網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù)����,它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體�,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作���,使人們能夠透明地使用資源的整體能力并按需獲取信息�。資源包括高性能計(jì)算機(jī)、存儲資源��、數(shù)據(jù)資源����、信息資源����、知識資源、專家資源�����、大型數(shù)據(jù)庫�、網(wǎng)絡(luò)、傳感器等��。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享��,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段��。
Internet的普及��,人們的日常工作與之的關(guān)系也越來緊密,因而越來越多的單位為員工開設(shè)了Internet的代理上網(wǎng)服務(wù)�����。但當(dāng)一個企業(yè)的內(nèi)部網(wǎng)絡(luò)接上Internet之后���,企業(yè)的內(nèi)部資源就象待賣的羔羊一樣��,面臨任人宰割的危險(xiǎn)����,因而系統(tǒng)的安全除了考慮計(jì)算機(jī)病毒�����、系統(tǒng)的健壯性等內(nèi)部原因之外,更主要的是防止非法用戶通過Internet的入侵����。而目前防止的措施主要是靠防火墻的技術(shù)完成�。
一��、什么是防火墻
防火墻(firewall)是指一個由軟件或和硬件設(shè)備組合而成��,處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道(Internet)之間,限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。主要是控制對受保護(hù)的網(wǎng)絡(luò)(即網(wǎng)點(diǎn))的往返訪問,逼使各連接點(diǎn)的通過能得到檢查和評估���。
從誕生到現(xiàn)在,防火墻已經(jīng)歷了四個發(fā)展階段:基于路由器的防火墻、用戶化的防火墻工具套�����、建立在通用操作系統(tǒng)上的防火墻��、具有安全操作系統(tǒng)的防火墻��。目前防火墻供應(yīng)商提供的大部分都是具有安全操作系統(tǒng)的軟硬件結(jié)合的防火墻,象NETEYE、NETSCREEN���、TALENTIT等。在LINUX操作系統(tǒng)上的防火墻軟件也很多,除了下面要專門介紹的IPCHAINS外,還有很多��,如:Sinus Firewall���、Jfwadmin等����。
目前的防火墻從結(jié)構(gòu)上講,可分為兩種:
1) 代理主機(jī)結(jié)構(gòu)
內(nèi)部網(wǎng)絡(luò)$#@60;-----$#@62;代理網(wǎng)關(guān)(Proxy Gateway)$#@60;-----$#@62;Internet
2) 路由器加過濾器結(jié)構(gòu)
內(nèi)部網(wǎng)絡(luò)$#@60;-----$#@62;過濾器(Filter)$#@60;----$#@62;路由器(Router)$#@60;----$#@62;Internet
二、用IPCHAINS構(gòu)建局域網(wǎng)防火墻的原理
其實(shí)從本質(zhì)上講����,用IPCHAINS構(gòu)建局域網(wǎng)防火墻也是一種C/S模式的交互式的應(yīng)用����。一般服務(wù)器提供某特定功能的服務(wù)總是由特定的后臺程序提供的�。在TCP/IP網(wǎng)絡(luò)中����,常常把這個特定的服務(wù)綁定到特定的TCP或UDP端口。之后�����,該后臺程序就不斷地監(jiān)聽(listen)該端口���,一旦接收到符合條件的客戶端請? 該服務(wù)進(jìn)行TCP握手后就同客戶端建立一個連接�,響應(yīng)客戶請求。與此同時��,再產(chǎn)生一個該綁定的拷貝�,繼續(xù)監(jiān)聽客戶端的請求。
IPCHAINS就是這樣的一個SERVER����。對內(nèi)部網(wǎng)通往Intenet的請求��,或從外部通往內(nèi)部網(wǎng)的請求��,都進(jìn)行監(jiān)聽、檢查、評估�、轉(zhuǎn)發(fā)��、拒絕等動作。
常用的服務(wù)、協(xié)議與默認(rèn)端口。
服務(wù)類型 協(xié)議 端口
WWW TCP/UDP 80
TELNET
ICMP
SMTP
POP3
FTP
DNS
三、用IPCHAINS作防火墻的步驟
1.安裝
IPCHAINS現(xiàn)在的版本已經(jīng)發(fā)展到1.3.9。一般在安裝LINUX時都會安裝上�,如果沒有的話可以到www.linux.org下載���。下面筆者一TLC4.0為例安裝IPCHAINS��。由于它需IP-MASQ的支持,所以確定已安裝了IP-MASQ模塊。
在TLC4.0中,把該光盤放入光驅(qū)中�����,
#turbopkg
并選擇ipchains�,然后按OK就自動自動安裝了����。
如果你是下載ipchains安裝包的話:
1)如果是rpm包:
#rpm - ivh *.rpm
2)如果是.tar.gz包
#tar xvfz *.tar.gz(先把包解開)
再到解開目錄
#./configure
#make
#make install
這樣就安裝成功了。
2.啟用ipchains
手工修改 /proc/sys/net/ipv4/ipforward文件��,將其內(nèi)容置為1���。
在/etc/rc.d/目錄下用touch命令建立rc.ipfwadm文件
在/etc/rc.d/目錄下的rc.local文件中加上下面這段代碼:
if [ -f /etc/rc.d/rc.ipfwadm ]; then /etc/rc.d/rc.ipfwadm; fi;
以后所有的ipchains的配置命令都將在rc.ipfwadm文件里修改���。
3.配置ipchains(基本應(yīng)用)
ipchains對機(jī)器的管理是通過對機(jī)器的ip地址作為標(biāo)志的���,因而首先得確保你的局域網(wǎng)的機(jī)器的ip地址已經(jīng)配分配好��,并且你對之相當(dāng)熟悉�。
Ipchains的配置規(guī)則一般是圍繞著input��、output�、ipforward這三個規(guī)則進(jìn)行的���,其中input是指對內(nèi)連接請求的過濾規(guī)則���,output是指對外連接請求的過濾規(guī)則�����,ipforward是指對內(nèi)部與外部通訊包的轉(zhuǎn)發(fā)�����。Ipchains的命令格式一般是:
ipchains [ADC] ipchains規(guī)則 [ipchains 選項(xiàng)]��。
網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中����,正因如此���,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗(yàn)―從硬件上�����、軟件上���、所用標(biāo)準(zhǔn)上......�,各項(xiàng)技術(shù)都需要適時應(yīng)勢��,對應(yīng)發(fā)展���,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑��。
