高新门户网站专题建设,如何防止网站挂马,电商平台运营公司,wordpress该站点地址Netfilter/Iptables防火墙是Linux平台下的包过滤防火墙#xff0c;Iptables防火墙不仅提供了强大的数据包过滤能力#xff0c;而且还提供转发#xff0c;NAT映射等功能#xff0c;是个人及企业级Linux用户构建网络安全平台的首选工具。但是#xff0c;由于种种原因#x…Netfilter/Iptables防火墙是Linux平台下的包过滤防火墙Iptables防火墙不仅提供了强大的数据包过滤能力而且还提供转发NAT映射等功能是个人及企业级Linux用户构建网络安全平台的首选工具。但是由于种种原因Iptables一直是使用命令模式管理配置防火墙这就要求用户必须熟悉Iptables各种繁杂的命令为用户的使用带来了很多不便。本文设计并实现了一个基于Web的Iptables图形管理工具通过友好的配置界面简化了Iptables防火墙的管理配置程序更方便用户对Iptables防火墙的使用。
本工具采用Browser/Server模式通过Web配置界面用户可远程修改Iptables的相关配置文件从而到达配置Iptables的目的。整个工具由添加/删除规则插入/替换规则状态机制关闭/启动/重启防火墙等几个模块组成。用户只需登陆到配置页面通过简单的鼠标操作就可以轻松完成防火墙的基本配置工作。 1引 言 随着网络技术的进步特别是90年代以来Internet的迅速普及和发展网络安全问题越来越引起人们的重视网络安全技术也成为计算机网络方向的研究热点。网络安全技术在人们的现实生活中有着广泛的应用特别是近几年电子商务的蓬勃发展电子银行在线交易等已经成为人们日常生活的重要组成部分这就要求网络服务提供相应的安全措施以保障广大用户的权益。 Internet 防火墙是这样的系统或一组系统它能增强机构内部网络的安全性。防火墙是在内部和外部网之间实施安全防范的系统。它可以被认为是一种访问控制机制用于确定那些内部服务允许外部访问以及允许哪些外部服务访问内部服务。 netfilter/Iptables防火墙是组成Linux平台下的包过滤防火墙它是集成在Linux内核2.4.X中的。Iptables防火墙不仅提供了强大的数据包过滤能力而且还提供转发NAT映射等功能。正是因为它的功能强大一直是个人及企业级Linux用户构建网络安全平台的首选工具。但是由于技术上的原因Iptables一直是使用命令模式配置防火墙它在一定程度上有较高的灵活性但同时也要求用户必须熟悉Iptables各种繁杂的命令。所以本系统立足初级用户使用B/S模式作为Iptables防火墙的管理模式用户只需要登陆到防火墙的管理页面便可以轻松配置防火墙。这样简化了Iptables防火墙的配置程序降低了配置门槛适合初学者使用。 本系统采用的是基于Browser/Server即浏览器/服务器模式在单网卡模式下实现Iptables的包过滤功能。前台JSP页面提供用户管理界面后台用java修改Iptables防火墙相应配置文件到达更改Iptables规则链的目的。本系统主要由以下模块组成添加规则模块删除规则模块插入规则模块替换规则模块防火墙启动/关闭模块防火墙重启模块读取Iptables配置文件模块读取Iptabels规则链模块。 2 防火墙基本理论 Internet 防火墙是这样的系统或一组系统它能增强机构内部网络的安全性。防火墙是在内部和外部网之间实施安全防范的系统。可认为它是一种访问控制机制用于确定那些内部服务允许外部访问以及允许哪些外部服务访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出企业网。防止非授权用户访问企业内部、允许使用授权机器的用户远程访问企业内部、管理企业内部人员对Internet的访问。防火墙通过逐一审查收到的每个数据包 判断它是否有相匹配的过滤规则按规则的先后顺序以及每条规则的条件项 进行比较直到满足某一条规则的条件并做出规则的动作停下或向前转发从而来保护网络的安全。
2.1 防火墙技术分类
2.1.1包过滤技术
包过滤防火墙的安全性是基于对包的IP地址的校验。在互联网上所有信息都是以包的形式传输的信息包中包含发送方的IP地址接收方的IP地址TCP端口TCP链路状态等信息读出并按照预先设置的过滤原则过滤信息包那些不符合规定的IP地址的信息包会被防火墙过滤掉以保证网络系统的安全这是一种基于网络层的安全技术对于应用层的黑客行为是无能为力的。
2.1.2代理技术
代理服务器接收客户请求后会检查验证其合法性如果合法代理服务器向一台客户机取回所需的信息在转发给客户。它将内部系统与外界隔离开来从外面只能看到代理服务器而看不到任何内部资源。代理服务器只允许有代理的服务通过而其他所有服务都完全被封锁住。这一点对系统安全是非常重要的只有那些被认为“可信赖的”服务才允许通过防火墙结构对外部来讲是不可见的。
2.1.3状态监视技术
这是第三代网络安全技术。状态监视服务的监视模块在不影响网络安全正常工作的前提下才用抽取相关数据的方法对网络通信的各个层次实行监测并作为安全决策的依据。监视模块多种网络协议和应用协议可以方便地实现应用和服务的扩充。
22包过滤防火墙工作原理
包过滤防火墙一般有一个包检查模块该模块在操作系统或路由器转发包之前将拦截所有的数据包并对其进行验证查看时候满足过滤规则。它的具体工作过程如下
数据包从外网传送到防火墙后防火墙将在IP层向TCP层传送前将数据包转发给包检查模块进行处理。首先与第一个过滤规则比较。如果与第一个模块相同则对它进行审核判断是否转发该数据包这时审核结果是转发数据包则将数据包发送到TCP层进行处理否则就将它丢弃。如果与第一个过滤规则不同则接着与第二个规则相比较如果相同则对它进行审核过程与3相同。如果与第二个过滤规则不同则继续与下一个过滤规则比较直到与所有过滤规则比较完成要是不满足所有过滤规则就按默认规则处理。
2.3 Iptables防火墙简介
Netfilter/Iptables防火墙是组成Linux平台下的包过滤防火墙它是集成在Linux内核2.4.X中的。Iptables防火墙不仅提供了强大的数据包过滤能力而且还提供转发NAT映射等功能不仅如此Iptables还可以配置成状态检测型防火墙它会检查数据的源和目的IP地址、源和目的端口、流入数据包的顺序号、TCP先后顺序的信息及头标记SYNACKFINRST等的状态并利用Linux内核跟踪整个连接会话从而使整个过滤过程相互关联这可以提高信息包过滤的效率和速度。Netfilter/Iptables包过滤防火墙是由两个组件构成一个是netfilter内核组件一个是Iptables(用户组件)。
2.3.1 Netfilter组件
Netfilter组件称为内核空间它集成在Linux的内核中。Netfilter是一种内核中用于扩展各种网络服务的结构化底层框架。Netfilter的设计思想是生成一个模块结构使之能够比较容易的扩展。新的特性假如到内核中并不需要重新启动内核。这样可以通过简单地构造一个内核模块来实现网络新特性的扩展给底层网络特性扩展带来了极大的便利使更多从事网络底层研发人员能够集中精力实现新的网络特性。
Netfilter的目的是为用户提供一个专门用于包过滤的底层结构用户和开发人员可以将其内建在Linux内核中。Netfilter主要有信息包过滤表组成它包含了控制IP包处理的规则集。根据规则所处理的IP包的类型规则被分组放在链中从而使内核对来自某些源、前往某些目的地或具有某些协议类型的信息包处置方法如完成信息包的处理、控制和过滤等工作。
2.3.2 Iptables组件
Iptables组件是一个简洁强大的工具它被称为用户空间用户通过它来插入、删除和修改规则链中的规则这些规则告诉内核中的netfilter组件如何去处理信息包。
2.4 Iptables工作原理
2.4.1 Iptables规则表简介
Iptables与其他包过滤防火墙一样它的工作原理是对IP数据包和规则进行匹配根据规则表中的规则对IP数据包进行进一步的处理。Iptables的规则表是保存在一个规则链中的而规则链是由Linux内核进行维护。在Iptables中包含以下规则表
1Filter表
Filter表主要用于过滤数据包该表根据系统管理员预定义的一组规则过
未完待续...
