Linux下防火墙透明模式的原理及其实现.pdfVIP

Linux 下防火墙透明模式的原理及实现 张永辉 李俊 (中国科学院计算机网络信息中心 北京 100080) （zhangyh@） 摘 要 随着 Internet 网络的广泛应用，网络安全越来越受到人们的重视。防火墙是提高网络安全最基本也是最有效的手段。工作 于透明模式下的防火墙可以极大地简化防火墙的配置并提高防火墙自身的安全性。该文分析了防火墙透明接入时带来的ARP 失效 问题，并从原理上提出了使用ARP 代理技术解决该问题的方法，同时给出了简单的实现。 关键词 Linux 防火墙 透明模式 1．引言 随着Internet 应用的不断扩展，网络安全问题越来越受到人们的关注。防火墙是目前最为流行也是使用最 为广泛的一种网络安全技术。 所谓的防火墙就是一个或一组实施访问控制策略的系统。通过防火墙可以将风险区域（即 Internet 区域或 有一定风险的网络）和安全区域 （即内部网络）隔离开来，在安全区域和风险区域之间建立一道安全屏障。有了 这个屏障就可以在不妨碍人们访问风险区域的前提下，防止非法用户访问内部网络的资源，同时也可以保护内部 网络使其免遭来自风险区域非法的恶意操作的破坏。 下图是一个没有防火墙保护的典型的网络拓扑： 局域网 主机A 主机C 主机B 集线器 路由器 R Internet 主机Z 不可信任 的终端 图1. 缺乏防火墙保护的局域网 企业内部的局域网完全暴露在Internet 网前，来自于Internet 网络上的数据毫无区别地进入局域网中。局域 网中主机的安全性完全取决于各个主机自身的防护能力。在这种情形之下黑客只需要攻击并控制局域网中安全防 护最为薄弱的一台主机，利用局域网本身的不安全性就可以很容易的突破局域网中任何主机的安全防线。 下图是一个安装了防火墙的网络拓扑： 所有进出局域网的数据都须 先经过防火墙的检查才能通 过 局域网 主机A 主机C 主机B 集线器 路由器 R 防火墙 F Internet 主机Z 不可信任 的终端 图2. 处于防火墙保护之下的局域网 在防火墙的保护之下所有进出局域网的数据都经过防火墙的判别，只允许符合企业安全策略的数据通过，同 时局域网中所有的主机都处于防火墙的保护之