摘要 本文介紹了LINUX下常用的防火牆規矩配置軟件Ipchains;從實現原理、配置法子 以及功效特性的角度描繪了LINUX防火牆的三種功效;並給出了一個LINUX防火牆實例作爲參考。
要害字 LINUX防火牆 ipchains 包過濾 代理 IP裝作
1 前言
防火牆作爲網絡安全措施 中的一個首要組成部分,一直受到人們的廣泛關注。LINUX是這幾年一款異軍崛起的操作系統 ,以其公開的源代碼、強大穩固的網絡功效和大宗的免費資源受到業界的廣泛讚美 。LINUX防火牆其實是操作系統 本身所自帶的一個功效模塊。通過安裝特定的防火牆內核,LINUX操作系統 會對接管到的數據包按必然的策略進行處理 。而用戶所要做的,就是應用特定的配置軟件(如ipchains)去定製適宜自己的“數據包處理 策略”。
2 LINUX防火牆配置軟件—Ipchains
Ipchains是LINUX 2.1及其以上版本中所帶的一個防火牆規矩管理程序。用戶可以應用
它來建立 、編輯 、刪除系統 的防火牆規矩。但通常,需要 自己創立一個防火牆規矩腳本 /etc/rc.d/wall,並使系統 啓動時主動運行這個腳本。
一個LINUX防火牆系統 的安全機制是通過Input、Output、Forward這三個“防火鏈”來實現的。而用戶正是應用 ipchains在這三個“鏈”上分辨 創立一套“防火規矩 ”,來完成對到來數據包層層限制的目標,其組織結構 如圖1所示。
其中,每個鏈都包孕一組由用戶創立的過濾規矩,數據包依次達到每個鏈,並對比其中的每條規矩,直到找出匹配規矩並履行相應策略(如通過、回絕等),否則履行默認策略。實際中,數據包在達到 Input鏈之前還要進行測試和正常性反省,在到路由表之前還要被確定 是否被裝作,這些,在本圖中都被省略了。
Ipchains 經常應用的命令行款式如下:
Ipchains –A chain [–i interface] [–p protocol] [[!] -y]
[–s source-ip [port]] [-d destination-ip [port]] –j policy [-l]
對各選項的闡明如下表:
-A <chain> 添加一規矩到鏈尾。chain可爲input、output、forward。
-i <interface> 指定本規矩實用的網絡接口。通常有eth0、eth1、lo、ppp0等。
-p <protocol> 指定本規矩實用的IP協議 ,如tcp、udp、icmp等。
[!] –y -y表明tcp握手中的連接 懇求標記位SYN; ! –y 表現對該懇求的響應。
-s src-ip [port] 指明數據包的源IP地址,port表現本規矩實用的端口號。
-d dst-ip [port] 指明數據包的目標 IP地址及端口號。
-j policy 指定本規矩對匹配數據包的處理 策略:ACCEPT、DENY或REJECT。
-l 在系統 日誌/var/log/messages中記載 與該規矩匹配的數據包。
3 LINUX防火牆的幾種常見功效
由於每一個用戶的請求和所處的環境都不一樣,LINUX防火牆會根據 用戶的設置實現各種不同的功效。但一般說來,以下三種功效是大多數用戶最常用到的。
3.1 包過濾
對數據包進行過濾可以說是任何防火牆所具備的最根基的功效,而LINUX防火牆本身從某個角度也可以說是一種“包過濾防火牆”。在LINUX防火牆中,操作系統 內核對到來的每一個數據包進行反省,從它們的包頭中提取出所需要 的信息,如源IP地址、目標 IP地址、源端口號、目標端口號等,再與已建立 的防火規矩逐條進行對比,並履行所匹配規矩的策略,或履行默認策略,這個歷程在圖1中已經形象的表現 出來。
值得注意的是,在制定 防火牆過濾規矩時通常有兩個根基的策略法子 可供選擇:一個是默認容許一切,即在接管所有數據包的根基上明確 地阻撓那些特別的、不盼望收到的數據包;還有一個策略就是默認阻撓一切,即首先阻撓所有的數據包通過,然後再根據 所盼望供給的服務去一項項容許需要 的數據包通過。一般說來,前者使啓動和運行防火牆變得更加容易,但卻更容易爲自己留下安全隱患。
通過在防火牆外部接口處對進來的數據包進行過濾,可以有效地禁止絕大多數有意或無意地網絡攻擊,同時,對發出的數據包進行限制,可以明確 地指定內部網中哪些主機可以造訪互聯網,哪些主機只能享用哪些服務或登陸哪些站點,從而實現對內部主機的管理。可以說,在對一些小型內部局域網進行安全保護和網絡管理時,包過濾確鑿是一種簡略而有效的手法。
3.2 代理