组网课程设计--防火墙系统

上传人：毕****文

文档编号：1393370

上传时间：2019-06-29

格式：DOC

页数：23

大小：764KB

《组网课程设计--防火墙系统》由会员分享，可在线阅读，更多相关《组网课程设计--防火墙系统（23页珍藏版）》请在毕设资料网上搜索。

1、前言： Linux2.4 内核中 Netfilter/Iptables 的出现，为构建 Linux 下防火墙提供了很好的平台。Iptables 是在 Linux 操作系统下基于 2.4 之上内核版本的集成网络安全工具包。该工具通过编程可以实现多种网络安全功能，如：数据包过滤、状态保持、NAT（Network Address Translation，网络地址转换)以及抵抗攻击等等。本课程设计主要是针对 Linux 下 iptables 的的应用进行学习与研究，结构上可以分为三个部分： Linux 防火墙的概述， iptables 的的简介以及如何使用 iptables 来为我们的日常工

2、作所服务。例如在我们的日常工作中的应用到的过滤网址、 IP，禁用端口、协议等等。利用 iptables 这个工具在 Linux 服务器上实现安全稳定、功能强大的防火墙。目前这也是被企业和高校广泛采用的一种比较成熟的技术。本次毕设课题研究的实验环境均在虚拟机上实现，使用 ubuntu 系统、 win xp 系统和 win 2003 系统。关键词：Linux，防火墙，iptables，规则，过滤 1 目录目录 1 防火墙简介 3 2 iptables 简介 4 2.1 iptables 的基本概念 4 2 .2 iptables 数据包的传输过程 5 3 iptables 的使用 6

3、4 iptables 的一些配置实例. 8 4.1 一台虚拟机与 iptable 配置 8 4.2 两台虚拟机连接通信有关的 iptables 配置 . 10 4.3 三台虚拟机连接通信有关的 iptables 配置 14 4.4 基于 iptables 的 nat 配置 . 16 4.5 基于 iptables 的 ftp 服务器配置. 18 4.6 基于 iptables 的 dns 服务器配置 19 5 iptables 技巧实例 . 21 6 课程设计心得 . 22 7 参考书目 . 23 2 1 防火墙简介防火墙简介防火墙是位于不同网络（如可信的企业内部网和不可信的公共网）或网络安

4、全域之间，对网络进行隔离并实现有条件通信的一系列软件/硬件设备的集合。它通过访问控制机制确定哪些内部服务允许外部访问，以及允许哪些外部请求可以访问内部服务。其基本功能是分析出入防火墙的数据包，根据 IP 包头结合防火墙的规则，来决定是否接收或允许数据包通过。防火墙系统可以由一台路由器，也可以由一台或一组主机组成。它通常被放置在网络入口处，所有内外部网络通信数据包都必须经过防火墙，接受防火墙的检查，只有符合安全规则的数据才允许通过。通过使用防火墙可以实现以下功能：保护内部网络中易受攻击的服务。控制内外网之间网络系统的访问。隐藏内部网络的 IP 地址及结构的细节，提高网络的

5、保密性。对网络存取和访问进行监控和审计。集中管理内网的安全性，降低管理成本。 3 2 iptables 简介简介 2.1 iptables 的基本概念的基本概念在使用 iptables 之前我们先要理解规则、链、表这 3 个概念以及 iptables 传输数据包的过程。规则规则(rules)就是网络管理员预先定义的条件，每条规则的定义方式一般是 “如果封包符合这样的条件就这样处理该数包”。链链(chains)是数据包传输的路径，每一条链中可以有一条或数条规则。表 iptables 内置了 filter 表、nat 表和 mangle 表用于实现包过滤、网络地址转换和包重构的功

6、能。（1）filter 表 filter 表是 iptables 默认的表，如果没有指定使用哪个表，iptables 默认使用 filter 表来执行所有的命令。filter 表根据系统管理员预定义的一组规则过滤符合条件的数据包。在 filter 表中只允许对数据包进行接收、丢弃的操作，而无法对数据包进行更改。（2）nat 表 nat 表主要是用于网络地址转换 NAT，该表可以实现一对一、一对多、多对多等 NAT 工作。NAT 表包含了 PREROUTING 链、OUTPUT 链和 POSTROUTING 链。其中 PREROUTING 链用于处理刚刚进入网络层未进行路由判断的数据包，OUTPUT 链用于处理在路由之前本地生成的数据包，POSTROUTING 链处理在路由判断之后即 4 将通过网卡发送出去的数据包。（3）mangle 表某些特殊应用可能需要改写数据包的一些传输特性，例如更改数据包的 TTL 和 TOS 等，mangle 表主要用于对指定包的传输特性进行修改。 2 .2 iptables 数据包的传输过程