【正文】 予了全新的意義，可以稱之為第五代防火墻。第四代防火墻1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動態(tài)包過濾(Dynamic packet filter)技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。下圖（11）表示了防火墻技術(shù)的簡單發(fā)展歷史。 集中管理內(nèi)網(wǎng)的安全性，降低管理成本。 對網(wǎng)絡(luò)存取和訪問進行監(jiān)控和審計。 隱藏內(nèi)部網(wǎng)絡(luò)的IP地址及結(jié)構(gòu)的細(xì)節(jié)，提高網(wǎng)絡(luò)的保密性。 控制內(nèi)外網(wǎng)之間網(wǎng)絡(luò)系統(tǒng)的訪問。 保護內(nèi)部網(wǎng)絡(luò)中易受攻擊的服務(wù)。它通常被放置在網(wǎng)絡(luò)入口處，所有內(nèi)外部網(wǎng)絡(luò)通信數(shù)據(jù)包都必須經(jīng)過防火墻，接受防火墻的檢查，只有符合安全規(guī)則的數(shù)據(jù)才允許通過。其基本功能是分析出入防火墻的數(shù)據(jù)包，根據(jù)IP包頭結(jié)合防火墻的規(guī)則，來決定是否接收或允許數(shù)據(jù)包通過。關(guān)鍵詞：Linux，防火墻，iptables，規(guī)則，過濾目 錄第一章 Linux防火墻概述 1 1 Linux包過濾防火墻的架構(gòu) 4 Linux防火墻的安裝、啟動和關(guān)閉 5第二章 iptables簡介 9 iptables的基本概念 9 iptables數(shù)據(jù)包的傳輸過程 10 激活I(lǐng)P包轉(zhuǎn)發(fā)功能 11第三章 iptables的使用 13 iptables的命令格式 13 iptables命令的使用 15第四章 iptables實現(xiàn)NAT服務(wù) 21 NAT服務(wù)概述 21 利用iptables實現(xiàn)NAT服務(wù) 23第五章 iptables技巧實例 29 禁止訪問不健康的網(wǎng)站 29 禁止某些客戶上網(wǎng) 29 禁止客戶使用某些服務(wù) 30 禁止使用ICMP協(xié)議 30 利用字符串匹配過濾視頻網(wǎng)站 32 利用iptables的定時功能 34 利用iplimit參數(shù)設(shè)置最大連接數(shù) 35第六章 致謝 37參考文獻 38 第一章 Linux防火墻概述1. 防火墻的功能防火墻是位于不同網(wǎng)絡(luò)（如可信的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間，對網(wǎng)絡(luò)進行隔離并實現(xiàn)有條件通信的一系列軟件/硬件設(shè)備的集合。目前這也是被企業(yè)和高校廣泛采用的一種比較成熟的技術(shù)。例如在我們的日常工作中的應(yīng)用到的過濾網(wǎng)址、IP，禁用端口、協(xié)議等等。該工具通過編程可以實現(xiàn)多種網(wǎng)絡(luò)安全功能，如：數(shù)據(jù)包過濾、狀態(tài)保持、NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換)以及抵抗攻擊等等。摘 要 內(nèi)核中Netfilter/Iptables的出現(xiàn)，為構(gòu)建Linux 下防火墻提供了很好的平臺。Iptables 是在Linux 。本文主要是針對Linux下iptables的的應(yīng)用進行學(xué)習(xí)與研究，結(jié)構(gòu)上可以分為三個部分：Linux防火墻的概述，iptables的的簡介以及如何使用iptables來為我們的日常工作所服務(wù)。利用iptables這個工具在Linux服務(wù)器上實現(xiàn)安全穩(wěn)定、功能強大的防火墻。本次畢設(shè)課題研究的實驗環(huán)境均在虛擬機上實現(xiàn)，使用RHEL 4 AS系統(tǒng)和CentOS 4系統(tǒng)。它通過訪問控制機制確定哪些內(nèi)部服務(wù)允許外部訪問，以及允許哪些外部請求可以訪問內(nèi)部服務(wù)。防火墻系統(tǒng)可以由一臺路由器，也可以由一臺或一組主機組成。通過使用防火墻可以實現(xiàn)以下功能：216。216。216。　　216。216。2. 防火墻的發(fā)展史第一代防火墻第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，采用了包過濾(Packet filter)技術(shù)。圖11第二、三代防火墻1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。1994年，以色列的CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。根據(jù)動作方式的不同，通常把防火墻分為包過濾型和應(yīng)用級網(wǎng)關(guān)兩大類。它在網(wǎng)絡(luò)層根據(jù)配置好的包過濾規(guī)則對數(shù)據(jù)包進行過濾，其工作方式為：包過濾規(guī)則存儲對應(yīng)的包過濾設(shè)備端口，檢查出入該防火墻端口的每一個IP數(shù)據(jù)包頭和TCP頭或UDP頭來決定是否允許數(shù)據(jù)包通過。缺點是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊。它針對特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進行必要的分析、登記和統(tǒng)計，形成報告，當(dāng)發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡(luò)管理員發(fā)出警報，并保留攻擊痕跡。其不足之處是訪問速度慢，因為它不允許用戶直接訪問網(wǎng)絡(luò)，其次應(yīng)用級網(wǎng)關(guān)需要對每一個特定的因特網(wǎng)服務(wù)安裝相應(yīng)的代理服務(wù)軟件，另外也不是所有的因特網(wǎng)應(yīng)用軟件都可以使用代理服務(wù)器。 ，采用ipfw來操作內(nèi)核包過濾規(guī)則。 ，采用ipfwadm來操作內(nèi)核包過濾規(guī)則。 ，采用ipchains來控制內(nèi)核包過濾規(guī)則。 （如Red Hat 、RHEL），采用一個全新的內(nèi)核包過濾管理工具——iptables。Linux平臺下的包過濾防火墻由netfilter組件和iptables組件組成，其中netfilter運行在內(nèi)核態(tài)，而iptables運行在用戶態(tài)，用戶通過iptables命令來調(diào)用netfilter來實現(xiàn)防火墻的功能。該框架定義了包過濾子系統(tǒng)功能的實現(xiàn)，提供了filter、nat和mangle3個表，默認(rèn)使用的是filter表。在每條鏈中，可定義一條或多條過濾規(guī)則（rules）。目標(biāo)值可以是用戶自定義的一個鏈名，也可以是ACCEPT、DROP、REJECT、RETURN等值。iptables僅僅是一個包過濾工具，對過濾規(guī)則的執(zhí)行則是通過netfilter和相關(guān)的支持模塊來實現(xiàn)的。可使用如下命令檢查是否已安裝（如下圖）：圖12 檢查iptables是否安裝安裝RHEL 4 AS時系統(tǒng)會提示是否開啟防火墻，默認(rèn)情況下將開啟防火墻。如果在安裝時選擇禁用防火墻，則在安裝完成后可在終端命令窗口中執(zhí)行“setup”命令將彈出“配置應(yīng)用程序” 窗口（如下圖13）。圖14 “防火墻配置”窗口圖15 “防火墻配置－定制”窗口 完成以上配置后，可在終端命令窗口中執(zhí)行如下命令啟動iptables防火墻如圖16：圖16 啟動iptables防火墻第二章 iptables簡介 iptables的基本概念在使用iptables之前我們先要理解規(guī)則、鏈、表這3個概念以及iptables傳輸數(shù)據(jù)包的過程。 規(guī)則 規(guī)則(rules)就是網(wǎng)絡(luò)管理員預(yù)先定義的條件，每條規(guī)則的定義方式一般是“如果封包符合這樣的條件就這樣處理該數(shù)包”。 鏈 鏈(