互联网业务的综合性发展使人们越来越关注信息的安全问题。在构建安全的网络环境中，防火墙、认证服务器、加密机、防毒墙等都是常见的网络安全技术。本论文使用最新基于Linux 2.6 内核的防火墙Netfiler/iptables，以企业拓扑为背景，采用脚本方式完善部署了内外网过滤和网络地址转换规则，在此基础上实现日志功能的记录以及对包状态的过滤检测。并且研究了使用iptabels实现透明代理、应用层过滤以及抵御SYN Flood攻击的方法。

 

[关键词] 防火墙；网络过滤；地址转换；状态检测

  

1.3  本论文开发目标

本论文的开发目标为深入研究与讨论基于Linux内核防火墙Netfilter/iptables的企业应用于设计需求，利用iptables的过滤(filter)技术，进行数据包过滤，限制非法的非正常的访问数据流，禁止访问不使用的端口，防止黑客利用常见的漏洞端口进行非法攻击;利用iptables的网络地址转换技术[3] NAT实现企业内外网的正常通信访问，保证内部互联网用户安全上互联网的同时，也实现企业内部服务器的对外站点提供外部访问措施；利用iptables的数据包连接状态监测技术，对通信的数据流进行状态监测，拒绝异常状态数据包访问，为防止常见的如SYN攻击[4]及DDoS攻击等攻击手段进行策略设置；同时限制内部互联网用户访问一些特点站点，如反动、色情、暴力、赌博等网站内容。通过对实例企业数据中心的策略规划，深入讨论研究及更加完善这款稳定出色的Netfilter/iptables防火墙。实现中小企业以及部门用户，低成本收获高效率的软件防火墙机制。

3.3  常用维护命令

下面介绍的是在日常iptables正常使用或者维护中，经常使用到的几条常用命令，在发行版Linux中，”service iptables ” 等于”/sbin/iptables”

#/sbin/iptables start  开启iptables服务进程

#/sbin/iptables stop  关闭iptables服务进程

#/sbin/iptables restart  重启iptables服务进程

#/sbin/iptables save  保存规则到/etc/sysconfig/iptables 中。

#iptables -nvL  查看filter表中的生效规则

#iptables -F  清空所有规则

目    录

1 绪论 1

1.1 引言 1

1.2 当前研究现状 1

1.3 本论文开发目标 2

2 防火墙 2

2.1 防火墙简介 2

2.1.1 包过滤防火墙 2

2.1.2 状态监测防火墙 3

2.1.3 应用网关防火墙 3

2.1.4 代理服务器防火墙 4

2.1.5 防火墙主机类型分类 4

2.2 Linux防火墙简介 5

3 Netfilter/iptables 6

3.1 iptables工作原理 6

3.1.1 包过滤原理 7

3.1.2 网络地址转换原理 8

3.1.3 数据包处理表 9

3.2 iptables基本用法 9

3.2.1 工作表table 9

3.2.2 命令command 9

3.2.3 规则链chain 9

3.2.4 匹配规则match 10

3.2.5 目标target 10

3.3 常用维护命令 11

4 Netfilter/iptables常见应用 11

4.1 iptables+Squid 实现透明代理 11

4.2 iptables L7 filter模块的应用层过滤 12

4.3 iptables抵御SYN Flood攻击 14

5 基于iptables防火墙设计与应用 17

5.1 iptables企业应用实例拓扑 17

5.2 部署规则的准备工作 18

5.2.1 检查相关软件信息 18

5.2.2 iptables.sh初始化阶段 18

5.3 数据包过滤规则配置 18

5.3.1 INPUT链 18

5.4 网络地址转换规则配置 20

5.5 激活规则与结论 20

结束语 22

参考文献 23

致谢 24