本文由maimmj贡献pdf1。第22卷第5期2004年9月北京工商大学学报(自然科学版)JournalofBeijingTechnologyandBusinessUniversity(NaturalScienceEdition)文章编号:167121513(2004)0520027204基于Linux的防火墙技术陈天华(北京工商大学信息工程学院,北京100037)摘要:介绍了防火墙在网络安全中的作用和重要性,分析了筛选路由器、双宿主网关、屏蔽主机网关与屏蔽子网网关等四种典型防火墙系统结构的原理和优缺点,并对目前正逐步得到广泛应用、源代码开放的Linux防火墙进行了实例配置和分析Ζ关键词:Linux;信息安全;防火墙;网络安全中图分类号:TP393;TP273文献标识码:A1防火墙与网络安全2防火墙系统结构随着Internet、tranet的发展,网络安全已经In成为网络系统最重要的一个方面Λ防火墙技术是网络安全领域应用较普遍的一种技术,已经越来越受到人们的广泛关注Λ从原理上讲,一个防火墙系统是指这样的一套从原理上说,防火墙系统有以下几种结构:1)筛选路由器(Screeningrouter)筛选路由器通常又称包过滤防火墙Λ它一般作用在网络层(IP层),对进出内部网络的所有信息进行分析,并按照一定的安全策略对进出内部网络的信息进行限制Λ包过滤的核心就是安全策略(包过滤算法)的设计Λ包过滤型防火墙往往可以用一台过滤路由器来实现,对所接收的每个数据包作允许拒绝的决定[1]Λ这种防火墙的优点是速度快、实现方便,故兼容性差Λ2)双宿主网关结构(Dual2HomedHost)但安全性能差,且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,软件和或硬件装置,它介于二个互通网络——外部网络与被保护网络之间,实现对被保护网络的访问控制Λ因此使用防火墙系统的主要目的在于实现两个或多个网络间透明访问,阻止非授权访问Λ防火墙的另一个重要作用在于,使被保护网的入口点尽可能少暴露出来,以有效减少外部网对被保护网的非授权访问和恶意攻击,保护系统,同时能更有效地统计记录网络流量及其它相关信息Λ事实上,防火墙技术也已引入到Intranet中,用于实现子网间的隔离与访问控制Λ需要指出的是,防火墙仅仅是网络安全系统的一个组成部分,远远不是它的全部Λ例如,防火墙不能抵御绕过它的外界攻击,更不能替代安全管理与监督机制Λ防火墙的设置必须正确反映网络的安全策略,但它也只能承担它自身所能承担的责任Λ因此,防火墙系统是整个网络安全体系中至关重要的一环Λ如图1所示,双宿主网关结构是一种构造最简单,投资最少的一种防火墙系统Λ所谓的双宿主是指在一台主机即所谓“堡垒主机”上至少安装二个网络接口,防火墙软件可以起到这些网络接口的路由作用Λ通常情况下,这些网络接口不能透明通讯,即内外网络之间不可直接通信,内外网络之间的IP数据流被双宿主主机完全切断,而要经过所谓的代理(proxy)服务Λ二个网络接口间的通讯包可由包过滤机制进行过滤Λ整个堡垒主机经过仔细配置,使之具Vol122No15Sep.200427收稿日期:20040406作者简介:陈天华(1967-),男,湖南长沙人,硕士,主要从事信息工程及计算机网络等方面的研究Ζ28北京工商大学学报(自然科学版)page12004年9月Gateway)有非常高的安全性[2]Λ实际上,双宿主网关结构的防火墙非常适用于仅属单一服务的应用级防火墙,如通讯包过滤等Λ图1双宿主网关结构防火墙网和被保护网之间,对它的访问受路由器的屏蔽规则约束,外部网和受保护网间的所有通讯都必须经过该子网Λ从原理上看,这是一个双宿主主机结构运用在一个子网络的结果Λ因而,可以在子网中设置多台主机,形成“周边区”Λ由于这种结构可在子网中放置多台主机,因此会带来很多好处,一是可以大大提高吞吐量;二是可将多种服务放置在不同的主机上,图3屏蔽子网网关结构防火墙使单个主机的配置相对更容易;而最重要的优点是在整个系统中,没有明显的安全单点失效Λ这种结构的缺点是对每一种应用都必须提供代理服务,而且网络吞吐受单机网络吞吐能力的限制Λ双宿主机是唯一隔开内部网和外部因特网之间的屏障,如果入侵者得到了双宿主主机的访问权,内部网络就会被入侵,所以为了保证内部网的安全,双宿主主机首先要禁止网络层的路由功能,并具有强大的身份认证系统,尽量减少防火墙上用户的账户数Λ3)屏蔽主机网关结构(ScreenedHost屏蔽主机网关结构依赖于路由器,这种路由器具有对通讯包的屏蔽能力,可以阻止外部网对被保护网的直接访问Λ如图2所示,该结构的防火