linux防火墻技術論文

linux防火墻技術論文

　　在眾多的網(wǎng)絡防火墻產(chǎn)品中，Linux操作系統(tǒng)上的防火墻軟件特點顯著，學習啦小編整理了linux防火墻技術論文，有興趣的親可以來閱讀一下!

　　linux防火墻技術論文篇一

　　Linux系統(tǒng)的防火墻技術設計和實現(xiàn)

　　[摘 要]在計算機網(wǎng)絡技術飛速發(fā)展的今天，網(wǎng)絡安全問題日益突出，防火墻技術也越來越受到人們的關注。在眾多的網(wǎng)絡防火墻產(chǎn)品中，Linux操作系統(tǒng)上的防火墻軟件特點顯著，這些優(yōu)勢是其他防火墻產(chǎn)品不可比擬的。選用這類軟件確實是最低硬件需求的可靠、高效的解決方案。但用戶最關心的還是安全系統(tǒng)的性能，有關部門根據(jù)網(wǎng)絡安全調查和分析曾得出結論：網(wǎng)絡上的安全漏洞和隱患絕大部分是因網(wǎng)絡設置不當引起的。Linux防火墻由以前的ipchains到如今的iptables，功能日漸強大和完善。iptables以filter的三個鏈處理input、output和forward數(shù)據(jù)包。通過對INPUT鏈、OUTPUT鏈以及FORWARD鏈上規(guī)則的添加和應用來實現(xiàn)ALG防火墻，達到對網(wǎng)絡的保護和限制的目的。

　　[關鍵詞]Linux 防火墻 iptables

　　中圖分類號：TD956.2 文獻標識碼：A 文章編號：1009-914X(2014)10-0027-01

　　Based on Linux system design and realization of the firewall

　　[Abstract]Network security issues have become increasingly prominent in the rapid development of computer network technology， firewall technology， more and more people pay attention.Firewall software on the Linux operating system features significantly in many network firewall products， these advantages unmatched by other firewall products. The selection of this type of software is indeed reliable and efficient solutions for the minimum hardware requirements. But users are most concerned about is the performance of the security system， the relevant departments according to the survey and analysis of network security has concluded： network security vulnerabilities and hidden mostly caused due to improper network settings. Linux firewall by the previous ipchains iptables， now function increasingly powerful and perfect. iptables to filter three chain processing input， output and forward packets. ALG firewall the adding and application of the rules on the INPUT chain， OUTPUT chain FORWARD chain， to achieve the purpose of network protection and restrictions.

　　[Key words]Linux firewall iptables

　　一、Linux操作系統(tǒng)

　　1.1 Linux系統(tǒng)簡介

　　Linux是一種自由和開放源碼的類Unix操作系統(tǒng)，Linux有許多不同的版本，但它們都使用了Linux內(nèi)核。嚴格來講，Linux這個詞本身只表示Linux內(nèi)核，但實際上人們已經(jīng)習慣了用Linux來形容整個基于Linux內(nèi)核，并且使用GNU 工程各種工具和數(shù)據(jù)庫的操作系統(tǒng)。

　　1.2 Linux防火墻配置命令簡介

　　1.2.1 概述

　　Linux防火墻通過使用iptables系統(tǒng)提供的特殊命令建立這些規(guī)則，并將其添加到內(nèi)核空間特定信息包過濾表內(nèi)的鏈中。

　　1.2.2 表(table)

　　[-t table]選項允許使用標準表之外的任何一個表。表只包含一個特定類型的包處理規(guī)則和鏈的包過濾表。

　　1.2.3 命令(command)

　　命令的部分最重要的部分是iptables命令。它告訴iptables命令去做什么。

　　1.3 netfilter/iptables組件

　　1.3.1 簡介

　　netfilter/iptables IP 信息包過濾系統(tǒng)是一種功能強大的工具，可用于添加、編輯和除去規(guī)則，這些規(guī)則是在做信息包過濾決定時，防火墻所遵循和組成的規(guī)則。

　　1.3.2 功能

　　Linux的防火墻是由netfilter和iptables兩個組件構成。netfilter組件也稱為內(nèi)核空間(kernelspace)，iptables 組件稱為用戶空間(userspace)，通過iptables執(zhí)行命令或者修改配置文件來設置規(guī)則，netfilter接收指令和讀取配置文件來使這些規(guī)則生效。

　　1.3.3 工作方式

　　Netfilter組件由數(shù)據(jù)包過濾表組成，用來控制數(shù)據(jù)包過濾處理的規(guī)則集。

　　Iptables組件它可以更容易插入、修改和刪除數(shù)據(jù)信息包過濾表中的規(guī)則。(見圖1)

　　二、防火墻技術

　　2.1 防火墻的定義

　　防火墻指的是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障。

　　2.2 防火墻的種類

　　不同的防火墻其運用的技術不同，總的來說分以下幾類：1 .包過濾防火墻;2.應用網(wǎng)關防火墻;3. 狀態(tài)檢測防火墻;4. 復合型防火墻。

　　三、防火墻的設計

　　3.1 設計思路

　　對于連接到網(wǎng)絡上的 Linux 系統(tǒng)來說，防火墻是必不可少的防御機制，它只允許合法的網(wǎng)絡流量進出系統(tǒng)，而禁止其它任何網(wǎng)絡流量。

　　3.2 配置規(guī)則

　　一個LINUX防火墻系統(tǒng)需要一個合理的、高效的并且簡單的安全機制，而安全機制通常是通過Input、Output、Forward這三條“防火鏈”來實現(xiàn)。

　　四、結束語

　　netfilter/iptables 的最大優(yōu)點是它可以配置有狀態(tài)的防火墻，這是 ipfwadm 和 ipchains 等以前的工具都無法提供的一種重要功能。netfilter/iptables 的另一個重要優(yōu)點是，它使用戶可以完全控制防火墻配置和信息包過濾。另外，netfilter/iptables 是免費的，這對于那些想要節(jié)省費用的人來說十分理想，它可以代替昂貴的防火墻解決方案。

　　參考文獻

　　[1] Robert L.Ziegler，《Linux防火墻》人民郵電出版社，2000.10.

　　[2] W.Richard Stevens，《TCP/IP詳解 卷一：協(xié)議》機械工業(yè)出版社，2000.4.1.

　　[3] 中國計算機報 出版日期：2001-09-27 總期號：1058 本年期號：73 看安全策略定防火墻.

　　[4] 《卡飯月刊》第32期(2011.11) 關于防火墻規(guī)則.

　　[5] 防火墻 .

　　[6] 防火墻的工作原理及比較 360論壇網(wǎng)絡專 .

　　linux防火墻技術論文篇二

　　基于透明模式的Linux防火墻設計

　　摘要：隨著計算機技術、通信技術和網(wǎng)絡技術的發(fā)展，網(wǎng)絡已經(jīng)逐漸應用到比如辦公網(wǎng)絡化、網(wǎng)上資源共享等人們工作生活的各個方面。隨著網(wǎng)絡的大規(guī)模的應用，網(wǎng)絡資源共享性提高，其安全性成為目前人們研究的重點課題。本文詳細的介紹了linux系統(tǒng)中防火墻設計技術——透明模式技術?；谕该髂Ｊ降姆阑饓梢赃M行轉換內(nèi)外網(wǎng)地址，以便屏蔽內(nèi)部網(wǎng)段的訪問細節(jié)，同時還可以使防火墻的服務器端口進行隱藏，使其無法被探測到，這樣就極大的提高了防火墻的坑攻擊性，加強了網(wǎng)絡的安全性。

　　關鍵詞：linux系統(tǒng);網(wǎng)絡安全;透明模式;防火墻設計

　　中圖分類號：TP311.52文獻標識碼：A文章編號：1007-9599 (2012) 07-0000-02

　　一、引言

　　隨著計算機技術、網(wǎng)絡技術和現(xiàn)代通信技術的發(fā)展，信息安全成為眾多科學工作者的研究重點。Linux系統(tǒng)作為一個開放的網(wǎng)絡網(wǎng)絡操作系統(tǒng)，被廣泛的應用于教育、金融和政府企業(yè)網(wǎng)中，在應用過程中，防火墻技術越來越多的被應用于專用網(wǎng)絡，和公用網(wǎng)絡的互聯(lián)環(huán)境中,因此，linux系統(tǒng)的防火墻設計大大的影響人們辦公的利于弊。防火墻集成了計算機的硬件和軟件，位于兩個或者多個網(wǎng)段之間，能夠實施對網(wǎng)絡資源的訪問控制，在任何兩個或者多個網(wǎng)絡之間，按照一定的安全策略實施數(shù)據(jù)包的安全檢測，判斷各個網(wǎng)絡之間的通信能否被許可，時刻監(jiān)視網(wǎng)絡的運行現(xiàn)狀。

　　本文基于作者多年的研究和實踐經(jīng)驗，詳細的描述了linux2.4系統(tǒng)內(nèi)核中，防火墻設計的相關技術，比如數(shù)據(jù)包過濾、Netfilter/Iptables架構、透明模式等，并基于這些技術針對linux防火墻進行了設計[1]，詳細的探討了防火墻控制系統(tǒng)的設計，以便為人們在使用linux系統(tǒng)時，設計防火墻提供參考。

　　二、背景技術

　　(一)Linux系統(tǒng)簡介

　　Linux是一種自由的和開放源碼的類Unix操作系統(tǒng)，其得名于計算機業(yè)余愛好者Linus Torvalds。當前存在著許多不同的linux系統(tǒng)版本，比如大家眾所周知的linux2.2和linux2.4系列。雖然他們的產(chǎn)生時間和版本不同，但是它們都使用了linux內(nèi)核，嚴格來講，Linux這個詞本身只表示Linux內(nèi)核，但實際上人們已經(jīng)習慣了用Linux來形容整個基于Linux內(nèi)核，并且使用GNU 工程各種工具和數(shù)據(jù)庫的操作系統(tǒng)。Linux可以安裝在各種計算機硬件設備中，比如從平板電腦、手機、路由器和視頻游戲控制臺，到臺式計算機、大型機和超級計算機。Linux是一個領先的操作系統(tǒng)，世界上運算最快的10臺超級計算機運行的都是Linux操作系統(tǒng)。

　　(二)Linux系統(tǒng)的數(shù)據(jù)包過濾

　　對于Linux系統(tǒng)的防火墻設計與實現(xiàn)[2]來講，為了能夠判定網(wǎng)中的流通的數(shù)據(jù)包等是否合法，需要有網(wǎng)絡安全人員或者是系統(tǒng)管理員制定一組詳細的網(wǎng)絡通信規(guī)則，這組規(guī)則具有一個中心控制點，使用該組規(guī)則能夠檢測網(wǎng)絡中的數(shù)據(jù)包并且能夠流出合法的數(shù)據(jù)包信息，使系統(tǒng)不受損害。包過濾是防火墻設計過程中使用的一種必備技術，因為網(wǎng)絡流量是是由網(wǎng)絡中的IP數(shù)據(jù)包有機形成，網(wǎng)絡流量憑靠流的形式展現(xiàn)在網(wǎng)絡中，并且從系統(tǒng)的發(fā)送端經(jīng)過網(wǎng)絡留到接收端。形成網(wǎng)絡流量的IP數(shù)據(jù)包包括兩個部分，其分別是包頭和數(shù)據(jù)，其中包頭里含有接收數(shù)據(jù)的目的地址、數(shù)據(jù)來源的源地址以及數(shù)據(jù)包傳輸過程中采用的某種傳輸協(xié)議類型等信息，因此Linux防火墻系統(tǒng)就可以根據(jù)防火墻設置的相應的安全檢查規(guī)則嚴格的檢查這些數(shù)據(jù)包中的包頭和數(shù)據(jù)，這樣就能夠確定網(wǎng)絡中流通的數(shù)據(jù)包是否合法，接收端是否接授被檢測到的IP數(shù)據(jù)包，還是拒絕流過的IP數(shù)據(jù)包，這個過程我們就稱之為IP數(shù)據(jù)包過濾[3]。

　　(三)Netfilter/Iptables架構分析

　　在Linux2.4系統(tǒng)的內(nèi)核中，其提供了一個非常強大的防火墻工具——Netfilter/Iptables組件，該工具使用起來非常靈活，并且功能十分強大，其使用控制規(guī)則對網(wǎng)絡中流入和流出的數(shù)據(jù)包信息進行非常細化的控制。Netfilter/Iptables組件基于信息包過濾表(tables)有機組成，該過濾表包含了控制網(wǎng)段中數(shù)據(jù)包處理的一些規(guī)則集(rules)。IP數(shù)據(jù)包根據(jù)規(guī)則集中包含的包過濾類型，將這些規(guī)則放入鏈(chains)中，同時規(guī)定Linux系統(tǒng)2.4內(nèi)核對來網(wǎng)絡中流入流出的數(shù)據(jù)包進行處置。Netfilter/Iptables組件的工作原理以及其結構組成如下所述[4]。

　　1. Netfilter/Iptables的工作原理簡述。在Linux2.4系統(tǒng)內(nèi)核中，Netfilter/Iptables是Linux系統(tǒng)發(fā)展過程中的第4代包過濾防火墻系統(tǒng)[5]，該系統(tǒng)僅僅可以用來擴展網(wǎng)絡服務，并沒有具體實現(xiàn)包過濾的程序，是一個包過濾系統(tǒng)的結構化底層開發(fā)框架。Netfilter/Iptables框架共包含三個組成部分：一是為各種網(wǎng)絡協(xié)議定義的一些相關的鉤子函數(shù)，比如為IPV4定義了五個鉤子函數(shù)，這些函數(shù)可以在網(wǎng)絡中數(shù)據(jù)包經(jīng)過某些協(xié)議棧的關鍵點時被用來調用;二是linux2.4內(nèi)核的每一個模塊都可以針對各種協(xié)議一個或者是很多個鉤子進行注冊，以便實現(xiàn)掛接;三是用來傳遞給用戶的數(shù)據(jù)包，其在排隊的數(shù)據(jù)包中使用異步處理的方法。

　　2. IPv4中Netfilter/Iptables的結構簡述。Netfilter/Iptables提供了三個基本的功能表[6]：網(wǎng)絡地址轉換表(NAT) 、數(shù)據(jù)包過濾表(filter)和數(shù)據(jù)包處理表(mangle)。其中每個表又通常由若干鏈構成，一個鏈既是許多規(guī)則中的一個過濾清單，根據(jù)過濾規(guī)則能夠處理的數(shù)據(jù)包的類型，將其分組到各個鏈中。其工作過程是如果一個網(wǎng)絡中流通的IP數(shù)據(jù)包與某一規(guī)則相匹配，防火墻就允許該包通過，既是接受該數(shù)據(jù)包;否則，就丟球或者拒絕接受該數(shù)據(jù)包，通過這些功能就可以防止非法數(shù)據(jù)流通，以便保護網(wǎng)絡系統(tǒng)的安全。

　　3. Netfilter/Iptables的內(nèi)置規(guī)則。Netfilter/Iptables可以通過讀取在網(wǎng)絡中流入和流出的IP數(shù)據(jù)包的頭部，分析其具體信息，然后就和規(guī)則集相比較，這樣就可以確定IP數(shù)據(jù)包是接受轉發(fā)還是拒絕接受，對于被拒絕的IP數(shù)據(jù)包，Netfilter/Iptables內(nèi)置規(guī)則集默認丟棄或者按照某種定義的動作來處理數(shù)據(jù)包。在linux2.4內(nèi)核中，其建立了三個Iptables，其中Filter包含input、output以及forward鏈，該Iptable的主要作用是用來過濾一般的IP數(shù)據(jù)包，;Nat包含prerouting、output和postrouting鏈，其作用是用來轉發(fā)IP數(shù)據(jù)包;Mangle包括prerouting和output鏈，其可以使用一些規(guī)則記錄用于高級路由的IP數(shù)據(jù)包。

　　三、Linux透明模式防火墻實現(xiàn)

　　(一)透明模式的結構和優(yōu)點

　　在人們上網(wǎng)等過程中，由于計算機系統(tǒng)中安裝了防火墻，導致網(wǎng)速變慢，給人們帶來了各種不方便，比如無法登錄某些被限制的有用網(wǎng)站，網(wǎng)速變慢等問題，為了解決防火墻帶來的這種弊端，在本文中l(wèi)inux系統(tǒng)防火墻的實現(xiàn)過程中，我們采用了新穎的Iptables+Squid透明模式，用于設計和實現(xiàn)防火墻[7]的功能。在基于透明模式防火墻網(wǎng)絡系統(tǒng)中，數(shù)據(jù)訪問流程如下：用戶與代理服務器進行對話，然后接受客戶的請求，與真實的服務器相連接，然后請求得到響應數(shù)據(jù)并將其反饋給用戶。使用透明模式的防火墻可以解決很多問題，比如網(wǎng)絡速度慢和IP地址緊缺等。在防火墻的實現(xiàn)規(guī)則設置中，基于透明模式的防火墻系統(tǒng)采用了比包過濾較深層次的數(shù)據(jù)包檢查策略，網(wǎng)絡的內(nèi)部用戶如果在訪問外網(wǎng)數(shù)據(jù)時，基于透明模式的訪問方式無需進行服務器代理設置，就能夠使用戶與外界資源直接進行高速的通信，大大的減少了用戶上網(wǎng)的時間，加快了網(wǎng)絡訪問的速度。另外，采用透明模式的防火墻系統(tǒng)，可以很方便的進行內(nèi)網(wǎng)和外網(wǎng)地址轉換，屏蔽內(nèi)部網(wǎng)絡的訪問細節(jié)信息，使得防火墻的服務器端口被系統(tǒng)隱藏，使其無法潛在的攻擊者所探測到，就能夠大大的提高網(wǎng)絡的安全性，減少被黑客攻擊的幾率。

　　(二)基于Iptables+Squid實現(xiàn)透明模式

　　Squid是一個代理服務器軟件[8]，其通常在Unix/Linux系統(tǒng)下工作并且能夠支持許多種協(xié)議，該軟件能夠緩存我們網(wǎng)絡上使用的數(shù)據(jù)，也即是當服務器軟件使用Squid之后，服務器內(nèi)存中就會建立一個哈希表，也稱為散列表，該哈希表用來保存在硬盤中的緩存目錄的配置狀態(tài)。如果網(wǎng)絡上用戶發(fā)出代理請求時，Squid接收用戶的請求并且下載申請，然后自動的處理其所下載的請求數(shù)據(jù)信息。Squid可以構造非常復雜的代理訪問控制結構，能夠提供多種訪問控制策略，并且能夠節(jié)省很多網(wǎng)絡帶寬，其具有系統(tǒng)運行穩(wěn)定，運行效率高，響應及時等十分強大的功能。

　　四、 Linux防火墻訪問控制系統(tǒng)設計與實現(xiàn)

　　在linux系統(tǒng)防火墻設計與實現(xiàn)過程中，訪問控制系統(tǒng)的設計是非常關鍵的，訪問控制系統(tǒng)設計的好壞，直接影響防火墻的功能是否健全，性能是否優(yōu)越，以及其他非功能性約束。

　　(一)訪問控制系統(tǒng)的設計思想和功能

　　本文所設計的訪問控制系統(tǒng)基于透明模式技術。該模式與普通模式相比較，具有配置簡單靈活、適用范圍廣等許多優(yōu)點。在linux系統(tǒng)內(nèi)核下，基于iptables+squid實現(xiàn)透明模式技術[9]，因此該防火墻具有一定的包過濾功能。由于Linux系統(tǒng)內(nèi)核防火墻設計過程中，其包過濾機制存在一定的局限性，存在著缺陷，比如過濾能力非常有限。如果網(wǎng)絡內(nèi)部的用戶向代理服務器發(fā)出訪問請求時，使用某些具有隱蔽性的技術和手段，這樣就可以使得數(shù)據(jù)包無需通過iptables+Squid就能夠訪問外部的網(wǎng)絡，防火墻系統(tǒng)的檢測機制的作用就會被降低，為了解決上面的問題，在本文中，筆者基于多年的實踐經(jīng)驗，基于透明模式，設計并提出了一種新穎的內(nèi)部用戶訪問控制系統(tǒng)，這種系統(tǒng)的設計和實現(xiàn)思想如下：系統(tǒng)根據(jù)網(wǎng)絡內(nèi)部的用戶發(fā)出的數(shù)據(jù)信息，讓防火墻系統(tǒng)的服務器抓取該數(shù)據(jù)信息中的IP數(shù)據(jù)包的頭部，詳細的按照訪問控制規(guī)則對其進行分析，根據(jù)iptables定義的防火墻規(guī)則鏈檢測數(shù)據(jù)包是否合法;另外在服務器的另一個端口時刻偵聽已經(jīng)流出去的數(shù)據(jù)信息，通過反饋信息對其進行檢測過濾，與此同時，服務器還要對已經(jīng)流出去的相應請求數(shù)據(jù)包進行日志登記，在防火墻系統(tǒng)的控制管理過程中，我們可以查看過長的數(shù)據(jù)信息或者是過快的一連串的異常數(shù)據(jù)請求行為，以便從中發(fā)現(xiàn)可疑現(xiàn)象。

　　因此，綜上所述，本文中所設計和實現(xiàn)的防火墻訪問控制系統(tǒng)的主要功能主要由以下幾個方面共同組成：

　　1.適用范圍廣泛，可用于各種網(wǎng)絡應用協(xié)議;2.禁止內(nèi)部用戶越過防火墻非法訪問;3.根據(jù)對數(shù)據(jù)包頭部的分析，實現(xiàn)動態(tài)包過濾功能，加強了系統(tǒng)的性能和安全性;4.系統(tǒng)提供日志審計，以便記錄系統(tǒng)訪問、系統(tǒng)管理及針對安全策略的網(wǎng)絡訪問情況。

　　(二)訪問控制系統(tǒng)的實現(xiàn)

　　1.防火墻規(guī)則初始化：啟動forward功能;配置缺省原則;設置nat規(guī)則;設置內(nèi)外網(wǎng)連接規(guī)則;設置icmp規(guī)則;設置透明模式。

　　2.偵聽數(shù)據(jù)包：訪問控制系統(tǒng)能夠在任何時刻監(jiān)聽是否有發(fā)往Squid的數(shù)據(jù)包信息的訪問請求，使用的偵聽數(shù)據(jù)包技術主要可以采用基于客戶機與服務器分布式通信技術來實現(xiàn)。在客戶機與服務器分布式的通信過程中，訪問控制系統(tǒng)就可以通過Socket截獲或者抓卻客戶機發(fā)送給服務器的數(shù)據(jù)包，另外基于該種技術，訪問控制系統(tǒng)可以同時將多個Socket連入同一個端口，這樣就可以使得所有的客戶機均可以用統(tǒng)一的通信前端與服務器進行通信。

　　3.數(shù)據(jù)包截獲和分析：該模塊從接收到的數(shù)據(jù)包中提取出來IP數(shù)據(jù)包的頭部信息，對其進行分析，并從數(shù)據(jù)包提取所需要的信息。

　　4.訪問控制管理：訪問控制管理是該控制系統(tǒng)設計過程中最為關鍵的一個部分，當經(jīng)過數(shù)據(jù)包分析之后，可以認證用戶身份，然后通過對內(nèi)核防火墻過濾規(guī)則的操作來實現(xiàn)對用戶的訪問控制。訪問控制管理模塊生成一個shell腳本的start文件，該文件可以用來創(chuàng)建一個基礎的iptables規(guī)則，并且初始化input、output及forward鏈，同時為每一個服務創(chuàng)建一個對應的防火鏈，并在forward鏈中添加規(guī)則，將相應服務端口的請求轉發(fā)給服務鏈。訪問控制管理模塊同時定義了所有服務對應的TCP/UDP端口及服務種類。

　　五、結束語

　　總而言之，隨著網(wǎng)絡資源使用的方便程度越來越多，使用網(wǎng)絡的人必將迅速增加，如何保證網(wǎng)絡信息安全成為許多研究者的工作重點。本文利用Linux內(nèi)核防火墻中的包過濾機制iptables和代理服務器軟件squid實現(xiàn)了透明模式的防火墻，其具有置簡單靈活、適用范圍廣等許多優(yōu)點，并且提出了解決系統(tǒng)內(nèi)部用戶訪問的安全性問題，為linux系統(tǒng)防火墻設計引入了新的理念。隨著信息安全技術的發(fā)展，linux防火墻設計也必將產(chǎn)生更多的有效設計原理和方法，以保證網(wǎng)絡應用環(huán)境的安全。

　　參考文獻：

　　[1]周曉梅.Linux內(nèi)核防火墻及其應用[J].網(wǎng)絡安全技術與應用,2007(06)

　　[2]鄭超,高學全,張建勛.基于Linux防火墻的局域網(wǎng)安全環(huán)境設計與實現(xiàn)[J].科學技術與工程,2008(11)

　　[3]秦濤.在LINUX下使用Iptables作為防火墻研究[J].內(nèi)蒙古電大學刊,2009(01)

　　[4]鄭超,張建勛.Linux防火墻Netfilter-iptables擴展機制及應用研究[J].計算機與數(shù)字工程,2009(06)

　　[5]朱萍.基于透明代理的Linux防火墻的設計與實現(xiàn)[J].合肥工業(yè)大學學報(自然科學版),2007(05)

　　[6]劉軍,鄭傳波,張凱.基于數(shù)據(jù)包過濾和透明代理相結合的防網(wǎng)絡攻擊[J].計算機工程與設計,2005(05)

　　[7]宛鉞.基于iptables的Linux防火墻的配置和實現(xiàn)[J].沈陽航空工業(yè)學院學報,2008(02)

　　[8]潘賢.Linux內(nèi)核中Netfilter/Iptables防火墻的技術分析[J].計算機安全,2008(08)

　　[9]劉建峰,潘軍,李祥和.Linux防火墻內(nèi)核中Netfilter和Iptables的分析[J].微計算機信息,2006(03)