Linux环境下网络设置与安全保障设计毕业设计论文正文.doc

1、 淮阴工学院毕业设计说明书（论文） 第 页 共 页目 录1 引言11.1 选题背景11.2 目的和意义21.3 系统设计思想21.4开发工具简介32 LINUX防火墙的需求分析42.1 Iptables(Linux防火墙管理程序)主要功能42.2包过滤原理43 系统的总体设计53.1 系统功能总体设计53.2 拒绝与禁止一个数据包63.3 制定安全策略73.4 包过滤的设计74 详细设计104.1 Linux环境下网络设置104.2 Linux 环境下安全保障设计144.3 阻截常用攻击设计174.4 过滤TCP 协议设计194.5 过滤ICMP 信息设计234.6 域名（DNS）服务设计25

2、5 防火墙测试与性能分析255.1 攻击测试255.2 协议过滤测试26结 论28致 谢29参 考 文 献30附 录：31 淮阴工学院毕业设计说明书（论文） 第37页 共 37 页1 引言Linux是一套免费使用和自由传播的类Unix操作系统。我们通常所说的Linux，指的是GNU/Linux ，即采用Linux内核的GNU操作系统。GNU代表Gnus Not Unix。它既是一个操作系统，也是一种规范。Linux最早由芬兰的林纳斯.托瓦兹在1991年开始编写。在这之前，理查德.斯托曼创建了Free Software Foundation（FSF）组织以及GNU项目，并不断的编写创建GNU程序

3、（程序的许可方式均为GPL：General Public License）。在不断的有程序员和开发者加入到GNU组织中后，便造就了今天我们所看到的Linux。在当今互联网迅速发展的年代，Linux作为一款后起之秀的操作系统，以其公开的源代码、强大的网络功能和大量的免费资源正受到业界的普遍赞扬，它不仅是完全免费的，而且具有丰富的网络功能、高可靠的安全、稳定性能，并且具有多用户、多任务，支持多种平台等显著优点，尤其在服务器领域，它正越来越受到人们的欢迎。1.1 选题背景随着计算机和互联网技术的快速发展以及在越来越多的应用领域中的迅速普及，人类对计算机和互联网的依赖程度越来越高，因此增加计算机系统以

4、及互联网网络的安全性能也变得越来越重要。防火墙作为互联网络中使用最广泛的安全措施之一，伴随着近年来互联网的快速发展而得到广泛的应用，同时也被证明是至今为数不多的成功的网络安全应用实例。然而，防火墙的技术开发以及准确的系统配置和管理对于正确地发挥其在安全方面的功能至关重要。因此，专用的防火墙设备的价格昂贵，对技术和管理人员的要求也很高。另一方面，Linux作为目前唯一在全球范围内得到广泛接受和应用的开源操作系统，所提供的灵活性和可操作性为开发和配置防火墙以及按照特定网络环境的要求构建防火墙提供了一个价格低廉，性能优良的平台，日益获得了众多企业和个人用户的广泛接受。目前Internet的安全性保障

5、不容乐观，国家计算机网络应急技术处理协调中心（CERT）在过去的几年里收到的计算机安全事故报告的数量一直呈上升趋势，1999年该中心收到了约10000份计算机安全事故报告，2000年达到了21756份，而2001年更上升到了52658份。2007年上半年，中国大陆被篡改网站的数量相比往年处于明显上升趋势。CNCERT/CC监测到中国大陆被篡改网站总数达到28367个，比去年全年增加了近16%。如果用户能根据自己的实际需要，将防火墙设计的一般理论和方法与自己系统的具体实际相结合，设计一些小而精、精而强的防火墙程序，则往往可以发挥出比花大价钱买来的通用型防火墙更好的作用。操作系统作为防火墙运行的基

6、础平台，对防火墙起到一个至关重要的作用。Windows操作系统由于其源代码不公开，所以对操作系统加固安全性只能是打上微软公司最新的补丁，当发现新Bug时等微软公司出新的补丁。对NT防火墙的一致意见也正是在NT系统的bug上，而NT系统最大的bug就是“NT安全性远远不能运行一个正规的防火墙”。而Linux操作系统良好的网络性能和开放源码的特点，使得在其上布置防火墙有了一个可靠的基石，也使得越来越多的用户选择了Linux作为其防火墙的操作平台。Linux2.4内核操作系统本身所带有的Netfilter是一个优秀防火墙架构，其功能和性能可与多数的商业防火墙产品媲美。1.2 目的和意义目前，市面上的

7、许多专业防火墙设备其价格非常的昂贵，少则几千元，大则上万元，对于一些小企业，网吧，学校以及一些非盈利组织，这些专业性的商业防火墙实在不太适合，并且在投资和安装维护上就存在着不少问题。因此，能不能设计一个即能防范外部不安全网络的威胁，又价格代廉的防火墙呢？答案是肯定的。在Linux环境下构建一个高效，运行稳定的防火墙是可以做到的，并且，没有价格上的负担，只需要一台闲置不用的PC机，和一个Linux操作系统就可以实现我们需要的防火墙。此次的毕业设计不仅能把我平时学到的理论知识运用到实际去，而且能够培养我分析问题，解决问题的能力。并能使我对Linux这个开源的操作系统更加的熟悉,在Linux平台上构

8、建一个安全,高效的防火墙,能使我对一些黑客常用的攻击手段有深入的了解,在此基础上分析其原理, 并通过对常用传输协议的分析，来编写Linux防火墙规则。1.3 系统设计思想如果一个网络连到了Internet上，它的用户就可以访问外部世界并与之通信。但同时，外部世界同样也可以访问该网络并与之交互。为安全起见，可以在该网络和Internet之间插入一个中介系统，竖起一道安全屏障。这道屏障的作用是阻断来自外部网络对网络的威胁与入侵，提供保护本网络的安全的唯一关卡。根据目前一些企业，网吧，学校及个人的一些实际需求，本防火墙系统的设计按照下述原则进行。1安全性：一个防火墙（作为阻塞点和控制点）要能极大地提

9、高一个内部网络的安全性，并能通过过滤不安全的服务从而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。2增强保密性：通过利用防火墙对内部网络的划分，可实现内部重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露内部网络的某些漏洞。3高度的稳定性：作为防火墙的操作系统平台必须是高可靠的，而Linux就完全可以做到这一点，Linux继承了UNIX的优良特性，可以连续运行数月，数年而无需重新启动，在过去十几年的广泛使用中只

10、有屈指可数的几个病毒感染过Linux。这种强免疫性归功于Linux 系统健壮的基础架构，并且，其内核版本2.4是一个可以使用的稳定版本。4可维护性：如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙就能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。1.4开发工具简介Shell(外壳)本身是一个用C语言编写的程序，它是用户与Linux联系的桥梁。Shell既是一种命令语言，又是一种程序设计语言。作为命令语言交互式地解释和执行用户输入的命令。作为程序设计语言，它定义了各种变量和参数，并提供了许多在高级语言

11、中才具有的控制结构，包括循环和分支。它虽然不是Linux系统核心的一部分，但它调用了系统核心的大部分功能来执行程序、建立文件，并以并行的方式协调各个程序的运行。Iptables是一个用来指定Netfilter规则和管理内核包过滤的工具,它为用户配置防火墙规则提供了方便。Iptables可以加入、删除或插入核心包过滤表格中的规则，它的主要特点有：1方便建立Internet防火墙和基于状态的包过滤。2Netfilter/iptables是完全免费的，用它来配置防火墙可以大大地节省费用。3可以使用户完全控制防火墙的配置和指定特殊规则对信息包进行过滤。4用户可以使用iptables命令在用户空间设置过

12、滤规则，并且可以添加、编辑和删除这些规则。2 Linux防火墙的需求分析在互联网络这样的TCP/IP网络上，所有往来的信息都被分割成许许多多一定长度的信息包，包中包含了发送者的IP地址和接收者的IP地址信息。当这些信息包被送上互联网络后，路由器会读取接受者的IP并选择一条合适的物理线路发送出去，信息包可能经由不同的路线低达目的地，当所有的包都抵达目的地后会重新组装还原。包过滤式防火墙会检查所有通过的信息中的IP地址，并按照系统管理员所给定的过滤规则进行过滤。2.1 Iptables(Linux防火墙管理程序)主要功能Iptables是一个用来指定Netfilter规则和管理内核包过滤的工具，它

13、为用户配置防火墙规则提供了方便。Iptables在处理不同种类的数据包时使用不同的规则表。这些规则表由功能上相互独立的表模块来实现。三个主要的模块是filter表，Nat表和对数据包进行特殊处理的mangle表。主要功能有：1、优秀的匹配规则：高级包匹配，例如速率限制和字符串匹配。2、增强的日志功能：允许自定义日志级别和实体。3、允许包撕裂：允许撕裂包中的任何信息。4、状态匹配，连接跟踪。5、自动碎片重装。6、支持内置包转发。7、状态包过滤。另外，iptables是有状态的，有状态的意思是指如果一个包是对从防火墙原先发出去的包的回复，则自动不用检查任何规则就立即允许回复包进入并返回给请求者，这

14、样我们不用设置许多规则定义就可实现应有的功能。2.2包过滤原理Linux内核的防火墙架构，为我们提供三个过滤点，分别是INPUT、OUTPUT、FORWARD，任何一个数据包仅仅只在这三个规则中的任何一个应用，或者被INPUT规则击中，或者被FORWARD规则和OUTPUT规则击中。当由外部网络进来的一个数据包，包的头部应该包括目的地址，目的端口号，源地址，源地址端口号以及数据包所使用的传输协议。首先经过一个路由模块，判断数据是传给本机的还是其它主机的，如果数据是传给本地机的，则数据要经过INPUT链，我们可以在这里写一些规则，来限制进行入本地机的数据包。如果，数据不是到达本地机的，则此数据需

15、经过FORWARD链转发出去，这里，我们可以根据需求，编写一些规则，只有符合要求的数据才能转发，否则丢弃该数据包。当由本地机发出去的数据包，是经过OUTPUT链转发出去的，此处可以设置一些规则来限制出去的数据包。3 系统的总体设计防火墙设计作为网络安全设计的一个组成部分，需要综合考虑各方面的因素。一般来说，影响网络安全的因素包括以下几个方面:网络结构、网络协议、地域、用户、主机和内部网络安全策略等。其设计的一般步骤为：3.1 系统功能总体设计本防火墙系统主要分为五大功能模块，如图3-1，每个功能模块下又细分出若干个功能，该功能设计图有利于防火墙系统的规则编写，有利于防火墙功能的测试。防火墙的初

16、始化涵盖了许多方面，包括定义shell脚本中的全局变量，启动内核支持服务，删除预先存在的规则，重置默认策略，启动回环接口，定义默认策略，以及定义一些基本规则以拒绝不合法地址并保护运行在非特权端口上的服务。我们需要启动一些常用的TCP服务，比如E-mail是一个几乎所有人都要用的服务。E-mail在网络上的发送使用的是TCP服务端口25上的SMTP协议。POP是取回邮件的服务，运行在TCP端口110上。Usenet新闻组是通过运行在TCP顶层并在服务端口119的NNTP协议进行访问的。要使用FTP服务，还得启用TCP端口21和20，但我们不要使用TFTP。它提供了一种简单的、无需认证的、UDP版

17、本的FTP服务，被公认为是一个不安全的服务。无状态的UDP协议本身就不像面向连接的TCP协议那样安全。因此，许多对安全敏感的站点将其完全禁止，或者是对访问UDP服务做尽可能的限制。本访火墙系统开启了Trace route服务，开启了UDP端口67和68以及允许DNS查询。ICMP控制消息的产生是作为对一些错误情况的响应。它们是由网络分析程序如Ping和Trace route所产生的。四种ICMP控制和状态消息需要通过防火墙：源抑制、参数问题、入站目的不可达以及出站目的不可达子类型需进行分片。图3-1防火墙系统功能设计图3.2 拒绝与禁止一个数据包Iptables的Netfilter防火墙机制提

18、供了拒绝还是丢弃数据包两个选项。两者有什么不同呢？当一个数据包被拒绝时，在丢弃该数据包的同时会给发送者返回一个ICMP错误消息。当一个数据包被丢弃时，该数据包被直接扔掉而不会返回任何通知给发送者，如图3-2所示。悄无声息、不返回任何信息地丢弃数据包通常是更好的选择，有三个原因：第一，发送错误响应会使网络通信量加倍，数据包被丢弃，大多不是因为它们只是无害地企图访问一个你没有提供的服务，而是因为它们是恶意的；第二，你响应的数据包可能正是一个拒绝服务攻击（denial-of-service ,DoS）；第三，任何响应，即使只是一个错误消息，都会给攻击者提供潜在的有用信息。图3-2拒绝和禁止一个数据包

19、3.3 制定安全策略安全策略的制定受到多种因素的影响，对每一个具体的网络环境，应根据各自的具体情况制定不同的安全策略。总的来说有两种策略:没有被列为允许的服务都是禁止的策略和没有被列为禁止的服务都是允许的策略。前者拒绝一切未经许可的服务，防火墙封锁所有信息流，然后逐项使能每一种许可的服务。而后者允许一切没被禁止的服务，防火墙转发所有的信息，然后逐项删除所有被禁止的服务。虽然针对具体的网络没有固定的安全策略，但在制定具体的安全策略时，是可以遵循一定的原则:1支持一条“禁止一切未明确允许的服务”或“允许一切未被禁止的服务”的规则。2在实现既定规则时不能漏掉任何一条。3只要适当修改规则，便可以适应新

20、的服务和需求。4要在身份验证和透明性之间做出权衡。5在分组过滤时，可以针对某个具体的机器系统允许或禁止。6对于拨号用户集中管理，并做好过滤和日志统计工作。3.4 包过滤的设计3.4.1 包过滤的基本原理包过滤可以实现很广范围的网络安全策略，这种安全策略主要集中在拦截入侵者。包过滤技术是在网络层对数据包进行选择和过滤，具有很好的透明性，选择的依据是系统内设置的过滤逻辑，即安全规则。当数据链路层截取到数据分组时，将根据所收到的每个数据包的源地址、目的地址、TCP/IP 源端口号、TCP/IP 目的端口号等与安全规则进行匹配。如果满足安全规则，则接受数据分组，否则抛弃分组。通过上述方法，可以过滤掉

21、Internet和Intranet之间的非法通信数据，从而保护了内部Intranet网络。3.4.2 包过滤策略与规则在防火墙上构造安全规则，其中分为入网规则和出网规则。入网分组过滤:进入内部网的分组必须接受包过滤器过滤后流入内部网络。出网分组过滤:离开内部网的分组必须接受包过滤器的过滤流向外部网络。包过滤防火墙可以对数据分组中如下信息进行安全过滤:1源地址和目的地址。2包的类型，可以是TCP,UDP,ICMP。3源和目的端口号。4ICMP 报文类型。5包中的ACK和SYN标志，这是为了防止在某个特定方向上建立新的链接。6某块网卡的名字或 IP 地址，这样可以指定在特定的网卡上进出包。每一个过

22、滤规则均结合一个策略，在 Linux 中使用的策略有以下两种:接受即让该数据包通过该过滤规则；否则抛弃该数据包，并不返回 ICMP 包。当防火墙从某一端口接收到数据包后，从该数据包提取IP 源地址、目的地址、TCP 源端口、目的端口号和协议标志，利用上述信息查询过滤规则表，根据查询结果来决定是转发还是抛弃数据分组。过滤规则表中一条规则的形式化描述如图3-3所示。图3-3 过滤规则形式化描述在查询过滤规则表过程中，如果数据包的 IP 地址、TCP 端口号和协议标志与某一过滤规则完全匹配，则根据过滤规则中的策略(Permit/Deny)选项来决定是接受、转发或是抛弃数据包。通过使用过滤规则，可以阻

23、塞或允许内部网络和外界 Internet 之间的任意主机的任何一种网络服务。包过滤防火墙可根据特定的服务允许或拒绝流动的数据包，因为可以存贮需要进行安全检查的主机地址，而服务器的端口号实际上代表某种网络服务。多数的网络服务程序都与知名的 TCP/UDP 端口相连，例如 Telnet 服务器在 TCP 的 23 号端口上监听远端连接，而 SMTP 服务器在 TCP 的 25 号端口上监听到来的 Email 的信息。为了阻塞所有进入的 Telnet 连接，包过滤防火墙只需按原则丢弃 TCP 端口号为 23 的数据包。所以在使用过滤规则时，对服务器端口号进行检查就能接受、转发或阻塞某种网络服务。3.

24、4.3 包过滤规则的匹配过程包过滤流程图描述：图中表示的过滤规则遵循“未明确表示为允许的便被禁止”的原则。即在进行安全检查时，防火墙将数据包按顺序与过滤规则依次进行匹配，并遵循如下三条原则：如果遇到一条过滤规则允许接收该数据包，则此数据包被转发。如果遇到一条过滤规则阻塞数据包，则该数据包被抛弃。过滤规则被全部匹配后，如果数据分组不满足任何规则，该分组被抛弃。首先数据包在穿过防火墙时，需要经过我们预先设置好的一个个规则和分析数据包头部的有关信息。如果第一个规则不符合要求，则应用到下一个规则，然后判断包是否可以被传输，如果可以的话，则允许数据经过防火墙，否则判断数据包是否应该被阻塞，如果满足的话，

25、则阻塞包，否则判断是不是最后一个匹配规则，是的话，则转到应用下一个匹配规则，否则阻塞数据包穿过防火墙。包过滤流程图如图3-4所示。图3-4包过滤流程图以上为本防火墙包过滤流程图，它描述包过滤防火墙的基本数据过滤流程，而设计和实现防火墙系统的应用规则就是围绕着本流程图来操作的。4 详细设计4.1 Linux环境下网络设置4.1.1 FTP服务器的配置1、FTP服务器的简介FTP 是File Transfer Protocol（文件传输协议）的英文简称，而中文简称为“文传协议”。用于Internet上的控制文件的双向传输。同时，它也是一个应用程序（Application）。基于不同的操作系统有不同

26、的FTP应用程序，而所有这些应用程序都遵守同一种协议以传输文件。在FTP的使用当中，用户经常遇到两个概念：下载（Download）和上传（Upload）。下载文件就是从远程主机拷贝文件至自己的计算机上；上传文件就是将文件从自己的计算机中拷贝至远程主机上。用Internet语言来说，用户可通过客户机程序向（从）远程主机上传（下载）文件。2、LINUX下FTP服务器的搭建一般在各种Linux的发行版中，默认带有的ftp软件是vsftp，从各个Linux发行版对vsftp的认可可以看出，vsftp应该是一款不错的ftp软件。（1）检查vsftpd软件是否安装使用如下命令可以检测出是否安装了vsftp

27、d软件，rpm -qa |grep vsftpd ,显示的结果如下：如果没有安装的话，可以下载安装，也可以使用软件源进行安装。（2）vsftpd软件的使用使用vsftpd软件，主要包括如下几个命令： 启动ftp：service vsftpd start 停止ftp：service vsftpd stop重启ftp：service vsftpd restart（3）vsftpd的配置ftp的配置文件主要有三个，在centos5.6中位于/etc/vsftpd/目录下，分别是：ftpusers 该文件用来指定那些用户不能访问ftp服务器。user_list 该文件用来指示的默认账户在默认情况下也不

28、能访问ftpvsftpd.conf vsftpd的主配置文件（4）下面我们使用vi编辑vsftpd.conf文件用户登录控制：anonymous_enable=YES，允许匿名用户登录。no_anon_password=YES，匿名用户登录时不需要输入密码。local_enable=YES，允许本地用户登录。deny_email_enable=YES，可以创建一个文件保存某些匿名电子邮件的黑名单，以防止这些人使用Dos攻击。banned_email_file=/etc/vsftpd/banned_emails，保存电子邮件黑名单的目录（默认）用户权限控制：write_enable=YES，开启

29、全局上传local_umask=022，本地文件上传的umask设置为022，系统默认。anon_upload_enable=YES，允许匿名用户上传，当然要在write_enable=YES的情况下。同时必须建立一个允许ftp用户读写的目录。anon_mkdir_write_enable=YES，允许匿名用花创建目录chown_uploads=YES，匿名用户上传的文件属主转换为别的用户，一般建议为root。chown_username=whoever，改此处的whoever为要转换的属主，建议rootchroot_list_enable=YES，用一个列表来限定哪些用户只能在自己目录下活动

30、。chroot_list_enable=/etc/vsftpd/chroot_list，指定用户列表文件用户连接和超时设置：idle_session_timeout=600，默认的超时时间 data_connection_timeout=120，设置默认数据连接的超时时间4.1.2 DNS服务器的配置1、DNS服务器的简介DNS 即Domain Name System（域名系统）的缩写，它是一种将ip地址转换成对应的主机名或将主机名转换成与之相对应ip地址的一种机制。其中通过域名解析出ip地址的叫做正向解析，通过ip地址解析出域名的叫做反向解析。2、DNS的工作原理DNS的查询流程：需要解析服

31、务的Client先查看本机的/etc/hosts；若无结果，则client查看本地的DNS缓存服务器；若无结果，则查找所属域的首选DNS服务器；若此时本地首选DNS服务器仍无法解析，则会想根域名服务器进行查询或选择转发解析请求。DNS的查询规则：递归式查询，即client向支持递归查询的DNS Server发出解析请求，则自DNS服务器不论是自身直接解析还是无法解析想根发出请求，总会由其向client返回一个结果；迭代式查询，即接收client解析请求的DNS Server，若其能够解析则直接返回结果，若其不能解析将把解析请求交给其他DNS服务器，而不是自己亲自将解析过程完成。所谓的“根”服务

32、器：根服务器主要用来管理互联网的主目录，全世界只有13台。1个为主根服务器，放置在美国。其余12个均为辅根服务器，其中9个放置在美国，欧洲2个，位于英国和瑞典，亚洲1个，位于日本。所有根服务器均由美国政府授权的互联网域名与号码分配机构ICANN统一管理，负责全球互联网域名根服务器、域名体系和IP地址等的管理。 DNS记录的类型： A：Address 域名向ip地址转换的记录； PTR：Printer ip地址向域名转换的记录； NS：代表域内的dns服务器； MX：代表域内的邮件服务器； CNAME：域名的别名； SOA：start of authority用于标示域内主DNS服务器。2、Li

33、nux下DNS服务器的搭建提供DNS服务的软件：BIND即Berkeley Internet Name Domain由加州大学伯克利分校研发是当今提供DNS服务应用最广的软件。（1）检查是否已经安装Bind软件root # rpm qa bind /bind是DNS服务器进程名称（2）创建主配置文件/etc/named.confoptions directory /var/named； #告知工作目录； zone “.” INtype hint; #声明根域file named.ca; #根信息存放文件;zone local host IN #本地正解定义type master; #类型为ma

34、ster file localhost.zone; #正解文件名;zone 0.0.127.in-addr.arpa IN #本地反解定义type master; file named.local;#反解文件名;chown :named /etc/named.conf #修改属组给named（3）创建3个解析文件#named.ca#dig -t NS . /var/named/named.ca #向跟服务器发起查询并重定向到目标文件#localhost.zone#vim localhost. zone$TTL 86400#默认的ttl值INSOA localhost. admin.localh

35、ost.（#主DNS服务器localhost.2011081601#时间+序列号011H#刷新时间：每隔多久来master查询更新10M #重试时间间隔7D #过期时间，如果7天仍找不到master，slave停止服务1D #否定答案ttl值，表示查询不到再次查询需要时间）INNS localhost. #当前域的DNS服务器是localhost.localhost.INA 127.0.0.1#named.local#vim named.local$TTL 86400 IN SOA localhost. admin.localhost. （ 20110816011H 10M 7D 1D）INN

36、Slocalhost. 1IN PTR localhost（4）检测配置文件语法#named-checkconf#named-checkzone “localhost” /var/named/localhost.zone#named-checkzone “0.0.127.in-addr.arpa” /var/named/named.local（5）开启服务并测试#service named start#dig -t A 域名 #测试正解#dig -x ip地址 #测试反解4.2 Linux 环境下安全保障设计4.2.1防火墙概念无论是一台计算机还是由连接起来的计算机组成的一个局域网(Local

37、 Area Network，LAN)，小型站点关心的焦点是与Internet直接相连的机器，这台机器就是防火墙。防火墙（firewall）就是一种过滤塞，你可以让你喜欢的东西通过这个塞子，别的都统统过滤掉。在网络的世界里，要由防火墙过滤的就是承载通信数据的数据包，在这里是你实施安全策略的地方。防火墙的外部接口卡是与Internet的连接点或网关。防火墙的任务是保护这个网关在你这一边的东西，防范来自另一边的东西。天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的是独立

38、的一套操作系统，如Linux ,FreeBSD等。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。4.2.2防火墙初始化实现1防火墙中定义的符号常量如果为经常使用的名字或地址定义了符号常量，防火墙的脚本就极易读懂和维护。下面列举出防火墙里用到的部分符号常量（其它定义的常量可以参考附录）：ANYWHERE_TRACKING=1：该变量表示是否允许防火墙主机ping通其它的主机，如果该变量等于1，则表示允许，如果是其它的值则防火墙主机的ping命令将被禁止使用。TRUST_IPAD

39、DR=172.16.100.7：该变量表示外网中受信任的主机的IP地址，这个地址的主机将允许访问内网，防火墙对此IP地址主机所发的数据不会过滤。WEB_SERVER=1：该变量表示是否允许内网主机访问Internet。变量等于1，表示允许，否则表示禁止。LAN_INTERFACE=eth0：该变量表示防火墙内部接口。2启动内核对监控的支持首先，我们应该启动Linux内核下的一些功能，这些功能能够使我们的防火墙的功能更加的强大，这也是选择Linux操作系统作防火墙的原因之一。（1）启动内核路由转发：Linux操作系统默认是没有启动内核的包转发功能的，如果作为一个防火墙，当然得开启内核的包转发功能

40、，这样，数据包才能路由到网络上。（2）丢弃源路由包：源路由现在很少合理地使用，防火墙应该丢弃所有源路由数据包，所以启动了此项功能。（3）启用cookies: TCP的SYN缓冲（cookies）是一种快速检测和防御SYN洪水攻击的机制，防火墙可以借助他的帮助来抵挡DoS攻击。3删除预先存在的规则定义一组过滤规则时，首先要做的事情就是从规则链中清除任何已经存在的规则。否则任何新定义的规则将加到已有的规则之后。那么，数据包在到达链上新定义的点之前，很容易与一个先前存在的规则匹配。删除规则也叫做刷新规则链，当没有参数直接针对特定的链时，下面的命令一次性刷新所有链上的规则：/sbin/iptables

41、 flush规则链变为空，但所有用户自定义规则链仍存在，刷新链并不影响当时处于有效的默认策略的状态。下一步是删除所有用户自定义规则链，下面的命令可以删除它们：/sbin/iptables X4重置默认策略在定义规则为丢弃之前，必须先生重置默认策略为接受策略。这样，为能完全停止防火墙提供了方便。下面的命令可以设置默认策略：/sbin/iptables -policy INPUT ACCEPT/sbin/iptables -policy OUTPUT ACCEPT/sbin/iptables -policy FORWARD ACCEPT这样netfilter的框架的三个包过滤链全部为接受，也就说这

42、时防火墙是允许一切数据包通过的，那为什么要这么做呢？这主要是为了能安全的停止防火墙，如果在上面的代码的后面加上停止防火墙的代码，那么，当我们使用参数“stop”时，程序会直接而干净地重置默认策略并将防火墙完全停止。5.启用回环接口有时我们需要启用不受限的回环业务流，它使你能够运行任何你想选择运行任何你想选择的或系统所依赖的本地网络服务，而不必但心要在所有防火墙规则中一一指明。本地服务依赖于回环网络接口。系统启动后，系统的默认策略是接受所有的数据包，清除所有预先存在的规则链对此也没有任何影响。但是，当防火墙被重新初始化时并且先前使用了默认禁止策略，丢弃策略在此时也将依然有效。在没有任何接受规则的

43、情况下，回环接口是不能被访问的。5.定义默认策略使用丢弃默认策略时，除非定义规则为明确允许或拒绝一个匹配的数据包，否则数据包将被丢弃。本防火墙要做到的是，自动丢弃我们不想要的入网数据包且并不通知远方的发送者，拒绝出网数据包并向内网发送者返回一个ICMP错误消息。下面的程序将防火墙的默认策略设为丢弃：/sbin/iptables -policy INPUT DROP/sbin/iptables -policy OUTPUT DROP/sbin/iptables -policy FORWARD DROP4.3 阻截常用攻击设计4.3.1 秘密扫描检测一般形式的TCP秘密扫描是可能的,因为iptab

44、les允许检测所有的TCP状态标记。在TCP报头中有六个状态位，其中URG为紧急数据标志，如果URG为1，表示本数据包中包含紧急数据。此时紧急数据指针表示的值有效，它表示在紧急数据之后的第一个字节的偏移值（即紧急数据的总长度）。ACK为确认标志位。如果ACK为1，表示数据包中的确认号有效。PSH位，表示强迫数据传输。RST标志位用来复位一条连接。当RST=1时，表示出现严重错误，必须释放连接，然后再重新建立。SYN标志位用来建立连接，如果SYN=1而ACK=0,表明它是一个连接请求；如果SYN=1且ACK=1，则表示同意建立一个连接。FIN为1时，表示数据已经发送完毕，希望释放连接。TCP报头格式如图4-1所示。图4-1TCP报头格式根据这六个标志位的不同作用，我们能够看出，有一些组合是不合法的，所以对于这些不合法的标志位组合，我们完全可以检查出来，以下列出的都是不合法的标志位组合。1所有标志位都为0。2SYN和FIN同时被置1