本文由maimmj贡献 pdf1。 第22卷第5期 2004年9月 北京工商大学学报(自然科学版) JournalofBeijingTechnologyandBusinessUniversity(Natura lScienceEdition) 文章编号:167121513(2004)0520027204 基于Linux的防火墙技术 陈天华 (北京工商大学信息工程学院,北京100037) 摘要:介绍了防火墙在网络安全中的作用和重要性,分析了筛选路由器、双 宿主网关、屏蔽主机网关与屏蔽子网网关等四种典型防火墙系统结构的原理和优缺 点,并对目前正逐步得到广泛应用、源代码开放的Linux防火墙进行了实例配置和 分析Ζ关键词:Linux;信息安全;防火墙;网络安全中图分类号:TP393;TP 273文献标识码:A 1防火墙与网络安全 2防火墙系统结构 随着Internet、tranet的发展,网络安全已经In成为网络系统最重要的 一个方面Λ防火墙技术是网络安全领域应用较普遍的一种技术,已经越来越受到人 们的广泛关注Λ从原理上讲,一个防火墙系统是指这样的一套 从原理上说,防火墙系统有以下几种结构:1)筛选路由器(Screeningrou ter)筛选路由器通常又称包过滤防火墙Λ它一般作用在网络层(IP层),对进 出内部网络的所有信息进行分析,并按照一定的安全策略对进出内部网络的信息进 行限制Λ包过滤的核心就是安全策略(包过滤算法)的设计Λ包过滤型防火墙往往 可以用一台过滤路由器来实现,对所接收的每个数据包作允许拒绝的决定[1]Λ 这种防火墙的优点是速度快、实现方便,故兼容性差Λ2)双宿主网关结构(Dua l2HomedHost)但安全性能差,且由于不同操作系统环境下TCP和 UDP端口号所代表的应用服务协议类型有所不同, 软件和或硬件装置,它介于二个互通网络——外部网络与被保护网络之间,实 现对被保护网络的访问控制Λ因此使用防火墙系统的主要目的在于实现两个或多个 网络间透明访问,阻止非授权访问Λ防火墙的另一个重要作用在于,使被保护网的入 口点尽可能少暴露出来,以有效减少外部网对被保护网的非授权访问和恶意攻击, 保护系统,同时能更有效地统计记录网络流量及其它相关信息Λ事实上,防火墙技 术也已引入到Intranet中,用于实现子网间的隔离与访问控制Λ需要指出的是 ,防火墙仅仅是网络安全系统的一个组成部分,远远不是它的全部Λ例如,防火墙 不能抵御绕过它的外界攻击,更不能替代安全管理与监督机制Λ防火墙的设置必须 正确反映网络的安全策略,但它也只能承担它自身所能承担的责任Λ因此,防火墙 系统是整个网络安全体系中至关重要的一环Λ 如图1所示,双宿主网关结构是一种构造最简 单,投资最少的一种防火墙系统Λ所谓的双宿主是指在一台主机即所谓“堡垒 主机”上至少安装二个网络接口,防火墙软件可以起到这些网络接口的路由作用Λ 通常情况下,这些网络接口不能透明通讯,即内外网络之间不可直接通信,内外网 络之间的IP数据流被双宿主主机完全切断,而要经过所谓的代理(proxy)服务 Λ二个网络接口间的通讯包可由包过滤机制进行过滤Λ整个堡垒主机经过仔细配置, 使之具 Vol122No15Sep.2004 27 收稿日期:20040406作者简介:陈天华(1967-),男,湖南长沙人,硕士 ,主要从事信息工程及计算机网络等方面的研究Ζ 28 北京工商大学学报(自然科学版) page1 2004年9月 Gateway) 有非常高的安全性[2]Λ实际上,双宿主网关结构的防火墙非常适用于仅属 单一服务的应用级防火墙,如通讯包过滤等Λ 图1双宿主网关结构防火墙 网和被保护网之间,对它的访问受路由器的屏蔽规则约束,外部网和受保护网 间的所有通讯都必须经过该子网Λ从原理上看,这是一个双宿主主机结构运用在一 个子网络的结果Λ因而,可以在子网中设置多台主机,形成“周边区”Λ由于这种 结构可在子网中放置多台主机,因此会带来很多好处,一是可以大大提高吞吐量; 二是可将多种服务放置在不同的主机上, 图3屏蔽子网网关结构防火墙 使单个主机的配置相对更容易;而最重要的优点是在整个系统中,没有明显的 安全单点失效Λ 这种结构的缺点是对每一种应用都必须提供代理服务,而且网络吞吐受单机网 络吞吐能力的限制Λ双宿主机是唯一隔开内部网和外部因特网之间的屏障,如果入 侵者得到了双宿主主机的访问权,内部网络就会被入侵,所以为了保证内部网的安全 ,双宿主主机首先要禁止网络层的路由功能,并具有强大的身份认证系统,尽量减 少防火墙上用户的账户数Λ3)屏蔽主机网关结构(ScreenedHost屏蔽 主机网关结构依赖于路由器,这种路由器具有对通讯包的屏蔽能力,可以阻止外部网 对被保护网的直接访问Λ如图2所示,该结构的防火