用管理工具构建防火墙

防火墙（Firewall）是一个软件或硬件产品，建立了一个可信的网络和不可信任的网络之间的安全屏障，具有包过滤功能的Linux操作系统内核，系统管理员通过管理工具建立一套规则，建立一个基于Linux的防火墙，用这组规则的主机接收，或主机发送数据包从一个网络到另一个网络转发数据包，一个空闲的电脑可以取代昂贵的专用硬件防火墙，对于一些中小企业或部门的用户，这是值得考虑的。首先，类型和防火墙设计策略中经常使用的两种方式，包过滤和应用代理服务时，建设防火墙，包过滤是指包过滤规则的建立，基于这些规则和IP包头的信息，以允许或拒绝网络层的包通过。如果使用ftp允许或禁止，FTP的特定功能（如使用get和put）不能被禁止。应用代理服务是由内网、外网之间的代理服务器完成。它在应用层上的作品，并对用户的各种请求的传入和传出的服务代理，如FTP和远程网络。目前，防火墙一般采用双homedfirewall，screenedhostfirewall和screenedsubnetfirewall。双主机体系结构是指计算机至少有2个网络接口连接到内部和外部网络，屏蔽主机结构是计算机假定代理服务的任务是连接到内网的主机。屏蔽子网结构是通过添加额外的安全层，即添加到屏蔽主机结构，添加外围网络进一步分离企业从外部网络。使用防火墙规则定义哪些数据包或服务允许/拒绝通过，并有2大策略：一是允许任何访问并表示拒绝的项目；另一是拒绝任何访问首先指出允许的项目，我们将采取从二策略。一个逻辑点，在防火墙中指定一个较小的规则列表允许防火墙更容易执行比指定的大名单。从互联网的发展来看，新的协议和服务是新兴。在允许这些协议和服务通过防火墙之前，应该检查漏洞。2、基于Linux操作系统的防火墙的实现。基于Linux操作系统的防火墙是一个由包过滤防火墙和包过滤和代理服务的内核的包过滤功能建立复合防火墙。接下来，让我们来看看如何配置防火墙为Linux双主机。由于Linux内核的不同，提供的包过滤的方法是不的same.ipfwadm是基于UNIX的IPFW，这仅适用于内核之前linux2.0.36；为Linux2.2以后的版本，使用的是以类似的方式，Ipchains.IpFwadm和利用工作，4链配置的，3是在Linux内核中，定义即inputchains，outputchains和forwardchains，和一个用户定义的链（userdefinedchains）。进入链de罚款的过滤规则的流入的数据包，并传出链定义的流出数据包的过滤规则，并转发链定义的转发数据包的过滤规则。链决定如何处理传入和传出的IP数据包，即当一个包从网卡的内核，与链规则的数据包流量；如果允许内核决定包下的地方，如果它被发送到另一台机器，内核转发链的规则决定了数据包流量；当一个数据包被发送出去，在链式法则的内核决定了分组流。在一个特定的链规则用于确定IP包，如果包和第一条规则不匹配，该n检查下一条规则，找到一个相匹配的规则时，规则指定包的目标，目标可能是用户定义的链或接受，拒绝，拒绝Masq，回报，和重定向等。其中，接受允许否认拒绝；；指的是接收到的数据包的发送者，但产生一个ICMP回复；收益是指停止规则处理，跳到链的末端；MASQ指的是用户定义的链和链的工作，这个包的内核只是伪装；重定向到链和用户的连锁效应的定义，使内核的改革方案以本地端口。为了让Masq和重定向的工作，我们可以选择config_ip_masquerading和config_ip_transparent_proxy分别编译内核。假设有一个局域网连接到互联网，和公网地址202.101.2.25.the私有地址的内部网使用C类地址，192.168.0.0到192.168.255.0，根据RFC1597规定。为方便起见，我们把3台电脑为例，事实上，它可以扩展到254电脑。具体步骤如下：1、在安装2网卡ECH0 ECH1主机Linux，一个内部网络的私有191.168.100.0 ECH0网卡地址的分配，用于连接到内网；Ech1卡分配一个公共网络202.101.2.25地址，用来连接互联网。2、Linux主机建立正向，，和用户定义的链。本文首先不允许所有信息和流程，并允许转发数据包，但禁止一些危险的软件包，如IP欺骗报文，广播报文和ICMP服务式攻击包。具体设置如下：（1）刷新所有的规则（2）设置初始规则（3）设置的地方循环规则，并通过宝蕴蓄地方之间的过程。（4）IP（5）禁止欺骗广播包（6）（7）ECH0 Ech1转发规则设置转发规则将被保存到 / / rc.firewallrules等文件，使用chmod给文件执行权限，添加一行 / / /等rc.firewallrules等 / rc.d.rc.local，以便在系统启动时，这些规则将生效。通过配置n上述步骤，我们可以建立一个基于Linux操作系统的包过滤防火墙，它具有结构简单、安全性高、抗病性强，尤其是建设防火墙，可以最大限度地减少输入和利用闲置的电脑和免费的Linux操作系统，最大限度地提高产量。此外，如果我们添加代理服务器在包过滤的基础上，如TIS防火墙工具包免费的软件包，我们可以建立一个更安全的复合型防火墙。