Linux操作系统中的防火墙技术及其应用

Linux操作系统中的防火墙技术及其应用（共9篇）

Linux操作系统中的防火墙技术及其应用 篇1

概述

在众多的网络防火墙产品中，Linux操作系统上的防火墙软件特点 显著，它们和Linux一样，具有强大的功能，大多是开放软件，不仅可免费使用而 且源代码公开。这些优势是其他防火墙产品不可比拟的。选用这类软件确实是最 低硬件需求的可靠、高效的解决方案。但用户最关心的还是安全系统的性能，有 关部门根据网络安全调查和分析曾得出结论：网络上的安全漏洞和隐患绝大部分 是因网络设置不当引起的。使用Linux平台上的这些优秀软件同样也存在这样的问 题。要使系统安全高效地运行，安装人员和管理人员必须能够理解该软件产品的 运行机制并能深入分析所采用的防火墙设置策略会不会被人利用。本文仅对Linux平台上的IP包过滤防火墙软件Ipchains进行探讨。

防火墙的基本模型

基于TCP/IP协议簇的Internet网际互联完全依赖于网络层以上的协议栈( 网络层的IP协议、传输控制协议TCP/UDP协议和应用层协议)。考虑到网络防火墙 是为了保持网络连通性而设立的安全机制，因此防火墙技术就是通过分析、控制 网络以上层协议特征，实现被保护网络所需安全策略的技术。构建防火墙有三类 基本模型：即应用代理网关、电路级网关(Circuit Level Gateway)和网络层防火 墙。它们涉及的技术有应用代理技术和包过滤技术等。

应用代理网关允许 内部网络上的用户通过防火墙非直接地访问Internet。它根据用户的请求代替用 户与目的地进行连接。由于应用代理网关在应用层进行代理，所以它可以对应用 协议进行控制，而且还可以在应用级进行记录。它比网络级防火墙的安全措施更 加严格，因为它能提供更详细的审计报告、跟踪用户和应用进程以及IP包的参数 。然而，采用应用层防火墙对网络性能有较大影响。由于对任何用户的请求都要 求应用代理进程为其提供应用服务，所以速度较慢，并且不如网络层防火墙那样 透明以及维护不便等。在Linux上实现这种防火墙模型的软件有squid等。

电路级网关与应用代理网关类似，但进行的代理通常与应用无关。这样就失去了 详尽记录和精确定义规则的能力。电路级网关是一台运行网关应用程序的设备， 它只支持TCP/IP应用，使用TCP端口实现网络资源和用户应用程序之间的通信。它 还要求客户端使用特殊软件才能为应用到应用的通信服务。SOCKS是Linux上实现 这类防火墙模型的软件。

网络层的IP包过滤防火墙在IP包水平上工作。它 根据在每个包中的源地址、目的地址和包类型等信息控制包的流动。更彻底的过 滤过程是检查包中的源、目的端口号以及连接状态等信息。这种防火墙比较安全 ，但缺少足够的记录信息。它可以阻止外部网络访问被保护的内部网络，但不能 记录谁访问了公开的系统，以及谁从内部网络访问Internet。在Linux内核中支持 IP包过滤，所以不需要增加其他软件就可以构建包过滤防火墙，Ipchains软件包 是Linux平台上一个功能强大的包过滤策略管理软件，用于设置可靠的防火墙系统 。

Ipchains及IP伪装原理

在Linux系统上，支持包过滤的核心中有 三个规则列表，这些列表称为防火墙链。三个链分别称为输入链、输出链和转发 链。当一个包从Internet进入配置了防火墙的Linux主机，内核使用输入链决定该 包的取舍。如果该包没有被丢弃，则内核继而调用转发链决定是否将包发送到某 个出口，最后包要被发出前，内核通过输出链来做决定。

图1 Ipchains 流程图

一个链是一系列规则的列表。每个规则规定：如果包的 包头与规则相匹配，那么对包进行相应的处理。如果该规则与包不匹配，则引入 链中的下一条规则。最后，如果没有要引入的规则，内核根据内置策略决定如何 做。在一个有安全意识的系统中，该规则通常告诉内核将包拒绝或丢弃。

通过适当配置IP过滤规则，即三条链的过滤策略，该防火墙可以控制输入的包来 自信任的IP网段，也可配置为只对外开放指定的TCP/UDP端口号。这些策略可分别 指定到防火墙主机的某固定接口设备如以太网卡、PPP连接等。除这三条链外，我 们还可以配置用户自定义的规则链。在三条链的执行中可随时跳转到自定义链执 行，完成后再回到主链，这使过滤规则可以相当灵活。

在防火墙链中有一 些特殊的跳转目标值如下表所示：

在防 火墙链中的IP伪装是一个比包过滤策略更加安全的解决方案，它同时解决了 Internet中IP地址资源不足的问题。IP伪装是指当一台计算机访问Internet时能 够将其IP地址伪装成其他地址的机制。如果连接到Internet上的一个Linux主机具 有IP伪装功能，那么与该Linux计算机无论是在同一个局域网上还是通过PPP连接 的，尽管它们没有正式的IP地址，都可与Internet连接。这意味着可将一系列主 机藏在一个网关系统之后来访问Internet，它们的访问在外界看来是不可见的。

由于要伪装的主机没有正式的IP地址，可以使用IANA(Internet Assigned Numbers Authority)保留的私有网络地址，即：

10.0.0.0～ 10.255.255.255????1个A类地址

172.16.0.0～172.31.255.255???16个连 续B类地址

192.168.0.0～192.168.255.255??255个连续C类地址

在 防火墙的转发链配置了IP伪装后，当内部网络上的主机向Internet发出访问的IP 包时，内核将包中的源IP地址换成网关的IP地址，并记录被伪装的IP地址，然后 转发这个包。当这个包的应答IP包从Internet进入网关时，内核会进行去IP伪装 的操作，将目的地址替换成内部地址。IP伪装规则只能配置于转发链，通过适当 配置参数可对一个网段、某台主机、某个接口设备、某种协议或协议的某些端口 进行IP伪装。IP伪装对外部屏蔽了内部网络的细节，外部甚至不知到内部网络的 存在，因此安全性更好。

构建IP防火墙的策略

一、基本配置方式

配置Ipchains防火墙基本上有两种方式: 第一种方式是先丢弃或拒绝所有 的包，然后明确地指出允许符合哪些条件的包通过，

这种方式最安全，但当用户 需要某些服务时，必须针对相应的服务进行修改，管理者必须清楚应该打开哪些 服务和端口。这种方式适合于仅包含服务器、没有终端用户的小型网络。另一种 方式是先接受所有的包，然后明确指出禁止某些类型的包。这种方式使网络类型 较为开放，只是对危险的或不需要的协议进行控制。例如为了减少网络的流量， 可以阻止“CUSeeMe”的包。这种方式比较容易配置。

二、不 应该过滤的包

在开始过滤某些不想要的包之前要注意以下内容：

● ICMP包

ICMP包可用于检测TCP/IP失败的情形。如果阻挡这些包将导致 不能得到“Host unreachable”或“No route to host” 等信息。ICMP包还用于MTU发现，某些TCP实现使用了MTU发现来决定是否进行分段 。MTU发现通过发送设置了不进行分段的位的包探测，当得到的ICMP应答表示需要 分段时，再发送较小的包。如果得不到ICMP包(“destination unreachable”类型的包)，则本地主机不减少MTU大小，这将导致测试无法 停止或网络性能下降。

● 到DNS的TCP连接

如果要拦阻出去的TCP 连接，那么要记住DNS不总是使用UDP。如果从DNS服务器过来的回答超过512字节 ，客户端将使用TCP连接，并仍使用端口53接收数据。若禁止了TCP连接，DNS大多 数情况下会正常工作，但可能会有奇怪的延时故障出现。如果内部网络的DNS查询 总是指向某个固定的外部DNS服务器，可以允许本地域端口到该服务器的域端口连 接。

● 主动式FTP的TCP连接

FTP有两种运作方式，即传统的主动 式(active)方式和目前流行的被动式(passive)方式。在主动式FTP模式下，FTP 服务器发送文件或应答LS命令时，主动和客户端建立TCP连接。如果这些TCP连接 被过滤，则主动方式的FTP将被中断。如果使用被动方式，则过滤远地的TCP连接 没有问题。因为数据连接是从客户端到服务器进行的(包括双向的数据)。

三、针对可能的网络攻击

防火墙的性能是否优良关键在于其配置 能否防护来自外界的各种网络攻击。这要求网络管理者能针对可能的网络攻击特 点设定完善的安全策略。以网络常见的“ping of death”攻击为例， “ping of death”攻击通过发送一个非法的大ICMP包使接收者的TCP 堆栈溢出从而引起混乱。针对这种攻击可将防火墙配置为阻挡ICMP分段。因为普 通的ICMP包大都不需要到分段的程度，阻挡ICMP分段只拦阻大的 “ping”包。 这种防护策略也可用于针对其他协议安全缺陷的网络攻 击。

TurboLinux平台上的Ipchains防火墙实例

一、应用背景

在TurboLinux 6.1平台上实现IP包过滤防火墙，将内部网络配置为IP伪装 方式访问Internet。

内部网络与防火墙间用以太网连接，内部网址取IANA 的C类地址192.168.1.*。防火墙与外部网络通过modem和电话线与PPP服务器连接 (连接示意图如图2所示)。

二、准备工作

1. 检查Linux系统是否支持IP 伪装。输入命令：# ls /proc/sys/net/ipv4，若存在“ip_forward”、“ip_masq_debug”、“ip_masq_udp_dloose”、“ip_always_defrag”等文件则内核已支持IP 伪装，否则需要重新编 译内核。

2. 配置网卡和PPP连接的IP地址，这部分可查阅相关资料。

三、配置命令

编辑配置命令文件/etc/rc.d/rc.firewall，将防火 墙的配置命令写成执行脚本。

# 打开系统内核的IP转发功能

echo “1”?? /proc/sys/net/ipv4/ip_forward

# 打开系统 内核的自动IP分段重组功能

echo“1”?? /proc/sys/net/ipv4/ip_always_defrag

# 设定IP伪装的超时时间，TCP会 话超时为7200秒，

TCP/IP的“FIN”分组收到后会话的延迟时间 为10秒，UDP超时160秒

/sbin/ipchains/ -M -S 7200 10 160

# 设定 内部网络的IP伪装，规定转发链规则

/sbin/ipchains -P forward DENY

/sbin/ipchains -A forward -i eth0 -s 192.168.1.0/24 -j MASQ

最后，改变这个脚本文件的执行权限为可执行。输入命令：# chmod 700/etc/rc.d/rc.firewall。可以手工方式运行这个脚本，也可以在文 件/etc/rc.d/init.d中加入一行: /etc/rc.d/rc.firewall，这样每次系统启动时 可自动运行这个脚本。

四、系统测试

系统配置好以后，可以从内 部子网的任意一台主机上“ping”一下外部的某个服务器，若能 “ping”通，则IP伪装配置是正确的。

可能的安全漏洞

对防火墙的不当配置可能造成安全漏洞。如处理TCP分段时，Ipchains需 要查看包头中的源端口、目的端口、ICMP代码或“TCP SYN”标志等信 息，而这些信息只能在TCP分段的第一个IP包中才有。于是从第二个分段开始都不 能匹配过滤规则。某些管理者将防火墙配置为仅对第一个分段进行处理。通常， 一个TCP连接的第一个TCP分段被防火墙阻挡后，其他的TCP分段被认为不会产生安 全性问题，因为在目的主机上由于缺少第一个分段而无法重新组装报文。然而， 由于系统缺陷等原因，发送的分段可能使机器瘫痪，甚至人为精心设计的IP包可 借此缺陷绕过防火墙。因此配置防火墙需要仔细分析过滤规则如何处理各种类型 的分组。对分段的处理最好将系统内核编译为重新组装所有通过的分段，或在应 用层另设安全机制。

对基于包过滤防火墙更常见的攻击是利用IP欺骗的方 法。IP欺骗是指主机发送自称是另一个主机发送的包。防止IP欺骗的方法是使用 源地址确认，它通过配置路由器识别路由代码实现，而不是防火墙。防火墙结合 源地址确认能较好地增强系统的安全性。

Linux操作系统中的防火墙技术及其应用 篇2

关键词：LINUX防火墙,ipchains,包过滤,代理,IP伪装

1 引言

随着国内外计算机技术和通信技术的飞速发展, 人类进入了一个崭新的信息时代, 防火墙作为网络安全措施中的一个重要组成部分, 一直受到人们的普遍关注。LINUX是这几年一款异军突起的操作系统, 以其公开的源代码、强大稳定的网络功能和大量的免费资源受到业界的普遍赞扬。LINUX防火墙其实是操作系统本身所自带的一个功能模块。通过安装特定的防火墙内核, LINUX操作系统会对接收到的数据包按一定的策略进行处理。而用户所要做的, 就是使用特定的配置软件 (如ipchains) 去定制适合自己的“数据包处理策略”。

1.1 防火墙技术概述

防火墙是一种行之有效且运用很广的网络安全机制, 主要是用于加强内部网络与外部网络之间的访问控制的一个或一组系统 (包括软件和硬件) , 防火墙是内部网络的唯一出口和入口。根据运用的方式和侧重点不同, 大致分为三类: (1) 代理服务型防火墙:指在防火墙上运行某种软件 (常称为代理程序) 。从过程上讲代理服务实际将连接分为俩部分, 在两部分间充当网关, 因此, 代理服务也被称为应用型网关。 (2) 电路级网关:电路级网关也被称为电路层网关, 其功能相似于代理服务型防火墙, 不同点在于他采用的是电路转发而不是应用层进程, 这样就失去了许多协议规则定义和处于应用层的详细log; (3) 包过滤型防火墙:网络上的所有传送都是以包 (Packet) 的形式进行的, 包过滤器检查通过的包的包头, 并决定包的命运, 及接收 (Accept) 、丢弃 (Deny) 或拒绝 (Reject) 这些包。包过滤型防火墙通常是在操作系统内部实现, 并且操作在IP网络和传输协议层, 它根据事先设定的过滤逻辑原则, 拒绝或允许IP包通过, 从而实现对进入局域网的IP包进行控制。通常有两种过滤防火墙策略:第一种方式是首先允许所有的包, 然后在禁止有危险的包通过防火墙;第二种方式则相反, 首先禁止所有的包, 然后根据所需要的服务, 允许所需要的包通过防火墙。相比而言, 第二种方式的安全性更高, 运用也更广泛。包过滤型防火墙相当于一个路由器, 能控制外部网络和内部网络的相互通信, 且费用低廉, 因此被广泛运用。

2 LINUX防火墙配置软件—Ipchains

Ipchains是LINUX 2.1及其以上版本中所带的一个防火墙规则管理程序。用户可以使用它来建立、编辑、删除系统的防火墙规则。但通常需要自己创建一个防火墙规则脚本/etc/rc.d/rc.firewall, 并使系统启动时自动运行这个脚本。

一个L I N U X防火墙系统的安全机制是通过I n p u t、Output、Forward这三个“防火链”来实现的。而用户正是使用ipchains在这三个“链”上分别创建一套“防火规则”, 来完成对到来数据包层层限制的目的。其中, 每个链都包括一组由用户创建的过滤规则, 数据包依次到达每个链, 并比较其中的每条规则, 直到找出匹配规则并执行相应策略 (如通过、拒绝等) , 否则执行默认策略。实际中, 数据包在到达Input链之前还要进行测试和正常性检查, 在到路由表之前还要被判断是否被伪装。

3 LINUX防火墙的几种常见功能

由于每一个用户的要求和所处的环境都不一样, LINUX防火墙会根据用户的设置实现各种不同的功能。但一般说来, 以下三种功能是大多数用户最常用的。

3.1 包过滤

对数据包进行过滤可以说是任何防火墙所具备的最基本的功能, 而LINUX防火墙本身从某个角度也可以说是一种“包过滤防火墙”。在LINUX防火墙中, 操作系统内核对到来的每一个数据包进行检查, 从它们的包头中提取出所需要的信息, 如源IP地址、目的IP地址、源端口号、目的端口号等, 再与已建立的防火规则逐条进行比较, 并执行所匹配规则的策略, 或执行默认策略。

值得注意的是, 在制定防火墙过滤规则时通常有两个基本的策略方法可供选择:一个是默认允许一切, 即在接受所有数据包的基础上明确地禁止那些特殊的、不希望收到的数据包;还有一个策略就是默认禁止一切, 即首先禁止所有的数据包通过, 然后再根据所希望提供的服务去一项项允许需要的数据包通过。一般说来, 前者使启动和运行防火墙变得更加容易, 但却更容易为自己留下安全隐患。

通过在防火墙外部接口处对进来的数据包进行过滤, 可以有效地阻止绝大多数有意或无意地网络攻击, 同时, 对发出的数据包进行限制, 可以明确地指定内部网中哪些主机可以访问互联网, 哪些主机只能享用哪些服务或登陆哪些站点, 从而实现对内部主机的管理。可以说, 在对一些小型内部局域网进行安全保护和网络管理时, 包过滤确实是一种简单而有效的手段。

3.2 代理

LINUX防火墙的代理功能是通过安装相应的代理软件实现的。它使那些不具备公共IP的内部主机也能访问互联网, 并且很好地屏蔽了内部网, 从而有效地保障了内部主机的安全。

steven为内部网中一台IP是192.168.0.2的主机, 其上安装有IE5.0浏览器, 并配置为使用防火墙主机192.168.0.1:8080作为代理。firewall就是我们讨论的LINUX防火墙, 有两个网络接口, 分别是内部接口eth1=192.168.0.1、外部接口eth0=202.117.120.1。在firewall主机上安装有Web代理软件“squid”, 并配置其代理端口为8080。www.263.net为263网站的Web服务器, IP为211.100.31.131, Web服务端口80。 (1) IE通过steven的非专用端口1110 (在1024～65535之间随机产生) 与防火墙的代理端口8080建立连接, 请求“http://www.263.net”页面。

(2) squid代理接收到请求后, 先查找域名“www.263.net”, 得到地址211.100.31.131 (该步骤图中省略) , 然后通过防火墙端口1050与该地址的80端口建立一个连接, 请求页面。

(3) www.263.net服务器接到请求后将页面传给squid代理。

(4) 防火墙代理得到页面后, 把数据复制到 (1) 中所建立的连接上, IE得到数据并将“www.263.net”页面显示出来。

通过以上描述, 可以清楚地了解到内部主机、LINUX代理防火墙以及外部服务器之间如何进行数据传输的, steven主机发来的数据包经由内部接口eth1进来后, 首先接受INPUT链的“检查”:系统内核从包头中提取出信息, 与INPUT链中所有适用于eth1接口的过滤规则逐个比较, 直到匹配通过。之后, 该数据包被转发给本地的代理进程。同样, 代理进程发送给远程Web服务器的数据包在从防火墙外部接口发送出去之前, 也要经过OUTPUT链的“检查”, 即与OUTPUT链中所有适用于eth0接口的规则一一比较。返回的过程正好与上述相反。

我们可以看出, LINUX防火墙实际上扮演了一个“代理网关”的角色。内部主机和远程服务器分别都只与防火墙进行连接, 而真正的“起点”和“终点”之间却毫无联系。

3.3 IP伪装

IP伪装 (IP Masquerade) 是LINUX操作系统自带的又一个重要功能。通过在系统内核增添相应的伪装模块, 内核可以自动地对经过的数据包进行“伪装”, 即修改包头中的源目的IP信息, 以使外部主机误认为该包是由防火墙主机发出来的。这样做, 可以有效解决使用内部保留IP的主机不能访问互联网的问题, 同时屏蔽了内部局域网。这一点, 与前面所讲的代理所达到的目的是很类似的。

steven主机的IE进程直接与远程的Web服务器建立一个连接。当数据包到达防火墙的内部接口后, 照样要例行INPUT链的检查。之后, 数据包被送到FORWARD链, 接受系统内核的“伪装处理”, 即将包头中的源IP地址改为防火墙外部接口eth0的地址, 并在系统中做下记录, 以便一会儿对其回应包的目的IP进行“恢复”。这样, 当该数据包顺利从外部接口出来时, 其包头中源IP已被改为202.117.120.1。远程服务器会认为这是从防火墙的合法地址发来的, 从而对其做出响应。当远程服务器返回的回应包到达防火墙时, 先经过INPUT链, 然后会根据系统关于IP伪装的记录对数据包的目的IP进行恢复, 即将202.117.120.1改为192.168.0.2, 最后再经过OUTPUT链返回到steven主机。

与代理功能比较而言, IP伪装不需要安装相应的代理软件, 数据包的伪装对用户来说都是“透明”的, 并且整个过程都是在IP层实现, 因此实现速度较快。缺点是不能对经过的数据包作详细的记录。

以上介绍了LINUX防火墙在实际的设置中常用到的三种功能。但一般说来, 用户在创建自己的防火墙规则脚本时, 可以根据自己的需要将这三种功能组合起来实现。

4 结论

本文着重从防火墙内部工作过程的角度分别对LINUX防火墙的包过滤、代理以及IP伪装功能进行了剖析, 同时涉及到了一些网络配置、用ipchains具体实现等方面的内容。

参考文献

[1]Robert L.Ziegler, 《Linux防火墙》人民邮电出版社, 2000.10

Linux操作系统中的防火墙技术及其应用 篇3

摘 要：近年来，随着计算机网络技术的不断发展，虚拟机技术越来越广泛地被用于计算机辅助教学和生产管理领域中。Linux是一个性能卓越、技术领先的现代操作系统，诞生于1991年，是UNIX操作系统的克隆系统。Linux操作系统网络功能丰富，可移植性强，系统安全可靠，源代码具有开放性，用户界面良好，主要被用于网络服务器。本文围绕虚拟机技术在Linux操作系统中的应用，首先简单介绍Linux操作系统及该系统所具有的特点，然后详细阐述虚拟机技术及虚拟机软件VMware，并分析利用虚拟机技术安装Linux操作系统所具有的优势，最后利用虚拟机软件VMware安装Linux操作系统。

关键词：虚拟机技术；VMware；Linux操作系统；虚拟机

中图分类号：TP316-4

随着信息技术的迅猛发展，信息化建设的步伐在不断加快，计算机在各行各业的应用越来越普遍，各个企业的数据中心机房的硬件设备在急速增加。新增加的硬件既增加机房的能耗，也降低机房网络数据管理效率，耗费大量的人力资源，虚拟机技术就是在这样的背景下诞生的。虚拟机技术就是指利用虚拟机软件在一台物理机上模拟出多台逻辑计算机（虚拟机），每一台虚拟机均可以像正常的计算机一样完成安装操作系统、安装和卸载程序、访问网络数据等任务，每一台虚拟机是物理机的一个应用程序，对虚拟机的操作不会对物理计算机产生影响。

1 Linux操作系统的特点

Linux操作系统诞生于1991年，在过去的20多年取得了巨大的进步，研发出很多先进的技术，在操作系统的发展史中占据着技术方面的制高点。Linux操作系统具有以下优势：（1）具有开放的源代码，遵循世界标准规范；（2）多用户、多任务。Linux操作系统资源可以被不同用户分别拥有使用，可以同时独立执行多个程序，完成多个任务；（3）用户界面友好。Linux操作系统为用户提供用户界面、系统调用界面和图形用户界面。用户只需要简单的使用鼠标、菜单、滚动条等设备就可以获得交互性强的图形化界面；（4）设备独立性好。为简化新增加设备的工作，Linux操作系统把每一个外围设备均视为独立文件，系统管理员只需要增加连接（连接用于保证调用设备时内核能够以相同的方式处理）即可增加一个新设备；（5）网络功能丰富。Linux操作系统拥有强大的网络连接能力，具有文件传输和远程访问功能，为用户提供大量支持Internet的软件，联网十分灵活，网络连接功能比其他操作系统更加优良；（6）安全可靠，灵活方便。Linux操作系统采取诸如控制读写权限、进行审计跟踪和核心授权、保护子系统等安全技术措施，为每一个使用系统的用户提供安全保障。Linux操作系统具有可移植性，可以在从微型计算机到大型计算机的任何一个平台上运行。

2 虚拟机技术及虚拟机软件

2.1 虚拟机软件VMware及特点

虚拟机也被称为逻辑计算机，是指利用虚拟机软件在Windows XP、Windows 2007、Linux平台上模拟出来的能够独立运行且不相互干扰的计算机，这些模拟出来的计算机被称为虚拟机。利用虚拟机技术可以在母机已有的操作系统上模拟出多个操作系统，每一台虚拟机都拥有独立的CPU、硬盘、光驱、网卡等硬件设备，模拟出来的多个操作系统均运行在相同的硬件环境中。对虚拟机进行的操作不会对母机的安全产生任何威胁，因为所有操作均是针对虚拟机程序中的文件，与物理机的系统无关。

目前使用最为广泛的虚拟机软件是VMware。VMware可以在不增加任何硬件设备和重启计算机的条件下在一台计算机上安装使用多种操作系统，模拟出不同类型的硬件和软件环境，并能够随时修改操作环境，如当教师进行Linux操作系统的教学时，可以在Windows操作系统环境中利用VMware模拟出Linux操作系统，可以同时进行在Windows平台播放课件和在Linux平台演示Linux操作系统功能；VMware能够扩展服务器的功能，在一个高性能的服务器上同时运行多台功能不同的虚拟服务器，每一台虚拟服务器独立对外服务，这样就实现了服务器功能的扩展；虚拟出来的不同操作系统之间可以进行网络共享、文件共享、周边设备（如打印机、传真机）共享等；如果对母机进行虚拟网络配置，就可以模拟出多种网络环境。

2.2 利用虚拟机技术安装Linux操作系统具有的优势

利用虚拟机技术可以解决很多Linux操作系统的应用难题。目前我国大力培养精通Linux操作系统的人才，很多高校的计算机专业开设Linux操作系统课程。我国大部分高校的教学计算机安装的是Windows系统，这就给 Linux操作系统课程教学演示带来不便。虚拟机技术的出现为Linux操作系统的推广带来诸多好处：第一，可以在不改变原有计算机系统的前提下进行Linux操作系统的教学工作，教师可以在母机进行课件讲解，在虚拟机进行Linux操作系统的演示；第二，可以在单机上虚拟出多个操作系统，同时运行多台模拟的服务器和客户机，大大降低硬件成本；第三，每一个虚拟的操作系统对应一个虚拟机文件，该文件保存在用户指定的硬盘中，这样就避免对母机进行频繁分区、安装操作系统和格式化，同时对虚拟机进行的任何操作不会影响物理机的系统；第四，利用虚拟机在同一台计算机上同时运行多个系统程序，降低机房的能耗，提高机房的效率。

3 虚拟机技术在Linux操作系统中的应用

虚拟机技术和软件在Linux操作系统中的应用主要是在非Linux操作系统的计算机上安装并运行Linux操作系统。利用虚拟机软件（VMware）在Windows操作系统平台安装Linux操作系统主要包括安装虚拟机软件、安装Linux操作系统、利用虚拟机VMware的快照和回复功能、构建网络环境和配置服务器四大步：首先，在网上搜索Vmware Workstation 6.5 安装程序，按照软件安装向导提示安装VMware；接着需要安装Linux操作系统，把准备好的系统光盘放入母机，启动虚拟机，点击工具栏的绿色按钮进入安装程序界面，按照提示选择安装语言、安装类型、鼠标、键盘，进入分区界面进行分区设置和根口令设置，创建个人账号密码，登录系统即完成Linux操作系统的安装；为保证母机系统的安全，需要使用VMware的快照和回复功能，按照建立快照、使用快照、管理快照的步骤即可使用VMware的快照和回复功能，这样即使虚拟机的操作系统崩溃，也不会对Linux操作系统产生影响，减少误操作的不利影响；最后要通过网络配置和服务器配置完成Linux的网络服务器功能。如果要让Linux做服务器，需要Windows系统做客户端来测试服务器的效果。利用VMware安装几个虚拟机（其中必须有一个是Windows系统），这些安装的虚拟机组成一个局域网，把安装Windows系统的虚拟机和安装Linux系统的虚拟机设置在同一个局域网中即可进行网络测试。

综上所述，随着信息技术的迅速发展，计算机技术的应用已经普及到各行各业，信息化建设的步伐不断加快，企业机房的硬件设备越来越多，加重机房的负担，降低机房的效率，虚拟机技术的产生解决这一难题。Linux操作系统以其源代码开放、系统安全可靠、网络功能丰富、可移植性强等优点被用作网络服务器。虚拟机技术可以在一台计算机上模拟出多台虚拟机，每一台虚拟机可以安装不同的操作系统，同时运行多个程序，完成多项任务。虚拟机技术在Linux操作系统中应用使Linux操作系统越来越成熟，对Linux操作系统的发展起到积极的促进作用。

参考文献：

[1]萧益民.用虚拟机创建Linux操作系统教学环境[J].科技信息，2011（17）.

[2]沈楠，赵辉，王振玉.虚拟机在Linux操作系统教学中的应用[J].教学园地，2009（9）.

[3]谭春茂，谢锦平；虚拟机在Linux操作系统教学中的应用[J].光盘技术，2006（6）.

Linux操作系统中的防火墙技术及其应用 篇4

综上，由于Linux具有对各种设备的广泛支持性，因此，能方便地应用于机顶盒、IA设备、PDA、掌上电脑、WAP手机、寻呼机、车载盒以及工业控制等智能信息产品中。与PC相比，手持设备、IA设备以及信息家电的市场容量要高得多，而Linux嵌入式系统的强大的生命力和利用价值，使越来越多的企业和高校表现出对它极大的研发热情。蓝点软件公司、博利思公司、共创软件联盟、中科红旗等公司都已将嵌入式系统的开发作为自己的主要发展方向之一。

在嵌入式系统的应用中，Linux嵌入式操作系统所具有的技术优势和独特的开发模式给业界以新异。有理由相信，它能成为Internet时代嵌入式操作系统中的最强音。

Linux操作系统中的防火墙技术及其应用 篇5

摘要：采用虚拟机来进行计算机辅助教学，是近年来在计算机教学领域被广泛应用的一种教学辅助方法，也是各计算机教学工作者比较热衷探讨的一个应用课题。本文介绍了虚拟机技术及软件，重点介绍了利用VMware虚拟机软件进行Linux操作系统教学的具体应用。关键词：虚拟机；Vmware；Linux操作系统

引言

在计算机教学中，加强学生实践技能的培养是最受重视的问题，目前在计算机教学过程中基本上都采用多媒体课件教学以及结合教师演示来进行，教师配合课件及当场的操作演示，让学生可以更好学习和掌握实践技能，然而，在教学中也遇到一些问题，尤其是操作系统课程的教学中，主要原因如下：

1）学校的机房通常都由机房管理员进行统一安装，通常都通过硬盘保护卡来实现对计算机系统的保护，所以机房的计算机一般是不允许学生动手来安装操作系统，更不准对系统和硬盘进行更改设置操作。

2）即使学生自己有计算机，配置也比较高，但也很少有学生在自己的计算机上进行频繁分区，格式化，安装操作系统等操作。如果经常对计算机硬盘进行分区和格式化，也会影响到计算机的硬盘使用是。如果想在系统里面进行一些操作系统有关的“危险”性操作，在学生自己的计算机上操作很可能就会破坏原来的系统，甚至数据。

3）学生在只有一台计算机的情况下，通常做网络实验就无法进行，至多也就是做一些上网实验。

比如：在Linux操作系统的教学中，系统安装由于各种实验条件的限制使用得学生无法去进行，在对系统作各种操作时，可能还会由于学生的误操作引起系统无法启动的问题，在对grub引导管理器进行修复这些实验时，对于初学Linux而言通常都是比较“危险”的操作，在进行网络服务器的设置时，学生没有比较好的网络环境，无法当场与windows系统之间进行很好的网络通信等。以上的这些问题不仅仅影响到教师的教学演示，同时也影响到学生的实验操作效果，对于学生更好的掌握Linux操作系统的技能造成了一定的难度。近几年来，随着虚拟机技术的出现，这个问题得到了很好的解决。从而使用教学质量也有明显的提高。虚拟机技术及软件介绍

所谓虚拟机就是由虚拟机软件模拟出来的计算机，或称为逻辑上的计算机（Guest OS）。每个虚拟机都具有模拟出来的同物理计算机相同的运行环境，包括硬件层，驱动接口，操作系统及应用层，都建立在PC机的应用环境下，属于用户级的软件。同时利用虚拟机软件 [作者简介]2006-07-09 [作者简介]谭春茂（1977－），男，硕士，上海农林职业技术学院应用系助教，从事计算机网络技术方面教学和研究工作。可以在一台物理计算机上模拟出来多个逻辑上的计算机，运行多个操作系统，还可以将这些计算机相互连接起来形成网络，虚拟计算机能同时运行的数量多少由计算机本身配置决定。而且在虚拟机的环境下，用户可以在同时运行的多台虚拟机中来回切换，而无需重新启动系统。

目前，应用广泛的虚拟机软件主要有VMware公司的VMware workstation及connectix公司设计的Virtual PC，这两个虚拟机软件应用功能基本相同，它们有如下特点：

（1）不需要对物理硬盘进行分区或重新开机就能够在一台PC机上安装使用多种操作系统。

（2）完全隔离并且保护不同操作系统的操作环境及所有安装在不同操作系统上面的各种应用软件和资料，并且硬盘还原功能。

（3）不同的操作系统之间能够进行互动操作，包括网络、周边设备，文件共享等。（4）能够设定并且随时修改操作系统的操作环境，如：内存、硬盘、其它外设等。（5）二者所安装的系统都是可以移动的，即可能通过移动设备虚拟机安装的文件拷贝的方式在其它的装有对应的虚拟机软件的计算机上使用。3 VMware在Linux操作系统教学中的应用

在Linux操作系统的教学中要涉及到系统安装，系统各种设置及网络服务等操作，其中有几个比较危险的实验操作在真正的物理计算机上来实现有一定的难度和不现实性，如：系统安装，硬盘配额，文件系统的创建与使用，grub的修改与安装实验，系统启动模式设置和网络服务等，这些操作会改变甚至破坏计算机系统，使计算机无法正常工作，则学生在做相关实验时更具有这种特点，因为Linux操作系统的入门学习难度比windows系统的入门学习难度要大一些，通常情况下，Linux操作系统都是在文本模式下进行教学，因为Linux的服务器在实际应用中，基本上都是远程维护，远程维护就只能使用文本操作方式，同时文本运行方式比图形方式运行效率方面而言要好一些。这样对于初学学生而言，在这种环境下做实验，更容易造成对计算机系统的破坏。这都严重影响到教学效果，采用虚拟机技术后，这些问题已经得到很好解决，同时也提高了教学质量和学生的学习效果。

通过前面的分析和一些资料显示，Linux在VMware下的运行效果要比较Virtual PC略佳，并且VMware支持的Linux版本比Virtual PC多。所以在Linux操作系统的教学中选用VMware较好。

虚拟机教学过程（下面是以Red Hat Linux9.0为例）：

（1）在宿主计算机（Host OS）上安装VMware软件（目前的最新版是5.5），一般而言的配置主要要求内存稍大一些即可，最好在256M以上。

（2）启动VMware，创建虚拟机，在创建虚拟时要注意选择Linux的版本，在VMware中对Linux的版本分得比较仔细，这里尤其要注意选择，否则会造成无法安装系统或无法启动系统的情况。

（3）系统安装 在Linux操作系统的学习过程上，通常情况下，第一件要做的事就是安装操作系统，在虚拟机环境下，可以完全通过系统的镜像文件来进行安装，这样的安装方式带来极大的方便，镜像文件安装可以省掉大量的光盘，也可以不要求机房的计算机上安装有真正的物理光驱就可以进行，这同真正的物理计算机相比，在练习操作系统安装上使用VMware带来极大的方便。

（4）快照和回复功能在Linux操作系统教学中的使用

VMware的一个非常有用的新功能就是快照和回复。可以在任意时刻为虚拟机进行快照，然后在任意时刻回复到虚拟机任何一个快照的状态。在虚拟机启动关闭或暂停时都可以进行快照。快照将保存进行快照时刻的虚拟机的所有状态，包括虚拟硬盘上的所有数据状态及是否处于虚拟机启动，关闭和暂停状态。如果虚拟机的操作系统正在运行，对它进行快照并不会影响客户操作系统的运行。如果在进行一系列的操作后，想回复到快照时刻的状态，那么只需要还原快照，这样从进行快照到回复快照之间的所有对虚拟机的操作的任何变化都会撤消。

在Linux操作系统的系统设置及修改实验时，涉及到实验比较多，比如用户管理，磁盘管理，文件系统创建，磁盘配额，引导管理器Grub的修复及设置等诸多实验，其中有几个对系统而言具有相当的“危险”性，这对于宿主计算机而言，即虚拟机上的操作系统完全损坏，也不会造成什么危害，但是这会对实验带来很大的麻烦，在VMware中能利用上面所述的快照和回复功能能很好的解决这一问题。这样，当学生在操作过程中因不当操作而造成对系统破坏时，就可以利用保存的快照来对系统恢复，这一点对于初学用户而言非常有用，同真正的物理计算机上操作如果出现这种情况比较，这种虚拟机的方式显然要好很多。

（5）网络服务器的配置，网络环境的构建

众所周知，Linux的功能主要就是网络功能，也就是做网络服务器，服务器的配置往往需要有一个网络环境，也就是最好Linux做服务器，一个windows系统做客户端来测试服务器的运行效果。如果在教室里当然有比较好的网络环境，但是同时就需要开两台计算机，一台Linux，另一台是windows，这样一来，就造成演示上的不方便，虽然Linux同宿主计算机之间有可以直接通信的，但是在windows下有一个记忆功能，在没有注销或者关闭系统前，上次访问信息会记住，这样会造成测试服务器有些时候没法进行，如samba服务器。利用VMware可以安装多个虚拟机的特点，就可以很好的实现，我们可以再装一个windows的虚拟机来形成一个网络环境。这时候只需要设置Linux和windows在同一个网段就可以形成一个网络满足我们做这样实验的要求，而不需要去启动多台计算机。4 结语

利用虚拟机VMware软件来辅助Linux教学，创建教学中的实验环境，使得教师演示和学生的实验操作都可以非常方便的进行，由于是通过软件来实现的一个逻辑上的计算机，这样对硬件上的操作对计算机并不造成损害，实现了传统的教学手段在Linux教学中某些无 法完成的操作，不但保证了教学质量，又节省经费。同时，在虚拟机上的操作时可以暂停，继续，甚至保存在某一个状态，可以很好的控制教学的进度和实验的每一个环节。同时可以得用VMware的捕获电影功能可以把教师的操作录制成电影，让学生可以据其需要而使用。本校开设的《Linux操作系统》课程利用虚拟进行教学已经一年有余，在这一年多的教学中，其效果是令人满意的。总之虚拟机VMware对于改进Linux操作系统教学和提高教学质量提供了一种新辅助教学的手段。

参考文献

[1]王春海．虚拟机配置与应用完全手册[M]．北京：人民邮电出版社，2003 [2]Time创作室．虚拟机典型应用技巧[M]．北京：人民邮电出版社，2003 [3]刘恩博．虚拟机应用软件VMware在计算机辅助教学中的应用[J]．兵团教育学报，2005（7）[4]http://

Application of the Virtual Machine VMware in the Teaching of Linux OS

Linux操作系统中的防火墙技术及其应用 篇6

[1] 张俊伟.计算机网络安全问题分析[J].包头职业技术学院学报,2012,(4):25.[2] 王秀翠.防火墙技术在计算机网络安全中的应用[J].软件导刊,2011,(5):28-30.[3] 戴锐.探析防火墙技术在计算机网络安全中的应用[J].信息与电脑,2011,(11):10-12.[4] 肖玉梅.试析当前计算机网络安全中的防火墙技术[J].数字技术与应用,2013,(5):14-16.[5] 姜可.浅谈防火墙技术在计算机网络信息安全中的应用及研究[J].计算机光盘软件与应用,2013,(4):33.论文题目：计算机网络安全中的防火墙技术应用研究

摘要：防火墙技术是计算机网络安全维护的主要途径，发挥高效的保护作用。随着计算机的应用与普及，网络安全成为社会比较关注的问题。社会针对计算机网络安全，提出诸多保护措施，其中防火墙技术的应用较为明显，不仅体现高水平的安全保护，同时营造安全、可靠的运行环境。因此，该文通过对计算机网络安全进行研究，分析防火墙技术的应用期刊之家网翟编辑修改发表论文QQ:1452344485。

关键词：计算机；网络安全；防火墙技术

计算机网络安全主要是保障信息传输保密，防止攻击造成的信息泄露。基于网络安全的计算机运行，维护数据安全，保障运行问题，体现网络安全的重要性。计算机网络安全保护技术多种多样，该文主要以防火墙技术为例，分析其在计算机网络安全中的应用。防火墙的保护原理是信息隔离，在信息交互的过程中形成防护屏障，一方面过滤危险信息，另一方面提高计算机网络安全保护的能力，强化计算机网络系统的防御能力。防火墙技术在计算机网络安全中发挥监督、跟踪的作用，明确各项信息访问论文问题咨询腾讯认证QQ800099353。分析计算机网络安全与防火墙技术

计算机网络安全与防火墙技术之间存在密不可分的关系，防火墙技术随着计算机网络的需求发展，在网络安全的推动下，防火墙技术体现安全防护的优势。分析计算机网络安全与防火墙技术，如下：

1.1 计算机网络安全

安全是计算机网络运行的首要原则，随着现代社会的信息化发展，计算机网络的运行得到推进，但是其在运行过程中不断出现安全威胁，影响计算机网络的安全水平，例举计算机网络的安全威胁。

1.1.1 数据威胁

数据是计算机网络的主体，数据运行的过程中存在诸多漏洞，引发计算机网络的安全隐患。例如：计算机网络运行中的节点数据，较容易受到攻击者篡改，破坏数据完整性，攻击者利用数据内容的脆弱部分，窥探内网数据，泄漏数据，攻击者利用计算机网络系统的安全漏洞，植入木马、病毒，导致数据系统瘫痪，无法支持计算机网络的安全运行。

1.1.2 外力破坏

外力破坏是计算机网络安全运行不可忽略的危险点，最主要的是人为破坏，如：病毒、木马攻击等。目前，计算机网络受到此类影响较大，部分攻击者利用网站病毒、邮件病毒等方式，攻击用户计算机，病毒植入时大多是由于用户不正确的操作习惯，导致计算机网络系统出现漏洞。例如：用户长时间浏览外网网站，但是没有定期查杀病毒，攻击者很容易摸清用户的浏览习惯，在特性网站中添加攻击链接，当用户点击该网站时，病毒立即启动，直接攻击用户的计算机。

1.1.3 环境威胁 计算机网络处于共享环境内，面临资源开放的威胁。环境是计算机网络运行的基础，用户在访问外网时必须经过网络环境，所以存在明显的环境威胁，网络环境内的攻击非常强烈，攻击者利用网络环境设置攻击环节，主要攻击网络环境内交互的数据包，经由数据包将攻击信息带入内网，破坏内网的防护结构，针对环境威胁，必须发挥防火墙技术的全面特点。

1.2 防火墙技术

防火墙技术主要有：(1)状态检测，以计算机网络为研究整体，主要分析数据流，区别计算机网络中的数据信息，识别数据信息中的不安全因素，此类型防火墙技术效益明显，但是缺乏一定的时效性，容易造成保护延迟；(2)包过滤技术，以网络层为保护对象，严格要求计算机网络的协议，在保障协议安全的基础上才可实现防护处理，体现防护价值；(3)应用型防火墙，利用IP转换的方式，伪装IP或端口，确保内外网络连接的安全性，促使用户在访问外网时，能够处于安全、稳定的空间内。防火墙技术在计算机网络安全中的应用价值

防火墙技术在计算机网络安全中确实得到广泛应用，体现防火墙技术的高效价值。针对防火墙技术的应用价值，做如下分析：

2.1 过滤技术的应用价值

过滤技术体现防火墙选择过滤的应用价值，防火墙根据特定位置，提供过滤服务。例如：过滤技术在计算机网络系统TCP位置，防火墙预先检查TCP位置接收到的数据包，全面检查数据包的安全性，如果发现威胁因素或攻击行为，立即阻断数据包的传输，过滤在外网环境内，过滤技术的应用，体现明显的预防特性，科学控制风险信息的传输，组织风险信息进入内网，以此确保TCP区域的安全运行。防火墙中的过滤技术，不仅应用于计算机网络安全控制，其在路由器方面也存在明显的应用价值。

2.1.1 代理技术的应用价值 防火墙中的代理技术，具有一定的特殊性，其可在计算机网络运行的各项模块发挥控制作用，时刻体现强效状态。代理技术的价值体现为：该技术在内外网之间发挥中转作用，计算机网络的内网部分，只接受代理部分发出的请求，而外网请求直接被拒绝，该技术在内网、外网的分割方面，发挥主要作用，杜绝出现内外混淆的现象，所以代理技术在实现应用价值方面，同样面临技术压力。

2.1.2 检测技术的应用价值

检测技术以计算机网络的状态为主，属于新技术领域。检测技术的运行建立在状态机制的基础上，将外网传入的数据包作为整体，准确分析数据包的状态内容，检测技术将分析结果汇总为记录表，分为规则和状态，比对两表后识别数据状态。目前，检测技术应用于各层网络之间，获取网络连接的状态信息，拓宽计算机网络安全保护的范围，由此提高网络信息的运行效率。

2.1.3 协议技术的应用价值 协议技术主要是防止Dos攻击，Dos攻击容易导致计算机网络以及服务器陷入瘫痪状态，促使计算机网络无法正常提供运行信息，此类攻击没有限制要求，基本处于无限制攻击状态。防火墙利用协议技术，在此类攻击中发挥主体保护，在协议技术参与下的防火墙技术，保护计算机的内部网络，提供各类网关服务，网关是连接服务器与信息的直接途径，待防火墙回应后，服务器才可运行。防火墙促使服务器处于高度安全的环境中，规避外网攻击，例如：当外网向内网发送请求信息时，防火墙通过SYN设置访问上限，降低服务器承担的攻击压力，同时完成数据包检测。防火墙技术在计算机网络安全中的应用

Linux操作系统中的防火墙技术及其应用 篇7

关键词:电力信息安全;防火墙;

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 09-0000-01

Research on Firewall Technology in Power System Information Security

Yu Xiaoming

(Cangzhou Power Supply Company,Information Center,Cangzhou061001,China)

Abstract:By the development of our power corporationmore and more computers have been connected to Internet in power system,and hacker attacks,computer viruses,such as network security is increasing in the incident.Firewall as the first network security products and the use of the largest security products,day by day receives favor of the computer user.

Keywords: Power system information security;Firewall

近几年来随着我国经济的飞速发展,我国电力事业也得到了迅速发展。电力系统安全保障越来越依赖电力系统中高效、安全、可靠传输数据信息,因此,电力系统信息安全相关技术的研究具有重要意义。

一、电力系统网络所受到的威胁

目前电力企业网络所受威胁主要来自两个方面:物理方面、逻辑方面。

(一)物理安全威胁

物理设备不仅包括网络、防火墙、路由器、交换机和应用于网络互连的服务器,同时还包括各种提供不同网络服务的服务器,如:域名服务器、网络管理服务器、超文本传输协议、网络文件系统服务器、网络时间服务器、网络审计和入侵检测、用户认证和授权等。当物理设备因自然灾害、人为的损坏而无法正常工作时,从而会导致整个网络陷入瘫痪,无法正常工作,因此,可以说物理设备的安全直接影响着整个电力信息网络安全,物理设备是整个网络的基础,整个信息网络的正常运行离不开物理设备的安全。

(二)逻辑安全威胁

随着中国电力工业的迅速发展,电力系统信息网络化有了持续迅速的发展。随着具有全国性的电力计算机信息服务网络建设,从而有效的保障了电力企业的安全正常生产,提高了企业的效率,同时电力信息网络所面临的安全问题也日益突出。除了上面所说的物理安全威胁外,还受到各种各样的逻辑威胁。这种逻辑威胁可能来源于人为或程序编制缺陷而产生。当电力信息网络和国际互联网相连后,伴随着网络信息的交流,电力信息网络所受的外部威胁几率也大大增加。

二、防火墙主要技术在电力系统中的应用

目前实现防火墙的技术主要只有三种:包过滤技术、代理服务器和状态检测技术。

(一)包过滤防火墙

包过滤技术,顾名思义就是在网络中适当的位置对数据包实施有选择性的通过,是最早出现的防火墙技术。包过滤防火墙将对每一个接收到的包做出允许或拒绝的决定。具体地讲,它针对每一个数据报的报头,按照包过滤规则进行判定,与规则相匹配的包依据路由信息继续转发,否则就丢弃。

(二)应用代理防火墙

应用代理防火墙主要运用了代理服务器的技术。代理服务器在网络应用层提供授权检查,并且在内部用户与外部主机进行信息交换时起到中间转发的作用。所有跨越防火墙的网络通信鏈路分为两段:内部主机和代理服务器之间的连接,以及代理服务器和外部主机之间的连接。内部主机和外部主机之间的通信都是通过代理服务器来完成的,内部主机和外部主机之间并没有直接的连接。代理服务器运行在两个网络之间,对于客户机来说它像一台真正的服务器,对于外界的服务器来说它有是一台客户机。由于每个内外网之间的连接都要经过代理服务器的介入和转换,没有给内外网直接会话的机会,从而可以确保内部网络的安全。

(三)状态检测防火墙

状态检测防火墙又叫动态包过滤防火墙,是在传统包过滤技术的基础上进行功能的扩展,传统包过滤技术只能检查单个的数据包并且安全规则是静态的,而状态检测防火墙可以将前后数据包的上下文联系起来根据过去的通信信息和其他应用程序获得的状态信息动态地生成过滤规则,并根据此规则过滤新的通信。而新的通信结束后新生成的过滤规则将自动从规则表中删除。

状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案,同时具有较好的适应性和扩展性。状态检测防火墙一般也包括一些代理级的服务,它们提供附加的对特定应用程序数据内容的支持。

目前状态数据包检测技术已经防火墙系统中得到广泛的应用,具有状态数据包检测的防火墙只是检测IP包头的源IP、目的IP、源端口、目的端口、数据流、协议和TCP状态,不检测数据包的负载量以确信它附着在打开的服务上,防火墙将入侵检测和入侵阻止分开。对于网络应用层的脆弱点不能得到防火墙有效的检测,并且不能保护网络免受恶意SQL、震荡波、冲击波等的攻击。

总之,所以随着电力网络的应用越来越普及,网络安全性问题也显得愈发重要。而在众多安全防御的手段中,防火墙莫过于一种非常有效的手段,高性能的防火墙对电力行业的健康发展起到了重要作用。

参考文献:

[1]朱永利,黄敏,邸剑.基于广域网的电力远动系统的研究[J].中国电机工程学报.2005,25(7)

[2]胡炎,谢小荣,韩英铎,辛耀中.电力信息系统安全体系设计方法综述[J].电网技术.2005,29(1)

防火墙概技术及其特点 篇8

大家知道，传统防火墙的类型主要有三种：包过滤、应用层网关和代理，每种都有各自的特点。

1、数据包过滤防火墙技术

数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Contro*Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

包过滤的优点是一个过滤路由器能协助保护整个网络，数据包过滤对用户透明，过滤路由器速度快、效率高；缺点是不能彻底防止地址欺骗，一些应用协议不适合于数据包过滤，正常的数据包过滤路由器无法执行某些安全策略。

2、应用层网关防火墙技术

应用层网关(Application Leve*Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

3、代理防火墙技术 代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Leve*Gateways or TCP Tunnels)，也有人将它归于应用层网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。

三、新一代防火墙技术及其应用

新一代防火墙的目的主要是综合包过滤和代理技术，克服二者在安全方面的缺陷；能从数据链路层一直到应用层施加全方位的控制；实现TCP/IP协议的微内核，从而在TCP/IP协议层能进行各项安全控制；基于上述微内核，使速度超过传统的包过滤防火墙；提供透明代理模式，减轻客户端的配置工作；支持数据加密、解密(DES和RSA)，提供对虚拟网VPN的强大支持；内部信息完全隐藏；产生一个新的防火墙理论。

新一代防火墙技术不仅覆盖了传统包过滤防火墙的全部功能，而且在全面对抗IP欺骗、SYN Flood、ICMP、ARP等攻击手段方面有显著优势，增强代理服务，并使其与包过滤相融合，再加上智能过滤技术，使防火墙的安全性提升到又一高度。

智能防火墙的关键技术有：

*防攻击技术

智能防火墙能智能识别恶意数据流量，并有效地阻断恶意数据攻击。智能防火墙可以有效地解决SYN Flooding，Land Attack，UDP Flooding，Fraggle Attack，Ping Flooding，Smurf，Ping of Death，Unreachable Host等攻击。防攻击技术还可以有效的切断恶意病毒或木马的流量攻击。

*防扫描技术 智能防火墙能智能识别黑客的恶意扫描，并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS，SSS，NMAP等扫描工具，智能防火墙可以防止被扫描。防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。

*防欺骗技术

智能防火墙提供基于MAC的访问控制机制，可以防止MAC欺骗和IP欺骗，支持MAC过滤，支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。

*入侵防御技术

智能防火墙为了解决准许放行包的安全性，对准许放行的数据进行入侵检测，并提供入侵防御保护。入侵防御技术采用了多种检测技术，特征检测可以准确检测已知的攻击，特征库涵盖了目前流行的网络攻击；异常检测基于对监控网络的自学习能力，可以有效地检测新出现的攻击;检测引擎中还集成了针对缓冲区溢出等特定攻击的检测。智能防火墙完成了深层数据包监控，并能阻断应用层攻击。

*包擦洗和协议正常化技术

智能防火墙支持包擦洗技术，对IP，TCP，UDP，ICMP等协议的擦洗，实现协议的正常化，消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁，效果显著。

*AAA技术

IP v4版本的一大缺陷是缺乏身份认证功能，所以在IP v6版本中增加了该功能。问题是IP v6的推广尚需时日，IP v4在相当长一段时间内，还会继续存在。智能防火墙增加了对IP层的身份认证。基于身份来实现访问控制。

Linux操作系统中的防火墙技术及其应用 篇9

关键词:windows Linux Unix 网络操作系统

前言:操作系统作为计算机科学与技术专业的核心支撑软件,从来都是各院校计算机专业课程建设中的核心专业课程。高等 教育 中的本科以上层次的教育必须担当其培养Linux技术研发人才的任务,而高等教育中的高职高专教育则必须担当起培养Linux技术应用专业人才的大任。这一切都要求我们从战略的眼光出发让Linux技术类的课程尽早进入高校IT教育的课堂。

1.Linux的背景和特色

Linux是一种“自由(Free)软件”:所谓自由,是指用户可以自由地获取程序及其源代码,并能自由地使用他们,包括修改或拷贝等。它是网络时代的产物,众多的技术人员通过Internet共同完成它的研究和开发,无数用户参与了测试和除错,并可方便地加上用户自己编制的扩充功能。作为自由软件中最为出色的一个,Linux具有如下的特点:

(1)完全遵POSLX标准性。扩展支持所有AT&T和BSD Unix特性的网络操作系统。由于继承了Unix优秀的设计思想,且拥有干净、健壮、高效且稳定的内核,其所有核心代码都是由Linus Torvalds以及其他优秀的程序员们完成,没有AT&R或伯克利的任何Unix代码,所以Linux不是Unix,但Linux与Unix完全兼容。

(2)真正的多任务、多用户系统,内置网络支持,能与NetWare、Windows NT、OS/

2、Unix等无缝连接。网络效能在各种Unix测试评比中速度最快。同时支持FAT16、FAT32、NTFS、ExtFS、ISO9600等多种文件系统。

(3)有广泛的应用程序支持。已经有越来越多的应用程序移植到Linux上,包括一些大型厂商的关键应用。大型数据库软件,编程软件,图像处理软件等。

(4)性能与价格。与其它操作系统不同,Linux是完全免费的操作系统,虽然发布商可收取合理的制作利润,但往往只有几十美元,远远低于普通的操作系统的售价,这当然是很有吸引力的。至于性能,不仅Windows NT无法与之相比,连Solaris、BSD这样的Unix纱统也赶不上它。在这一方面,Linux具有绝对的优势。

2.Linux的主要应用领域

这是目前Linux用得最多的一项它可提供包括Web服务器、Ftp服务器、Gopher服务器、SMTP/POP3邮件服务器、Proxy/Cache服务器、DNS服务器等全部Internet服务。Linux内核支持Ipalias、PPP和Iptunneling,这些功能可用于建立虚拟主机、虚拟服务、VPN(虚拟专用网)等。

3.Linux在教学上的优势

Linux不仅仅是一个操作系统。与Windows相比,Linux是一个不断成长、不断发展的国际化软件项目,它从来没有像Windows。那样有阶段性的定型。学习和使用Linux,可能意味需要不停地查资料、不断遇到问题、甚至亲自解决系统本身的问题。对于Windows来说,用户只是使用者;而对于Linux,每个用户不仅是使用者还是学员测试员教师甚至是开发人员。4.Linux教学的方法

(1)教师讲解与演示、在教学过程中,教师是主导,学生是主体。教师的讲解在整个教学中起关键作用。教师将理论与实践有机结合,融为一体,遵循“从实践到理论,再从理论到实践”的认知 规律 ,既加强实践教学,提高学生实际应用能力,又增强教学过程的互动性,提高学生的学习兴趣。

(2)强调案例式教学,兴趣是最好的老师,学生缺乏学习的兴趣,学习将成为一种沉重的负担,课堂教学也会变的机械沉闷,只有激发出学生的学习兴趣,学生才能积极主动的学习。

(3)实践式教学方式、建立专用的教师是主导,学生是主体的教学体系。整个教学效果最终体现在学生的实践应用能力上。教师在讲解和演示后,根据教学内容,给学生布置实验任务提出具体要求、实现目标和基本思路。学生在实验过程中,可以采取4~5人为一组来共同完成所要求的实验任务,组内既有Windows系统配置,又能有Linux系统配置,学生既有分工,又相互协作、相互探讨,共同实现任务目标。这样可以激发学生的学习兴趣,培养学生探究问题,解决问题的能力。教师在学生实验过程中,及时了解每组学生完成的情况,针对存在的问题,给予必要的提示或适当调整实验任务。

(4)评价和考核体系,在学期末对学生进行基本的 考试 考核,除此之外,为了提高学生的动手和协作能力对学生布置大作业(设计性实验或验证性试验)。指定组员、组长。项目分工和设计报告。在提交作业时进行提问,讲解。组长负责项目的实行和组员分工,按照分工比例进行评分。按统一格式认真填写设计报告需求分析方面的内容。把大作业在总成绩在比例相应的提高。

结论