摘要 本文介紹了LINUX下常用的防火牆規矩配置軟體Ipchains;從實現原理、配置法子 以及功效特性的角度描繪了LINUX防火牆的三種功效;並給出了一個LINUX防火牆例項作為參考。
要害字 LINUX防火牆 ipchains 包過濾 代理 IP裝作
1 前言
防火牆作為網路安全措施 中的一個首要組成部分,一直受到人們的廣泛關注。LINUX是這幾年一款異軍崛起的作業系統 ,以其公開的原始碼、強大穩固的網路功效和大宗的免費資源受到業界的廣泛讚美 。LINUX防火牆其實是作業系統 本身所自帶的一個功效模組。通過安裝特定的防火牆核心,LINUX作業系統 會對接管到的資料包按必然的策略進行處理 。而使用者所要做的,就是應用特定的配置軟體(如ipchains)去定製適宜自己的“資料包處理 策略”。
2 LINUX防火牆配置軟體—Ipchains
Ipchains是LINUX 2.1及其以上版本中所帶的一個防火牆規矩管理程式。使用者可以應用
它來建立 、編輯 、刪除系統 的防火牆規矩。但通常,需要 自己創立一個防火牆規矩指令碼 /etc/rc.d/wall,並使系統 啟動時主動執行這個指令碼。
一個LINUX防火牆系統 的安全機制是通過Input、Output、Forward這三個“防火鏈”來實現的。而使用者正是應用 ipchains在這三個“鏈”上分辨 創立一套“防火規矩 ”,來完成對到來資料包層層限制的目標,其組織結構 如圖1所示。
其中,每個鏈都包孕一組由使用者創立的過濾規矩,資料包依次達到每個鏈,並對比其中的每條規矩,直到找出匹配規矩並履行相應策略(如通過、回絕等),否則履行預設策略。實際中,資料包在達到 Input鏈之前還要進行測試和正常性反省,在到路由表之前還要被確定 是否被裝作,這些,在本圖中都被省略了。
Ipchains 經常應用的命令列款式如下:
Ipchains –A chain [–i interface] [–p protocol] [[!] -y]
[–s source-ip [port]] [-d destination-ip [port]] –j policy [-l]
對各選項的闡明如下表:
-A <chain> 新增一規矩到鏈尾。chain可為input、output、forward。
-i <interface> 指定本規矩實用的網路介面。通常有eth0、eth1、lo、ppp0等。
-p <protocol> 指定本規矩實用的IP協議 ,如tcp、udp、icmp等。
[!] –y -y表明tcp握手中的連線 懇求標記位SYN; ! –y 表現對該懇求的響應。
-s src-ip [port] 指明資料包的源IP地址,port表現本規矩實用的埠號。
-d dst-ip [port] 指明資料包的目標 IP地址及埠號。
-j policy 指定本規矩對匹配資料包的處理 策略:ACCEPT、DENY或REJECT。
-l 在系統 日誌/var/log/messages中記載 與該規矩匹配的資料包。
3 LINUX防火牆的幾種常見功效
由於每一個使用者的請求和所處的環境都不一樣,LINUX防火牆會根據 使用者的設定實現各種不同的功效。但一般說來,以下三種功效是大多數使用者最常用到的。
3.1 包過濾
對資料包進行過濾可以說是任何防火牆所具備的最根基的功效,而LINUX防火牆本身從某個角度也可以說是一種“包過濾防火牆”。在LINUX防火牆中,作業系統 核心對到來的每一個數據包進行反省,從它們的包頭中提取出所需要 的資訊,如源IP地址、目標 IP地址、源埠號、目標埠號等,再與已建立 的防火規矩逐條進行對比,並履行所匹配規矩的策略,或履行預設策略,這個歷程在圖1中已經形象的表現 出來。
值得注意的是,在制定 防火牆過濾規矩時通常有兩個根基的策略法子 可供選擇:一個是預設容許一切,即在接管所有資料包的根基上明確 地阻撓那些特別的、不盼望收到的資料包;還有一個策略就是預設阻撓一切,即首先阻撓所有的資料包通過,然後再根據 所盼望供給的服務去一項項容許需要 的資料包通過。一般說來,前者使啟動和執行防火牆變得更加容易,但卻更容易為自己留下安全隱患。
通過在防火牆外部介面處對進來的資料包進行過濾,可以有效地禁止絕大多數有意或無意地網路攻擊,同時,對發出的資料包進行限制,可以明確 地指定內部網中哪些主機可以造訪網際網路,哪些主機只能享用哪些服務或登陸哪些站點,從而實現對內部主機的管理。可以說,在對一些小型內部區域網進行安全保護和網路管理時,包過濾確鑿是一種簡略而有效的手法。
3.2 代理