基于Linux的防火墙设计.doc

A 基础理论 B 应用研究 C 调查报告 D 其他本科生毕业论文（设计）基于Linux的防火墙设计二级学院：信息科学与技术学院专 业：计算机科学与技术年 级：2009级学 号：2009344328作者姓名：xx指导教师：xx 副教授完成日期：2012年6月23日Linux的防火墙安全配置专业名称：计算机科学与技术作者姓名：xx指导教师：xx论文答辩小组组 长： xx 成 员： xx xx 论文成绩： 摘 要防火墙作为一种网络或系统之间强制实行的访问控制机制，是确保网络安全的重要手段，有基于通用操作系统设计的防火墙，也有基于专用操作系统设计的防火墙。由于Linux源代码的开放性，所以，Linux成为研究防火墙技术的一个很好的平台。本文介绍 Linux的防火墙技术 Netfilter/Iptables 在 Linux 内核中的具体实现。讨论了Linux内核防火墙套件Netfilter 实现的一些基本技术：包过滤。Linux下常用的防火墙规则配置软件Iptables；从实现原理、配置方法以及功能特点的角度描述了Linux防火墙的功能；并给出了Linux下简单防火墙的搭建。关键字：防火墙，Netfilter，IptablesABSTRACTThe firewall took between one kind of network or the system forces the access control mechanism which implements, is guarantees the network security the important method, has based on the general operating system design firewall, also has based on the special-purpose operating system design firewall. As a result of Linux source code openness, therefore, Linux becomes the research firewall technology a very good platform. This article introduces Linux firewall technology Netfilter/Iptables in Linux essence concrete realization. Discussed Linux essence firewall set of Netfilter realizations some basic technologies: the package filter. Under Linux commonly used firewall rule disposition software Iptables; from the realization principle, the disposition method as well as the function characteristic angle described the Linux firewall function; and build up a simple firewall in Linux.Key words: Firewall, Netfilter, Iptables目 录摘 要IIABSTRACTII第一章 绪 论11.1前言11.2 开发背景1第二章 防火墙技术12.1防火墙概述12.2 包过滤技术1第三章 Netfilter/Iptables23.1 Netfilter框架23.2 管理工具：Iptables2第四章 Linux下简单防火墙的搭建54.1防火墙搭建的战略规划54.2 Iptables规则脚本6第五章 总结与展望95.1 应用前景95.2 总体体会9第一章 绪 论1.1 前言Linux 可以追溯到UC Berkeley分校的Unix，因此从某种意义上讲，Linux本身就是一种网络操作系统，Linux在实现网络功能方面有着独特的优势。防火墙的初步功能首次出现在Linux 1.1内核中，到Linux 2.0内核时，其部件IPFwadm对防火墙部分已进行了很大改进和增强；Linux 2.2.x内核发布时，IPchains和单独开发的NAT等模块已经可以比较完整地实现内核IP防火墙功能，从Linux的2.4内核开始的Netfilter最终废除了Ipchains，其主要原因有：IPchain是以内核级运行的C及C+代码，没有很好地提供从用户空间访问IPchains的接口，限制了IPchains的可扩展性。1.2 开发背景在网络安全问题日趋严峻的今天，防火墙作为第一道防线起着关键的作用。防火墙可以对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。从而对防火墙的研究成为研究热点。第二章 防火墙技术2.1防火墙概述防火墙是一个或一组实施访问控制策略的系统。它在内部网络（专用网络）与外部网络（功用网络）之间形成一道安全保护屏障，防止非法用户访问内部网络上的资源和非法向外传递内部信息，同时也防止这类非法和恶意的网络行为导致内部网络运行遭到破坏。它基本功能是过滤并可能阻挡本地网络或者网络的某个部分与Internet之间的数据传送（数据包）。防火墙的主要功能包括:1防火墙本身支持一定的安全策略。2提供一定的访问或接入控制机制。3容易扩充、更改新的服务和安全策略。4具有代理服务功能，包含先进的鉴别技术。5采用过滤技术，根据需求来允许或拒绝某些服务。6防火墙的编程语言应较灵活，具有友好的编程界面。并用具有较多的过滤属性，包括源和目的IP地址、协议类型、源和目的的TCP/UDP端口以及进入和输出的接口地址。2.2 包过滤技术包过滤技术是防火墙的一种最基本的实现技术，具有包过滤技术的装置是用来控制内、外网络间数据流的流入和流出，包过滤技术中的数据包大部分是基于TCP/IP协议平台的，其中包括网络层的IP数据包，运输层的TCP和UDP数据包以及应用层的FTP、Telnet和HTTP等应用协议数据包三部分内容。过滤技术依靠以下三个基本依据来实现“允许或不允许”某些包通过防火墙：1 包的目的地址及目的端口；2 包的源地址及源端口；3 包的传输协议。第三章 Netfilter/Iptables3.1 Netfilter框架Netfilter是Linux 2.4实现的防火墙框架，Netfilter提供了一个抽象、通用化的框架定义一个子功能实现的就是包过滤子系统。Netfilter对数据包的处理流程是在整个网络流程的若干个位置放置一些钩子（HOOK），且在钩子处定义一些处理函数对数据包进行处理。在IPV4中，它定义了五个钩子函数，分别是1）NF-IP-PRE-ROUTING；2）NF-IP-LOCAL-IN；3）NF-IP-FORWARD；4）NF-IP-POST-ROUTING；5）NF-IP-LOCAL-OUT。如图所示：数据包从左边进入系统，进行简单的校验（如版本、IP校验）后，经过HOOK点，由钩子函数NF-IP-PRE-ROUTING进行处理；然后进入路由代码，其决定该数据包是转发还是发给本机；若该数据包是发给本机的则在HOOK点，则由钩子函数NF-IP-LOCAL-IN处理后传递给上层协议；若该数据包应该被转发，则它在HOOK点由NF-IP-FORWARD钩子函数处理；经过转发的数据包在HOOK点由NF-IP-POST-ROUTING处理后再传输到网络上。而且本地产生的数据包在HOOK点经由NF-IP-LOCAL-OUT钩子函数处理后进行路由选择处理，然后经由NF-IP-POST-ROUTING处理并发送到网络上。数据包在经过这些HOOK点时，相应的钩子函数将被调用，通过对数据包进行操作，向Netfilter返回表示接受或丢弃。 3.2 管理工具：Iptables3.2.1 Iptables 防火墙规则配置管理工具防火墙提供有关对来自某个源地址、到某个目的地或具有特定协议类型的信息包要做些什么的指令，规则控制信息包的过滤。通过使用iptables系统提供的特殊命令iptables建立这些规则，并将其添加到内核空间特定信息包过滤表内的链中。3.2.1 Iptables工具的应用方法一个Iptables命令基本上包含如下五部分（1）希望工作在哪个表上（2）希望使用该表的哪个链（3）进行操作（插入、添加、删除、修改）（4）对特定规则的目标动作（5）匹配数据报条件一般语法如下： iptables -t table command match target table 表是包含仅处理特定类型信息包的规则和链的信息包过滤表。有三个可用的表选项：filter、nat和mangle（该选项非必要）commad command部分是iptables命令最重要的部分。它告诉iptables命令要做什么，例如插入规则、将规则添加到链的末尾或删除规则。match 指定信息包与规则匹配所应具有的特征（如源地址、目的地址、协议等）。（该选项非必要）target 由规则指定的操作，对与那些规则匹配的信息包执行这些操作.第四章 Linux下简单防火墙的搭建4.1防火墙搭建的战略规划包过滤防火墙的规则是由一组接收和禁止规则列表组成，规则列表中定义了数据包是否可以通过网络接口。防火墙规则通过数据包头的字段是否允许一个数据包通过。当默认策略设置为禁止一切时，若数据包头的字段与规则匹配，则路由器将该数据包转发至指定的目的地，否则将该数据包丢弃或被阻止并反馈一个错误状态信息给发出端的计算机。网络拓扑图如下:搭建环境：三台linux主机，分别为内网rh1：IP地址为172.16.1.3；防火墙rh2：有两块网卡，分别为eth0，eth1，IP地址分别是172.16.1.4,192.168.1.4；外网rh3：IP地址为192.168.1.4；外网rh4：IP地址为192.168.1.4；其中将172.16.1.0/24设置为vnet1,192.168.1.0/24设置为vnet2。4.2 Iptables规则脚本一、在有建立网页并做好相关配置的rh1里打开web服务器服务，mysql服务，ftp服务service httpd startservice mysqld startservice vsftpd startvi /etc/xinetd.d/telnet :disable=yes =>disable=no二、在rh1和rh3 ,rh4添加以下路由信息分别为：route add net 192.168.1.0 netmask 255.255.255.0 gw 172.16.1.4route add net 172.16.1.0 netmask 255.255.255.0 gw 192.168.1.4route add net 172.16.1.0 netmask 255.255.255.0 gw 192.168.1.4三、首先启动rh2 的etc/sysctl.conf 配置文件，打开其IP转发功能 #Control IP packet forwarding net.ipv4.ip_forward = 1service network restart四、防火墙配置策略可以使用固定防火墙策略，即用配置工具或手动修改Iptables配置文件，(如：vi etc/sysconfig/iptables )Iptables服务读取配置文件，加载编写的规则脚本，这里使用的是非固定防火墙策略:1.cat>fire_wall在新建的fire1配置文件添加以下命令（1）清空存在于所有链的规则iptables -Fiptables -Xiptables -Z（2）配置默认的拒绝规则。实际应用中配置的基本原则是：先拒绝所有的服务，然后再根据用户的需要设置相应的服务。参考配置程序如下：iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT #允许loopback!iptables -A INPUT -i lo -j ACCEPTiptables -A INPUT p tcp dport 22 -j ACCEPTiptables -A INPUT -m state -state ESTABLISHED,RELATED -j ACCEPT#配置使得rh3访问rh1的HTTP，FTP，TELNET服务iptables -A FORWARD -p tcp -i eth1 -o eth0 -dport 80 s 192.168.1.4 -j ACCEPTiptables -A FORWARD -p tcp -o eth1 -i eth0 -sport 80 s 192.168.1.4 -j ACCEPTiptables -A FORWARD -p tcp -dport 23 -j ACCEPTiptables -A FORWARD -p tcp -sport 23 -j ACCEPTiptables -A FORWARD -p tcp -m multiport -dport 20,21 -j ACCEPTiptables -A FORWARD -p tcp -m multiport -sport 20,21 -j ACCEPT2.赋予脚本文件执行权限：chmod +X fire_wall3.执行脚本：./fire_wall#对于rh1的浏览器有有：对于rh4的浏览器有：Rh3和rh4的ftp，telnet，ssh访问都有：通过rh4的smap扫描rh1端口有：第五章 总结与展望5.1 应用前景Netfilter/Iptables的包过滤架构是Linux内核开发人员通过对Ipfwadm/Ipchains等早期的包过滤程序的开发经验和全世界用户反馈的分析，重新设计，改造而形成的相对成熟的Linux内核包过滤框架。本文从理论和实践两方面对Linux2.4.x内核对防火墙的处理作了分析，目的是使一般小型企业针对自己实际情况，设计专门的防火墙成为可能。 5.2 总体体会从Linux的学习开始，到现在Linux结课，我对Linux又了初步的了解，如，安装Linux，Linux的图形用户界面（Redhat Hat Linux （2.4.20-8）到REEL 5.x）,shell，Linux的一些基本命令。另外对运用Linux搭建DNS服务器，FTP服务器，Web服务器也有的浅显的了解。对shell编程，Linux安全掌握了些许基本内容在用iptables创建防火墙的过程中对状态，规则，iptables的基本命令格式及其相关参数较深入的学习了解。能够用iptables做一些简单的设定，如清除，插入，添加一些规则，设定filter table的预设策略。能够简单的编写一些规则，如 iptables A FORWARD p tcp d 192.168.1.4 dport www I eth0 j ACCEPT(设eth0连接内网)表示采用tcp协议 ，允许目的地为内部网www的服务器。 在学习的过程中遇到了一些困难，通过查资料，最终成功设置了一个包过滤防火墙。从中切实感受到Linux为主导的网络应用的趣味性，尤其是蔡老师的好的授课方式，让我们从大量繁杂的知识体系中，找到最简单和最根本的切入点，让知识在在实践中得到运用，不仅为后续深入的学习打下基础，还展现了Linux的魅力。特别感谢有蔡老师的授课，我决定在Linux方向上做更深入的学习，以期能成为真正的网络专家。参考文献1 丰士昌著Linux从入门到精通科学出版社 ，20112 万明等著完美应用 红帽子企业版Linux ，20011 3 陈勇勋著更安全的Linux网络电子工业出版社，20094 李洋著著蜕变：从菜鸟到Linux安全专家电子工业出版社，2011