收藏
下载资源

防火墙技术具体实现论文

上传人:第*** 文档编号:34253315 上传时间:2018-02-22 格式:DOC 页数:10 大小:60.50KB
返回 下载 相关 举报
防火墙技术具体实现论文_第1页
第1页 / 共10页
防火墙技术具体实现论文_第2页
第2页 / 共10页
防火墙技术具体实现论文_第3页
第3页 / 共10页
防火墙技术具体实现论文_第4页
第4页 / 共10页
防火墙技术具体实现论文_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《防火墙技术具体实现论文》由会员分享,可在线阅读,更多相关《防火墙技术具体实现论文(10页珍藏版)》请在金锄头文库上搜索。

1、基于 LINUX操作系统的防火墙技术及其具体实现来源: 考试吧(E) 2007-11-25 12:33:00【考试吧:中国教育培训第一门户】 论文大全后,照样要例行 INPUT链的检查。之后,数据包被送到 FORWARD链,接受系统内核的“伪装处理”,即将包头中的源 IP地址改为防火墙外部接口 eth0的地址,并在系统中做下记录,以便一会儿对其回应包的目的 IP进行“恢复”。这样,当该数据包顺利从外部接口出来时,其包头中源 IP已被改为 202.117.120.1。远程服务器会认为这是从防火墙的合法地址发来的,从而对其做出响应。当远程服务器返回的回应包到达防火墙时,先经过 INPUT链,然后会

2、根据系统关于 IP伪装的记录对数据包的目的 IP进行恢复,即将 202.117.120.1改为 192.168.0.2,最后再经过 OUTPUT链返回到 steven主机。为了实现这个过程,我们必须在防火墙规则脚本中添加以下规则:ipchains A input i eth1 p tcp s 192.168.0.2 1110 d 211.100.31.131 80 j ACCEPTipchains A output i eth0 p tcp s 202.117.120.1 1050 d 211.100.31.131 80 j ACCEPTipchains A input i eth0 p tc

3、p !-y s 211.100.31.131 80 d 202.117.120.1 1050 j ACCEPTipchains A output i eth1 p tcp ! y s 211.100.31.131 80 d 192.168.0.2 1110 j ACCEPTipchains A forward i eth0 s 192.168.0.2 1110 d 211.100.31.131 80 j MASQ与代理功能比较而言,IP 伪装不需要安装相应的代理软件,数据包的伪装对用户来说都是“透明”的,并且整个过程都是在 IP层实现,因此实现速度较快。缺点是不能对经过的数据包作详细的记录。以

4、上介绍了 LINUX防火墙在实际的设置中常用到的三种功能。但一般说来,用户在创建自己的防火墙规则脚本时,可以根据自己的需要将这三种功能组合起来实现。4 一个 LINUX防火墙实例以下是我前一段时间为某办公室搭建的 LINUX防火墙的实际配置,给出以供参考。该室网络拓扑图如图 5:有两个局域网,LAN1 地址:202.117.120.65/255.255.255.248为公共网络 IP,LAN2 地址为 192.168.0.0/255.255.255.0,为内部保留地址。LINUX 防火墙有两个内部接口:202.117.120.70 接 LAN1;192.168.0.1 接 LAN2。现对防火墙

5、进行配置,使 LAN2的主机通过 IP伪装访问互联网,但只允许使用外部 Web代理服务器 202.117.112.34的 1252端口。LAN1 中的主机被限制使用几种常用的互联网服务(DNS、SMTP、POP3、HTTP 和 FTP)。下面就是创建的防火墙规则脚本:#/etc/rc.d/rc.firewall#!/bin/sh# eth0-External_interface# eth1-LAN1_interface# eth2-LAN2_interfaceecho Starting firewalling . . .#Flush any existing rules from all ch

6、ainsipchains -F#Set the default policy to denyipchains -P input DENYipchains -P output REJECTipchains -P forward REJECT#Enable traffic on the loopback interfaceipchains -A input -i lo -j ACCEPTipchains -A output -i lo -j ACCEPT#Enable the traffic on the eth1ipchains -A input -i eth1 -j ACCEPTipchain

7、s -A output -i eth1 -j ACCEPT#the traffic on the eth2 only enablling using the WEB PROXY ipchains -A input -i eth2 -p tcp -s 192.168.0.0/24 1024:65535 -d 202.117.112.34 1252 -j ACCEPTipchains -A output -i eth2 -p tcp ! -y -s 202.117.112.34 1252 -d 192.168.0.0/24 1024:65535 -j ACCEPT#Forwarding rules

8、ipchains -A forward -i eth0 -s 202.117.120.64/29 -j ACCEPTipchains -A forward -i eth0 -s 192.168.0.0/24 -j MASQipchains -A forward -i eth1 -d 202.117.120.64/29 -j ACCEPT#Enable outgoing the packets from LAN on the External_Interfaceipchains -A output -i eth0 -j ACCEPT#Enable incoming some ICMP messa

9、ges on eth# 1.Dest_Unreachable,Service_Unavailableipchains -A input -i eth0 -p icmp -s any/0 3 -d 202.117.120.64/29 -j ACCEPT# 2.Time_Exceededipchains -A input -i eth0 -p icmp -s any/0 11 -d 202.117.120.64/29 -j ACCEPT# 3.Allow outgoing pings to anywhere ipchains -A input -i eth0 -p icmp -s any/0 0

10、-d 202.117.120.64/29 -j ACCEPT#Enable Proxy of 202.117.112.34:1252ipchains -A input -i eth0 -p tcp ! -y -s 202.117.112.34 1252 -j ACCEPT#DNS (53) (DNS:202.117.112.3)client modesipchains -A input -i eth0 -p udp -s 202.117.112.3 53 -d 202.117.120.64/29 1024:65535 -j ACCEPTipchains -A input -i eth0 -p

11、tcp ! -y -s 202.117.112.3 53 -d 202.117.120.64/29 1024:65535 -j ACCEPT#SMTP(25)Enable sending mail through a remote SMTP gatewayipchains -A input -i eth0 -p tcp ! -y -s any/0 25 -d 202.117.120.64/29 1024:65535 -j ACCEPT#POP(110)-Enable receiving mail from a remote POP serveripchains -A input -i eth0

12、 -p tcp ! -y -s any/0 110 -d 202.117.120.64/29 1024:65535 -j ACCEPT#HTTP(80) -Enable accessing remote WEB sites as a clientipchains -A input -i eth0 -p tcp ! -y -s any/0 80 -d 202.117.120.64/29 1024:65535 -j ACCEPT#FTP(20,21) -Enable accessing remote FTP serversipchains -A input -i eth0 -p tcp ! -y

13、-s any/0 21 -d 202.117.120.64/29 1024:65535 -j ACCEPTipchains -A input -i eth0 -p tcp -s any/0 20 -d 202.117.120.64/29 1024:65535 -j ACCEPTipchains -A input -i eth0 -p tcp ! -y -s any/0 1024:65535 -d 202.117.120.64/29 1024:65535 -j ACCEPTecho doneexit 0 5 结束语本文着重从防火墙内部工作过程的角度分别对 LINUX防火墙的包过滤、代理以及 IP

14、伪装功能进行了剖析,同时涉及到了一些网络配置、用 ipchains具体实现等方面的内容。文末给出的实例已在实际中调试通过。参考文献1 Robert LZiegler,Linux 防火墙人民邮电出版社,2000.102 WRichard Stevens,TCP/IP 详解 卷一:协议机械工业出版社,2000.4.13 Rusty Russell,“Linux IPCHAINS-HOWTO”,netfilter.samba.org,Jul 4,20005 Rawn Shah,“Using your old Pentiums and Linux to create a Firewall”,Indep

15、endent 6 technologist and freelance journalist,September,1999基于 LINUX操作系统的防火墙技术及其具体实现来源:中国论文下载中心 05-12-23 10:34:00 作者:佚名 编辑:studa9ngns摘要 本文介绍了 LINUX 下常用的防火墙规则配置软件 Ipchains;从实现原理、配置方法以及功能特点的角度描述了 LINUX 防火墙的三种功能;并给出了一个 LINUX 防火墙实例作为参考。关键字 LINUX 防火墙 ipchains 包过滤 代理 IP 伪装1 前言防火墙作为网络安全措施中的一个重要组成部分,一直受到人们

16、的普遍关注。LINUX 是这几年一款异军突起的操作系统,以其公开的源代码、强大稳定的网络功能和大量的免费资源受到业界的普遍赞扬。LINUX 防火墙其实是操作系统本身所自带的一个功能模块。通过安装特定的防火墙内核,LINUX 操作系统会对接收到的数据包按一定的策略进行处理。而用户所要做的,就是使用特定的配置软件(如 ipchains)去定制适合自己的“数据包处理策略”。2 LINUX 防火墙配置软件IpchainsIpchains 是 LINUX 2.1 及其以上版本中所带的一个防火墙规则管理程序。用户可以使用它来建立、编辑、删除系统的防火墙规则。但通常,需要自己创建一个防火墙规则脚本 /etc/rc.d/rc.firewall,并使系统启动时自动运行这个脚本。一个 LINUX 防火墙系统的安全机制是通过 Input、Output

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 解决方案

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号