<acronym id='7eub1'><em id='7eub1'></em><td id='7eub1'><div id='7eub1'></div></td></acronym><address id='7eub1'><big id='7eub1'><big id='7eub1'></big><legend id='7eub1'></legend></big></address>

<ins id='7eub1'></ins><fieldset id='7eub1'></fieldset>

      <i id='7eub1'><div id='7eub1'><ins id='7eub1'></ins></div></i>
      <span id='7eub1'></span>
      <dl id='7eub1'></dl>

    1. <tr id='7eub1'><strong id='7eub1'></strong><small id='7eub1'></small><button id='7eub1'></button><li id='7eub1'><noscript id='7eub1'><big id='7eub1'></big><dt id='7eub1'></dt></noscript></li></tr><ol id='7eub1'><table id='7eub1'><blockquote id='7eub1'><tbody id='7eub1'></tbody></blockquote></table></ol><u id='7eub1'></u><kbd id='7eub1'><kbd id='7eub1'></kbd></kbd>

      <code id='7eub1'><strong id='7eub1'></strong></code>

          <i id='7eub1'></i>
        1. 免费自建Linux系统防火墙

          • 时间:
          • 浏览:8
          • 来源:124软件资讯网

            防火墙(Firewall)是在一个可信的网络和不行信的网络之间建设宁静屏障的软件或硬件产物  。Linux操作系统内核具有包过滤能力  ,系统治理员通过治理工具设置一组规则即可建设一个基于Linux的防火墙 ,用这组规则过滤被主机吸收、发送的包或主机从一个网卡转发到另一个网卡的包 ,用一台闲置的PC就可以替换昂贵的专门防火墙硬件 ,对于某些中小企业或部门级用户 ,很值得参考  。

              一、防火墙的类型和设计谋略

              在结构防火墙时 ,常接纳两种方式  ,包过滤和应用署理服务  。包过滤是指建设包过滤规则  ,凭据这些规则及IP包头的信息  ,在网络层判断允许或拒绝包的通过  。如允许或克制FTP的使用 ,但不能克制FTP特定的功效(例如Get和Put的使用)  。应用署理服务是由位于内部网和外部网之间的署理服务器完成的  ,它事情在应用层 ,署理用户进、出网的种种服务请求  ,如FTP和Telenet等  。

              现在  ,防火墙一样平常接纳双宿主机(Dual-homedFirewall)、屏障主机(ScreenedHostFirewall)和屏障子网(ScreenedSubnetFirewall)等结构 。双宿主机结构是指负担署理服务使命的盘算机至少有2个网络接口毗连到内部网和外部网之间 。屏障主机结构是指负担署理服务使命的盘算机仅仅与内部网的主机相连  。屏障子网结构是把分外的宁静层添加到屏障主机的结构中  ,即添加了周边网络  ,进一步把内部网和外部网离隔  。

              防火墙规则用来界说哪些数据包或服务允许/拒绝通过  ,主要有2种计谋  。一种是先允许任何接入 ,然后指明拒绝的项;另一种是先拒绝任何接入 ,然后指明允许的项 。一样平常地 ,我们会接纳第2种计谋  。由于从逻辑的看法看 ,在防火墙中指定一个较小的规则列表允许通过防火墙  ,比指定一个较大的列表不允许通过防火墙更容易实现 。从Internet的生长来看 ,新的协媾和服务不停泛起 ,在允许这些协媾和服务通过防火墙之前  ,有时间审查宁静毛病  。

              二、基于Linux操作系统防火墙的实现

              基于Linux操作系统的防火墙是使用其内核具有的包过滤能力建设的包过滤防火墙和包过滤与署理服务组成的复合型防火墙  。下面 ,让我们来看看怎样设置一个双宿主机的基于Linux的防火墙  。

              由于Linux的内核各有差别  ,提供的包过滤的设置措施也纷歧样  。IpFwadm是基于Unix中的ipfw  ,它只适用于Linux2.0.36以前的内核;对于Linux2.2以后的版本 ,使用的是Ipchains 。IpFwadm和Ipchains的事情方式很相似  。用它们设置的4个链中  ,有3个在Linux内核启动时举行界说  ,划分是:进入链(InputChains)、外出链(OutputChains)和转发链(ForwardChains) ,另外另有一个用户自界说的链(UserDefinedChains) 。进入链界说了流入包的过滤规则 ,外出链界说了流出包的过滤规则 ,转发链界说了转发包的过滤规则  。

              这些链决议怎样处置惩罚进入和外出的IP包  ,即当一个包从网卡上进来的时间 ,内核用进入链的规则决议了这个包的流向;若是允许通过  ,内核决议这个包下一步发往那边  ,若是是发往另一台机械  ,内核用转发链的规则决议了这个包的流向;当一个包发送出去之前 ,内核用外出链的规则决议了这个包的流向  。某个特定的链中的每条规则都是用来判断IP包的  ,若是这个包与第一条规则不匹配  ,则接着检查下一条规则  ,当找到一条匹配的规则后  ,规则指定包的目的  ,目的可能是用户界说的链或者是Accept、Deny、Reject、Return、Masq和Redirect等  。

              其中 ,Accept指允许通过;Deny指拒绝;Reject指把收到的包抛弃  ,但给发送者发生一个ICMP回复;Return指制止规则处置惩罚  ,跳到链尾;Masq指对用户界说链和外出链起作用  ,使内核伪装此包;Redirect只对进入链和用户界说链起作用  ,使内核把此包改送到当地端口  。为了让Masq和Redirect起作用 ,在编译内核时  ,我们可以划分选择Config_IP_Masquerading和Config_IP_Transparent_Proxy 。

              假设有一个局域网要毗连到Internet上  ,公共网络地址为202.101.2.25 。内部网的私有地址凭据RFC1597中的划定  ,接纳C类地址192.168.0.0~192.168.255.0  。为了说明利便 ,我们以3台盘算机为例 。现实上  ,最多可扩充到254台盘算机  。

              详细操作步骤如下:

              1、在一台Linux主机上安装2块网卡ech0和ech1  ,给ech0网卡分配一个内部网的私有地址191.168.100.0  ,用来与Intranet相连;给ech1网卡分配一个公共网络地址202.101.2.25 ,用来与Internet相连  。

              2、Linux主机上设置进入、转发、外出和用户自界说链 。本文接纳先允许所有信息可流入和流出  ,还允许转发包 ,但克制一些危险包 ,如IP诱骗包、广播包和ICMP服务类型攻击包等的设置计谋  。

              详细设置如下:

              (1)刷新所有规则

              (2)设置初始规则

              (3)设置当地环路规则

              当地历程之间的包允许通过  。

              (4)克制IP诱骗

              (5)克制广播包

              (6)设置ech0转发规则

              (7)设置ech1转发规则

              将规则生存到/etc/rc.firewallrules文件中 ,用chmod赋予该文件执行权限  ,在/etc/rc.d.rc.local中加入一行/etc/rc.firewallrules  ,这样当系统启动时 ,这些规则就生效了  。

              通过以上各步骤的设置  ,我们可以建设一个基于Linux操作系统的包过滤防火墙 。它具有设置简朴、宁静性高和抵御能力强等优点  ,特殊是可使用闲置的盘算机和免费的Linux操作系统实现投入最小化、产出最大化的防火墙的构建  。另外  ,若是在包过滤的基础上再加上署理服务器  ,如TIS Firewall Toolkit 免费软件包  ,还可构建越发宁静的复合型防火墙