Linux 防火墙的原理与实现.pdf

所需积分/C币:1 2013-01-09 22:53:09 207KB PDF

阐述了 Linux 内核防火墙 IPchains 的原理, 分析了 IPchains 的设计和实现, 叙述了Linux 的动态地址转换和 IP 伪装。《计算机应用》
22 汁算机应用 2002年 TOS branck branch IPchains simplebranch Input branch 规则1 tsnl循环跳转的情况」es2 规则2 规则4噚 规则 规则3 sm (branch= null 规则5}-工继续跳转”L规则 smplebranch 2在test中没有匹配 3发现匹配且没有跳转目标 返回原链 返回一个动作 Ip-counters testl test 2 test2 test l test2 struct p-chain ip-chainlabel label; /*k Defines t he label for each block sk struct ip_chain *next: /*k Pointer to next block k/ sInI ct ip kemel a chai /*k point er to firs mle in block *k/ ap-chain /m Num ber of refemces to block */ int poliey; Linux IP (IP Mas /*Default rule for chain. Only used in buil n chains/ IPchains struct ip reent reent 01 /s A ly sev eral of these * (MASQUERADE P iptables) firewall_oos2----------- 4m伪装 Linux Ip outpu (NAT) Rulel Rule4 Rule5 erne NAT I IP NAT NAt(st at ic network address transl at in) )kernel nat( dynamic network address translat in) label IPchains NAT IP nput IP output forw ard NAT refcount Li IP TCP/UDP IP NAT- router 162.105.1.2, Masquerading- Table o1994-2010ChinaAcademicjOurnalElectronicPublishingHouse.Allrightsreservedhttp://ww'w.cnki.net 第1期 徐辉等:Lin防火墙的原理与实现 23 的P地址。 型企业局域网的防火墙,它完全可以胜任,但其不足之处也是 接收的过程是发送的逆过程。如果接到的数据包是发送明显的。从其三条规则链的位置关系来看,一个转发的包从 数据包的回复,那么其目的地址和端口号就应该是伪装后的接收转发到发送要通过全部三条链的过滤,这显然是不合理 地址和端口,接收进程在地址映射表中查找到这个端口号,恢的。Iinx24内核对此做了一个比较大的改动,实现了更加 复成原来的地址和端口,再进行路由决策。 完美的防火墙机制一 netfilter于其配置命令是 iptables, 地址伪装的核心是地址映射表,其中每个表项主要包括所以一般也按照习惯称之为ipae 的信息有:P数据包所使用的上层协议、源/月的P地址、源 ptable的主要改进有:完全意义上的动态NAT,基于MAC 端口号/目的端口号以及伪装后的源端口号。在Lmux22内地址及用户的过滤,真正的基于状态的过滤,包速率限制以限 核中,表项被定义为结构体imaq 正常情况下,Lmx不使用32K以上的端口号, Linux内核 制包的发送速率接收转发和发送功能相对独立,等等。更 多的信息可参阅文献[4] 把61000以上的4096个端口用作P伪装。如果需要的话,这 两个数字可以通过修改nux的源程应由的宏定义来更改。 本文集中论述Iinu防火墙的原理以及 IPchains的实现 机制,而 IPchains的具体配置方法用户可以查阅相关 s18.192.ll912:125 Ia NAT-Router ce165,1051.263451.文献[3]。 IPchains是一个典型的包过滤防火墙,其思 ds:202.112964480 Masq-table 空2I9040°想和方法有许多值得借鉴的地方,而且Limx还给用 src198.19211999:4001 1021051.269452户开发自己的防火墙留出了余地。 dst202.102.713:23 dst202.102.7.1,3:23 参考文献 Masq-table Intemal IP/Port nat-Po [1] William Stallings. Cryptography and Network Security: Principles and 198l9211912125763451 Practice[Z]. Prentice Hall 198.192I9.99:400l63452 [2] Gerhard Mourani. Get Acquainted with inax Security and Optimization p 图5IP伪装示意图 [31IpChains-howtotEb/Ol].http://metalab.uncedu/ldp/ 5新版内核的改动 [4]netfilter-howto[Eb/Ol.].http://metalab.unc.ed/ldp/ [5]张建伟网络地址转换与网络安全[计算机应用研究,200, Linx2.2内核中的防火墙机制已经相当成熟,作为中小 (2) (上接第19页) ORB( Object Request Broker Controlle ML Controller onto Controller 4主动信息共享技术原型系统 clie stroller Client Controll [D]. 2000 Client 2 Workflow M C. The Workflow Reference Mode[s]. 1994 1997,(12):29-30. [4 JDBC 998,(6) o1994-2010ChinaAcademicjOurnalElectronicPublishingHouse.Allrightsreservedhttp://www.cnki.net

...展开详情
试读 4P Linux 防火墙的原理与实现.pdf
img
dubiousway
  • 分享达人

    成功上传6个资源即可获取

关注 私信 TA的资源

上传资源赚积分,得勋章
    最新推荐
    Linux 防火墙的原理与实现.pdf 1积分/C币 立即下载
    1/4
    Linux 防火墙的原理与实现.pdf第1页
    Linux 防火墙的原理与实现.pdf第2页

    试读已结束,剩余2页未读...

    1积分/C币 立即下载 >