網(wǎng)絡技術是從1990年代中期發(fā)展起來的新技術，它把互聯(lián)網(wǎng)上分散的資源融為有機整體，實現(xiàn)資源的全面共享和有機協(xié)作，使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡、傳感器等。 當前的互聯(lián)網(wǎng)只限于信息共享，網(wǎng)絡則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段。

Linux下架設防火墻要領(1)

    

Internet的普及，人們的日常工作與之的關系也越來緊密，因而越來越多的單位為員工開設了Internet的代理上網(wǎng)服務。但當一個企業(yè)的內部網(wǎng)絡接上Internet之后，企業(yè)的內部資源就象待賣的羔羊一樣，面臨任人宰割的危險，因而系統(tǒng)的安全除了考慮計算機病毒、系統(tǒng)的健壯性等內部原因之外，更主要的是防止非法用戶通過Internet的入侵。而目前防止的措施主要是靠防火墻的技術完成。

　　一、什么是防火墻

　　防火墻(firewall)是指一個由軟件或和硬件設備組合而成，處于企業(yè)或網(wǎng)絡群體計算機與外界通道(Internet)之間，限制外界用戶對內部網(wǎng)絡訪問及管理內部用戶訪問外界網(wǎng)絡的權限。主要是控制對受保護的網(wǎng)絡(即網(wǎng)點)的往返訪問，逼使各連接點的通過能得到檢查和評估。

　　從誕生到現(xiàn)在，防火墻已經(jīng)歷了四個發(fā)展階段：基于路由器的防火墻、用戶化的防火墻工具套、建立在通用操作系統(tǒng)上的防火墻、具有安全操作系統(tǒng)的防火墻。目前防火墻供應商提供的大部分都是具有安全操作系統(tǒng)的軟硬件結合的防火墻，象NETEYE、NETSCREEN、TALENTIT等。在LINUX操作系統(tǒng)上的防火墻軟件也很多，除了下面要專門介紹的IPCHAINS外，還有很多，如：Sinus Firewall、Jfwadmin等。

　　目前的防火墻從結構上講，可分為兩種：

　　1） 代理主機結構

　　　 內部網(wǎng)絡$#@60;-----$#@62;代理網(wǎng)關(Proxy Gateway)$#@60;-----$#@62;Internet

　　2） 路由器加過濾器結構

　　　　內部網(wǎng)絡$#@60;-----$#@62;過濾器(Filter)$#@60;----$#@62;路由器(Router)$#@60;----$#@62;Internet

　　二、用IPCHAINS構建局域網(wǎng)防火墻的原理

　　其實從本質上講，用IPCHAINS構建局域網(wǎng)防火墻也是一種C/S模式的交互式的應用。一般服務器提供某特定功能的服務總是由特定的后臺程序提供的。在TCP/IP網(wǎng)絡中，常常把這個特定的服務綁定到特定的TCP或UDP端口。之后，該后臺程序就不斷地監(jiān)聽（listen)該端口，一旦接收到符合條件的客戶端請? 該服務進行TCP握手后就同客戶端建立一個連接，響應客戶請求。與此同時，再產(chǎn)生一個該綁定的拷貝，繼續(xù)監(jiān)聽客戶端的請求。

　　IPCHAINS就是這樣的一個SERVER。對內部網(wǎng)通往Intenet的請求，或從外部通往內部網(wǎng)的請求，都進行監(jiān)聽、檢查、評估、轉發(fā)、拒絕等動作。

　　常用的服務、協(xié)議與默認端口。

　　服務類型 協(xié)議 端口

　　WWW TCP/UDP 80

　　TELNET

　　ICMP

　　SMTP

　　POP3

　　FTP

　　DNS

　　三、用IPCHAINS作防火墻的步驟

　　1.安裝

　　IPCHAINS現(xiàn)在的版本已經(jīng)發(fā)展到1.3.9。一般在安裝LINUX時都會安裝上，如果沒有的話可以到www.linux.org下載。下面筆者一TLC4.0為例安裝IPCHAINS。由于它需IP-MASQ的支持，所以確定已安裝了IP-MASQ模塊。

　　在TLC4.0中，把該光盤放入光驅中，

　　#turbopkg

　　并選擇ipchains，然后按OK就自動自動安裝了。

　　如果你是下載ipchains安裝包的話：

　　1)如果是rpm包：

　　#rpm - ivh *.rpm

　　2)如果是.tar.gz包

　　#tar xvfz *.tar.gz(先把包解開)

　　再到解開目錄

　　#./configure

　　#make

　　#make install

　　這樣就安裝成功了。

　　2.啟用ipchains

　　手工修改 /proc/sys/net/ipv4/ipforward文件，將其內容置為1。

　　在/etc/rc.d/目錄下用touch命令建立rc.ipfwadm文件

　　在/etc/rc.d/目錄下的rc.local文件中加上下面這段代碼：

　　if [ -f /etc/rc.d/rc.ipfwadm ]; then /etc/rc.d/rc.ipfwadm; fi;

　　以后所有的ipchains的配置命令都將在rc.ipfwadm文件里修改。

　　3.配置ipchains（基本應用）

　　ipchains對機器的管理是通過對機器的ip地址作為標志的，因而首先得確保你的局域網(wǎng)的機器的ip地址已經(jīng)配分配好，并且你對之相當熟悉。

　　Ipchains的配置規(guī)則一般是圍繞著input、output、ipforward這三個規(guī)則進行的，其中input是指對內連接請求的過濾規(guī)則，output是指對外連接請求的過濾規(guī)則，ipforward是指對內部與外部通訊包的轉發(fā)。Ipchains的命令格式一般是：

　　ipchains [ADC] ipchains規(guī)則 [ipchains 選項]。

網(wǎng)絡的神奇作用吸引著越來越多的用戶加入其中，正因如此，網(wǎng)絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......，各項技術都需要適時應勢，對應發(fā)展，這正是網(wǎng)絡迅速走向進步的催化劑。