linux防火墻技術(shù)論文

　　在眾多的網(wǎng)絡(luò)防火墻產(chǎn)品中，Linux操作系統(tǒng)上的防火墻軟件特點(diǎn)顯著，學(xué)習(xí)啦小編整理了linux防火墻技術(shù)論文，有興趣的親可以來閱讀一下!

　　linux防火墻技術(shù)論文篇一

　　Linux系統(tǒng)的防火墻技術(shù)設(shè)計(jì)和實(shí)現(xiàn)

　　[摘 要]在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)飛速發(fā)展的今天，網(wǎng)絡(luò)安全問題日益突出，防火墻技術(shù)也越來越受到人們的關(guān)注。在眾多的網(wǎng)絡(luò)防火墻產(chǎn)品中，Linux操作系統(tǒng)上的防火墻軟件特點(diǎn)顯著，這些優(yōu)勢是其他防火墻產(chǎn)品不可比擬的。選用這類軟件確實(shí)是最低硬件需求的可靠、高效的解決方案。但用戶最關(guān)心的還是安全系統(tǒng)的性能，有關(guān)部門根據(jù)網(wǎng)絡(luò)安全調(diào)查和分析曾得出結(jié)論：網(wǎng)絡(luò)上的安全漏洞和隱患絕大部分是因網(wǎng)絡(luò)設(shè)置不當(dāng)引起的。Linux防火墻由以前的ipchains到如今的iptables，功能日漸強(qiáng)大和完善。iptables以filter的三個(gè)鏈處理input、output和forward數(shù)據(jù)包。通過對INPUT鏈、OUTPUT鏈以及FORWARD鏈上規(guī)則的添加和應(yīng)用來實(shí)現(xiàn)ALG防火墻，達(dá)到對網(wǎng)絡(luò)的保護(hù)和限制的目的。

　　[關(guān)鍵詞]Linux 防火墻 iptables

　　中圖分類號：TD956.2 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-914X(2014)10-0027-01

　　Based on Linux system design and realization of the firewall

　　[Abstract]Network security issues have become increasingly prominent in the rapid development of computer network technology， firewall technology， more and more people pay attention.Firewall software on the Linux operating system features significantly in many network firewall products， these advantages unmatched by other firewall products. The selection of this type of software is indeed reliable and efficient solutions for the minimum hardware requirements. But users are most concerned about is the performance of the security system， the relevant departments according to the survey and analysis of network security has concluded： network security vulnerabilities and hidden mostly caused due to improper network settings. Linux firewall by the previous ipchains iptables， now function increasingly powerful and perfect. iptables to filter three chain processing input， output and forward packets. ALG firewall the adding and application of the rules on the INPUT chain， OUTPUT chain FORWARD chain， to achieve the purpose of network protection and restrictions.

　　[Key words]Linux firewall iptables

　　一、Linux操作系統(tǒng)

　　1.1 Linux系統(tǒng)簡介

　　Linux是一種自由和開放源碼的類Unix操作系統(tǒng)，Linux有許多不同的版本，但它們都使用了Linux內(nèi)核。嚴(yán)格來講，Linux這個(gè)詞本身只表示Linux內(nèi)核，但實(shí)際上人們已經(jīng)習(xí)慣了用Linux來形容整個(gè)基于Linux內(nèi)核，并且使用GNU 工程各種工具和數(shù)據(jù)庫的操作系統(tǒng)。

　　1.2 Linux防火墻配置命令簡介

　　1.2.1 概述

　　Linux防火墻通過使用iptables系統(tǒng)提供的特殊命令建立這些規(guī)則，并將其添加到內(nèi)核空間特定信息包過濾表內(nèi)的鏈中。

　　1.2.2 表(table)

　　[-t table]選項(xiàng)允許使用標(biāo)準(zhǔn)表之外的任何一個(gè)表。表只包含一個(gè)特定類型的包處理規(guī)則和鏈的包過濾表。

　　1.2.3 命令(command)

　　命令的部分最重要的部分是iptables命令。它告訴iptables命令去做什么。

　　1.3 netfilter/iptables組件

　　1.3.1 簡介

　　netfilter/iptables IP 信息包過濾系統(tǒng)是一種功能強(qiáng)大的工具，可用于添加、編輯和除去規(guī)則，這些規(guī)則是在做信息包過濾決定時(shí)，防火墻所遵循和組成的規(guī)則。

　　1.3.2 功能

　　Linux的防火墻是由netfilter和iptables兩個(gè)組件構(gòu)成。netfilter組件也稱為內(nèi)核空間(kernelspace)，iptables 組件稱為用戶空間(userspace)，通過iptables執(zhí)行命令或者修改配置文件來設(shè)置規(guī)則，netfilter接收指令和讀取配置文件來使這些規(guī)則生效。

　　1.3.3 工作方式

　　Netfilter組件由數(shù)據(jù)包過濾表組成，用來控制數(shù)據(jù)包過濾處理的規(guī)則集。

　　Iptables組件它可以更容易插入、修改和刪除數(shù)據(jù)信息包過濾表中的規(guī)則。(見圖1)

　　二、防火墻技術(shù)

　　2.1 防火墻的定義

　　防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。

　　2.2 防火墻的種類

　　不同的防火墻其運(yùn)用的技術(shù)不同，總的來說分以下幾類：1 .包過濾防火墻;2.應(yīng)用網(wǎng)關(guān)防火墻;3. 狀態(tài)檢測防火墻;4. 復(fù)合型防火墻。

　　三、防火墻的設(shè)計(jì)

　　3.1 設(shè)計(jì)思路

　　對于連接到網(wǎng)絡(luò)上的 Linux 系統(tǒng)來說，防火墻是必不可少的防御機(jī)制，它只允許合法的網(wǎng)絡(luò)流量進(jìn)出系統(tǒng)，而禁止其它任何網(wǎng)絡(luò)流量。

　　3.2 配置規(guī)則

　　一個(gè)LINUX防火墻系統(tǒng)需要一個(gè)合理的、高效的并且簡單的安全機(jī)制，而安全機(jī)制通常是通過Input、Output、Forward這三條“防火鏈”來實(shí)現(xiàn)。

　　四、結(jié)束語

　　netfilter/iptables 的最大優(yōu)點(diǎn)是它可以配置有狀態(tài)的防火墻，這是 ipfwadm 和 ipchains 等以前的工具都無法提供的一種重要功能。netfilter/iptables 的另一個(gè)重要優(yōu)點(diǎn)是，它使用戶可以完全控制防火墻配置和信息包過濾。另外，netfilter/iptables 是免費(fèi)的，這對于那些想要節(jié)省費(fèi)用的人來說十分理想，它可以代替昂貴的防火墻解決方案。

　　參考文獻(xiàn)

　　[1] Robert L.Ziegler，《Linux防火墻》人民郵電出版社，2000.10.

　　[2] W.Richard Stevens，《TCP/IP詳解 卷一：協(xié)議》機(jī)械工業(yè)出版社，2000.4.1.

　　[3] 中國計(jì)算機(jī)報(bào) 出版日期：2001-09-27 總期號：1058 本年期號：73 看安全策略定防火墻.

　　[4] 《卡飯?jiān)驴返?2期(2011.11) 關(guān)于防火墻規(guī)則.

　　[5] 防火墻 .

　　[6] 防火墻的工作原理及比較 360論壇網(wǎng)絡(luò)專 .

　　linux防火墻技術(shù)論文篇二

　　基于透明模式的Linux防火墻設(shè)計(jì)

　　摘要：隨著計(jì)算機(jī)技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)已經(jīng)逐漸應(yīng)用到比如辦公網(wǎng)絡(luò)化、網(wǎng)上資源共享等人們工作生活的各個(gè)方面。隨著網(wǎng)絡(luò)的大規(guī)模的應(yīng)用，網(wǎng)絡(luò)資源共享性提高，其安全性成為目前人們研究的重點(diǎn)課題。本文詳細(xì)的介紹了linux系統(tǒng)中防火墻設(shè)計(jì)技術(shù)——透明模式技術(shù)?；谕该髂Ｊ降姆阑饓梢赃M(jìn)行轉(zhuǎn)換內(nèi)外網(wǎng)地址，以便屏蔽內(nèi)部網(wǎng)段的訪問細(xì)節(jié)，同時(shí)還可以使防火墻的服務(wù)器端口進(jìn)行隱藏，使其無法被探測到，這樣就極大的提高了防火墻的坑攻擊性，加強(qiáng)了網(wǎng)絡(luò)的安全性。

　　關(guān)鍵詞：linux系統(tǒng);網(wǎng)絡(luò)安全;透明模式;防火墻設(shè)計(jì)

　　中圖分類號：TP311.52文獻(xiàn)標(biāo)識碼：A文章編號：1007-9599 (2012) 07-0000-02

　　一、引言

　　隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和現(xiàn)代通信技術(shù)的發(fā)展，信息安全成為眾多科學(xué)工作者的研究重點(diǎn)。Linux系統(tǒng)作為一個(gè)開放的網(wǎng)絡(luò)網(wǎng)絡(luò)操作系統(tǒng)，被廣泛的應(yīng)用于教育、金融和政府企業(yè)網(wǎng)中，在應(yīng)用過程中，防火墻技術(shù)越來越多的被應(yīng)用于專用網(wǎng)絡(luò)，和公用網(wǎng)絡(luò)的互聯(lián)環(huán)境中,因此，linux系統(tǒng)的防火墻設(shè)計(jì)大大的影響人們辦公的利于弊。防火墻集成了計(jì)算機(jī)的硬件和軟件，位于兩個(gè)或者多個(gè)網(wǎng)段之間，能夠?qū)嵤W(wǎng)絡(luò)資源的訪問控制，在任何兩個(gè)或者多個(gè)網(wǎng)絡(luò)之間，按照一定的安全策略實(shí)施數(shù)據(jù)包的安全檢測，判斷各個(gè)網(wǎng)絡(luò)之間的通信能否被許可，時(shí)刻監(jiān)視網(wǎng)絡(luò)的運(yùn)行現(xiàn)狀。

　　本文基于作者多年的研究和實(shí)踐經(jīng)驗(yàn)，詳細(xì)的描述了linux2.4系統(tǒng)內(nèi)核中，防火墻設(shè)計(jì)的相關(guān)技術(shù)，比如數(shù)據(jù)包過濾、Netfilter/Iptables架構(gòu)、透明模式等，并基于這些技術(shù)針對linux防火墻進(jìn)行了設(shè)計(jì)[1]，詳細(xì)的探討了防火墻控制系統(tǒng)的設(shè)計(jì)，以便為人們在使用linux系統(tǒng)時(shí)，設(shè)計(jì)防火墻提供參考。

　　二、背景技術(shù)

　　(一)Linux系統(tǒng)簡介

　　Linux是一種自由的和開放源碼的類Unix操作系統(tǒng)，其得名于計(jì)算機(jī)業(yè)余愛好者Linus Torvalds。當(dāng)前存在著許多不同的linux系統(tǒng)版本，比如大家眾所周知的linux2.2和linux2.4系列。雖然他們的產(chǎn)生時(shí)間和版本不同，但是它們都使用了linux內(nèi)核，嚴(yán)格來講，Linux這個(gè)詞本身只表示Linux內(nèi)核，但實(shí)際上人們已經(jīng)習(xí)慣了用Linux來形容整個(gè)基于Linux內(nèi)核，并且使用GNU 工程各種工具和數(shù)據(jù)庫的操作系統(tǒng)。Linux可以安裝在各種計(jì)算機(jī)硬件設(shè)備中，比如從平板電腦、手機(jī)、路由器和視頻游戲控制臺，到臺式計(jì)算機(jī)、大型機(jī)和超級計(jì)算機(jī)。Linux是一個(gè)領(lǐng)先的操作系統(tǒng)，世界上運(yùn)算最快的10臺超級計(jì)算機(jī)運(yùn)行的都是Linux操作系統(tǒng)。

　　(二)Linux系統(tǒng)的數(shù)據(jù)包過濾

　　對于Linux系統(tǒng)的防火墻設(shè)計(jì)與實(shí)現(xiàn)[2]來講，為了能夠判定網(wǎng)中的流通的數(shù)據(jù)包等是否合法，需要有網(wǎng)絡(luò)安全人員或者是系統(tǒng)管理員制定一組詳細(xì)的網(wǎng)絡(luò)通信規(guī)則，這組規(guī)則具有一個(gè)中心控制點(diǎn)，使用該組規(guī)則能夠檢測網(wǎng)絡(luò)中的數(shù)據(jù)包并且能夠流出合法的數(shù)據(jù)包信息，使系統(tǒng)不受損害。包過濾是防火墻設(shè)計(jì)過程中使用的一種必備技術(shù)，因?yàn)榫W(wǎng)絡(luò)流量是是由網(wǎng)絡(luò)中的IP數(shù)據(jù)包有機(jī)形成，網(wǎng)絡(luò)流量憑靠流的形式展現(xiàn)在網(wǎng)絡(luò)中，并且從系統(tǒng)的發(fā)送端經(jīng)過網(wǎng)絡(luò)留到接收端。形成網(wǎng)絡(luò)流量的IP數(shù)據(jù)包包括兩個(gè)部分，其分別是包頭和數(shù)據(jù)，其中包頭里含有接收數(shù)據(jù)的目的地址、數(shù)據(jù)來源的源地址以及數(shù)據(jù)包傳輸過程中采用的某種傳輸協(xié)議類型等信息，因此Linux防火墻系統(tǒng)就可以根據(jù)防火墻設(shè)置的相應(yīng)的安全檢查規(guī)則嚴(yán)格的檢查這些數(shù)據(jù)包中的包頭和數(shù)據(jù)，這樣就能夠確定網(wǎng)絡(luò)中流通的數(shù)據(jù)包是否合法，接收端是否接授被檢測到的IP數(shù)據(jù)包，還是拒絕流過的IP數(shù)據(jù)包，這個(gè)過程我們就稱之為IP數(shù)據(jù)包過濾[3]。

　　(三)Netfilter/Iptables架構(gòu)分析

　　在Linux2.4系統(tǒng)的內(nèi)核中，其提供了一個(gè)非常強(qiáng)大的防火墻工具——Netfilter/Iptables組件，該工具使用起來非常靈活，并且功能十分強(qiáng)大，其使用控制規(guī)則對網(wǎng)絡(luò)中流入和流出的數(shù)據(jù)包信息進(jìn)行非常細(xì)化的控制。Netfilter/Iptables組件基于信息包過濾表(tables)有機(jī)組成，該過濾表包含了控制網(wǎng)段中數(shù)據(jù)包處理的一些規(guī)則集(rules)。IP數(shù)據(jù)包根據(jù)規(guī)則集中包含的包過濾類型，將這些規(guī)則放入鏈(chains)中，同時(shí)規(guī)定Linux系統(tǒng)2.4內(nèi)核對來網(wǎng)絡(luò)中流入流出的數(shù)據(jù)包進(jìn)行處置。Netfilter/Iptables組件的工作原理以及其結(jié)構(gòu)組成如下所述[4]。

　　1. Netfilter/Iptables的工作原理簡述。在Linux2.4系統(tǒng)內(nèi)核中，Netfilter/Iptables是Linux系統(tǒng)發(fā)展過程中的第4代包過濾防火墻系統(tǒng)[5]，該系統(tǒng)僅僅可以用來擴(kuò)展網(wǎng)絡(luò)服務(wù)，并沒有具體實(shí)現(xiàn)包過濾的程序，是一個(gè)包過濾系統(tǒng)的結(jié)構(gòu)化底層開發(fā)框架。Netfilter/Iptables框架共包含三個(gè)組成部分：一是為各種網(wǎng)絡(luò)協(xié)議定義的一些相關(guān)的鉤子函數(shù)，比如為IPV4定義了五個(gè)鉤子函數(shù)，這些函數(shù)可以在網(wǎng)絡(luò)中數(shù)據(jù)包經(jīng)過某些協(xié)議棧的關(guān)鍵點(diǎn)時(shí)被用來調(diào)用;二是linux2.4內(nèi)核的每一個(gè)模塊都可以針對各種協(xié)議一個(gè)或者是很多個(gè)鉤子進(jìn)行注冊，以便實(shí)現(xiàn)掛接;三是用來傳遞給用戶的數(shù)據(jù)包，其在排隊(duì)的數(shù)據(jù)包中使用異步處理的方法。

　　2. IPv4中Netfilter/Iptables的結(jié)構(gòu)簡述。Netfilter/Iptables提供了三個(gè)基本的功能表[6]：網(wǎng)絡(luò)地址轉(zhuǎn)換表(NAT) 、數(shù)據(jù)包過濾表(filter)和數(shù)據(jù)包處理表(mangle)。其中每個(gè)表又通常由若干鏈構(gòu)成，一個(gè)鏈既是許多規(guī)則中的一個(gè)過濾清單，根據(jù)過濾規(guī)則能夠處理的數(shù)據(jù)包的類型，將其分組到各個(gè)鏈中。其工作過程是如果一個(gè)網(wǎng)絡(luò)中流通的IP數(shù)據(jù)包與某一規(guī)則相匹配，防火墻就允許該包通過，既是接受該數(shù)據(jù)包;否則，就丟球或者拒絕接受該數(shù)據(jù)包，通過這些功能就可以防止非法數(shù)據(jù)流通，以便保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全。

　　3. Netfilter/Iptables的內(nèi)置規(guī)則。Netfilter/Iptables可以通過讀取在網(wǎng)絡(luò)中流入和流出的IP數(shù)據(jù)包的頭部，分析其具體信息，然后就和規(guī)則集相比較，這樣就可以確定IP數(shù)據(jù)包是接受轉(zhuǎn)發(fā)還是拒絕接受，對于被拒絕的IP數(shù)據(jù)包，Netfilter/Iptables內(nèi)置規(guī)則集默認(rèn)丟棄或者按照某種定義的動作來處理數(shù)據(jù)包。在linux2.4內(nèi)核中，其建立了三個(gè)Iptables，其中Filter包含input、output以及forward鏈，該Iptable的主要作用是用來過濾一般的IP數(shù)據(jù)包，;Nat包含prerouting、output和postrouting鏈，其作用是用來轉(zhuǎn)發(fā)IP數(shù)據(jù)包;Mangle包括prerouting和output鏈，其可以使用一些規(guī)則記錄用于高級路由的IP數(shù)據(jù)包。

　　三、Linux透明模式防火墻實(shí)現(xiàn)

　　(一)透明模式的結(jié)構(gòu)和優(yōu)點(diǎn)

　　在人們上網(wǎng)等過程中，由于計(jì)算機(jī)系統(tǒng)中安裝了防火墻，導(dǎo)致網(wǎng)速變慢，給人們帶來了各種不方便，比如無法登錄某些被限制的有用網(wǎng)站，網(wǎng)速變慢等問題，為了解決防火墻帶來的這種弊端，在本文中l(wèi)inux系統(tǒng)防火墻的實(shí)現(xiàn)過程中，我們采用了新穎的Iptables+Squid透明模式，用于設(shè)計(jì)和實(shí)現(xiàn)防火墻[7]的功能。在基于透明模式防火墻網(wǎng)絡(luò)系統(tǒng)中，數(shù)據(jù)訪問流程如下：用戶與代理服務(wù)器進(jìn)行對話，然后接受客戶的請求，與真實(shí)的服務(wù)器相連接，然后請求得到響應(yīng)數(shù)據(jù)并將其反饋給用戶。使用透明模式的防火墻可以解決很多問題，比如網(wǎng)絡(luò)速度慢和IP地址緊缺等。在防火墻的實(shí)現(xiàn)規(guī)則設(shè)置中，基于透明模式的防火墻系統(tǒng)采用了比包過濾較深層次的數(shù)據(jù)包檢查策略，網(wǎng)絡(luò)的內(nèi)部用戶如果在訪問外網(wǎng)數(shù)據(jù)時(shí)，基于透明模式的訪問方式無需進(jìn)行服務(wù)器代理設(shè)置，就能夠使用戶與外界資源直接進(jìn)行高速的通信，大大的減少了用戶上網(wǎng)的時(shí)間，加快了網(wǎng)絡(luò)訪問的速度。另外，采用透明模式的防火墻系統(tǒng)，可以很方便的進(jìn)行內(nèi)網(wǎng)和外網(wǎng)地址轉(zhuǎn)換，屏蔽內(nèi)部網(wǎng)絡(luò)的訪問細(xì)節(jié)信息，使得防火墻的服務(wù)器端口被系統(tǒng)隱藏，使其無法潛在的攻擊者所探測到，就能夠大大的提高網(wǎng)絡(luò)的安全性，減少被黑客攻擊的幾率。

　　(二)基于Iptables+Squid實(shí)現(xiàn)透明模式

　　Squid是一個(gè)代理服務(wù)器軟件[8]，其通常在Unix/Linux系統(tǒng)下工作并且能夠支持許多種協(xié)議，該軟件能夠緩存我們網(wǎng)絡(luò)上使用的數(shù)據(jù)，也即是當(dāng)服務(wù)器軟件使用Squid之后，服務(wù)器內(nèi)存中就會建立一個(gè)哈希表，也稱為散列表，該哈希表用來保存在硬盤中的緩存目錄的配置狀態(tài)。如果網(wǎng)絡(luò)上用戶發(fā)出代理請求時(shí)，Squid接收用戶的請求并且下載申請，然后自動的處理其所下載的請求數(shù)據(jù)信息。Squid可以構(gòu)造非常復(fù)雜的代理訪問控制結(jié)構(gòu)，能夠提供多種訪問控制策略，并且能夠節(jié)省很多網(wǎng)絡(luò)帶寬，其具有系統(tǒng)運(yùn)行穩(wěn)定，運(yùn)行效率高，響應(yīng)及時(shí)等十分強(qiáng)大的功能。

　　四、 Linux防火墻訪問控制系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

　　在linux系統(tǒng)防火墻設(shè)計(jì)與實(shí)現(xiàn)過程中，訪問控制系統(tǒng)的設(shè)計(jì)是非常關(guān)鍵的，訪問控制系統(tǒng)設(shè)計(jì)的好壞，直接影響防火墻的功能是否健全，性能是否優(yōu)越，以及其他非功能性約束。

　　(一)訪問控制系統(tǒng)的設(shè)計(jì)思想和功能

　　本文所設(shè)計(jì)的訪問控制系統(tǒng)基于透明模式技術(shù)。該模式與普通模式相比較，具有配置簡單靈活、適用范圍廣等許多優(yōu)點(diǎn)。在linux系統(tǒng)內(nèi)核下，基于iptables+squid實(shí)現(xiàn)透明模式技術(shù)[9]，因此該防火墻具有一定的包過濾功能。由于Linux系統(tǒng)內(nèi)核防火墻設(shè)計(jì)過程中，其包過濾機(jī)制存在一定的局限性，存在著缺陷，比如過濾能力非常有限。如果網(wǎng)絡(luò)內(nèi)部的用戶向代理服務(wù)器發(fā)出訪問請求時(shí)，使用某些具有隱蔽性的技術(shù)和手段，這樣就可以使得數(shù)據(jù)包無需通過iptables+Squid就能夠訪問外部的網(wǎng)絡(luò)，防火墻系統(tǒng)的檢測機(jī)制的作用就會被降低，為了解決上面的問題，在本文中，筆者基于多年的實(shí)踐經(jīng)驗(yàn)，基于透明模式，設(shè)計(jì)并提出了一種新穎的內(nèi)部用戶訪問控制系統(tǒng)，這種系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)思想如下：系統(tǒng)根據(jù)網(wǎng)絡(luò)內(nèi)部的用戶發(fā)出的數(shù)據(jù)信息，讓防火墻系統(tǒng)的服務(wù)器抓取該數(shù)據(jù)信息中的IP數(shù)據(jù)包的頭部，詳細(xì)的按照訪問控制規(guī)則對其進(jìn)行分析，根據(jù)iptables定義的防火墻規(guī)則鏈檢測數(shù)據(jù)包是否合法;另外在服務(wù)器的另一個(gè)端口時(shí)刻偵聽已經(jīng)流出去的數(shù)據(jù)信息，通過反饋信息對其進(jìn)行檢測過濾，與此同時(shí)，服務(wù)器還要對已經(jīng)流出去的相應(yīng)請求數(shù)據(jù)包進(jìn)行日志登記，在防火墻系統(tǒng)的控制管理過程中，我們可以查看過長的數(shù)據(jù)信息或者是過快的一連串的異常數(shù)據(jù)請求行為，以便從中發(fā)現(xiàn)可疑現(xiàn)象。

　　因此，綜上所述，本文中所設(shè)計(jì)和實(shí)現(xiàn)的防火墻訪問控制系統(tǒng)的主要功能主要由以下幾個(gè)方面共同組成：

　　1.適用范圍廣泛，可用于各種網(wǎng)絡(luò)應(yīng)用協(xié)議;2.禁止內(nèi)部用戶越過防火墻非法訪問;3.根據(jù)對數(shù)據(jù)包頭部的分析，實(shí)現(xiàn)動態(tài)包過濾功能，加強(qiáng)了系統(tǒng)的性能和安全性;4.系統(tǒng)提供日志審計(jì)，以便記錄系統(tǒng)訪問、系統(tǒng)管理及針對安全策略的網(wǎng)絡(luò)訪問情況。

　　(二)訪問控制系統(tǒng)的實(shí)現(xiàn)

　　1.防火墻規(guī)則初始化：啟動forward功能;配置缺省原則;設(shè)置nat規(guī)則;設(shè)置內(nèi)外網(wǎng)連接規(guī)則;設(shè)置icmp規(guī)則;設(shè)置透明模式。

　　2.偵聽數(shù)據(jù)包：訪問控制系統(tǒng)能夠在任何時(shí)刻監(jiān)聽是否有發(fā)往Squid的數(shù)據(jù)包信息的訪問請求，使用的偵聽數(shù)據(jù)包技術(shù)主要可以采用基于客戶機(jī)與服務(wù)器分布式通信技術(shù)來實(shí)現(xiàn)。在客戶機(jī)與服務(wù)器分布式的通信過程中，訪問控制系統(tǒng)就可以通過Socket截獲或者抓卻客戶機(jī)發(fā)送給服務(wù)器的數(shù)據(jù)包，另外基于該種技術(shù)，訪問控制系統(tǒng)可以同時(shí)將多個(gè)Socket連入同一個(gè)端口，這樣就可以使得所有的客戶機(jī)均可以用統(tǒng)一的通信前端與服務(wù)器進(jìn)行通信。

　　3.數(shù)據(jù)包截獲和分析：該模塊從接收到的數(shù)據(jù)包中提取出來IP數(shù)據(jù)包的頭部信息，對其進(jìn)行分析，并從數(shù)據(jù)包提取所需要的信息。

　　4.訪問控制管理：訪問控制管理是該控制系統(tǒng)設(shè)計(jì)過程中最為關(guān)鍵的一個(gè)部分，當(dāng)經(jīng)過數(shù)據(jù)包分析之后，可以認(rèn)證用戶身份，然后通過對內(nèi)核防火墻過濾規(guī)則的操作來實(shí)現(xiàn)對用戶的訪問控制。訪問控制管理模塊生成一個(gè)shell腳本的start文件，該文件可以用來創(chuàng)建一個(gè)基礎(chǔ)的iptables規(guī)則，并且初始化input、output及forward鏈，同時(shí)為每一個(gè)服務(wù)創(chuàng)建一個(gè)對應(yīng)的防火鏈，并在forward鏈中添加規(guī)則，將相應(yīng)服務(wù)端口的請求轉(zhuǎn)發(fā)給服務(wù)鏈。訪問控制管理模塊同時(shí)定義了所有服務(wù)對應(yīng)的TCP/UDP端口及服務(wù)種類。

　　五、結(jié)束語

　　總而言之，隨著網(wǎng)絡(luò)資源使用的方便程度越來越多，使用網(wǎng)絡(luò)的人必將迅速增加，如何保證網(wǎng)絡(luò)信息安全成為許多研究者的工作重點(diǎn)。本文利用Linux內(nèi)核防火墻中的包過濾機(jī)制iptables和代理服務(wù)器軟件squid實(shí)現(xiàn)了透明模式的防火墻，其具有置簡單靈活、適用范圍廣等許多優(yōu)點(diǎn)，并且提出了解決系統(tǒng)內(nèi)部用戶訪問的安全性問題，為linux系統(tǒng)防火墻設(shè)計(jì)引入了新的理念。隨著信息安全技術(shù)的發(fā)展，linux防火墻設(shè)計(jì)也必將產(chǎn)生更多的有效設(shè)計(jì)原理和方法，以保證網(wǎng)絡(luò)應(yīng)用環(huán)境的安全。

　　參考文獻(xiàn)：

　　[1]周曉梅.Linux內(nèi)核防火墻及其應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007(06)

　　[2]鄭超,高學(xué)全,張建勛.基于Linux防火墻的局域網(wǎng)安全環(huán)境設(shè)計(jì)與實(shí)現(xiàn)[J].科學(xué)技術(shù)與工程,2008(11)

　　[3]秦濤.在LINUX下使用Iptables作為防火墻研究[J].內(nèi)蒙古電大學(xué)刊,2009(01)

　　[4]鄭超,張建勛.Linux防火墻Netfilter-iptables擴(kuò)展機(jī)制及應(yīng)用研究[J].計(jì)算機(jī)與數(shù)字工程,2009(06)

　　[5]朱萍.基于透明代理的Linux防火墻的設(shè)計(jì)與實(shí)現(xiàn)[J].合肥工業(yè)大學(xué)學(xué)報(bào)(自然科學(xué)版),2007(05)

　　[6]劉軍,鄭傳波,張凱.基于數(shù)據(jù)包過濾和透明代理相結(jié)合的防網(wǎng)絡(luò)攻擊[J].計(jì)算機(jī)工程與設(shè)計(jì),2005(05)

　　[7]宛鉞.基于iptables的Linux防火墻的配置和實(shí)現(xiàn)[J].沈陽航空工業(yè)學(xué)院學(xué)報(bào),2008(02)

　　[8]潘賢.Linux內(nèi)核中Netfilter/Iptables防火墻的技術(shù)分析[J].計(jì)算機(jī)安全,2008(08)

　　[9]劉建峰,潘軍,李祥和.Linux防火墻內(nèi)核中Netfilter和Iptables的分析[J].微計(jì)算機(jī)信息,2006(03)