它作为防火墙的实现基础。利用LinuxNetfilteriptables及其扩展技术来实现家庭网关的防火墙功能具有良好的借鉴意义和实用价值。本文首先讨论了防火墙技术的发展并深入分析了Linux防火墙子系统Netfilteriptables的实现机制。在此基础上以家庭网关项目需求为背景结合嵌入式Linux技术提出了防火墙模块的设计方案并详细论述了实现过程。防火墙整体结构包括两部分:基本防火墙和扩展防火墙。基本防火墙针对家庭网关的网络应用进行固定配置扩展防火墙则加强了Netfilteriptables的过滤功能并利用Web技术能够让用户定制防火墙规则控制规则作用时间查看日志记录。最后设计了网络拓扑对防火墙功能进行测试结果表明该防火墙模块的实现完全满足家庭网关需要。这种防火墙的构建方式已经应用于小型家庭网关中研究和实践表明该方案具有良好的可移植性并且适用于家庭网关各种不同的应用场合。学位论文张光华即时通信息监控系统的技术研究与设计基于点对点技术的即时通软件风靡全球,它在为人们带来诸多方便的同时,也为色情、反动言论洞开方便之门,危害国家和社会安全,在企业内部的广泛应用也产生了诸如技术泄密、工作效率降低及网络使用成本增加等一系列问题因此,深入分析即时通软件的模型与协议,从而设计适用于我国计算机网络和信息安全所需要的即时通信息监控系统具有极为重要的意义本文对实现即时通信息监控系统的关键技术进行了深入的研究,解决了实现监控的三个主要问题:即时通软件文本协议格式的识别、网络数据包的截获和内核与用户空间的数据共享在对监控关键技术研究的基础上,通过将相关技术的有机融合,设计了应用于Linux网关的即时通信息监控系统,并基于Linux操作系统提供的防火墙管理工具Netfilteriptables进行二次开发,实现了系统功能同时,在系统设计和实现过程中较好地解决了信息监控中数据处理的效率问题,提高了系统的整体性能最后,在仿真的百兆网络环境中进行测试,并对下一步的工作进行了展望期刊论文杨刚陈蜀宇YANGGangCHENShuyuLinux中基于NetfilterIptables的防火墙研究计算机工程与设计,()在研究了Linux下NetfilterIptables防火墙的实现机制的基础之上,利用Iptables实现了一个具有包过虑网络地址转换等功能的防火墙系统,并进行相关测试测试结果表明,该防火墙系统可以对内网提供无缝的Internet访问,限制对外开放的端口,能有效防范外部攻击期刊论文卢朝晖傅光轩基于Linux的NetfiterIptables技术及其应用海南师范学院学报(自然科学版),()NetfilterIptalles是一个集成在Linux内核中的IP数据包过滤系统文章主要介绍了该系统的两个基本组件及其基本工作原理,最后应用iptables工具建立一个简单的包过滤防火墙本文链接:http:dgwanfangdatacomcnPeriodicalthsfxyxbaspx授权使用:河池学院(hcxyIP)授权号:ceacddebfcd下载时间:年月日

类似资料

编辑推荐

网络收集竞争情报的技巧.pdf

实分析(Elias M. Stein, Rami Shakarchi).pdf

康熙临高县志 民国临高采访册.pdf

八字针炙疗法--百病神针.pdf

周绵国《清代白族赵氏作家群作品评注》(云南大学2007).pdf

职业精品

精彩专题

结婚彩礼真有那么重要吗?

原创于西周而后沿袭至今的彩礼,虽然被一部分家长奉为圭臬,但越来越多的年轻人对结婚必须要彩礼不以为然。彩礼引发的社会矛盾越来越受到关注,结婚是自己的事,如人饮水冷暖自知,至于要不要彩礼或者要多少彩礼,因人而异,因财力而已,不可一概而论。

用户评论

0/200
    暂无评论
上传我的资料

精选资料

热门资料排行换一换

  • 雅俗文化书系 江湖文化.pdf

  • 雅俗文化书系 官场文化.pdf

  • 195909《文物》.pdf

  • 文化趣谈丛书--中国人的赌.pdf

  • 195908《文物》.pdf

  • 195907《文物》.pdf

  • 文化趣谈丛书--中国人的癖.pdf

  • 195905《文物》.pdf

  • 195904 《文物》.pdf

  • 资料评价:

    / 4
    所需积分:2 立即下载

    意见
    反馈

    返回
    顶部