基于LINUX的防火墻網(wǎng)絡(luò)安全設(shè)計(jì)與實(shí)現(xiàn)

張奇 遼寧理工學(xué)院

基于LINUX的防火墻網(wǎng)絡(luò)安全設(shè)計(jì)與實(shí)現(xiàn)

張奇 遼寧理工學(xué)院

互聯(lián)網(wǎng)技術(shù)應(yīng)用范圍的不斷擴(kuò)大，人們逐漸認(rèn)識(shí)到保護(hù)網(wǎng)絡(luò)安全對(duì)推動(dòng)經(jīng)濟(jì)發(fā)展、維護(hù)社會(huì)穩(wěn)定、保障公民合法利益等方面的重要性，并嘗試通過提升物理安全和通信安全、進(jìn)行控制訪問和信息加密、優(yōu)化系統(tǒng)計(jì)劃和管理等手段提升網(wǎng)絡(luò)安全，防火墻技術(shù)是現(xiàn)階段應(yīng)用較為廣泛且效果較突出的網(wǎng)絡(luò)安全技術(shù)手段之一。本文針對(duì)LINUX環(huán)境下的防火墻網(wǎng)絡(luò)安全設(shè)計(jì)與實(shí)現(xiàn)問題展開研究，提升防火強(qiáng)的透明性、適用性、可操作性、經(jīng)濟(jì)性和安全性、實(shí)用性，為提升網(wǎng)絡(luò)安全提供參考。

LINUX環(huán)境 防火墻網(wǎng)絡(luò)安全實(shí)現(xiàn)與應(yīng)用技術(shù)

1 引言

目前應(yīng)用的防火墻主要包括底層TCP/IP協(xié)議堆棧上運(yùn)行的、可封包過濾IP的、為管理員進(jìn)行相關(guān)規(guī)則設(shè)定和修改平臺(tái)的網(wǎng)絡(luò)層防火墻；TCP/IP協(xié)議堆棧應(yīng)用層上運(yùn)行的、封鎖和攔截應(yīng)用程序封包的應(yīng)用層防火墻；基于數(shù)據(jù)庫(kù)協(xié)議分析和控制技術(shù)數(shù)據(jù)庫(kù)系統(tǒng)，主動(dòng)防御針對(duì)數(shù)據(jù)庫(kù)進(jìn)行的攻擊行為，進(jìn)而保護(hù)計(jì)算機(jī)數(shù)據(jù)庫(kù)系統(tǒng)的數(shù)據(jù)庫(kù)防火墻三種類型構(gòu)成，共同提升計(jì)算機(jī)的安全防護(hù)能力。

2 基于LINUX的防火墻網(wǎng)絡(luò)安全設(shè)計(jì)

LINUX在設(shè)計(jì)的過程中，使用具有移植性能的UNIX標(biāo)準(zhǔn)應(yīng)用程序接口，使用過程中，可以與ARM、x86、powerPC等多種處理器直接連用，而且與其他應(yīng)用UNIX標(biāo)準(zhǔn)結(jié)構(gòu)的系統(tǒng)兼容；另外，LINUX具有可配置內(nèi)核，運(yùn)行效率較高，集成大部分網(wǎng)絡(luò)功能，網(wǎng)絡(luò)編程易操作，而且現(xiàn)有大量的開放源碼的工作軟件，為防火墻設(shè)計(jì)開放提供了條件。

設(shè)計(jì)LINUX環(huán)境下的防火墻，應(yīng)具有以下功能：鏈路層信息截取平臺(tái)模塊功能、包過濾模塊、內(nèi)容包過濾模塊及狀態(tài)檢測(cè)模塊功能、身份認(rèn)證模塊功能、網(wǎng)絡(luò)地址轉(zhuǎn)換模塊功能、路由記錄模塊功能。

3 基于LINUX的防火墻網(wǎng)絡(luò)安全實(shí)現(xiàn)

3.1 鏈路層信息截取平臺(tái)模塊功能的實(shí)現(xiàn)

數(shù)據(jù)鏈路層位于網(wǎng)絡(luò)層和物理層之間，在數(shù)據(jù)鏈路層中存在ARP和RARP協(xié)議支持發(fā)送和接收地址信息。在LINUX環(huán)境下，保證此模塊功能的實(shí)現(xiàn)，要對(duì)系統(tǒng)底層實(shí)現(xiàn)硬件配置，筆者認(rèn)為一方面，在硬件上應(yīng)將路由器和防火墻設(shè)置在此環(huán)境下的計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)中，將與Intranet和Internet連接的網(wǎng)卡地址均按照網(wǎng)址IP設(shè)定；另一方面在軟件上進(jìn)行匹配設(shè)計(jì)，首先將系統(tǒng)的內(nèi)核文件向/usr/src/下復(fù)制，并進(jìn)行內(nèi)核源碼文件[root@server63 src]# ls的壓縮；其次為簡(jiǎn)化編譯過程，直接將系統(tǒng)內(nèi)核配置文件直接復(fù)制在源代碼目錄中，并將其名稱更改為．config，此時(shí)需要在獲得的源代碼文件目錄中進(jìn)行配置界面的編制。再次，通過makemake modules_install實(shí)現(xiàn)對(duì)此模塊的安裝，為保證模塊的功能實(shí)現(xiàn)，在安裝模板后，可以在虛擬機(jī)中進(jìn)行內(nèi)核的安裝，然后對(duì)具體的功能進(jìn)行模擬，在整個(gè)實(shí)現(xiàn)過程完成后，系統(tǒng)的內(nèi)核文件會(huì)自動(dòng)在/ boot目錄中存儲(chǔ)。此時(shí)操作人員對(duì)LINUX環(huán)境進(jìn)行重啟，將以太網(wǎng)卡調(diào)整成Promiscuous模式，即可以發(fā)揮其鏈路層信息截取的功能。

3.2 包過濾模塊、內(nèi)容包過濾模塊及狀態(tài)檢測(cè)模塊功能的實(shí)現(xiàn)

包過濾技術(shù)主要檢測(cè)數(shù)據(jù)包包頭中的IP地址、TCP協(xié)議報(bào)、ICMP消息類型等方面的信息，在檢測(cè)的過程中，模塊會(huì)通過網(wǎng)絡(luò)間分布的鏈路對(duì)判定的非法信息進(jìn)行攔截，以此提升對(duì)計(jì)算機(jī)服務(wù)器和內(nèi)網(wǎng)的保護(hù)。而包頭內(nèi)信息是否與規(guī)則相匹配，主要通過ipt_ do_table()函數(shù)計(jì)算進(jìn)行判斷，但如果在匹配判斷的過程中按照規(guī)則表進(jìn)行逐個(gè)判斷會(huì)嚴(yán)重的影響判斷的效率，所以應(yīng)有意識(shí)的在ipt_do_table()函數(shù)判斷前，先將多項(xiàng)規(guī)則進(jìn)行分組處理，然后針對(duì)每組規(guī)則的特點(diǎn)選擇相應(yīng)的匹配方法。

3.3 身份認(rèn)證模塊功能的實(shí)現(xiàn)

此模塊的主要功能是保證用戶身份可控、抵御不同口令攻擊，而且分配的用戶認(rèn)證信息要實(shí)用、可操作性強(qiáng)等，此功能的實(shí)現(xiàn)，需要保證客戶段網(wǎng)絡(luò)應(yīng)用程序向防火墻認(rèn)證發(fā)送請(qǐng)求后，防火墻認(rèn)證中的用戶進(jìn)程可以向后臺(tái)認(rèn)證進(jìn)程發(fā)出認(rèn)證請(qǐng)求，由用戶界面向用戶進(jìn)程發(fā)送用戶信息，在防火墻認(rèn)證用戶信息不合法的情況下直接向用戶界面返回，在確認(rèn)合法的情況下，允許用戶進(jìn)入系統(tǒng)。

3.4 網(wǎng)絡(luò)地址轉(zhuǎn)換模塊功能的實(shí)現(xiàn)

結(jié)合10．0．1．1網(wǎng)絡(luò)地址的用戶系統(tǒng)對(duì)202．0．1．1的IP服務(wù)器進(jìn)行訪問過程中網(wǎng)絡(luò)地址的轉(zhuǎn)換過程，除NAT外，在網(wǎng)絡(luò)地址轉(zhuǎn)換的過程中，需要通過ACL對(duì)內(nèi)網(wǎng)計(jì)算機(jī)的訪問權(quán)限進(jìn)行界定，保證外網(wǎng)發(fā)出的訪問申請(qǐng)中，只有滿足ACL規(guī)定的部分可以實(shí)現(xiàn)聯(lián)網(wǎng)。

3.5 路由記錄模塊功能的實(shí)現(xiàn)

現(xiàn)階段LINUX環(huán)境下的防火墻路由記錄模式可以通過用戶、特權(quán)、全局等模式實(shí)現(xiàn)，在記錄的過程中，其均要對(duì)版本號(hào)、首部長(zhǎng)度、服務(wù)類型、數(shù)據(jù)包長(zhǎng)度、標(biāo)識(shí)符、標(biāo)志、分片偏移量、壽命、協(xié)議、測(cè)站IP地址、目的IP地址等信息進(jìn)行記錄。

4 結(jié)論

通過上述分析發(fā)現(xiàn)，大力研發(fā)既具有我國(guó)自主知識(shí)產(chǎn)權(quán)，又具備更理想性價(jià)比的LINUX防火墻系統(tǒng)，是我國(guó)網(wǎng)絡(luò)安全技術(shù)水平提升的具體體現(xiàn)，更是順應(yīng)互聯(lián)網(wǎng)時(shí)代發(fā)展進(jìn)行的成功探索，應(yīng)在不斷完善的基礎(chǔ)上，大力推廣。

[1]劉成：LINUX環(huán)境下的防火墻網(wǎng)絡(luò)安全設(shè)計(jì)與實(shí)現(xiàn)探討[J],網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016年第1,第71—73頁(yè)

[2]黃河鋒：討防火墻在企業(yè)網(wǎng)絡(luò)安全中的設(shè)計(jì)與實(shí)現(xiàn)[J],通訊世界,2016年第9期,第65—66頁(yè)