论文天下|会计论文|管理论文|计算机论文|医药学论文|经济学论文|法学论文|社会学论文|文学论文|教育论文|理科论文|工科论文|艺术论文|哲学论文|文化论文|外语论文|格式论文
论文天下
计算机应用论文  计算机理论论文  计算机网络论文  电子商务论文  软件工程论文  操作系统论文  通信技术论文   
基于LINUX操作系统的防火墙技术及其具体实现

摘要 本文介绍了LINUX下常用的防火墙规则配置软件Iphains;从实现原理、配置方法以及功能特点的角度描述了LINUX防火墙的三种功能;并给出了一个LINUX防火墙实例作为参考。 火墙以及外部服务器之间是如何进行数据传输的,那么,在LINUX防火墙内部,那些“防火链”又是如何工作的呢?其工作过程如图3所示:

steven主机发来的数据包经由内部接口eth1进来后,首先接受INPUT链的“检查”:系统内核从包头中提取出信息,与INPUT链中所有适用于eth1接口的过滤规则逐个比较,直到匹配通过。之后,该数据包被转发给本地的代理进程。同样,代理进程发送给远程eb服务器的数据包在从防火墙外部接口发送出去之前,也要经过UTPUT链的“检查”,即与UTPUT链中所有适用于eth0接口的规则一一比较。返回的过程正好与上述相反,在此就不再赘述
为了实现以上过程,我们必须在防火墙规则脚本中添加以下规则:
iphains –A input –i eth1 –p tp –s 192.168.0.2 1110 –d 192.168.0.1 8080 –j AEPT
iphains –A utput –i eth0 –p tp –s 202.117.120.1 1050 –d 211.100.31.131 80 –j AEPT
iphains –A input –i eth0 –p tp !-y –s 211.100.31.131 80 –d 202.117.120.1 1050 –j AEPT
iphains –A utput –i eth1 –p tp ! –y –s 192.168.0.1 8080 –d 192.168.0.2 1110 –j AEPT
从上文对代理功能的原理和实现的叙述中,我们可以看出,LINUX防火墙实际上扮演了一个“代理网关”的角色。内部主机和远程服务器分别都只与防火墙进行连接,而真正的“起点”和“终点”之间却毫无联系。
3.3 IP伪装
IP伪装(IP asquerade)是LINUX操作系统自带的又一个重要功能。通过在系统内核增添相应的伪装模块,内核可以自动地对经过的数据包进行“伪装”,即修改包头中的源目的IP信息,以使外部主机误认为该包是由防火墙主机发出来的。这样做,可以有效解决使用内部保留IP的主机不能访问互联网的问题,同时屏蔽了内部局域网。这一点,与前面所讲的代理所达到的目的是很类似的。
关于IP伪装在LINUX防火墙内部的具体实现过程,请看图4。

仍以图2中所示的典型情况为例,steven主机的IE进程直接与远程的eb服务器建立一个连接。当数据包到达防火墙的内部接口后,照样要例行INPUT链的检查。之后,数据包被送到FRARD链,接受系统内核的“伪装处理”,即将包头中的源IP地址改为防火墙外部接口eth0的地址,并在系统中做下记录,以便一会儿对其回应包的目的IP进行“恢复”。这样,当该数据包顺利从外部接口出来时,其包头中源IP已被改为202.117.120.1。远程服务器会认为这是从防火墙的合法地址发来的,从而对其做出响应。当远程服务器返回的回应包到达防火墙时,先经过INPUT链,然后会根据系统关于IP伪装的记录对数据包的目的IP进行恢复,即将202.117.120.1改为192.168.0.2,最后再经过UTPUT链返回到steven主机。
为了实现这个过程,我们必须在防火墙规则脚本中添加以下规则:
iphains –A input –i eth1 –p tp –s 192.168.0.2 1110 –d 211.100.31.131 80 –j AEPT
iphains –A utput –i eth0 –p tp –s 202.117.120.1 1050 –d 211.100.31.131 80 –j AEPT
iphains –A input –i eth0 –p tp !-y –s 211.100.31.131 80 –d 202.117.120.1 1050 –j AEPT
iphains –A utput –i eth1 –p tp ! –y –s 211.100.31.131 80 –d 192.168.0.2 1110 –j AEPT
iphains –A frard –i eth0 –s 192.168.0.2 1110 –d 211.100.31.131 80 –j ASQ
与代理功能比较而言,IP伪装不需要安装相应的代理软件,数据包的伪装对用户来说都是“透明”的,并且整个过程都是在IP层实现,因此实现速度较快。缺点是不能对经过的数据包作详细的记录。

未完...点击下方链接下载完整文档

基于LINUX操作系统的防火墙技术及其具体实现

摘要 本文介绍了LINUX下常用的防火墙规则配置软件Iphains;从实现原理、配置 方法 以及功能特点的角度描述了LINUX防火墙的三种功能;并给出了一个LINUX防火墙实例作为 参考 。火墙以及外部服务器之间是如何进行数据传输的,那么,在LINUX防火墙内部,那些“
  • 上一篇:网页设计制作规范
  • 下一篇:用VC++6.0为对话框添加最小化按钮和提示条
  • 基于人工智能的银行信贷风险决策
    浅谈行为引导教学方法在《计算机
    浅谈对程序开发中异常的理解和认
    渐开线圆柱齿轮几何参数计算的计
    刍议防火墙的合理使用(1)
    面向对象数据库理论设想
    浅谈Intranet在现代企业中的应用
    研究生阶段计算机网络理论课程教
    大芯数OPGW在浙江电网的应用
    有关计算机软件数据接口的应用研
    青年教师在医学微生物学留学生教
    光纤光缆和通信电缆技术发展与思
    电子政务人员培训的问题与建议(1
    基于GP算法的知识发现系统
    企业电子商务系统的规划与设计研
    基于人工智能的计算机辅助教学
    基于人工智能的计算机辅助教学
    基于人工智能的计算机辅助教学
    基于人工智能方法的变电站选址
    基于人工智能技术的电气自动化
    基于人工智能的自动化控制系统
    基于人工智能的银行信贷风险决
    基于GPRS的智能蒸发测量仪与计
    基于计算机网络教学的人工智能
    基于人工智能技术的计算机等级
    | 设为首页 | 加入收藏 | 联系我们 | 论文发表

    Copyright 2006-2020 © 论文天下 All rights reserved 本站所有内容均由SPider自动索引,如有侵权请联系QQ:2486851删除