內(nèi)核2.6的Linux包過濾型防火墻的設(shè)計與實現(xiàn)

基于linux過濾包的防火墻是一個簡單的、基于linux下的iptables的簡單的防火墻系統(tǒng),它能簡單的處理基本的網(wǎng)絡(luò)數(shù)據(jù)包的過濾,維護內(nèi)部網(wǎng)絡(luò)的安全性。本系統(tǒng)是以linux的netfilter框架系統(tǒng)底層,以python中的flask框架作為系統(tǒng)的上層管理框架。整個系統(tǒng)分為兩個主要模塊。模塊一,web層,包過濾規(guī)則的添加、刪除、查看以及更改規(guī)則順序。模塊二,本地應(yīng)用層,與內(nèi)核和web層交互。模塊三,linux內(nèi)核層,包過濾的實現(xiàn)。

freebsd系統(tǒng)是一個免費開源的網(wǎng)絡(luò)操作系統(tǒng),有較高數(shù)據(jù)處理性能和高可靠性。全球的許多企業(yè)用戶在使用它作為企業(yè)的網(wǎng)絡(luò)服務(wù)器,對外提供www、email等網(wǎng)絡(luò)服務(wù)。文章介紹了一種以freebsd為內(nèi)核的包過濾防火墻設(shè)計和構(gòu)建過程,共包括3個部分:精簡優(yōu)化freebsd內(nèi)核、利用ipfirewall來構(gòu)建防火墻以及防火墻規(guī)則的建立。

網(wǎng)絡(luò)安全在現(xiàn)代社會中的地位越來越重要,動態(tài)包過濾技術(shù)作為一種更有效的防火墻技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域起著關(guān)鍵性的作用。本文在分析了動態(tài)包過濾技術(shù)的工作原理、linux系統(tǒng)下netfilter框架結(jié)構(gòu)的基礎(chǔ)上,詳細討論了動態(tài)包過濾技術(shù)基于netfilter結(jié)構(gòu)的實現(xiàn)方法和實現(xiàn)細節(jié),并最終完成了動態(tài)包過濾防火墻的設(shè)計和實現(xiàn)。

防火墻是網(wǎng)絡(luò)安全研究的一個重要內(nèi)容,數(shù)據(jù)包捕獲是包過濾型防火墻的前提。本文對基于linux主機的個人防火墻的數(shù)據(jù)包捕獲模塊進行了研究,重點論述數(shù)據(jù)包捕獲模塊的結(jié)構(gòu)、組成以及功能。首先對信息安全及防火墻的重要性進行論述,并給出防火墻的詳細分類;然后分析了基于linux主機的個人防火墻總體設(shè)計及軟硬件平臺原理,接著論述linux下的數(shù)據(jù)包捕獲模塊結(jié)構(gòu)與原理,并詳述其具體實現(xiàn)步驟。

防火墻作為電子商務(wù)安全系統(tǒng)的"盾",必須深入研究方能保證系統(tǒng)的安全。因此針對電子商務(wù)安全的需要,研究類unix系統(tǒng)———linux防火墻中的包過濾技術(shù)是極具價值的。文章首先概述了linux2.2防火墻的功能分類,然后針對其中的包過濾技術(shù),結(jié)合源代碼給出了詳盡的分析,最后介紹了最新的linux2.4中的防火墻實現(xiàn)。通過對包過濾技術(shù)的分析研究,逐步掌握了linux防火墻的關(guān)鍵技術(shù),為進一步了解“盾”打下了扎實的理論基礎(chǔ)。

該文首先分析了linux的netfilter的內(nèi)核架構(gòu)。在此基礎(chǔ)上,采用模塊編程方式開發(fā)了一個高效實用的包過濾型防火墻系統(tǒng),對進出子網(wǎng)的數(shù)據(jù)包可實現(xiàn)基于地址、協(xié)議、端口的過濾。

文章給出了利用linux實現(xiàn)硬件防火墻的一種設(shè)計方案。介紹了基于linux2.4內(nèi)核的防火墻netfilter框架原理,構(gòu)建了該嵌入式防火墻系統(tǒng)的軟硬件結(jié)構(gòu)。然后討論了如何在防火墻機和管理員機兩端開發(fā)遠程配置管理軟件系統(tǒng)。最后給出了關(guān)鍵功能模塊的實現(xiàn)方法。測試結(jié)果證明該方案是可行的。

為了更加安全地使用計算機資源,保護計算機網(wǎng)絡(luò)中的重要信息,防火墻逐漸成為各大企業(yè)在構(gòu)建信息網(wǎng)絡(luò)時不可或缺的系統(tǒng)。linux是一個強大的操作系統(tǒng),具有全面、安全的功能,占用的系統(tǒng)資源也比較少,工作效率高。本文主討論了linux系統(tǒng)的ipchains技術(shù)原理,并對防火墻的技術(shù)應(yīng)用進行了闡述。

在windows操作系統(tǒng)下設(shè)計并實現(xiàn)了一個包過濾式防火墻系統(tǒng),該系統(tǒng)使用vxd技術(shù)實現(xiàn)了對底層網(wǎng)絡(luò)的訪問,利用visualc++作為編程工具,成功的實現(xiàn)了對數(shù)據(jù)包的截獲、分析以及過濾。

提出利用snort作為嗅探器構(gòu)建基于linux雙宿主機包過濾防火墻的方案,實現(xiàn)snort的簡單快速有效的入侵檢測功能。

Linux防火墻中的包過濾技術(shù)研究

首先介紹了ipsec協(xié)議,然后介紹了基于linux內(nèi)核的netfilter/iptables數(shù)據(jù)包過濾器系統(tǒng),通過ip6tables和squid相互結(jié)合,設(shè)計出了一個ipv6包過濾防火墻設(shè)計方案。

在網(wǎng)絡(luò)技術(shù)飛速發(fā)展的今天,黑客和病毒每年給互聯(lián)網(wǎng)用戶帶來了巨大的損失,個人防火墻應(yīng)運而生。個人防火墻一般都是采用包過濾的方式來實現(xiàn)的。包過濾型防火墻如果在應(yīng)用層過濾數(shù)據(jù)包,因不能捕獲所有的數(shù)據(jù)包,安全性較低;而工作在ndis層的包過濾型防火墻,則能對所有數(shù)據(jù)包進行過濾,安全性較好。文章設(shè)計并實現(xiàn)了一個包過濾型防火墻系統(tǒng),在windows內(nèi)核中截獲數(shù)據(jù)包,并通過采用多線程等技術(shù)進一步優(yōu)化了包過濾的性能。

隨著網(wǎng)絡(luò)的普及,拒絕服務(wù)攻擊,特別是近年來出現(xiàn)的分布式拒絕服務(wù)攻擊所造成的危害越來越大。由于它的突發(fā)性、隱蔽性和不確定性,目前還沒有一種有效的辦法來防御這種攻擊。本文介紹了dos/ddos攻擊類型、原理及目前常用的防御辦法,提出了一種新的防御系統(tǒng)。在本系統(tǒng)中,以包過慮防火墻為基礎(chǔ),增加了一個檢測控制模塊。當(dāng)遭受攻擊時,防御系統(tǒng)根據(jù)一個合法用戶列表自動設(shè)置包過濾規(guī)則,只對合法用戶進行轉(zhuǎn)發(fā),陌生用戶則由檢測控制模塊來檢測其合法性,并代替服務(wù)器進行三次握手的連接,從而保護服務(wù)器免受攻擊。

本文首先對防火墻的基本概念和結(jié)構(gòu)做了大概介紹,然后講解了包過濾防火墻系統(tǒng)的數(shù)據(jù)包捕獲模塊、數(shù)據(jù)包處理模塊、數(shù)據(jù)包過濾規(guī)則設(shè)置與查詢模塊的原理。本論文側(cè)重于數(shù)據(jù)包處理模塊,它的重點就是實現(xiàn)包過濾。因此我們重點敘述了linux下數(shù)據(jù)包處理的原理與實現(xiàn),并介紹了相關(guān)程序中的重點函數(shù)和數(shù)據(jù)結(jié)構(gòu)。最后對防火墻進行了總結(jié)與展望。

分析了2.2.x內(nèi)核下包過濾防火墻ipchains和2.4.x內(nèi)核下iptables的工作方式.在ipchains中數(shù)據(jù)要遍歷input、forward、ouput3個鏈,而在iptables中的filter的3個鏈則分別處理inputf、orward、output數(shù)據(jù);在ipchains時代,要完成nat功能,則需要ipmasqadm與ipchains一起使用;最后分析了3種可視化的ipchains設(shè)置工具.

隨著internet的迅猛發(fā)展,網(wǎng)絡(luò)安全已經(jīng)成為一個不容忽視的問題。在內(nèi)網(wǎng)與外網(wǎng)之間放置防火墻是實現(xiàn)網(wǎng)絡(luò)安全的主要措施,如何以最小的成本實現(xiàn)內(nèi)部網(wǎng)絡(luò)的相對安全就是企業(yè)所關(guān)注的。本文擬簡單介紹防火墻的分類,重點講述包過濾防火墻的原理,并給出實例,闡述如何利用cisco路由器,設(shè)計與實現(xiàn)包過濾防火墻,限制外網(wǎng)對內(nèi)網(wǎng)、dmz區(qū)對非dmz區(qū)以及內(nèi)網(wǎng)對外網(wǎng)的訪問。

本文通過制定防火墻在信息包過濾時所遵循的規(guī)則,分析網(wǎng)絡(luò)層ip包頭中的源地址、目的地址及包類型等信息,完成丟棄或接受數(shù)據(jù)包的目的,最終決定數(shù)據(jù)包的流向,從而實現(xiàn)對內(nèi)部局域網(wǎng)絡(luò)用戶的安全保護。

研究了在windows2000/xp操作系統(tǒng)下攔截網(wǎng)絡(luò)數(shù)據(jù)包的各種技術(shù)，采用winsock2spi與ndishook相結(jié)合的過濾技術(shù)。設(shè)計和實現(xiàn)了一個個人防火墻。

隨著internet的普及,網(wǎng)絡(luò)的安全顯得尤為重要。linux提供的基于netfilter/iptables的防火墻,具有通用性和可擴展的特點,實現(xiàn)了一種性價比較高的安全方案,可以有效地阻止惡意攻擊,成為很多網(wǎng)絡(luò)管理員的選擇。

研究了在windows2000/xp操作系統(tǒng)下攔截網(wǎng)絡(luò)數(shù)據(jù)包的各種技術(shù),采用winsock2spi與ndishook相結(jié)合的過濾技術(shù),設(shè)計和實現(xiàn)了一個個人防火墻。

為了實現(xiàn)保護信息不被竊取或破壞,設(shè)計了一款個人防火墻。該防火墻集成了個人防火墻中普遍采用的兩種包過濾方法,即通過內(nèi)核態(tài)下的網(wǎng)絡(luò)封包攔截獲得網(wǎng)絡(luò)數(shù)據(jù)包的進程、端口、協(xié)議等詳細信息,根據(jù)協(xié)議和端口規(guī)則對網(wǎng)絡(luò)數(shù)據(jù)封包進行處理;同時,通過用戶態(tài)下對應(yīng)用程序數(shù)據(jù)包的攔截來設(shè)置自己的應(yīng)用程序規(guī)則來進行過濾。采用推理機實現(xiàn)過濾規(guī)則的動態(tài)生成;提高了包過濾防火墻的性能,能更好地保證網(wǎng)絡(luò)信息的安全。