基于LINUX操作系統(tǒng)的防火墻技術(shù)及其具體實(shí)現(xiàn)

摘要 本文介紹了LINUX下常用的防火墻規(guī)則配置軟件Ipchains；從實(shí)現(xiàn)原理、配置方法以及功能特點(diǎn)的角度描述了LINUX防火墻的三種功能；并給出了一個(gè)LINUX防火墻實(shí)例作為參考。

關(guān)鍵字 LINUX防火墻 ipchains 包過濾 代理 IP偽裝

1 前言
防火墻作為網(wǎng)絡(luò)安全措施中的一個(gè)重要組成部分，一直受到人們的普遍關(guān)注。LINUX是這幾年一款異軍突起的操作系統(tǒng)，以其公開的源代碼、強(qiáng)大穩(wěn)定的網(wǎng)絡(luò)功能和大量的免費(fèi)資源受到業(yè)界的普遍贊揚(yáng)。LINUX防火墻其實(shí)是操作系統(tǒng)本身所自帶的一個(gè)功能模塊。通過安裝特定的防火墻內(nèi)核，LINUX操作系統(tǒng)會(huì)對(duì)接收到的數(shù)據(jù)包按一定的策略進(jìn)行處理。而用戶所要做的，就是使用特定的配置軟件（如ipchains）去定制適合自己的“數(shù)據(jù)包處理策略”。
2 LINUX防火墻配置軟件—Ipchains
Ipchains是LINUX 2.1及其以上版本中所帶的一個(gè)防火墻規(guī)則管理程序。用戶可以使用
它來建立、編輯、刪除系統(tǒng)的防火墻規(guī)則。但通常，需要自己創(chuàng)建一個(gè)防火墻規(guī)則腳本 /etc/rc.d/rc.firewall，并使系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行這個(gè)腳本。
一個(gè)LINUX防火墻系統(tǒng)的安全機(jī)制是通過Input、Output、Forward這三個(gè)“防火鏈”來實(shí)現(xiàn)的。而用戶正是使用ipchains在這三個(gè)“鏈”上分別創(chuàng)建一套“防火規(guī)則”，來完成對(duì)到來數(shù)據(jù)包層層限制的目的，其組織結(jié)構(gòu)如圖1所示。

其中，每個(gè)鏈都包括一組由用戶創(chuàng)建的過濾規(guī)則，數(shù)據(jù)包依次到達(dá)每個(gè)鏈，并比較其中的每條規(guī)則，直到找出匹配規(guī)則并執(zhí)行相應(yīng)策略（如通過、拒絕等），否則執(zhí)行默認(rèn)策略。實(shí)際中，數(shù)據(jù)包在到達(dá)Input鏈之前還要進(jìn)行測(cè)試和正常性檢查，在到路由表之前還要被判斷是否被偽裝，這些，在本圖中都被省略了。
Ipchains 經(jīng)常使用的命令行格式如下：
Ipchains –A chain [–i interface] [–p protocol] [[!] -y]
[–s source-ip [port]] [-d destination-ip [port]] –j policy [-l]
對(duì)各選項(xiàng)的說明如下表：
-A

【基于LINUX操作系統(tǒng)的防火墻技術(shù)及其具體實(shí)現(xiàn)】相關(guān)文章：

基于LINUX操作系統(tǒng) 的防火墻技巧及其具體實(shí)現(xiàn)03-23

基于Linux系統(tǒng)的包過濾防火墻03-08

基于linux的網(wǎng)絡(luò)對(duì)講機(jī)的研究與實(shí)現(xiàn)03-07

基于圖像的OMR技術(shù)的實(shí)現(xiàn)03-07

基于Vxworks實(shí)時(shí)操作系統(tǒng)的串口通信程序設(shè)計(jì)與實(shí)現(xiàn)03-18

基于OMAP5912的Linux內(nèi)核移植技術(shù)03-07

基于嵌入式Linux的終端AVI視頻編碼器的實(shí)現(xiàn)03-07

談分布式防火墻技術(shù)及其應(yīng)用03-18

基于ARM9微處理器與Linux操作系統(tǒng)的SD驅(qū)動(dòng)開發(fā)03-07

基于Linux的信息發(fā)布終端網(wǎng)絡(luò)通信技術(shù)的研究03-07