基于LINUX的防火墙网络安全设计与实现

张奇 辽宁理工学院

基于LINUX的防火墙网络安全设计与实现

张奇 辽宁理工学院

互联网技术应用范围的不断扩大，人们逐渐认识到保护网络安全对推动经济发展、维护社会稳定、保障公民合法利益等方面的重要性，并尝试通过提升物理安全和通信安全、进行控制访问和信息加密、优化系统计划和管理等手段提升网络安全，防火墙技术是现阶段应用较为广泛且效果较突出的网络安全技术手段之一。本文针对LINUX环境下的防火墙网络安全设计与实现问题展开研究，提升防火强的透明性、适用性、可操作性、经济性和安全性、实用性，为提升网络安全提供参考。

LINUX环境 防火墙网络安全实现与应用技术

1 引言

目前应用的防火墙主要包括底层TCP/IP协议堆栈上运行的、可封包过滤IP的、为管理员进行相关规则设定和修改平台的网络层防火墙；TCP/IP协议堆栈应用层上运行的、封锁和拦截应用程序封包的应用层防火墙；基于数据库协议分析和控制技术数据库系统，主动防御针对数据库进行的攻击行为，进而保护计算机数据库系统的数据库防火墙三种类型构成，共同提升计算机的安全防护能力。

2 基于LINUX的防火墙网络安全设计

LINUX在设计的过程中，使用具有移植性能的UNIX标准应用程序接口，使用过程中，可以与ARM、x86、powerPC等多种处理器直接连用，而且与其他应用UNIX标准结构的系统兼容；另外，LINUX具有可配置内核，运行效率较高，集成大部分网络功能，网络编程易操作，而且现有大量的开放源码的工作软件，为防火墙设计开放提供了条件。

设计LINUX环境下的防火墙，应具有以下功能：链路层信息截取平台模块功能、包过滤模块、内容包过滤模块及状态检测模块功能、身份认证模块功能、网络地址转换模块功能、路由记录模块功能。

3 基于LINUX的防火墙网络安全实现

3.1 链路层信息截取平台模块功能的实现

数据链路层位于网络层和物理层之间，在数据链路层中存在ARP和RARP协议支持发送和接收地址信息。在LINUX环境下，保证此模块功能的实现，要对系统底层实现硬件配置，笔者认为一方面，在硬件上应将路由器和防火墙设置在此环境下的计算机系统结构中，将与Intranet和Internet连接的网卡地址均按照网址IP设定；另一方面在软件上进行匹配设计，首先将系统的内核文件向/usr/src/下复制，并进行内核源码文件[root@server63 src]# ls的压缩；其次为简化编译过程，直接将系统内核配置文件直接复制在源代码目录中，并将其名称更改为．config，此时需要在获得的源代码文件目录中进行配置界面的编制。再次，通过makemake modules_install实现对此模块的安装，为保证模块的功能实现，在安装模板后，可以在虚拟机中进行内核的安装，然后对具体的功能进行模拟，在整个实现过程完成后，系统的内核文件会自动在/ boot目录中存储。此时操作人员对LINUX环境进行重启，将以太网卡调整成Promiscuous模式，即可以发挥其链路层信息截取的功能。

3.2 包过滤模块、内容包过滤模块及状态检测模块功能的实现

包过滤技术主要检测数据包包头中的IP地址、TCP协议报、ICMP消息类型等方面的信息，在检测的过程中，模块会通过网络间分布的链路对判定的非法信息进行拦截，以此提升对计算机服务器和内网的保护。而包头内信息是否与规则相匹配，主要通过ipt_ do_table()函数计算进行判断，但如果在匹配判断的过程中按照规则表进行逐个判断会严重的影响判断的效率，所以应有意识的在ipt_do_table()函数判断前，先将多项规则进行分组处理，然后针对每组规则的特点选择相应的匹配方法。

3.3 身份认证模块功能的实现

此模块的主要功能是保证用户身份可控、抵御不同口令攻击，而且分配的用户认证信息要实用、可操作性强等，此功能的实现，需要保证客户段网络应用程序向防火墙认证发送请求后，防火墙认证中的用户进程可以向后台认证进程发出认证请求，由用户界面向用户进程发送用户信息，在防火墙认证用户信息不合法的情况下直接向用户界面返回，在确认合法的情况下，允许用户进入系统。

3.4 网络地址转换模块功能的实现

结合10．0．1．1网络地址的用户系统对202．0．1．1的IP服务器进行访问过程中网络地址的转换过程，除NAT外，在网络地址转换的过程中，需要通过ACL对内网计算机的访问权限进行界定，保证外网发出的访问申请中，只有满足ACL规定的部分可以实现联网。

3.5 路由记录模块功能的实现

现阶段LINUX环境下的防火墙路由记录模式可以通过用户、特权、全局等模式实现，在记录的过程中，其均要对版本号、首部长度、服务类型、数据包长度、标识符、标志、分片偏移量、寿命、协议、测站IP地址、目的IP地址等信息进行记录。

4 结论

通过上述分析发现，大力研发既具有我国自主知识产权，又具备更理想性价比的LINUX防火墙系统，是我国网络安全技术水平提升的具体体现，更是顺应互联网时代发展进行的成功探索，应在不断完善的基础上，大力推广。

[1]刘成：LINUX环境下的防火墙网络安全设计与实现探讨[J],网络安全技术与应用,2016年第1,第71—73页

[2]黄河锋：讨防火墙在企业网络安全中的设计与实现[J],通讯世界,2016年第9期,第65—66页