網絡技術是從1990年代中期發展起來的新技術，它把互聯網上分散的資源融為有機整體，實現資源的全面共享和有機協作，使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享，網絡則被認為是互聯網發展的第三階段。

Linux下架設防火墻要領(1)

    

Internet的普及，人們的日常工作與之的關系也越來緊密，因而越來越多的單位為員工開設了Internet的代理上網服務。但當一個企業的內部網絡接上Internet之后，企業的內部資源就象待賣的羔羊一樣，面臨任人宰割的危險，因而系統的安全除了考慮計算機病毒、系統的健壯性等內部原因之外，更主要的是防止非法用戶通過Internet的入侵。而目前防止的措施主要是靠防火墻的技術完成。

　　一、什么是防火墻

　　防火墻(firewall)是指一個由軟件或和硬件設備組合而成，處于企業或網絡群體計算機與外界通道(Internet)之間，限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。主要是控制對受保護的網絡(即網點)的往返訪問，逼使各連接點的通過能得到檢查和評估。

　　從誕生到現在，防火墻已經歷了四個發展階段：基于路由器的防火墻、用戶化的防火墻工具套、建立在通用操作系統上的防火墻、具有安全操作系統的防火墻。目前防火墻供應商提供的大部分都是具有安全操作系統的軟硬件結合的防火墻，象NETEYE、NETSCREEN、TALENTIT等。在LINUX操作系統上的防火墻軟件也很多，除了下面要專門介紹的IPCHAINS外，還有很多，如：Sinus Firewall、Jfwadmin等。

　　目前的防火墻從結構上講，可分為兩種：

　　1） 代理主機結構

　　　 內部網絡$#@60;-----$#@62;代理網關(Proxy Gateway)$#@60;-----$#@62;Internet

　　2） 路由器加過濾器結構

　　　　內部網絡$#@60;-----$#@62;過濾器(Filter)$#@60;----$#@62;路由器(Router)$#@60;----$#@62;Internet

　　二、用IPCHAINS構建局域網防火墻的原理

　　其實從本質上講，用IPCHAINS構建局域網防火墻也是一種C/S模式的交互式的應用。一般服務器提供某特定功能的服務總是由特定的后臺程序提供的。在TCP/IP網絡中，常常把這個特定的服務綁定到特定的TCP或UDP端口。之后，該后臺程序就不斷地監聽（listen)該端口，一旦接收到符合條件的客戶端請? 該服務進行TCP握手后就同客戶端建立一個連接，響應客戶請求。與此同時，再產生一個該綁定的拷貝，繼續監聽客戶端的請求。

　　IPCHAINS就是這樣的一個SERVER。對內部網通往Intenet的請求，或從外部通往內部網的請求，都進行監聽、檢查、評估、轉發、拒絕等動作。

　　常用的服務、協議與默認端口。

　　服務類型 協議 端口

　　WWW TCP/UDP 80

　　TELNET

　　ICMP

　　SMTP

　　POP3

　　FTP

　　DNS

　　三、用IPCHAINS作防火墻的步驟

　　1.安裝

　　IPCHAINS現在的版本已經發展到1.3.9。一般在安裝LINUX時都會安裝上，如果沒有的話可以到www.linux.org下載。下面筆者一TLC4.0為例安裝IPCHAINS。由于它需IP-MASQ的支持，所以確定已安裝了IP-MASQ模塊。

　　在TLC4.0中，把該光盤放入光驅中，

　　#turbopkg

　　并選擇ipchains，然后按OK就自動自動安裝了。

　　如果你是下載ipchains安裝包的話：

　　1)如果是rpm包：

　　#rpm - ivh *.rpm

　　2)如果是.tar.gz包

　　#tar xvfz *.tar.gz(先把包解開)

　　再到解開目錄

　　#./configure

　　#make

　　#make install

　　這樣就安裝成功了。

　　2.啟用ipchains

　　手工修改 /proc/sys/net/ipv4/ipforward文件，將其內容置為1。

　　在/etc/rc.d/目錄下用touch命令建立rc.ipfwadm文件

　　在/etc/rc.d/目錄下的rc.local文件中加上下面這段代碼：

　　if [ -f /etc/rc.d/rc.ipfwadm ]; then /etc/rc.d/rc.ipfwadm; fi;

　　以后所有的ipchains的配置命令都將在rc.ipfwadm文件里修改。

　　3.配置ipchains（基本應用）

　　ipchains對機器的管理是通過對機器的ip地址作為標志的，因而首先得確保你的局域網的機器的ip地址已經配分配好，并且你對之相當熟悉。

　　Ipchains的配置規則一般是圍繞著input、output、ipforward這三個規則進行的，其中input是指對內連接請求的過濾規則，output是指對外連接請求的過濾規則，ipforward是指對內部與外部通訊包的轉發。Ipchains的命令格式一般是：

　　ipchains [ADC] ipchains規則 [ipchains 選項]。

網絡的神奇作用吸引著越來越多的用戶加入其中，正因如此，網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......，各項技術都需要適時應勢，對應發展，這正是網絡迅速走向進步的催化劑。