Linux系统下Iptables在网络安全中的应用

开篇：润墨网以专业的文秘视角，为您筛选了一篇Linux系统下Iptables在网络安全中的应用范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要：以南阳市科技信息中心为例，以加强网络安全节省网络投资为目的，完成了一个以linux系统下iptables为平台的网络安全防御系统。该系统利用linux的开源稳定特性，提供一个高性能、高安全性、低成本的网络安全解决方案。

关键词：linux；iptables；网络安全；负载均衡

中图分类号：TP316 文献标识码：A文章编号：1009-3044(2011)23-5606-02

Linux System Iptables under in the Application of Network Security

WANG Jian-qiang, YANG Hua, SUN Xue-feng, ZHANG Xiu-yun

(Nanyang Science and Technology Information Center, Nanyang 473000, China)

Abstract: In nanyang information center as an example, in order to strengthen the network security save the network investment for the purpose, completed a Linux system for the platform iptables defense of network security system. This system USES Linux open source stable characteristics, providing a high performance, high security, low cost of network security solutions.

Key words: linux; iptables; network security; load balance

Iptables由Netfilter项目开发，自2001年1月Linux 2.4内核以来，它就成为Linux的一部分了。多年来，iptables已发展成为一个功能强大的防火墙，它已具备通常只会在专有的商业防火墙中才能发现的大多数功能。例如，iptables提供了全面的协议状态跟踪、数据包的应用层检查、速率限制和一个功能强大的机制以指定过滤策略。

由于iptables完全免费、功能强大、使用灵活、可以对流入和流出的数据包进行细化控制，也可以在一台低配置的机器上很好的运行。所以linux系统下iptables为平台的网络安全解决方案，对于中小型企业都具有重要的意义。

1 需求分析

网络安全是企业网络正常运行的前提。网络安全不单是单点的安全，而是整个企业信息网的安全，需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护，首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面，涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位，都会存在很大的安全隐患，都有可能造成业务网络的中断。因此企业的网络安全在企业中具有非常重要的作用。

本平台最突出的特点是网络运营成本低,比较适合中小型企业、学校等。目前，许多企业网络采用电信级别的硬件安全设备，其昂贵的设备费用、维护费用、设备更新费用成为企业的重要负担。本方案与以上所比具有以下优势：

1）对企业现有网络没有影响。

2）节省昂贵的电信级硬件安全设备费用、维护费用。

3）系统升级管理方便、升级费用低廉。

4）对管理员的技术能力要求不高，系统容易被掌握。

5）本方案的源代码全部是公开的系统，可以有效的后门等存在的网络安全隐患。

6）所有网络应用放置在内网服务器上，加强网络安全性。

2 解决方案

本平台放置在网络出口，平台分为内网和外网。所有的企业应用放置在内网服务器上，所有的上网用户也分配虚拟ip地址通过服务器上网。示意图如图1。

搭建平台前准备，计算机一台（需要双网卡），安装带有iptables的linux系统、交换机2台、服务器和终端若干。以我单位的现状为例：

2.1 内部公共服务（DNS、WEB、Email、ftp、数据库等）的实现

1）平台服务器绑定公共服务器需要的ip地址

假设需要绑定多IP的网卡是eth0，在/etc/sysconfig/network-scripts目录里面创建一个名为ifcfg-eth0:0的文件，

内容样例为:

DEVICE=”eth0:0″

IPADDR=”218.1.1.1″

BROADCAST=”218.1.1.255″

NETMASK=”255.255.255.0″

ONBOOT=”yes”

其中的DEVICE为设备的名称，IPADDR为此设备的IP地址，BROADCAST是广播地址，NETMASK为子网掩码，ONBOOT 表示在系统启动时自动启动。如果需要再绑定多一个IP地址，只需要把文件名和文件内的DEVICE中的eth0:x加一即可。LINUX最多可以支持255个IP别名。

可以把下述命令加在启动自运行文件里面，在Gentoo下是/etc/conf.d/local.start，而某些版本的Linux是/etc/rc.d/rc.local。

ifconfig eth0:1 228.1.1.2 broadcast 218.1.1.255 netmask 255.255.255.0

2）在平台服务器上面映射服务端口

Iptables Ct nat CA POSTROUTING Cs 172.16.1.0/24 Co eht0 Cj SNAT Cto 218.1.1.2

Iptables Ct nat CA PREROUTING Ci eth1 Cd 218.1.1.1 Cp tcp Cdport 80 Cj DNAT Cto 172.16.1.6

Iptables Ct nat CA PREROUTING Ci eth1 Cd 218.1.1.1 Cp tcp Cdport 25 Cj DNAT Cto 172.16.1.7

Iptables Ct nat CA PREROUTING Ci eth1 Cd 218.1.1.1 Cp tcp Cdport 22 Cj DNAT Cto 172.16.1.8

2.2 建立网络安全数据过滤规则

在linux命令行下键入并加入到/etc/rc.d/rc.local中去

##清空所有规则

iptables CF

iptables Ct nat CF

##设定允许通过的端口

iptables -t nat -A PREROUTING -p tcp --dport 21-j ACCEPT -i eth0

iptables -t nat -A PREROUTING -p tcp --dport 22-j ACCEPT -i eth0

iptables -t nat -A PREROUTING -p tcp --dport 25-j ACCEPT -i eth0