【正文】 摘 要 內(nèi)核中Netfilter/Iptables的出現(xiàn)，為構(gòu)建Linux 下防火墻提供了很好的平臺。Iptables 是在Linux 。該工具通過編程可以實(shí)現(xiàn)多種網(wǎng)絡(luò)安全功能，如：數(shù)據(jù)包過濾、狀態(tài)保持、NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換)以及抵抗攻擊等等。本文主要是針對Linux下iptables的的應(yīng)用進(jìn)行學(xué)習(xí)與研究，結(jié)構(gòu)上可以分為三個(gè)部分：Linux防火墻的概述，iptables的的簡介以及如何使用iptables來為我們的日常工作所服務(wù)。例如在我們的日常工作中的應(yīng)用到的過濾網(wǎng)址、IP，禁用端口、協(xié)議等等。利用iptables這個(gè)工具在Linux服務(wù)器上實(shí)現(xiàn)安全穩(wěn)定、功能強(qiáng)大的防火墻。目前這也是被企業(yè)和高校廣泛采用的一種比較成熟的技術(shù)。本次畢設(shè)課題研究的實(shí)驗(yàn)環(huán)境均在虛擬機(jī)上實(shí)現(xiàn)，使用RHEL 4 AS系統(tǒng)和CentOS 4系統(tǒng)。關(guān)鍵詞：Linux，防火墻，iptables，規(guī)則，過濾目 錄第一章 Linux防火墻概述 1 1 Linux包過濾防火墻的架構(gòu) 4 Linux防火墻的安裝、啟動(dòng)和關(guān)閉 5第二章 iptables簡介 9 iptables的基本概念 9 iptables數(shù)據(jù)包的傳輸過程 10 激活I(lǐng)P包轉(zhuǎn)發(fā)功能 11第三章 iptables的使用 13 iptables的命令格式 13 iptables命令的使用 15第四章 iptables實(shí)現(xiàn)NAT服務(wù) 21 NAT服務(wù)概述 21 利用iptables實(shí)現(xiàn)NAT服務(wù) 23第五章 iptables技巧實(shí)例 29 禁止訪問不健康的網(wǎng)站 29 禁止某些客戶上網(wǎng) 29 禁止客戶使用某些服務(wù) 30 禁止使用ICMP協(xié)議 30 利用字符串匹配過濾視頻網(wǎng)站 32 利用iptables的定時(shí)功能 34 利用iplimit參數(shù)設(shè)置最大連接數(shù) 35第六章 致謝 37參考文獻(xiàn) 38 第一章 Linux防火墻概述1. 防火墻的功能防火墻是位于不同網(wǎng)絡(luò)（如可信的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間，對網(wǎng)絡(luò)進(jìn)行隔離并實(shí)現(xiàn)有條件通信的一系列軟件/硬件設(shè)備的集合。它通過訪問控制機(jī)制確定哪些內(nèi)部服務(wù)允許外部訪問，以及允許哪些外部請求可以訪問內(nèi)部服務(wù)。其基本功能是分析出入防火墻的數(shù)據(jù)包，根據(jù)IP包頭結(jié)合防火墻的規(guī)則，來決定是否接收或允許數(shù)據(jù)包通過。防火墻系統(tǒng)可以由一臺路由器，也可以由一臺或一組主機(jī)組成。它通常被放置在網(wǎng)絡(luò)入口處，所有內(nèi)外部網(wǎng)絡(luò)通信數(shù)據(jù)包都必須經(jīng)過防火墻，接受防火墻的檢查，只有符合安全規(guī)則的數(shù)據(jù)才允許通過。通過使用防火墻可以實(shí)現(xiàn)以下功能：216。 保護(hù)內(nèi)部網(wǎng)絡(luò)中易受攻擊的服務(wù)。216。 控制內(nèi)外網(wǎng)之間網(wǎng)絡(luò)系統(tǒng)的訪問。216。 隱藏內(nèi)部網(wǎng)絡(luò)的IP地址及結(jié)構(gòu)的細(xì)節(jié)，提高網(wǎng)絡(luò)的保密性?！　?16。 對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控和審計(jì)。216。 集中管理內(nèi)網(wǎng)的安全性，降低管理成本。2. 防火墻的發(fā)展史第一代防火墻第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過濾(Packet filter)技術(shù)。下圖（11）表示了防火墻技術(shù)的簡單發(fā)展歷史。圖11第二、三代防火墻1989年，貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻——應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。第四代防火墻1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動(dòng)態(tài)包過濾(Dynamic packet filter)技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻1998年，NAI公司推出了一種自適應(yīng)代理(Adaptive proxy)技術(shù)，并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。根據(jù)動(dòng)作方式的不同，通常把防火墻分為包過濾型和應(yīng)用級網(wǎng)關(guān)兩大類。（1）包過濾防火墻（Packet Filter） 包過濾防火墻通常安裝在路由器或者安裝了網(wǎng)絡(luò)操作系統(tǒng)的主機(jī)上。它在網(wǎng)絡(luò)層根據(jù)配置好的包過濾規(guī)則對數(shù)據(jù)包進(jìn)行過濾，其工作方式為：包過濾規(guī)則存儲對應(yīng)的包過濾設(shè)備端口，檢查出入該防火墻端口的每一個(gè)IP數(shù)據(jù)包頭和TCP頭或UDP頭來決定是否允許數(shù)據(jù)包通過。包過濾防火墻的優(yōu)點(diǎn)是它對于用戶來說是透明的，處理速度快，而且由于工作在網(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)，因此不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序，易于安裝和維護(hù)。缺點(diǎn)是非法訪問一旦突破防火墻，即可對主機(jī)上的軟件和配置漏洞進(jìn)行攻擊。（2）應(yīng)用級網(wǎng)關(guān)（Applicationlevel Gateway） 應(yīng)用級網(wǎng)關(guān)又稱代理服務(wù)器。它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時(shí)，對數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告，當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。應(yīng)用級網(wǎng)關(guān)比單一的包過濾更為可靠，而且會詳細(xì)地記錄所有的訪問狀態(tài)信息。其不足之處是訪問速度慢，因?yàn)樗辉试S用戶直接訪問網(wǎng)絡(luò)，其次應(yīng)用級網(wǎng)關(guān)需要對每一個(gè)特定的因特網(wǎng)服務(wù)安裝相應(yīng)的代理服務(wù)軟件，另外也不是所有的因特網(wǎng)應(yīng)用軟件都可以使用代理服務(wù)器。 Linux包過濾防火墻的架構(gòu)iptables是一個(gè)免費(fèi)的包過濾防火墻，它伴隨著內(nèi)核的發(fā)展而逐漸演變，大致經(jīng)歷了下面4個(gè)階段： 216。 ，采用ipfw來操作內(nèi)核包過濾規(guī)則。216。 ，采用ipfwadm來操作內(nèi)核包過濾規(guī)則。216。 ，采用ipchains來控制內(nèi)核包過濾規(guī)則。216。 （如Red Hat 、RHEL），采用一個(gè)全新的內(nèi)核包過濾管理工具——iptables。 iptables只是防火墻與用戶之間的接口，真正起到防火墻作用的是Linux內(nèi)核中運(yùn)行的netfilter。Linux平臺下的包過濾防火墻由netfilter組件和iptables組件組成，其中netfilter運(yùn)行在內(nèi)核態(tài)，而iptables運(yùn)行在用戶態(tài)，用戶通過iptables命令來調(diào)用netfilter來實(shí)現(xiàn)防火墻的功能。（1）netfilter組件netfilter是Linux內(nèi)核中的一個(gè)用于擴(kuò)展各種網(wǎng)絡(luò)服務(wù)的結(jié)構(gòu)化底層框架。該框架定義了包過濾子系統(tǒng)功能的實(shí)現(xiàn)，提供了filter、nat和mangle3個(gè)表，默認(rèn)使用的是filter表。每個(gè)表中包含有若干條內(nèi)建的鏈（chains），用戶可在表中創(chuàng)建自定義的鏈。在每條鏈中，可定義一條或多條過濾規(guī)則（rules）。每條規(guī)則應(yīng)指定所要檢查的包的特征以及如何處理與這對應(yīng)的包，這被稱為目標(biāo)（target）。目標(biāo)值可以是用戶自定義的一個(gè)鏈名，也可以是ACCEPT、DROP、REJECT、RETURN等值。（2）iptables組件iptables組件是一個(gè)用來