基于LINUX的防火墻網絡安全設計與實現

張奇 遼寧理工學院

基于LINUX的防火墻網絡安全設計與實現

張奇 遼寧理工學院

互聯網技術應用范圍的不斷擴大，人們逐漸認識到保護網絡安全對推動經濟發展、維護社會穩定、保障公民合法利益等方面的重要性，并嘗試通過提升物理安全和通信安全、進行控制訪問和信息加密、優化系統計劃和管理等手段提升網絡安全，防火墻技術是現階段應用較為廣泛且效果較突出的網絡安全技術手段之一。本文針對LINUX環境下的防火墻網絡安全設計與實現問題展開研究，提升防火強的透明性、適用性、可操作性、經濟性和安全性、實用性，為提升網絡安全提供參考。

LINUX環境 防火墻網絡安全實現與應用技術

1 引言

目前應用的防火墻主要包括底層TCP/IP協議堆棧上運行的、可封包過濾IP的、為管理員進行相關規則設定和修改平臺的網絡層防火墻；TCP/IP協議堆棧應用層上運行的、封鎖和攔截應用程序封包的應用層防火墻；基于數據庫協議分析和控制技術數據庫系統，主動防御針對數據庫進行的攻擊行為，進而保護計算機數據庫系統的數據庫防火墻三種類型構成，共同提升計算機的安全防護能力。

2 基于LINUX的防火墻網絡安全設計

LINUX在設計的過程中，使用具有移植性能的UNIX標準應用程序接口，使用過程中，可以與ARM、x86、powerPC等多種處理器直接連用，而且與其他應用UNIX標準結構的系統兼容；另外，LINUX具有可配置內核，運行效率較高，集成大部分網絡功能，網絡編程易操作，而且現有大量的開放源碼的工作軟件，為防火墻設計開放提供了條件。

設計LINUX環境下的防火墻，應具有以下功能：鏈路層信息截取平臺模塊功能、包過濾模塊、內容包過濾模塊及狀態檢測模塊功能、身份認證模塊功能、網絡地址轉換模塊功能、路由記錄模塊功能。

3 基于LINUX的防火墻網絡安全實現

3.1 鏈路層信息截取平臺模塊功能的實現

數據鏈路層位于網絡層和物理層之間，在數據鏈路層中存在ARP和RARP協議支持發送和接收地址信息。在LINUX環境下，保證此模塊功能的實現，要對系統底層實現硬件配置，筆者認為一方面，在硬件上應將路由器和防火墻設置在此環境下的計算機系統結構中，將與Intranet和Internet連接的網卡地址均按照網址IP設定；另一方面在軟件上進行匹配設計，首先將系統的內核文件向/usr/src/下復制，并進行內核源碼文件[root@server63 src]# ls的壓縮；其次為簡化編譯過程，直接將系統內核配置文件直接復制在源代碼目錄中，并將其名稱更改為．config，此時需要在獲得的源代碼文件目錄中進行配置界面的編制。再次，通過makemake modules_install實現對此模塊的安裝，為保證模塊的功能實現，在安裝模板后，可以在虛擬機中進行內核的安裝，然后對具體的功能進行模擬，在整個實現過程完成后，系統的內核文件會自動在/ boot目錄中存儲。此時操作人員對LINUX環境進行重啟，將以太網卡調整成Promiscuous模式，即可以發揮其鏈路層信息截取的功能。

3.2 包過濾模塊、內容包過濾模塊及狀態檢測模塊功能的實現

包過濾技術主要檢測數據包包頭中的IP地址、TCP協議報、ICMP消息類型等方面的信息，在檢測的過程中，模塊會通過網絡間分布的鏈路對判定的非法信息進行攔截，以此提升對計算機服務器和內網的保護。而包頭內信息是否與規則相匹配，主要通過ipt_ do_table()函數計算進行判斷，但如果在匹配判斷的過程中按照規則表進行逐個判斷會嚴重的影響判斷的效率，所以應有意識的在ipt_do_table()函數判斷前，先將多項規則進行分組處理，然后針對每組規則的特點選擇相應的匹配方法。

3.3 身份認證模塊功能的實現

此模塊的主要功能是保證用戶身份可控、抵御不同口令攻擊，而且分配的用戶認證信息要實用、可操作性強等，此功能的實現，需要保證客戶段網絡應用程序向防火墻認證發送請求后，防火墻認證中的用戶進程可以向后臺認證進程發出認證請求，由用戶界面向用戶進程發送用戶信息，在防火墻認證用戶信息不合法的情況下直接向用戶界面返回，在確認合法的情況下，允許用戶進入系統。

3.4 網絡地址轉換模塊功能的實現

結合10．0．1．1網絡地址的用戶系統對202．0．1．1的IP服務器進行訪問過程中網絡地址的轉換過程，除NAT外，在網絡地址轉換的過程中，需要通過ACL對內網計算機的訪問權限進行界定，保證外網發出的訪問申請中，只有滿足ACL規定的部分可以實現聯網。

3.5 路由記錄模塊功能的實現

現階段LINUX環境下的防火墻路由記錄模式可以通過用戶、特權、全局等模式實現，在記錄的過程中，其均要對版本號、首部長度、服務類型、數據包長度、標識符、標志、分片偏移量、壽命、協議、測站IP地址、目的IP地址等信息進行記錄。

4 結論

通過上述分析發現，大力研發既具有我國自主知識產權，又具備更理想性價比的LINUX防火墻系統，是我國網絡安全技術水平提升的具體體現，更是順應互聯網時代發展進行的成功探索，應在不斷完善的基礎上，大力推廣。

[1]劉成：LINUX環境下的防火墻網絡安全設計與實現探討[J],網絡安全技術與應用,2016年第1,第71—73頁

[2]黃河鋒：討防火墻在企業網絡安全中的設計與實現[J],通訊世界,2016年第9期,第65—66頁