文档介绍:摘要
filter/Iptables的出现,为构建Linux 下防火墙提供了很好的平台。Iptables 是在Linux 。该工具通过编程可以实现多种网络安全功能,如:数据包过滤、状态保持、work Address Translation,网络地址转换)以及抵抗攻击等等。
本文主要是针对Linux下iptables的的应用进行学习与研究,结构上可以分为三个部分:Linux防火墙的概述,iptables的的简介以及如何使用iptables来为我们的日常工作所服务。例如在我们的日常工作中的应用到的过滤网址、IP,禁用端口、协议等等。利用iptables这个工具在Linux服务器上实现安全稳定、功能强大的防火墙。目前这也是被企业和高校广泛采用的一种比较成熟的技术。
本次毕设课题研究的实验环境均在虚拟机上实现,使用RHEL 4 AS系统和CentOS 4系统。
关键词:Linux,防火墙,iptables,规则,过滤
目录
第一章 Linux防火墙概述 1
1
Linux包过滤防火墙的架构 4
Linux防火墙的安装、启动和关闭 5
第二章 iptables简介 9
iptables的基本概念 9
iptables数据包的传输过程 10
激活IP包转发功能 11
第三章 iptables的使用 13
iptables的命令格式 13
iptables命令的使用 15
第四章 iptables实现NAT服务 21
NAT服务概述 21
利用iptables实现NAT服务 23
第五章 iptables技巧实例 29
禁止访问不健康的网站 29
禁止某些客户上网 29
禁止客户使用某些服务 30
禁止使用ICMP协议 30
利用字符串匹配过滤视频网站 32
利用iptables的定时功能 34
利用iplimit参数设置最大连接数 35
第六章致谢 37
参考文献 38
第一章 Linux防火墙概述
1. 防火墙的功能
防火墙是位于不同网络(如可信的企业内部网和不可信的公共网)或网络安全域之间,对网络进行隔离并实现有条件通信的一系列软件/硬件设备的集合。它通过访问控制机制确定哪些内部服务允许外部访问,以及允许哪些外部请求可以访问内部服务。其基本功能是分析出入防火墙的数据包,根据IP包头结合防火墙的规则,来决定是否接收或允许数据包通过。
防火墙系统可以由一台路由器,也可以由一台或一组主机组成。它通常被放置在网络入口处,所有内外部网络通信数据包都必须经过防火墙,接受防火墙的检查,只有符合安全规则的数据才允许通过。
通过使用防火墙可以实现以下功能:
保护内部网络中易受攻击的服务。
控制内外网之间网络系统的访问。
隐藏内部网络的IP地址及结构的细节,提高网络的保密性。
对网络存取和访问进行监控和审计。
集中管理内网的安全性,降低管理成本。
2. 防火墙的发展史
第一代防火墙
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。下图(1-1)表示了防火墙技术的简单发展历史。
图1-1
第二、三代防火墙
1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。
第四代防火墙
1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。
第五代防火墙
1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
根据动作方式的不同,通常把防火墙分为包过滤型和应用级网关两大类。
(1)包过滤防火墙(Packet Filter)
包过滤防火墙通常安装在路由器或者安装了网络操作系统的主机上。它在网络层根据配置好的包过滤规则对数据包进行过滤,其工作方式为:包过滤规则存储对应的包过滤设备端口,检查出入该防火墙端口的每一个IP数据包头和TCP头或UDP头来决定是否允许数据包