您的位置:網(wǎng)站首頁 > 電器維修資料網(wǎng) > 正文 >
自建你的免費(fèi)Linux系統(tǒng)防火墻
★★★★★【文章導(dǎo)讀】:自建你的免費(fèi)Linux系統(tǒng)防火墻具體內(nèi)容是:防火墻(Firewall)是在一個(gè)可信的網(wǎng)絡(luò)和不可信的網(wǎng)絡(luò)之間建立安全屏障的軟件或硬件產(chǎn)品。Linux操作系統(tǒng)內(nèi)核具有包過濾能力,系統(tǒng)管理員通過管理工具設(shè)置一組規(guī)則即可建立一個(gè)基于Linux的防火墻,用這組規(guī)則過濾被主機(jī)…
來源: 日期:2013-12-14 9:27:21 人氣:標(biāo)簽:
防火墻(Firewall)是在一個(gè)可信的網(wǎng)絡(luò)和不可信的網(wǎng)絡(luò)之間建立安全屏障的軟件或硬件產(chǎn)品。Linux操作系統(tǒng)內(nèi)核具有包過濾能力,系統(tǒng)管理員通過管理工具設(shè)置一組規(guī)則即可建立一個(gè)基于Linux的防火墻,用這組規(guī)則過濾被主機(jī)接收、發(fā)送的包或主機(jī)從一個(gè)網(wǎng)卡轉(zhuǎn)發(fā)到另一個(gè)網(wǎng)卡的包,用一臺(tái)閑置的PC就可以替代昂貴的專門防火墻硬件,對(duì)于某些中小企業(yè)或部門級(jí)用戶,很值得參考。
一、防火墻的類型和設(shè)計(jì)策略
在構(gòu)造防火墻時(shí),常采用兩種方式,包過濾和應(yīng)用代理服務(wù)。包過濾是指建立包過濾規(guī)則,根據(jù)這些規(guī)則及IP包頭的信息,在網(wǎng)絡(luò)層判定允許或拒絕包的通過。如允許或禁止FTP的使用,但不能禁止FTP特定的功能(例如Get和Put的使用)。應(yīng)用代理服務(wù)是由位于內(nèi)部網(wǎng)和外部網(wǎng)之間的代理服務(wù)器完成的,它工作在應(yīng)用層,代理用戶進(jìn)、出網(wǎng)的各種服務(wù)請(qǐng)求,如FTP和Telenet等。
目前,防火墻一般采用雙宿主機(jī)(Dual-homedFirewall)、屏蔽主機(jī)(ScreenedHostFirewall)和屏蔽子網(wǎng)(ScreenedSubnetFirewall)等結(jié)構(gòu)。雙宿主機(jī)結(jié)構(gòu)是指承擔(dān)代理服務(wù)任務(wù)的計(jì)算機(jī)至少有2個(gè)網(wǎng)絡(luò)接口連接到內(nèi)部網(wǎng)和外部網(wǎng)之間。屏蔽主機(jī)結(jié)構(gòu)是指承擔(dān)代理服務(wù)任務(wù)的計(jì)算機(jī)僅僅與內(nèi)部網(wǎng)的主機(jī)相連。屏蔽子網(wǎng)結(jié)構(gòu)是把額外的安全層添加到屏蔽主機(jī)的結(jié)構(gòu)中,即添加了周邊網(wǎng)絡(luò),進(jìn)一步把內(nèi)部網(wǎng)和外部網(wǎng)隔開。
防火墻規(guī)則用來定義哪些數(shù)據(jù)包或服務(wù)允許/拒絕通過,主要有2種策略。一種是先允許任何接入,然后指明拒絕的項(xiàng);另一種是先拒絕任何接入,然后指明允許的項(xiàng)。一般地,我們會(huì)采用第2種策略。因?yàn)閺倪壿嫷挠^點(diǎn)看,在防火墻中指定一個(gè)較小的規(guī)則列表允許通過防火墻,比指定一個(gè)較大的列表不允許通過防火墻更容易實(shí)現(xiàn)。從Internet的發(fā)展來看,新的協(xié)議和服務(wù)不斷出現(xiàn),在允許這些協(xié)議和服務(wù)通過防火墻之前,有時(shí)間審查安全漏洞。
二、基于Linux操作系統(tǒng)防火墻的實(shí)現(xiàn)
基于Linux操作系統(tǒng)的防火墻是利用其內(nèi)核具有的包過濾能力建立的包過濾防火墻和包過濾與代理服務(wù)組成的復(fù)合型防火墻。下面,讓我們來看看怎樣配置一個(gè)雙宿主機(jī)的基于Linux的防火墻。
由于Linux的內(nèi)核各有不同,提供的包過濾的設(shè)置辦法也不一樣。IpFwadm是基于Unix中的ipfw,它只適用于Linux2.0.36以前的內(nèi)核;對(duì)于Linux2.2以后的版本,使用的是Ipchains。IpFwadm和Ipchains的工作方式很相似。用它們配置的4個(gè)鏈中,有3個(gè)在Linux內(nèi)核啟動(dòng)時(shí)進(jìn)行定義,分別是:進(jìn)入鏈(InputChains)、外出鏈(OutputChains)和轉(zhuǎn)發(fā)鏈(ForwardChains),另外還有一個(gè)用戶自定義的鏈(UserDefinedChains)。進(jìn)入鏈定義了流入包的過濾規(guī)則,外出鏈定義了流出包的過濾規(guī)則,轉(zhuǎn)發(fā)鏈定義了轉(zhuǎn)發(fā)包的過濾規(guī)則。
這些鏈決定怎樣處理進(jìn)入和外出的IP包,即當(dāng)一個(gè)包從網(wǎng)卡上進(jìn)來的時(shí)候,內(nèi)核用進(jìn)入鏈的規(guī)則決定了這個(gè)包的流向;如果允許通過,內(nèi)核決定這個(gè)包下一步發(fā)往何處,如果是發(fā)往另一臺(tái)機(jī)器,內(nèi)核用轉(zhuǎn)發(fā)鏈的規(guī)則決定了這個(gè)包的流向;當(dāng)一個(gè)包發(fā)送出去之前,內(nèi)核用外出鏈的規(guī)則決定了這個(gè)包的流向。某個(gè)特定的鏈中的每條規(guī)則都是用來判定IP包的,如果這個(gè)包與第一條規(guī)則不匹配,則接著檢查下一條規(guī)則,當(dāng)找到一條匹配的規(guī)則后,規(guī)則指定包的目標(biāo),目標(biāo)可能是用戶定義的鏈或者是ACCept、Deny、Reject、Return、Masq和Redirect等。
其中,Accept指允許通過;Deny指拒絕;Reject指把收到的包丟棄,但給發(fā)送者產(chǎn)生一個(gè)ICMP回復(fù);Return指停止規(guī)則處理,跳到鏈尾;Masq指對(duì)用戶定義鏈和外出鏈起作用,使內(nèi)核偽裝此包;Redirect只對(duì)進(jìn)入鏈和用戶定義鏈起作用,使內(nèi)核把此包改送到本地端口。為了讓Masq和Redirect起作用,在編譯內(nèi)核時(shí),我們可以分別選擇Config_IP_Masquerading和Config_IP_Transparent_Proxy。
假設(shè)有一個(gè)局域網(wǎng)要連接到Internet上,公共網(wǎng)絡(luò)地址為202.101.2.25。內(nèi)部網(wǎng)的私有地址根據(jù)RFC1597中的規(guī)定,采用C類地址192.168.0.0~192.168.255.0。為了說明方便,我們以3臺(tái)計(jì)算機(jī)為例。實(shí)際上, 多可擴(kuò)充到254臺(tái)計(jì)算機(jī)。
具體操作步驟如下:
1、在一臺(tái)Linux主機(jī)上安裝2塊網(wǎng)卡ech0和ech1,給ech0網(wǎng)卡分配一個(gè)內(nèi)部網(wǎng)的私有地址191.168.100.0,用來與Intranet相連;給ech1網(wǎng)卡分配一個(gè)公共網(wǎng)絡(luò)地址202.101.2.25,用來與Internet相連。
2、Linux主機(jī)上設(shè)置進(jìn)入、轉(zhuǎn)發(fā)、外出和用戶自定義鏈。本文采用先允許所有信息可流入和流出,還允許轉(zhuǎn)發(fā)包,但禁止一些危險(xiǎn)包,如IP欺騙包、廣播包和ICMP服務(wù)類型攻擊包等的設(shè)置策略。
具體設(shè)置如下:
(1)刷新所有規(guī)則
(2)設(shè)置初始規(guī)則
(3)設(shè)置本地環(huán)路規(guī)則
本地進(jìn)程之間的包允許通過。
(4)禁止IP欺騙
(5)禁止廣播包
(6)設(shè)置ech0轉(zhuǎn)發(fā)規(guī)則
(7)設(shè)置ech1轉(zhuǎn)發(fā)規(guī)則
將規(guī)則保存到/etc/rc.firewallrules文件中,用chmod賦予該文件執(zhí)行權(quán)限,在/etc/rc.d.rc.LOCal中加入一行/etc/rc.firewallrules,這樣當(dāng)系統(tǒng)啟動(dòng)時(shí),這些規(guī)則就生效了。
通過以上各步驟的配置,我們可以建立一個(gè)基于Linux操作系統(tǒng)的包過濾防火墻。它具有配置簡(jiǎn)單、安全性高和抵御能力強(qiáng)等優(yōu)點(diǎn),特別是可利用閑置的計(jì)算機(jī)和免費(fèi)的Linux操作系統(tǒng)實(shí)現(xiàn)投入 小化、產(chǎn)出 大化的防火墻的構(gòu)建。另外,如果在包過濾的基礎(chǔ)上再加上代理服務(wù)器,如TIS Firewall Toolkit 免費(fèi)軟件包,還可構(gòu)建更加安全的復(fù)合型防火墻。
【看看這篇文章在百度的收錄情況】