论文部分内容阅读
一、引言
随着计算机网络技术的不断发展,组网成本不断下降,很多企业为了充分合理地利用企业内部资源,提高管理水平和效益,都在建立自己的内部信息网络,把企业内不同区域,不同部门的各种信息资源通过网络技术有机地结合在一起,构成企业网,以便人们共享信息资源,同时企业网通过Internet外延,使它既可享用Internet上的资源,也可通过OA系统实现远程办公。但是,这也给企业网带来了严重的安全问题,这是企业网建设中必须认真考虑的问题。近几年,Linux操作系统越来越受到网络管理员的喜爱,本文即借助Linux操作系统强大的网络功能实现企业网防火墙,可以为企业节省一笔不菲的开支。
二、防火墙
防火墙是由一个或一组网络设备(计算机或路由器等),可用来在两个或多个网络间加强访问控制。
设立防火墙的主要目的是保护一个网络不受来自另一个网络的攻击。
通常,被保护的网络属于我们自己,或者是我们负责管理的,而所要防备的网络则是一个外部的网络,该网络是不可信赖的,因为可能有人会从该网络上对我们的网络发起攻击,破坏网络安全。
对网络的保护包括下列工作:拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源。
如果某个网络决定设定防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略(security policy),即确定那些类型的信息允许通过防火墙,那些类型的信息不允许通过防火墙。
防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的予以放行,不符合的拒之门外。
在设计防火墙时,除了安全策略以外,还要确定防火墙类型和拓扑结构。一般来说,防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间。
防火墙相当于一个控流器,可用来监视或拒绝应用层的通信业务,防火墙也可以在网络层和传输层运行,在这种情况下,防火墙检查进入和离去的报文分组的IP和TCP头部,根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过。
防火墙是用来实现一个组织机构的网络安全措施的主要设备。在许多情况下需要采用验证安全和增强私有性技术来加强网络的安全或实现网络方面的安全措施。
三、Linux防火墙的安全机制
1、包过滤技术 Linux内核可以完成对IP包的IP地址过滤和协议端口过滤,系统可以对每一个进出局域网的IP包进行检查,并可以进行计帐,获取IP源地址、目标地址和所用的TCP端口,根据事先设定的过滤逻辑规则,拒绝或允许IP包通过,从而实现对进入局域网的IP包实现控制。
2、代理服务器技术 代理服务器防火墙是客户访问Internet远程服务器的中间者,对客户而言是服务器,对远程服务器而言是客户,内部客户程序先向代理服务器发出连接请求,通过防止数据包在用户网络和Internet间直接传送,有效地屏蔽了内部网络,增强了安全性。用Linux构建代理服务器除了Linux内核及基本网络套装软件还需要额外的软件包,可以选择的是:SOCKS和TIS防火墙工具箱。
SOCKS代理服务器的主要部件是Socket池,内部网络客户程序先向代理服务器发出Socket连接请求,代理服务器根据不同的协议分配一个或多个Socket与客户程序连接;客户程序将Internet请求报文发送到代理服务器,代理服务器分配Socket与远程网络服务器连接并转发客户机的请求,当目的地址的计算机响应后,代理服务器又将该响应返回给客户机。
TIS系统中有一套程序用来为用户提供防火墙功能程序与SOCKS基本相同,采用的策略不同,SOCKS是用一个程序来处理所有的Internet事务,TIS则为不同的应用开发不同的程序,具有比SOCKS更好的安全性。
3、IP伪装 IP伪装是Linux核心提供的一个用于防火墙解决方案的附加功能,IP伪装无需在服务器运行任何代理服务程序,而是采用核心重写由内部网的机器转发的IP包的包头,把包的源地址(不合法IP)改为合法的IP地址,再发送出去,接收时再去掉合法IP,转发包给内部网主机。
包过滤防火墙实现相对容易,管理、维护简单;利用Linux核心提供的IP伪装功能可以增强安全性;代理服务器防火墙利用额外的软件支持,可以提供较为强大的安全功能,但实现相对困难,管理、维护起来也相对麻烦。
四、Linux防火墙系统的一种实现方案
1、防火墙实现所用工具策略 这里提出的防火墙方案主要是利用IP包过滤来实现,只需Linux内核以及基本网络套装软件,例如inetd,telnet和telnetd,ftp和ftpd等。使用Linux自带的防火墙软件ipchains,它作为Linux核心的一部分,当核心启动时,IPchains即启动链表。用它配置的4个链中,有3个在Linux内核启动时进行定义,分别是:进入链(Input Chains)、外出链(Output Chains)和转发链(Forward 网络结构示意图Chains),另外还有一个用户自定义的链(User Defined Chains)。进入链定义了流入包的过滤规则,外出链定义了流出包的过滤规则,转发链定义了转发包的过滤规则。这些链决定怎样处理进入和外出的IP包,即当一个包从网卡上进来的时候,内核用进入链的规则决定了这个包的流向; 如果允许通过,内核决定这个包下一步发往何处,如果是发往另一台机器,内核用转发链的规则决定了这个包的流向;当一个包发送出去之前,内核用外出链的规则决定了这个包的流向。某个特定的链中的每条规则都是用来判定IP包的,如果这个包与第一条规则不匹配,则接着检查下一条规则,当找到一条匹配的规则后,规则指定包的目标,目标可能是用户定义的链或者是Accept、Deny、Reject、Return、Masq和Redirect等。
2、防火墙实现方案 此方案实现是在一台主机上完成,主要是保护内部的局域网,认为主要的攻击来自于Internet的访问,而内部网络认为是可信任的。防火墙有两种默认策略:默认接受访问(ACCEPT)和默认拒绝访问(DENY)。本方案选择默认拒绝访问,并采用IP伪装实现局域网主机与Internet通信。
3、防火墙的实现 防火墙主机安装双网卡,如图所示网卡1
(eth0的IP为192.168.1.1)和网卡2(eth1的IP为60.23.35.
221)。
(1)设置IP伪装:/sbin/ipchains -A forward -s
192.168.1.0/24 -i eth0 -j MASQ
(2)设置的主要过滤规则:#默认规则
/sbin/ipchains -P input DENY
/sbin/ipchains -P forward DENY
/sbin/ipchains -P output DENY
#协议过滤规则
/sbin/ipchains -a input -p TCP -j ACCEPT
允许TCP包通过。
/sbin/ipchains -a input -p UDP -j ACCEPT
允许UDP包通过。
#服务过滤规则:
/sbin/ipchains -a input -p TCP -s 0.0.0.0/0 -d
60.23.35.221/24 telnet -j REJECT
禁止Internet主机访问防火墙计算机的Telnet服务。
/sbin/ipchains -a input -p TCP -s 0.0.0.0/0 -d
60.23.35.221/24 www -j REJECT
禁止Internet主机访问防火墙计算机的www服务。
五、结束语
防火墙技术作为目前用来实现网络安全的一种手段,主要是用来拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源,如果使用得当,可以在很大程度上提高网络安全性能,但是并不能百分之百解决网络上的信息安全问题,比如防火墙虽然能对外部网络的攻击进行有效的防护,但对来自内部网络的攻击却无能为力。因此网络安全仅靠防火墙是不够的,还需要结合其他安全技术,才能更好地实现网络安全。
随着计算机网络技术的不断发展,组网成本不断下降,很多企业为了充分合理地利用企业内部资源,提高管理水平和效益,都在建立自己的内部信息网络,把企业内不同区域,不同部门的各种信息资源通过网络技术有机地结合在一起,构成企业网,以便人们共享信息资源,同时企业网通过Internet外延,使它既可享用Internet上的资源,也可通过OA系统实现远程办公。但是,这也给企业网带来了严重的安全问题,这是企业网建设中必须认真考虑的问题。近几年,Linux操作系统越来越受到网络管理员的喜爱,本文即借助Linux操作系统强大的网络功能实现企业网防火墙,可以为企业节省一笔不菲的开支。
二、防火墙
防火墙是由一个或一组网络设备(计算机或路由器等),可用来在两个或多个网络间加强访问控制。
设立防火墙的主要目的是保护一个网络不受来自另一个网络的攻击。
通常,被保护的网络属于我们自己,或者是我们负责管理的,而所要防备的网络则是一个外部的网络,该网络是不可信赖的,因为可能有人会从该网络上对我们的网络发起攻击,破坏网络安全。
对网络的保护包括下列工作:拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源。
如果某个网络决定设定防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略(security policy),即确定那些类型的信息允许通过防火墙,那些类型的信息不允许通过防火墙。
防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的予以放行,不符合的拒之门外。
在设计防火墙时,除了安全策略以外,还要确定防火墙类型和拓扑结构。一般来说,防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间。
防火墙相当于一个控流器,可用来监视或拒绝应用层的通信业务,防火墙也可以在网络层和传输层运行,在这种情况下,防火墙检查进入和离去的报文分组的IP和TCP头部,根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过。
防火墙是用来实现一个组织机构的网络安全措施的主要设备。在许多情况下需要采用验证安全和增强私有性技术来加强网络的安全或实现网络方面的安全措施。
三、Linux防火墙的安全机制
1、包过滤技术 Linux内核可以完成对IP包的IP地址过滤和协议端口过滤,系统可以对每一个进出局域网的IP包进行检查,并可以进行计帐,获取IP源地址、目标地址和所用的TCP端口,根据事先设定的过滤逻辑规则,拒绝或允许IP包通过,从而实现对进入局域网的IP包实现控制。
2、代理服务器技术 代理服务器防火墙是客户访问Internet远程服务器的中间者,对客户而言是服务器,对远程服务器而言是客户,内部客户程序先向代理服务器发出连接请求,通过防止数据包在用户网络和Internet间直接传送,有效地屏蔽了内部网络,增强了安全性。用Linux构建代理服务器除了Linux内核及基本网络套装软件还需要额外的软件包,可以选择的是:SOCKS和TIS防火墙工具箱。
SOCKS代理服务器的主要部件是Socket池,内部网络客户程序先向代理服务器发出Socket连接请求,代理服务器根据不同的协议分配一个或多个Socket与客户程序连接;客户程序将Internet请求报文发送到代理服务器,代理服务器分配Socket与远程网络服务器连接并转发客户机的请求,当目的地址的计算机响应后,代理服务器又将该响应返回给客户机。
TIS系统中有一套程序用来为用户提供防火墙功能程序与SOCKS基本相同,采用的策略不同,SOCKS是用一个程序来处理所有的Internet事务,TIS则为不同的应用开发不同的程序,具有比SOCKS更好的安全性。
3、IP伪装 IP伪装是Linux核心提供的一个用于防火墙解决方案的附加功能,IP伪装无需在服务器运行任何代理服务程序,而是采用核心重写由内部网的机器转发的IP包的包头,把包的源地址(不合法IP)改为合法的IP地址,再发送出去,接收时再去掉合法IP,转发包给内部网主机。
包过滤防火墙实现相对容易,管理、维护简单;利用Linux核心提供的IP伪装功能可以增强安全性;代理服务器防火墙利用额外的软件支持,可以提供较为强大的安全功能,但实现相对困难,管理、维护起来也相对麻烦。
四、Linux防火墙系统的一种实现方案
1、防火墙实现所用工具策略 这里提出的防火墙方案主要是利用IP包过滤来实现,只需Linux内核以及基本网络套装软件,例如inetd,telnet和telnetd,ftp和ftpd等。使用Linux自带的防火墙软件ipchains,它作为Linux核心的一部分,当核心启动时,IPchains即启动链表。用它配置的4个链中,有3个在Linux内核启动时进行定义,分别是:进入链(Input Chains)、外出链(Output Chains)和转发链(Forward 网络结构示意图Chains),另外还有一个用户自定义的链(User Defined Chains)。进入链定义了流入包的过滤规则,外出链定义了流出包的过滤规则,转发链定义了转发包的过滤规则。这些链决定怎样处理进入和外出的IP包,即当一个包从网卡上进来的时候,内核用进入链的规则决定了这个包的流向; 如果允许通过,内核决定这个包下一步发往何处,如果是发往另一台机器,内核用转发链的规则决定了这个包的流向;当一个包发送出去之前,内核用外出链的规则决定了这个包的流向。某个特定的链中的每条规则都是用来判定IP包的,如果这个包与第一条规则不匹配,则接着检查下一条规则,当找到一条匹配的规则后,规则指定包的目标,目标可能是用户定义的链或者是Accept、Deny、Reject、Return、Masq和Redirect等。
2、防火墙实现方案 此方案实现是在一台主机上完成,主要是保护内部的局域网,认为主要的攻击来自于Internet的访问,而内部网络认为是可信任的。防火墙有两种默认策略:默认接受访问(ACCEPT)和默认拒绝访问(DENY)。本方案选择默认拒绝访问,并采用IP伪装实现局域网主机与Internet通信。
3、防火墙的实现 防火墙主机安装双网卡,如图所示网卡1
(eth0的IP为192.168.1.1)和网卡2(eth1的IP为60.23.35.
221)。
(1)设置IP伪装:/sbin/ipchains -A forward -s
192.168.1.0/24 -i eth0 -j MASQ
(2)设置的主要过滤规则:#默认规则
/sbin/ipchains -P input DENY
/sbin/ipchains -P forward DENY
/sbin/ipchains -P output DENY
#协议过滤规则
/sbin/ipchains -a input -p TCP -j ACCEPT
允许TCP包通过。
/sbin/ipchains -a input -p UDP -j ACCEPT
允许UDP包通过。
#服务过滤规则:
/sbin/ipchains -a input -p TCP -s 0.0.0.0/0 -d
60.23.35.221/24 telnet -j REJECT
禁止Internet主机访问防火墙计算机的Telnet服务。
/sbin/ipchains -a input -p TCP -s 0.0.0.0/0 -d
60.23.35.221/24 www -j REJECT
禁止Internet主机访问防火墙计算机的www服务。
五、结束语
防火墙技术作为目前用来实现网络安全的一种手段,主要是用来拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源,如果使用得当,可以在很大程度上提高网络安全性能,但是并不能百分之百解决网络上的信息安全问题,比如防火墙虽然能对外部网络的攻击进行有效的防护,但对来自内部网络的攻击却无能为力。因此网络安全仅靠防火墙是不够的,还需要结合其他安全技术,才能更好地实现网络安全。