基于Linux的复合防火墙设计与实现

基于Linux的复合防火墙设计与实现

张晓玲[1]2003年在《基于Linux主机IPv6防火墙的设计与实现》文中进行了进一步梳理随着Internet在社会各个领域的不断推广,以及骇人听闻的“网络黑客”事件的时有发生,使得曾经被我们忽视了的“网络安全”正日益受到业界的关注和重视。造成Internet网络不安全局面的原因很多,网络攻击和非法入侵的手段也很多,但是究其根本原因,是缺乏一个能保证网络高度安全的防火墙。 Internet网络现在所采用的是IPv4协议,但由于IPv4协议存在着这样和那样的缺点,IPV6协议已经成为未来网络协议发展的必然趋势,这也为设计防火墙系统提供了一个新思路。本文提出了一种基于Linux的防火墙和入侵检测技术(IDS)相结合来保证网络安全的解决方案,即在Linux系统下IPV6防火墙的设计与实施。 本文从网络安全的现状谈起,探讨了网络安全的主要威胁因素和相应的攻击手段,同时也归纳了针对这些威胁因素和攻击手段而采取的提高网络安全的安全措施和技术手段。接下来的内容共分为三部分,就网络安全的解决方案进行了深入的研究和探讨,并设计和实现了该防火墙系统。 第一部分包括第二章,主要按照软件工程的实现方式围绕系统的实现展开讨论,包括总体设计、需求分析、系统实现步骤、软硬件环境以及系统所要实现的功能。最后对系统实现的软硬件环境的原理和发展趋势进行探讨。 第二部分针对系统的总体设计和需求分析,对该防火墙系统实现的原理和具体的实现过程进行了讲述,它包括第三章和第四章。其中,第三章提出了防火墙系统实现的总体结构,主要对数据包嗅探器(sniffer)、数据分析处理、数据库操作、流量统计的结构与原理进行分析,重点讲述了该防火墙系统向IPV6移植的原理;第四章则综合以上的理论和原理分析,分别对数据包捕获模块、数据处理模块、规则设置模块、数据库查询模块和流量统计模块进行设计和实现,并着重讲述了向IPV6移植的实现过程。 第三部分对该防火墙系统进行测试,并且根据这些结果,分析了现有系统的不足和以后需要解决的问题。包括第五章和第六章,其中第五章讲述了防火墙系统实现以后的运行界面及运行结果,以及向IPV6的移植以后对系统的测试过程;第六章对所实现的系统提出了改进意见,并对以后IPv6防火墙技术的发展进行展望。

谢碧峰[2]2005年在《基于Linux的综合型防火墙研究与实现》文中指出防火墙作为一种重要的网络安全技术,有着十分重要的研究意义,本文开发了一个适合中小型用户的具有基本包过滤、动态包过滤、内容过滤,日志管理等混合功能的防火墙产品。该防火墙以Linux的netfilter架构为基础,用netfilter来实现基本包过滤功能。本文在netfilter的基础上添加了三个功能模块,分别是: 1.动态包过滤模块:netfilter自带的动态包过滤机制比较简单:只是将源目地址和源目端口保存在一张连接表中,其检查的连接信息较少,安全性不高。因此本文重新开发了一个动态包过滤模块,其在连接状态表中增加了连接序号,应答号,窗口大小等表项,不但检测包是否属于合法连接,判断其TCP状态转换是否正确,而且还对包进行序号检查,判断包在这条连接上的合法性,即保证收到的包不是伪造的包,从而增强了防火墙的安全性。 2.内容过滤模块:采用基于协议分析的内容过滤算法对数据包进行内容过滤,解决了包过滤和动态包过滤不能防止基于内容级的攻击问题。该算法在协议分析的基础上检测数据包是否包含危险字符串,其性能优于一般的模式匹配算法,具有检测快,时延较小等特点。 3.日志管理模块:该模块可以将防火墙日志信息分离出来,插入数据库进行保存和管理,有利于日后对防火墙日志的审计和检测。 本文还对所设计的防火墙进行了测试。结果表明该防火墙完全满足了设计要求。文章最后总结了该防火墙的优缺点并对防火墙技术的发展作了展望。

刘正海[3]2007年在《基于嵌入式Linux防火墙的研究与实现》文中提出防火墙技术是网络安全的基石,本文介绍了防火墙的相关内容,包括防火墙的基本概念、分类、主要技术和体系结构。在此基础上,研究了Linux操作系统下TCP/IP协议的实现,并对Linux防火墙的Netfilter/Iptables进行了研究。最后,本文开发了一个适合中小型用户的具有基本包过滤、动态包过滤、内容过滤,规则设置等功能的防火墙产品。该防火墙以Linux的Netfilter架构为基础,用Netfilter来实现基本包过滤功能。本文在Netfilter的基础上添加了三个功能模块,分别是:动态包过滤模块:Netfilter自带的动态包过滤机制比较简单,只是将源、目的地址和源、目的端口保存在一张连接表中。其检查的连接信息较少,安全性不高。因此,本文重新开发了一个动态包过滤模块,其在连接状态表中增加了连接序号,应答号,窗口大小等表项,不但检测包是否属于合法连接,判断其TCP状态转换是否正确,而且还对包进行序号检查,判断包在这条连接上的合法性,即保证收到的包不是伪造的包,从而增强了防火墙的安全性。内容过滤模块:采用基于协议分析的内容过滤算法对数据包进行内容过滤,解决了包过滤和动态包过滤不能防止基于内容级的攻击问题。该算法在协议分析的基础上检测数据包是否包含危险字符串,其性能优于一般的模式匹配算法,具有检测快,时延较小等特点。Web设置系统:用户可以使用iptables命令来建立防火墙规则,但是iptables的配置所需要的参数很多,使用iptables命令建立防火墙规则相当烦琐。因此,本文开发了Linux防火墙规则的Web设置系统,利用浏览器对防火墙进行可视化配置,同时提出了一些防火墙规则语义完整性检测的方法,以辅助用户输入。最后,本文对论文所作的工作进行了总结并指出了进一步的研究工作。

张炜[4]2001年在《基于Linux的防火墙工具箱的设计和实现》文中认为随着计算机网络技术的高速发展,Internet对社会政治经济生活的各个领域产生了重要影响。与此同时,网络安全问题正日益突出地显露出来,受到人们越来越多的关注。 防火墙技术,是保护网络安全的主要技术之一,用于隔离组织的私有网络,保护私有网络不受来自于外部网络的侵害。在我国,开发具有自主知识产权的防火墙产品,具有重要的实用价值。 本文在Linux操作系统上,实现了一个防火墙工具箱产品——Leacher。Leacher综合应用了包过滤和应用代理技术,并且具有完全的自主知识产权。 具体来说,本文主要的意义如下: .设计并实现了综合应用了包过滤技术和应用代理技术的防火墙工具箱Leacher,该防火墙工具箱是包括包过滤、地址伪装、透明代理、FTP代理、HTTP代理、Telnet代理等多种功能的完整的防火墙产品,适用于用户的各种要求。 . 提出、设计了一种提高规则检索速度的索引技术,改善了防火墙的响应速度,解决了在长规则表条件下普通防火墙占用带宽过多的缺点。 . 提出并实现了与入侵检测和保护系统进行通信来动态修改防火墙的安全政策的机制,提高了防火墙的自适应性。 . 设计并实现了窗口式的防火墙管理工具,方便了防火墙管理员的配置、管理工作。

郭媛妮[5]2003年在《基于嵌入式计算结构的防火墙设计与实现》文中提出随着Internet应用的迅速发展,网络安全问题日益突出。防火墙技术是抵制网络攻击的主要手段。传统的边缘防火墙难以抵御网络内部用户的攻击,分布式防火墙则过分依赖主机的操作系统,而嵌入式防火墙将网络安全延伸到网络边缘,已经成为当前防火墙的研究主流。目前嵌入式系统设计一般遵循自上而下的设计流程,可避免出现设计原理的错误,并缩短设计周期,另一方面嵌入式系统行为具有异构性,因此研究嵌入式异构环境下的系统级设计方法学,提出嵌入式异构环境下的建模仿真,对于嵌入式防火墙系统级设计具有积极的理论指导和验证意义。 本文主要研究基于嵌入式防火墙系统的设计与实现。研究Ptolemy嵌入式系统级设计方法学,并遵循Ptolemy所提倡的嵌入式系统级设计流程指导并完成嵌入式防火墙系统的设计。本文首先提出一种嵌入式防火墙系统的体系结构;然后利用嵌入式系统设计仿真平台Ptolemy Ⅱ完成该嵌入式防火墙的系统级行为描述和建模仿真;最后基于实验室自主开发的硬件目标板ES860设计实现该嵌入式Linux防火墙系统,详细分析了防火墙系统中动态包过滤模块和网络地址转换模块的实现机制,并对该嵌入式Linux防火墙系统进行性能测试。测试结果表明该嵌入式Linux防火墙性能对于传输速率和过滤规则条目比较敏感,并且与Ptolemy的仿真结果比较接近,从而验证Ptolemy嵌入式系统级设计方法学对于指导该嵌入式防火墙系统设计的正确性和可行性。

杜祥宇[6]2000年在《基于Linux的复合防火墙设计与实现》文中进行了进一步梳理本文首先介绍了Internet防火墙的基本概念、原理、组成、分类和体系结构。然后系统地描述了一个基于Linux系统的复合防火墙的设计和实现过程。这个系统的实现过程涉及到很多Unix系统的管理知识和程序设计知识,其中包括Perl语言编程,Xwindow程序设计,内核防火链ipchains的实现原理和管理方法,socket程序设计,多线程程序设计,MD5算法等等。

刘飞霞[7]2012年在《Linux内核中Netfilter/Iptables防火墙设置分析》文中指出随着网络安全问题日益严重,防火墙越来越受到人们的重视。由于Linux操作系统源代码的开放性,使得Linux成为研究防火墙技术的一个很好的平台。本文首先概述了网络安全问题的产生,介绍了防火墙的概念,然后对其关键技术做了简要的介绍。本文还介绍了基于Linux内核的Netfilter框架原理以及iptables工具,并分析了Netfilter/iptables框架对数据包的处理流程。本文最后通过对一款基于WiMAX网络产品的特性的分析,提出符合其特点的防火墙;随后在分析防火墙与其他模块的协同工作原理的的基础上,比较了使用脚本语言和C语言这两种防火墙的方法,根据分析以及比较结果,用C语言给出防火墙关键技术(状态检测技术、NAT等)的程序模块;对测试结果的分析表明:用C语言实现的防火墙关键模块符合设计要求。上述基于WiMAX的防火墙的配置是在Linux嵌入式平台上实现的,适用于用户管理界面采用CGI规范作为服务器和客户端之间的接口,并用Javascript作为开发语言的其他网络产品的开发。

代仁东[8]2006年在《Linux下IPSec的实现分析及其与防火墙协同工作的改进设计》文中进行了进一步梳理IPSec是为Internet通信提供安全服务的一组标准协议。其目标是为IPv4和IPv6提供具有较强互操作能力、高质量和基于密码的安全服务。Linux作为著名的开放源代码操作系统软件,对我国的软件行业来说是一个重大的机遇,因此研究Linux及Linux下的各种应用显得非常重要。本论文主要研究了Linux下IPSec的实现及其与防火墙协同工作的改进设计,主要工作如下:总结了IPSec的研究现状和发展状况;结合Linux下实现IPSec的开源软件FreeS/WAN的源代码,分析了开源网站共创软件联盟的子项目Linux下IPSec安全网关系统的设计方案及其各个部分的具体实现;分析了IPSec协议栈中各个协议的安全操作和IPSec对进出数据报的处理;分析了IKE协议和安全策略数据库与安全关联数据库的实现代码,基本了解了网络协议的软件实现方法。另外,针对如何让IPSec和防火墙协同工作的问题,提出了一种双层IPSec处理思想:将IP报文分为协议头和数据两部分,使用复合安全关联(Composite SA)对其进行安全处理,使IPSec和防火墙可以各取所需,从而给出上述问题的一个改进设计方案。方案的优点在于安全主机与防火墙之间复合安全关联的协商灵活多变,与传统IPSec相比协议格式变化不大,传输效率较高。

王雅静[9]2008年在《基于Linux防DoS攻击防火墙研究》文中研究表明拒绝服务攻击是计算机网络中最具有破坏力的一种攻击方式。它利用软件的漏洞、TCP/IP协议的缺陷和网络带宽资源的有限性,向被攻击方恶意发送许多连接请求或无用的数据包。从而大量占用受害者的系统资源和带宽资源使其无法再继续响应正常用户的请求。本文的主要内容有:1.介绍了防火墙基本概念与关键技术。对常见DoS攻击的原理和方法进行了说明,并详细介绍了SYNFlood攻击的原理与过程。2.通过对SYNDefender转发模型与网关模型对比与分析,提出了一种新的防SYNFlood攻击的模型。3.防火墙是在Netfilter基础上的二次开发,利用Linux的可加载内核技术实现。在实验中,我们采用了三台攻击机对一台Web服务器进行攻击实验,攻击所采用的软件是xdos。实验时,通过对比没有防火墙与开启防火墙时候,DoS攻击对防火墙的影响来测试我们改进后的算法防DoS攻击的效果。经测试,设计的防火墙能有效防御DoS攻击,并且运行效率比较高,达到了预期的设计目的。

刘泽衡[10]2011年在《基于Android智能手机的安全检测系统的研究与实现》文中研究表明随着以智能手机为代表的移动计算设备功能的不断多样化以及性能的大幅提升,移动计算设备将会迅速融入人们生活、工作和学习的各个方面。移动计算设备易丢失、涉及较多个人信息等特点也对其信息安全保障提出了更高的要求。Google公司的Android系统作为当前用户增长最快的移动平台操作系统,由于其天生继承了Linux系统的一些优点,具有较好的系统安全性,但是其在应用层的信息安全机制和技术还不够完善,因此针对Android系统的安全检测技术成为当前亟待解决的重要问题。本文分析Android平台的结构以及安全威胁的特殊性,结合传统PC安全检测技术精髓以及最新安全检测思想,从静态与动态两个不同层次来构建基于Android平台智能手机安全检测系统。本论文的主要研究内容和成果如下:首先,本文对智能手机安全现状进行分析,并通过研究基于Android平台的安全要素来剖析它的安全特性与需求,并根据分析结果调研了相应的安全检测技术,通过借鉴和改进传统安全检测技术的思想,从静态和动态两个不同层次设计了基于Android平台的安全检测系统。然后,本文从静态角度出发,结合基于Android平台上的应用程序的特性来提取特征码,并在传统静态检测的方法上加入了和用户交互等启发信息来提高检测的能力,同时将静态检测的逻辑进行抽取和智能化来提高检测模块的灵活性。其次,本文从监控的角度,利用平台的框架特性,以及基于Linux内核的设计原理,对系统运行的安全关键要素进行跟踪检测。最后,本文通过分析Android平台应用程序在运行时所表现的行为状态转换图,挖掘了蕴含在行为状态转换图背后的应用行为模式,并通过提取相应系统的变化,基于HMM的识别原理构建了检测应用和组件是否存在异常行为的安全检测模型。

参考文献:

[1]. 基于Linux主机IPv6防火墙的设计与实现[D]. 张晓玲. 天津工业大学. 2003

[2]. 基于Linux的综合型防火墙研究与实现[D]. 谢碧峰. 西安电子科技大学. 2005

[3]. 基于嵌入式Linux防火墙的研究与实现[D]. 刘正海. 重庆大学. 2007

[4]. 基于Linux的防火墙工具箱的设计和实现[D]. 张炜. 四川大学. 2001

[5]. 基于嵌入式计算结构的防火墙设计与实现[D]. 郭媛妮. 湖南大学. 2003

[6]. 基于Linux的复合防火墙设计与实现[D]. 杜祥宇. 大连理工大学. 2000

[7]. Linux内核中Netfilter/Iptables防火墙设置分析[D]. 刘飞霞. 西安电子科技大学. 2012

[8]. Linux下IPSec的实现分析及其与防火墙协同工作的改进设计[D]. 代仁东. 西安理工大学. 2006

[9]. 基于Linux防DoS攻击防火墙研究[D]. 王雅静. 天津大学. 2008

[10]. 基于Android智能手机的安全检测系统的研究与实现[D]. 刘泽衡. 哈尔滨工业大学. 2011

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

基于Linux的复合防火墙设计与实现
下载Doc文档

猜你喜欢