內(nèi)核2.6的Linux包過濾型防火墻的設(shè)計(jì)與實(shí)現(xiàn)

基于linux過濾包的防火墻是一個(gè)簡單的、基于linux下的iptables的簡單的防火墻系統(tǒng),它能簡單的處理基本的網(wǎng)絡(luò)數(shù)據(jù)包的過濾,維護(hù)內(nèi)部網(wǎng)絡(luò)的安全性。本系統(tǒng)是以linux的netfilter框架系統(tǒng)底層,以python中的flask框架作為系統(tǒng)的上層管理框架。整個(gè)系統(tǒng)分為兩個(gè)主要模塊。模塊一,web層,包過濾規(guī)則的添加、刪除、查看以及更改規(guī)則順序。模塊二,本地應(yīng)用層,與內(nèi)核和web層交互。模塊三,linux內(nèi)核層,包過濾的實(shí)現(xiàn)。

freebsd系統(tǒng)是一個(gè)免費(fèi)開源的網(wǎng)絡(luò)操作系統(tǒng),有較高數(shù)據(jù)處理性能和高可靠性。全球的許多企業(yè)用戶在使用它作為企業(yè)的網(wǎng)絡(luò)服務(wù)器,對(duì)外提供www、email等網(wǎng)絡(luò)服務(wù)。文章介紹了一種以freebsd為內(nèi)核的包過濾防火墻設(shè)計(jì)和構(gòu)建過程,共包括3個(gè)部分:精簡優(yōu)化freebsd內(nèi)核、利用ipfirewall來構(gòu)建防火墻以及防火墻規(guī)則的建立。

網(wǎng)絡(luò)安全在現(xiàn)代社會(huì)中的地位越來越重要,動(dòng)態(tài)包過濾技術(shù)作為一種更有效的防火墻技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域起著關(guān)鍵性的作用。本文在分析了動(dòng)態(tài)包過濾技術(shù)的工作原理、linux系統(tǒng)下netfilter框架結(jié)構(gòu)的基礎(chǔ)上,詳細(xì)討論了動(dòng)態(tài)包過濾技術(shù)基于netfilter結(jié)構(gòu)的實(shí)現(xiàn)方法和實(shí)現(xiàn)細(xì)節(jié),并最終完成了動(dòng)態(tài)包過濾防火墻的設(shè)計(jì)和實(shí)現(xiàn)。

防火墻是網(wǎng)絡(luò)安全研究的一個(gè)重要內(nèi)容,數(shù)據(jù)包捕獲是包過濾型防火墻的前提。本文對(duì)基于linux主機(jī)的個(gè)人防火墻的數(shù)據(jù)包捕獲模塊進(jìn)行了研究,重點(diǎn)論述數(shù)據(jù)包捕獲模塊的結(jié)構(gòu)、組成以及功能。首先對(duì)信息安全及防火墻的重要性進(jìn)行論述,并給出防火墻的詳細(xì)分類;然后分析了基于linux主機(jī)的個(gè)人防火墻總體設(shè)計(jì)及軟硬件平臺(tái)原理,接著論述linux下的數(shù)據(jù)包捕獲模塊結(jié)構(gòu)與原理,并詳述其具體實(shí)現(xiàn)步驟。

防火墻作為電子商務(wù)安全系統(tǒng)的"盾",必須深入研究方能保證系統(tǒng)的安全。因此針對(duì)電子商務(wù)安全的需要,研究類unix系統(tǒng)———linux防火墻中的包過濾技術(shù)是極具價(jià)值的。文章首先概述了linux2.2防火墻的功能分類,然后針對(duì)其中的包過濾技術(shù),結(jié)合源代碼給出了詳盡的分析,最后介紹了最新的linux2.4中的防火墻實(shí)現(xiàn)。通過對(duì)包過濾技術(shù)的分析研究,逐步掌握了linux防火墻的關(guān)鍵技術(shù),為進(jìn)一步了解“盾”打下了扎實(shí)的理論基礎(chǔ)。

該文首先分析了linux的netfilter的內(nèi)核架構(gòu)。在此基礎(chǔ)上,采用模塊編程方式開發(fā)了一個(gè)高效實(shí)用的包過濾型防火墻系統(tǒng),對(duì)進(jìn)出子網(wǎng)的數(shù)據(jù)包可實(shí)現(xiàn)基于地址、協(xié)議、端口的過濾。

文章給出了利用linux實(shí)現(xiàn)硬件防火墻的一種設(shè)計(jì)方案。介紹了基于linux2.4內(nèi)核的防火墻netfilter框架原理,構(gòu)建了該嵌入式防火墻系統(tǒng)的軟硬件結(jié)構(gòu)。然后討論了如何在防火墻機(jī)和管理員機(jī)兩端開發(fā)遠(yuǎn)程配置管理軟件系統(tǒng)。最后給出了關(guān)鍵功能模塊的實(shí)現(xiàn)方法。測(cè)試結(jié)果證明該方案是可行的。

為了更加安全地使用計(jì)算機(jī)資源,保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)中的重要信息,防火墻逐漸成為各大企業(yè)在構(gòu)建信息網(wǎng)絡(luò)時(shí)不可或缺的系統(tǒng)。linux是一個(gè)強(qiáng)大的操作系統(tǒng),具有全面、安全的功能,占用的系統(tǒng)資源也比較少,工作效率高。本文主討論了linux系統(tǒng)的ipchains技術(shù)原理,并對(duì)防火墻的技術(shù)應(yīng)用進(jìn)行了闡述。

在windows操作系統(tǒng)下設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)包過濾式防火墻系統(tǒng),該系統(tǒng)使用vxd技術(shù)實(shí)現(xiàn)了對(duì)底層網(wǎng)絡(luò)的訪問,利用visualc++作為編程工具,成功的實(shí)現(xiàn)了對(duì)數(shù)據(jù)包的截獲、分析以及過濾。

提出利用snort作為嗅探器構(gòu)建基于linux雙宿主機(jī)包過濾防火墻的方案,實(shí)現(xiàn)snort的簡單快速有效的入侵檢測(cè)功能。

Linux防火墻中的包過濾技術(shù)研究

首先介紹了ipsec協(xié)議,然后介紹了基于linux內(nèi)核的netfilter/iptables數(shù)據(jù)包過濾器系統(tǒng),通過ip6tables和squid相互結(jié)合,設(shè)計(jì)出了一個(gè)ipv6包過濾防火墻設(shè)計(jì)方案。

在網(wǎng)絡(luò)技術(shù)飛速發(fā)展的今天,黑客和病毒每年給互聯(lián)網(wǎng)用戶帶來了巨大的損失,個(gè)人防火墻應(yīng)運(yùn)而生。個(gè)人防火墻一般都是采用包過濾的方式來實(shí)現(xiàn)的。包過濾型防火墻如果在應(yīng)用層過濾數(shù)據(jù)包,因不能捕獲所有的數(shù)據(jù)包,安全性較低;而工作在ndis層的包過濾型防火墻,則能對(duì)所有數(shù)據(jù)包進(jìn)行過濾,安全性較好。文章設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)包過濾型防火墻系統(tǒng),在windows內(nèi)核中截獲數(shù)據(jù)包,并通過采用多線程等技術(shù)進(jìn)一步優(yōu)化了包過濾的性能。

隨著網(wǎng)絡(luò)的普及,拒絕服務(wù)攻擊,特別是近年來出現(xiàn)的分布式拒絕服務(wù)攻擊所造成的危害越來越大。由于它的突發(fā)性、隱蔽性和不確定性,目前還沒有一種有效的辦法來防御這種攻擊。本文介紹了dos/ddos攻擊類型、原理及目前常用的防御辦法,提出了一種新的防御系統(tǒng)。在本系統(tǒng)中,以包過慮防火墻為基礎(chǔ),增加了一個(gè)檢測(cè)控制模塊。當(dāng)遭受攻擊時(shí),防御系統(tǒng)根據(jù)一個(gè)合法用戶列表自動(dòng)設(shè)置包過濾規(guī)則,只對(duì)合法用戶進(jìn)行轉(zhuǎn)發(fā),陌生用戶則由檢測(cè)控制模塊來檢測(cè)其合法性,并代替服務(wù)器進(jìn)行三次握手的連接,從而保護(hù)服務(wù)器免受攻擊。

本文首先對(duì)防火墻的基本概念和結(jié)構(gòu)做了大概介紹,然后講解了包過濾防火墻系統(tǒng)的數(shù)據(jù)包捕獲模塊、數(shù)據(jù)包處理模塊、數(shù)據(jù)包過濾規(guī)則設(shè)置與查詢模塊的原理。本論文側(cè)重于數(shù)據(jù)包處理模塊,它的重點(diǎn)就是實(shí)現(xiàn)包過濾。因此我們重點(diǎn)敘述了linux下數(shù)據(jù)包處理的原理與實(shí)現(xiàn),并介紹了相關(guān)程序中的重點(diǎn)函數(shù)和數(shù)據(jù)結(jié)構(gòu)。最后對(duì)防火墻進(jìn)行了總結(jié)與展望。

分析了2.2.x內(nèi)核下包過濾防火墻ipchains和2.4.x內(nèi)核下iptables的工作方式.在ipchains中數(shù)據(jù)要遍歷input、forward、ouput3個(gè)鏈,而在iptables中的filter的3個(gè)鏈則分別處理inputf、orward、output數(shù)據(jù);在ipchains時(shí)代,要完成nat功能,則需要ipmasqadm與ipchains一起使用;最后分析了3種可視化的ipchains設(shè)置工具.

隨著internet的迅猛發(fā)展,網(wǎng)絡(luò)安全已經(jīng)成為一個(gè)不容忽視的問題。在內(nèi)網(wǎng)與外網(wǎng)之間放置防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全的主要措施,如何以最小的成本實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的相對(duì)安全就是企業(yè)所關(guān)注的。本文擬簡單介紹防火墻的分類,重點(diǎn)講述包過濾防火墻的原理,并給出實(shí)例,闡述如何利用cisco路由器,設(shè)計(jì)與實(shí)現(xiàn)包過濾防火墻,限制外網(wǎng)對(duì)內(nèi)網(wǎng)、dmz區(qū)對(duì)非dmz區(qū)以及內(nèi)網(wǎng)對(duì)外網(wǎng)的訪問。

本文通過制定防火墻在信息包過濾時(shí)所遵循的規(guī)則,分析網(wǎng)絡(luò)層ip包頭中的源地址、目的地址及包類型等信息,完成丟棄或接受數(shù)據(jù)包的目的,最終決定數(shù)據(jù)包的流向,從而實(shí)現(xiàn)對(duì)內(nèi)部局域網(wǎng)絡(luò)用戶的安全保護(hù)。

研究了在windows2000/xp操作系統(tǒng)下攔截網(wǎng)絡(luò)數(shù)據(jù)包的各種技術(shù)，采用winsock2spi與ndishook相結(jié)合的過濾技術(shù)。設(shè)計(jì)和實(shí)現(xiàn)了一個(gè)個(gè)人防火墻。

隨著internet的普及,網(wǎng)絡(luò)的安全顯得尤為重要。linux提供的基于netfilter/iptables的防火墻,具有通用性和可擴(kuò)展的特點(diǎn),實(shí)現(xiàn)了一種性價(jià)比較高的安全方案,可以有效地阻止惡意攻擊,成為很多網(wǎng)絡(luò)管理員的選擇。

研究了在windows2000/xp操作系統(tǒng)下攔截網(wǎng)絡(luò)數(shù)據(jù)包的各種技術(shù),采用winsock2spi與ndishook相結(jié)合的過濾技術(shù),設(shè)計(jì)和實(shí)現(xiàn)了一個(gè)個(gè)人防火墻。

為了實(shí)現(xiàn)保護(hù)信息不被竊取或破壞,設(shè)計(jì)了一款個(gè)人防火墻。該防火墻集成了個(gè)人防火墻中普遍采用的兩種包過濾方法,即通過內(nèi)核態(tài)下的網(wǎng)絡(luò)封包攔截獲得網(wǎng)絡(luò)數(shù)據(jù)包的進(jìn)程、端口、協(xié)議等詳細(xì)信息,根據(jù)協(xié)議和端口規(guī)則對(duì)網(wǎng)絡(luò)數(shù)據(jù)封包進(jìn)行處理;同時(shí),通過用戶態(tài)下對(duì)應(yīng)用程序數(shù)據(jù)包的攔截來設(shè)置自己的應(yīng)用程序規(guī)則來進(jìn)行過濾。采用推理機(jī)實(shí)現(xiàn)過濾規(guī)則的動(dòng)態(tài)生成;提高了包過濾防火墻的性能,能更好地保證網(wǎng)絡(luò)信息的安全。