Windows單機版防火墻包過濾多種方案比較與實現(xiàn)

研究了在windows2000/xp操作系統(tǒng)下攔截網(wǎng)絡(luò)數(shù)據(jù)包的各種技術(shù),采用winsock2spi與ndishook相結(jié)合的過濾技術(shù),設(shè)計和實現(xiàn)了一個個人防火墻。

freebsd系統(tǒng)是一個免費開源的網(wǎng)絡(luò)操作系統(tǒng),有較高數(shù)據(jù)處理性能和高可靠性。全球的許多企業(yè)用戶在使用它作為企業(yè)的網(wǎng)絡(luò)服務(wù)器,對外提供www、email等網(wǎng)絡(luò)服務(wù)。文章介紹了一種以freebsd為內(nèi)核的包過濾防火墻設(shè)計和構(gòu)建過程,共包括3個部分:精簡優(yōu)化freebsd內(nèi)核、利用ipfirewall來構(gòu)建防火墻以及防火墻規(guī)則的建立。

隨著網(wǎng)絡(luò)的普及,拒絕服務(wù)攻擊,特別是近年來出現(xiàn)的分布式拒絕服務(wù)攻擊所造成的危害越來越大。由于它的突發(fā)性、隱蔽性和不確定性,目前還沒有一種有效的辦法來防御這種攻擊。本文介紹了dos/ddos攻擊類型、原理及目前常用的防御辦法,提出了一種新的防御系統(tǒng)。在本系統(tǒng)中,以包過慮防火墻為基礎(chǔ),增加了一個檢測控制模塊。當(dāng)遭受攻擊時,防御系統(tǒng)根據(jù)一個合法用戶列表自動設(shè)置包過濾規(guī)則,只對合法用戶進行轉(zhuǎn)發(fā),陌生用戶則由檢測控制模塊來檢測其合法性,并代替服務(wù)器進行三次握手的連接,從而保護服務(wù)器免受攻擊。

提出了一種基于組件技術(shù)的包過濾防火墻虛擬實驗室平臺的設(shè)計模型和實現(xiàn)方法。該系統(tǒng)采用java語言實現(xiàn),具有良好的平臺無關(guān)性。以javabean組件技術(shù)對數(shù)據(jù)包發(fā)生器和協(xié)議解析模塊進行了開發(fā),設(shè)計了規(guī)則匹配,實現(xiàn)了軟件重用和系統(tǒng)的可擴展性。系統(tǒng)客戶端以javaapplet實現(xiàn),用戶能夠可視化地制定試驗流程。整個實驗過程中,用戶能較直觀深入的參與防火墻的具體配置和操作,幫助了解和掌握防火墻的主要原理。

討論并分析了netfilter的功能框架、工作原理及數(shù)據(jù)包過濾的實現(xiàn)機制,研究了在netfilter框架中如何擴展用戶自定義的可裝載內(nèi)核模塊,開發(fā)并實現(xiàn)了ipv4協(xié)議下基于ip和端口的數(shù)據(jù)包過濾防火墻功能。深入學(xué)習(xí)和研究netfilter框架及其可擴展性,該研究也為構(gòu)建特定用戶安全需求的防火墻系統(tǒng)提供借鑒。

本文對基于linux主機的防火墻的數(shù)據(jù)包捕獲模塊進行了研究。分析了基于linux主機的防火墻總體設(shè)計及實現(xiàn)原理,接著闡述linux下的數(shù)據(jù)包捕獲模塊結(jié)構(gòu)與原理,并詳述其具體實現(xiàn)步驟。

網(wǎng)絡(luò)安全仿真是進行網(wǎng)絡(luò)安全研究的重要手段,而防火墻的仿真是該手段的必要組成部分。本文重點研究防火墻仿真技術(shù),對防火墻規(guī)則進行了形式化描述,并給出包過濾過程的自動機設(shè)計,基于此,在gtnets仿真平臺中實現(xiàn)了一個包過濾防火墻,并使用適當(dāng)?shù)臏y試用例驗證了其正確性。

為了實現(xiàn)保護信息不被竊取或破壞,設(shè)計了一款個人防火墻。該防火墻集成了個人防火墻中普遍采用的兩種包過濾方法,即通過內(nèi)核態(tài)下的網(wǎng)絡(luò)封包攔截獲得網(wǎng)絡(luò)數(shù)據(jù)包的進程、端口、協(xié)議等詳細信息,根據(jù)協(xié)議和端口規(guī)則對網(wǎng)絡(luò)數(shù)據(jù)封包進行處理;同時,通過用戶態(tài)下對應(yīng)用程序數(shù)據(jù)包的攔截來設(shè)置自己的應(yīng)用程序規(guī)則來進行過濾。采用推理機實現(xiàn)過濾規(guī)則的動態(tài)生成;提高了包過濾防火墻的性能,能更好地保證網(wǎng)絡(luò)信息的安全。

windows下的數(shù)據(jù)包過濾防火墻技術(shù)主要有內(nèi)核模式和用戶模式兩種，本文討論了在用戶模式下使用winsock2．0spi接口進行數(shù)據(jù)包過濾的實現(xiàn)技術(shù)。

實現(xiàn)了一個工作數(shù)據(jù)鏈路層上的透明包過濾防火墻系統(tǒng).該系統(tǒng)將比傳統(tǒng)的運行在網(wǎng)絡(luò)層上的防火墻有更快的交換速率,同時也具有更加安全可靠的自我保護功能.

基于linux過濾包的防火墻是一個簡單的、基于linux下的iptables的簡單的防火墻系統(tǒng),它能簡單的處理基本的網(wǎng)絡(luò)數(shù)據(jù)包的過濾,維護內(nèi)部網(wǎng)絡(luò)的安全性。本系統(tǒng)是以linux的netfilter框架系統(tǒng)底層,以python中的flask框架作為系統(tǒng)的上層管理框架。整個系統(tǒng)分為兩個主要模塊。模塊一,web層,包過濾規(guī)則的添加、刪除、查看以及更改規(guī)則順序。模塊二,本地應(yīng)用層,與內(nèi)核和web層交互。模塊三,linux內(nèi)核層,包過濾的實現(xiàn)。

文章闡述了包過濾防火墻的概念,分析了包過濾防火墻的工作原理,論述了包過濾技術(shù)實現(xiàn)個人防火墻的原理。

防火墻作為電子商務(wù)安全系統(tǒng)的"盾",必須深入研究方能保證系統(tǒng)的安全。因此針對電子商務(wù)安全的需要,研究類unix系統(tǒng)———linux防火墻中的包過濾技術(shù)是極具價值的。文章首先概述了linux2.2防火墻的功能分類,然后針對其中的包過濾技術(shù),結(jié)合源代碼給出了詳盡的分析,最后介紹了最新的linux2.4中的防火墻實現(xiàn)。通過對包過濾技術(shù)的分析研究,逐步掌握了linux防火墻的關(guān)鍵技術(shù),為進一步了解“盾”打下了扎實的理論基礎(chǔ)。

在對傳統(tǒng)的深度包過濾算法研究的基礎(chǔ)上,提出了一種新的基于標(biāo)示預(yù)處理的模式匹配算法,并予以實現(xiàn)。算法的時間復(fù)雜度小于o(n)(其中n為進行匹配的文本串長度)。

目前在全球連入internet的計算機中約有三分之一是處于防火墻保護之下。防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同而分為很多種類型，但總體來講可分為二大類：包過濾（分組過濾）、應(yīng)用代理。我們今天就來介紹一下包過濾技術(shù)。

本文主要通過對防火墻的定義、主要功能、體系結(jié)構(gòu)的介紹,引出防火墻技術(shù)中的包過濾技術(shù),并對其進行具體研究。

略論防火墻數(shù)據(jù)包過濾規(guī)則問題

防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。從數(shù)據(jù)包結(jié)構(gòu)出發(fā),分析包過濾技術(shù),首先提出包過濾技術(shù)的核心問題;然后在分析傳統(tǒng)包過濾技術(shù)缺陷的基礎(chǔ)上,詳細論述了包過濾技術(shù)的兩種發(fā)展趨勢;最后以技術(shù)實例說明了這兩種趨勢的融合。

在網(wǎng)絡(luò)邊界設(shè)置防火墻是進行網(wǎng)絡(luò)防護的有效手段。本文首先介紹了防火墻及其功能,然后分析了防火墻所使用的最基本的技術(shù)手段--包過濾技術(shù),給出了它對應(yīng)各個傳輸協(xié)議的應(yīng)用,并對其局限性提出了一種解決方法。

隨著信息技術(shù)發(fā)展日異月新,各類應(yīng)用平臺不斷在網(wǎng)絡(luò)上搭建和使用,為我們的工作和學(xué)習(xí)提供了極大的便利。但是網(wǎng)絡(luò)是把雙刃劍,在給大家?guī)肀憷耐瑫r,隱患也會悄悄伴隨左右。為保障平臺的正常使用,必須加強網(wǎng)絡(luò)安全防護,在防火墻的部署和配置過程中,包過濾是基本的也是重要的一個防護環(huán)節(jié),如何熟練的使用包過濾防火墻進行網(wǎng)絡(luò)安全防護,就要從它的工作原理和規(guī)則上進行詳細的了解。

數(shù)據(jù)包過濾是防火墻的一項基本技術(shù),通過對包過濾規(guī)則的合理制訂,可以有效地保護內(nèi)部網(wǎng)絡(luò)。文中結(jié)合一些典型的網(wǎng)絡(luò)攻擊,討論了有關(guān)合理制訂包過濾規(guī)則的問題。

作為一種主動防病毒技術(shù),以包過濾技術(shù)為核心的病毒防火墻在目前受到了更多的關(guān)注。病毒防火墻的包過濾技術(shù)對病毒攔截效率至關(guān)重要。對目前軟件病毒防火墻的幾種主要包過濾技術(shù)的特點和優(yōu)劣進行了分析,最后提出了目前情況下的軟件病毒防火墻包過濾技術(shù)的選用原則和方案。