基于Linux包过滤防火墙的研究与实现

基于Linux包过滤防火墙的研究与实现

刘正海[1]2007年在《基于嵌入式Linux防火墙的研究与实现》文中认为防火墙技术是网络安全的基石,本文介绍了防火墙的相关内容,包括防火墙的基本概念、分类、主要技术和体系结构。在此基础上,研究了Linux操作系统下TCP/IP协议的实现,并对Linux防火墙的Netfilter/Iptables进行了研究。最后,本文开发了一个适合中小型用户的具有基本包过滤、动态包过滤、内容过滤,规则设置等功能的防火墙产品。该防火墙以Linux的Netfilter架构为基础,用Netfilter来实现基本包过滤功能。本文在Netfilter的基础上添加了叁个功能模块,分别是:动态包过滤模块:Netfilter自带的动态包过滤机制比较简单,只是将源、目的地址和源、目的端口保存在一张连接表中。其检查的连接信息较少,安全性不高。因此,本文重新开发了一个动态包过滤模块,其在连接状态表中增加了连接序号,应答号,窗口大小等表项,不但检测包是否属于合法连接,判断其TCP状态转换是否正确,而且还对包进行序号检查,判断包在这条连接上的合法性,即保证收到的包不是伪造的包,从而增强了防火墙的安全性。内容过滤模块:采用基于协议分析的内容过滤算法对数据包进行内容过滤,解决了包过滤和动态包过滤不能防止基于内容级的攻击问题。该算法在协议分析的基础上检测数据包是否包含危险字符串,其性能优于一般的模式匹配算法,具有检测快,时延较小等特点。Web设置系统:用户可以使用iptables命令来建立防火墙规则,但是iptables的配置所需要的参数很多,使用iptables命令建立防火墙规则相当烦琐。因此,本文开发了Linux防火墙规则的Web设置系统,利用浏览器对防火墙进行可视化配置,同时提出了一些防火墙规则语义完整性检测的方法,以辅助用户输入。最后,本文对论文所作的工作进行了总结并指出了进一步的研究工作。

周方晓[2]2005年在《基于Linux抵御DoS攻击防火墙研究与实现》文中研究表明防火墙技术体系做为网络安全领域的一个重要分支,越来越受到业界关注。目前,基于Linux的防火墙已有很多并各具特点。但是,它们在抵御DoS攻击方面,还有些不足。针对于此,本文进行了这方面的研究。本文首先从防火墙的策略、特征、技术方面阐述防火墙所具有的共性,并总结了目前防火墙的主要类型,从而得到防火墙体系的总体性认识。然后,深入研究了Linux防火墙内核,提炼出重要数据结构、数据处理流程,掌握Linux防火墙内核框架的实现机制。在此基础上,本文设计并实现了一种基于Linux且能抵御常见DoS攻击的防火墙:① 分析并改进了传统的抵御SYN洪水攻击算法,提高了防火墙的流量,增强了抵御SYN洪水攻击的能力。② 分析了泪滴和Smurf攻击的原理,对Linux防火墙存在的安全薄弱点提出了一种解决方案。经测试,本文所给出的防火墙满足功能要求,可以有效抵御常见的DoS攻击。最后,概要性地介绍了防火墙技术的最新发展,主要有:流过滤、智能防火墙、核检测、千兆防火墙和分布式防火墙技术等。

霍延生[3]2010年在《基于Linux系统的防火墙分析与研究》文中进行了进一步梳理互联网与科学技术发展以及大众的生活等方面密切相关,同时网络安全方面的问题也越来越严重。在构建安全网络环境的过程中,防火墙、网络认证和数据加密是通常采用的网络安全技术,防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。Linux操作系统由于具有源代码公开、免费、高可靠性和安全性等优点,而备受人们的关注。采用Linux操作系统管理局域网已越来越普遍,Linux所采用的防火墙为Netfilter/iptables,在功能、稳定性、安全性及扩展性等方面具有一定的优势。本文结合Netfilter/iptables在网络安全方面进行了分析与研究,所涉及的内容如下:1.防火墙的基本概念,课题研究的背景和本领域的研究现状。2. Linux 2.4内核防火墙Netfilter系统的结构框架特点、工作原理及其在内核中的实现机制。重点研究了Netfilter框架在Linux操作系统内核中的位置,Netfilter框架中的挂接点和钩子函数的结构与功能,以及注册函数和卸载函数的功能。3.防火墙工具iptables的运行原理,以及iptables中所含命令的实现过程。4.在基于Linux下的智能过滤防火墙的设计与实现方面,首先研究了传统防火墙的包过滤技术在内容安全方面以及应用代理技术方面的局限性,然后根据智能防火墙的组成部分提出了防火墙的设计思想。在此基础上较详细论述了基本包过滤、内容过滤和日志记录叁个模块中所采用的算法,并给出了智能防火墙的体系结构和实现方法。5.在智能防火墙系统的测试中,分别针对所设计的基本包过滤、内容过滤和日志记录叁个模块进行了测试,给出了具体的测试环境和测试方法,并对测试结果进行了分析比较。

曾玉生[4]2015年在《基于Linux平台的内江职业技术学院防火墙系统的设计与实现》文中研究指明当前网络安全所面临的威胁主要来自病毒攻击、木马攻击、黑客攻击以及间谍软件的窃密。光靠杀毒软件不足以保证系统的安全。传统防火墙在面对新一代的网络安全威胁作用越来越小,而UTM(统一威胁管理)网关虽然集成了防火墙、防毒系统、入侵检测与监控系统等功能,但在性能以及应对内部网络安全威胁方面存在不足,需要与应用级防火墙相互配合来共同维护网络安全。本文通过对Linux内核、防火墙原理与技术、TCP/IP协议以及Linux高级网络特性的研究,实现了一个Linux环境下的简易防火墙。本次设计的校园防火墙提供了URL过滤功能,可以控制校园用户对非法站点的访问。它可以实现IP地址和MAC地址的绑定,防止校园内部网络用户更换IP地址,进行恶意攻击。目前学院硬件防火墙(RG-WALL 1600-EI)具有流量控制功能,可以分配合理的带宽给校园用户。RG-WALL 1600-EI还具有HTTP透明代理,NAT功能和VPN等功能,能够充分满足校园网络的需要,但这些都必须购买相应的模块。SIPFW防火墙的总体架构由两个部分组成:用户空间部分的交互控制用户接口和内核空间部分的处理模块。本文通过对netfilter架构上INPUT链、OUTPUT链、FORWARD链的网络数据进行过滤完成对进入本地、从本机发出、经由本机转发的网络数据进行处理。用户空间主要由命令行解析和内核通信两部分组成,命令行解析使用GNU系统函数进行处理,通信部分则负责传递用户的合法输入信息并将该操作结果展示给用户。本文设计的防火墙内核空间与用户空间之间的通信,通过内接建立的私有Netlink通信类型的套接字进行处理完成用户对过滤规则的列表、增加、删除、清除等操作。通过使用Linux内核中的PROC虚拟文件系统将防火墙中的信息传递给用户空间。本论文所实现的SIPFW防火墙基本可以实现简单的网络数据的拦截,SIPFW防火墙的功能比较单一,可以进行网络数据的拦截,可以通过用户的命令对防火墙过滤规则进行设计,可以记录防火墙规则的命中情况,可以通过配置文件和PROC虚拟文件系统对防火墙进行简单的配置等。本系统经过测试,运行良好,已达到预期效果。

夏暄[5]2008年在《基于嵌入式Linux的无线宽带SOHO路由器的设计与实现》文中研究指明随着Internet与无线技术的飞速增长,越来越多的家庭、公司使用无线局域网(WLAN),以及通过ADSL或Cable Modem来访问互联网。在此情况下,为了让多台计算机组成的小型无线局域网能够共享宽带接入服务,使用无线宽带SOHO路由器是最佳选择,无线宽带SOHO路由器技术的研发因此具有意义和实用价值。本论文从介绍嵌入式系统入手,介绍了本系统所使用的硬件开发平台,建立了开发过程中所需要的环境与工具链,并详细描述了系统目标板引导程序PPCboot的移植与改进方法。接着分析了Linux操作系统内核运行原理,精简并移植成功了一个Linux内核,并在该内核的基础上完成了根文件系统、各种应用模块的开发:包括嵌入式WEB服务器、PPPoE宽带拨号程序、DHCP服务器,以及基于Shell命令解释程序的防火墙模块。最后对所实现的基于嵌入式Linux的无线宽带SOHO路由器的性能进行了测试与分析。本文的具体研究和实现工作包括以下几个方面:详细研究了32位嵌入式系统的开发,通过自行构建的交叉编译环境,为具有MPC852T的嵌入式开发板移植了BootLoader引导程序以及Linux内核。对Linux内核的运行机制进行了分析。包括进程、内存管理、文件系统、进程间通信以及网络协议栈部分。对IP数据包的收发流程、NAT的实现以及基于iptables/netfilter框架的防火墙模块有深入的讨论。组建了Linux的根文件系统、各种应用模块:包括嵌入式WEB服务器、PPPoE宽带拨号程序、DHCP服务器。封装了一个基于Shell命令解释程序的防火墙模块,大大简化了用户配置Linux防火墙的难度。在系统开发板上实现了一个基于嵌入式Linux的无线宽带SOHO路由器系统,并对该原型系统进行了功能、性能测试,并对测试数据进行了分析。

张建中[6]2003年在《基于Linux包过滤防火墙的研究与实现》文中进行了进一步梳理随着计算机网络的飞速发展,网络安全越来越被人们所认识和重视,在维护网络正常运行方面越来越起到举足轻重之作用,已成为当代信息社会的一个重要特征。在众多安全措施中,防火墙首当其中。本论文即从阐述防火墙对网络安全的必要性入手,引导课题的开展,并就网络安全方面,给出网络攻击的相关历史事件。 本文起笔介绍了防火墙发展的历史概要,并就防火墙目前的发展状况提出其发展前景。文章以网络安全为中心,考虑网络的各个层面,整体把握网络在应用中的安全性。在构造防火墙的过程中,阐述进行设计防火墙的大部分概念和重要理论依据。介绍TCP/IP(传输控制协议/网际协议)协议以及防火墙常用的IP消息类型TCP(传输控制协议)、UDP(用户数据报协议)、ICMP(网际控制报文协议)及其在网络传输中的作用、介绍数据输出包、数据输入包的概念及其基于防火墙中的思想。 从防火墙设计的逻辑关系来看,文中总体把握包过滤防火墙的思想,深入细致地介绍了网络会话的细节,基于输入包和输出包的过滤思想,如何有选择性地开放Internet公共服务叁方面重要的内容,并提供相关实例。文章在介绍相关安全防御的同时对于常见的黑客攻击原理也做了说明,包括TCP SYN湮没攻击、Ping湮没攻击、UDP湮没攻击等。 在防火墙实现上,本文是基于Redhat Linux操作系统,主要用Linux2.4内核中ipchains构造不同网络拓朴结构的防火墙。文中对防火墙工具ipchains及其参数进行了详细的说明与描述,给出了具体的数据包过滤流程。从对防火墙机器的具体设置说起,介绍不同的网络体系结构并利用防火墙设计工具ipchains针对其各自设计,阐述防火墙设计的两种安全策略:默认禁止一切和默认接受一切,并对其进行相互的比较,给出相关的脚本语言。文中针对单系统、堡垒防火墙屏蔽子网、带DMZ(非军事化区)防御带叁种不同网络拓扑结构加以说明,阐述NAT(网络地址转换)的原理和DMZ工作原理以及它们的相应网络拓扑结构。同时给出基于DNS服务的相关脚本。 本文主要针对中小型网络而设计基于Linux操作系统的包过滤防火墙,旨在保护其网络安全并节俭网络费用,为此实现NAT共享IP,屏蔽保护子网共享防火墙外网真实IP,达到伪装保护且节俭网络费用之功效,从而减轻网络负担;构造DMZ,将保护子网与网络服务器分离,有效地解决服务器提供网络服务与子网安全保护这一对矛盾,从而规划有效的防火墙设计适应更加复杂的安全策略。 本论文设计的包过滤防火墙体系兼结构简单、针对性强、投入费用少等特点,同时为中小型企业构建和维护防火墙提供了相关的理论依据和参考。

张彤[7]2006年在《基于Linux的防火墙软件系统研究开发》文中研究说明随着计算机网络的普及,网络安全问题日益突出,防火墙作为一种行之有效的网络安全机制,已经得到广大用户的认同。 作者在研究包过滤、代理服务、状态检测等防火墙基本实现技术的基础上,探索了netfilter防火墙框架结构、用户态下的netfilter控制程序等Linux防火墙实现技术与工具,设计并实现了基于Linux的软件防火墙。 本防火墙软件包括身份认证、包过滤、代理服务和日志管理等主要模块,具有设定安全策略、分组过滤规则与代理服务的功能。 本文介绍了作者的研究开发工作,详细描述了基于Linux的软件防火墙的分析、设计、实现过程,以及主要数据结构及算法。以包过滤模块为例,分析了防火墙向IPv6环境移植的原理。最后介绍了防火墙的测试过程。

刘传亮[8]2004年在《基于Linux的混合增强型防火墙设计与实现》文中研究表明本文对基于Linux2.4内核的混合增强型嵌入式防火墙的设计与实现进行了分析和讨论。论文介绍了防火墙在网络应用中的重要地位及应用情况,概述了当今实际应用中的防火墙类型及关键技术,分析了Linux2.4内核的netfilter/iptables防火墙框架,提出了在Linux2.4的基础上开发实用的混合增强型嵌入式防火墙的总体设计构想。混合增强型嵌入式防火墙的设计包括系统硬件结构设计、Linux操作系统的安全优化、防火墙用户管理界面设计、流量统计与日志功能设计和防火墙安全策略等几个方面。论文着重论述了URL与关键字过滤模块、基于WEB的远程管理与配置模块和日志与流量统计模块的设计与实现。最后,论文提出了在当前完成内容的基础上作进一步开发的设想。

胡连勇[9]2006年在《基于Netfilter框架的校验字过滤防火墙的设计与实现》文中指出“基于Netfilter框架的校验字过滤防火墙的设计与实现”是电子信息产业发展基金赞助的项目。本系统是在Linux2.4内核版本的Netfilter防火墙框架体系结构的基础上设计与实现的。我们在Netfilter框架中注册校验字过滤防火墙的模块,对传输到本地主机的包进行深度包过滤。先对包的ip源地址和目的地址进行过滤,通过过滤的包如果含有非法信息(即本文所指的校验字),会触发防火墙安全策略单元的相关函数,然后由这些函数按照客户预先定制的处理规则对包执行动作(丢弃或排队到用户空间进一步处理),同时这个包的其它一些信息也会被日志系统记录在案,供网络管理员在以后查看。在基础理论部分,我们首先介绍了经典的ISO七层参考模型和实用的TCP/IP协议,以及TCP/IP在Linux中的实现,并对当今流行的几种类型的防火墙进行了分析和比较。之后介绍了Linux内核编程的一些基本知识和设备驱动的基础理论。接着,我们介绍了在Linux网络协议栈中接收包和发送包的原理。最后我们介绍了Netfilter防火墙的实现机制和技术。在设计实现部分,我们分四个模块分别讨论校验字过滤防火墙是如何实现的。第一,注册单元模块完成整个防火墙的初始化工作,它负责将安全策略单元中的处理函数注册到Netfilter防火墙框架上,并对整个防火墙的关键数据结构进行初始化。第二,字符驱动程序模块是内核空间和用户空间进行数据交流的接口,所有的数据传输工作都要通过它才能顺利的完成。第叁,安全策略单元模块则是实现校验字过滤的核心,流经网络接口的包通过它的检验之后才能顺利的流向目的地,否则就会触发对“非法包”处理的事件。第四,日志信息模块则保证网络管理员能够获得足够的包信息,它会按照既定的策略对非法包中,我们感兴趣的字段进行记录。除此之外,位于用户空间的守护进程模块将负责从日志信息模块读取日志,并存入到磁盘上我们指定的位置;它也将和搜索引擎的后台数据库联动,向安全策略单元提供禁止IP地址列表。其中防火墙的总体设计思想以及测试局域网的设计和测试程序的编写是由我和同学共同完成,而主体部分的编写工作是由我独立来完成的。我们通过对本系统的初步测试,表明了系统实现了既定的设计目标,能够正常的工作,并且具有较好的性能。

胡晋[10]2010年在《电力企业信息网络防火墙的研究与设计》文中提出随着国际互联网的发展,网络安全成为了一个日益瞩目的话题,资源共享和信息安全是一对矛盾。电力系统的安全是政治经济稳定发展的基础,如何保障电力信息网络的安全是当前电力系统建设的重要议题。防火墙作为一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问。Linux作为一个源代码开放和免费的操作系统,内核在不断改进,所提供的功能也是日益强大。Linux内核提供了一个强大的抽象、通用化的用于实现数据包过滤、数据包处理、NAT等的功能框架,该框架定义的一个子功能的实现就是包过滤子系统。尤其是2.4.0以上的内核提供的Netfilter比以前任何一版Linux内核的防火墙子系统都要完善强大,甚至可以实现状态检测。在本文中首先分析了网络安全和电力信息网络安全的现状,根据电力企业信息网络的安全需求,提出了一个满足中小型电力企业信息网络安全的,基于Linux内核的包过滤模块的防火墙设计方案。之后介绍了Linux防火墙的相关知识,在理论了解的基础上再通过学习Linux以及Linux内核的Iptables核心模块,对构建一个Linux防火墙有一个根本的认识,最后完成整个防火墙的概要设计。在文章的结尾,对本文的工作作了展望。

参考文献:

[1]. 基于嵌入式Linux防火墙的研究与实现[D]. 刘正海. 重庆大学. 2007

[2]. 基于Linux抵御DoS攻击防火墙研究与实现[D]. 周方晓. 西安电子科技大学. 2005

[3]. 基于Linux系统的防火墙分析与研究[D]. 霍延生. 西安电子科技大学. 2010

[4]. 基于Linux平台的内江职业技术学院防火墙系统的设计与实现[D]. 曾玉生. 电子科技大学. 2015

[5]. 基于嵌入式Linux的无线宽带SOHO路由器的设计与实现[D]. 夏暄. 苏州大学. 2008

[6]. 基于Linux包过滤防火墙的研究与实现[D]. 张建中. 安徽农业大学. 2003

[7]. 基于Linux的防火墙软件系统研究开发[D]. 张彤. 西安理工大学. 2006

[8]. 基于Linux的混合增强型防火墙设计与实现[D]. 刘传亮. 苏州大学. 2004

[9]. 基于Netfilter框架的校验字过滤防火墙的设计与实现[D]. 胡连勇. 电子科技大学. 2006

[10]. 电力企业信息网络防火墙的研究与设计[D]. 胡晋. 华中科技大学. 2010

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

基于Linux包过滤防火墙的研究与实现
下载Doc文档

猜你喜欢