摘要：随着网络应用的日益普及和更为复杂，网络安全事件不断出现，电脑病毒网络化趋势愈来愈明显，垃圾邮件日益猖獗，黑客攻击成指数增长，利用互联网传播有害信息手段日益翻新等等。网络在带给人们自由开放的同时，也带来不可忽视的安全风险。

　　关键词：网络；防火墙；Linux

　　Abstract: With the increasing popularity of network applications and more complex, the persistent occurrence of network security, computer virus, network trend is increasingly apparent that the increasingly rampant spam, hacker attacks exponential growth in use of the Internet means of disseminating harmful information such as the increasing renovation and so on. To bring people to a free and open networks in the same time, it also brings security risks can not be ignored.

　　Key words: Network; Firewall; Linux

　　一、防火墙的作用及分类

　　防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的网络安全政策。总的来说，防火墙的基本作用概括为以下几个方面：

　　1、可以限制他人进入内部网络，过滤掉不安全服务和非法用户；

　　2、防止入侵者接近你的防御设施；

　　3、限定用户访问特殊站点；

　　4、为监视Internet安全提供方便。

　　由于防火墙假设了网络边界和服务，因此更适合于相对独立的网络，例如Intranet等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上，在Internet上的Web网站中，超过三分之一的Web网站都是由某种形式的防火墙加以保护，这是对黑客防范最严，安全性较强的一种方式，任何关键性的服务器，都建议放在防火墙之后。

　　随着我国信息化建设的高速发展，网络中接入信息基础设施的数量不断增加，防火墙的技术也在不断发展，防火墙的分类和功能也在不断细化。内部网络所使用的防火墙技术按照防范的方式和侧重点的不同可分为很多种类型，但总体来说可分为三大类：包过滤型（Packet Filtering）、应用代理型（Application Proxy）防火墙和状态监视器（Stateful Inspection）。

　　包过滤型防火墙作用在网络层，检查数据流中的每个数据包，并根据数据包的源地址、目标地址、以及包所使用端口确定是否允许该类数据包通过。

　　应用代理服务器作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监控、过滤、记录和报告应用层通信流的功能。

　　状态监视器采用了一个在网关上执行网络安全策略的软件引擎，利用抽取相关数据的方法对网络通信的各层实施监测，一旦某个访问违反安全规定，安全报警器就会拒绝该访问，并作下记录向系统管理器报告网络状态。

　　二、Linux防火墙

　　Linux是这几年一款异军突起的操作系统，以其公开的源代码、强大稳定的网络功能和大量的免费资源受到业界的普遍赞扬。Linux防火墙其实是操作系统本身所自带的一个功能模块。通过安装特定的防火墙内核，Linux操作系统会对接收到的数据包按一定的策略进行处理。而用户所要做的，就是使用特定的配置软件（如ipchains）去定制适合自己的“数据包处理策略”。如果用它来构造防火墙，那么不仅具有防火墙的包过滤功能、代理服务功能，还具有一些防火墙的附加功能，而且费用只是同类防火墙的几十分之一。

　　三、基于Linux的防火墙的设计

　　3.1防火墙体系结构的设计

　　对于一个独立的、简单的内部网络来说，使用一台机器来充当防火墙就已经很理想了，因为这样的防火墙体系已经能够保护内部网络不受来自Internet的非法入侵，并且可以保障内部机器能够访问Internet。但是大型计算机网络来说，一个简单的防火墙就不能满足此时的安全需要，应该根据安全需要的层次、被保护数据的重要性、丢失数据的价值或机密性等因素结合整个内部网络的配置情况来制定相应的安全策略。此时我们就需要设计更为复杂的防火墙体系，并且可以根据实际情况对基本的体系结构做一些变型和调整。下面我们来分析几种常用的体系结构，然后根据我们实验网络的需要做出相应的变形。

　　3.2网络服务器的配置

　　我们在配置防火墙规则之前，先来配置堡垒防火墙机器和隔断防火墙机器所要到用的相关网络服务。前面我们说过，要把一些公共的信息服务器放在堡垒防火墙上，然后再根据相应的情况来制定防火墙的安全策略。一般情况我们需要激活的网络服务是DNS、Email、Telnet、FTP、Web等，另外还有SSH、finger、whois、Usenet、WAIS等等。

　　我们知道每种服务都是通过各自的服务器程序（即后台守护程序daemon）在分配给他们的服务端口上监听到来的连接。依据惯例，主要的网络服务端口是分配在1到1023的范围内的特权端口，这些端口号到服务的映射是由IANA（Internet Assigned Numbers Authority）来管理的。而从1024到65535的高端口就是非特权端口，他们被动态的分配给连接的客户端。这样一来，客户机和服务器端口对的组合，再加上他们给自的IP主机地址，唯一地标示了一个连接。

　　3.3防火墙规则的编写

　　在编写防火墙规则之前，我们先要制定防火墙的安全策略，确定哪些数据包是我们允许通过，哪些数据包是要禁止的。一般情况下我们都是首先制定一个缺省策略，比较安全的缺省策略是禁止一切数据包的通过，然后根据我们的需要放行一些数据包。下面我们来分析堡垒防火墙和隔断防火墙各自的安全策略，并且根据它来编写的防火墙规则。

　　（1）堡垒防火墙规则

　　制定堡垒防火墙的安全策略明确哪些数据包是允许的，哪些又是不允许的：对于进入防火墙的数据包来说，在外部网卡上，由于我们允许Internet上的机器访问防火墙上对外开放的网络服务，所以应该允许这些数据包进入，此外还要允许本地连接的回复包进入；在它的内部网卡上，所有从隔断防火墙进入的数据包都是允许的。对于堡垒防火墙转发的数据包来说，应该是只转发从内部网卡进来的数据包以及这些数据包的回复包。对于防火墙出去的数据包来说，应该是都允许通过的。

　　（2）隔断防火墙规则

　　隔断防火墙的安全策略是这样的：对于进来的数据包，在它的外部网卡上，我们应该允许通过的仅仅是提供给堡垒防火墙的有限的网络服务，比如说DNS查询，另外就是允许对本地连接的一些回复包的进入；在它的内部网卡，所有从内部网络进来的数据包都是允许的。对于隔断防火墙转发的数据包来说，应该是只转发从内部网卡进来的数据包以及这些数据包的回复包。对于隔断防火墙出去的数据包来说，应该是都允许通过的。由此我们可以看出它跟堡垒防火墙很多地方设置相似，不过此时对于隔断防火墙来说，它的外部网络就是堡垒防火墙机器。

　　四、总结

　　防火墙技术是网络安全中的一大关键技术，在Internet和内部网络的发展中，防火墙技术的发展起到了举足轻重的作用。而基于Linux的防火墙研究，对于低成本的防火墙开发来说，是非常有益的。它配置灵活，功能强大，再结合入侵检测和时间报告等网络安全性能，加上Linux本身所具有的系统级的安全监控等功能，作为一个集“包过滤型防火墙“和”应用代理型防火墙”于一身的混合型防火墙，基于Linux的防火墙有着不可比拟的优势。

　　现在很多防火墙产品的操作系统都是基于Linux或者以此为基础的，专业防火墙能实现的功能在Linux下也是可以实现的，而且更加经济实惠，对于小型站点或者小型LAN来说，通过使用Linux构筑一个合理有效防火墙体系，就可以实现对内部网络的安全保护。

　　总而言之，防火墙技术是网络安全的重要组成部分，在Linux下我们可以根据内部网络的需要为内部计算机网络构筑起自己的防火墙体系，从而实现经济实惠而且功能强大的防火墙。

　　参考文献

　　1、Wes Noonan Dubrawsky.陈廘帆译。防火墙基础[M].北京：人民邮电出版社，2007.

　　2、郭朝辉，郭爱红，李定主等。防火墙及基Linux实现[J].常州工学院学报，2004，（6）：55

　　3.陆云起。基于Linux系统的网络防火墙设计与实现[J].常州工学院学报，2004，（6）：52

　　4、梁冷霞，张先军，鹿凯宁。基于Iptable的网络地址转换研究[J].电子测量技术，2006，（6）： 105