《基于Linux的防火墙设计与实现概要》由会员分享,可在线阅读,更多相关《基于Linux的防火墙设计与实现概要(29页珍藏版)》请在金锄头文库上搜索。
1、1 摘摘 要要 防火墙是网络安全研究的一个重要内容,数据包捕获是包过滤型防火墙的 前提,本文对基于 linux 主机的个人防火墙的数据包捕获模块进行了研究,重点 论述数据包捕获模块的结构、组成以及功能。首先对信息安全及防火墙的重要 性进行论述,并给出防火墙的详细分类;然后分析了基于 linux 主机的个人防 火墙总体设计及软硬件平台原理,接着论述 linux 下的数据包捕获模块结构与 原理,并详述其具体实现步骤 关键词关键词: : 防火墙 linux, 数据包捕获模块 ,包过滤 2 Abstract firewall network security is an important conte
2、nt of the research, the packet filter packet capture is the premise of firewall, this paper is based on personal firewall of host Linux packet capture module was studied,and focuses on the packet captures module structure, composition and function. First to information security and the importance of
3、 the firewall is discussed in detail, and gives the firewall. Then based on the analysis of the main Linux personal firewall software and hardware platform and overall design principle, then discusses the Linux packet capture module structure and principle, and discuss its specific implementation st
4、eps. KeywordsKeywords: firewall Linux; packet captures; the packet filter modules 3 目录 绪 论1 1 第一章 LINUX 系统2 2 1.1 LINUX系统简介2 1.2 LINUX的特点2 第二章 防火墙简介5 5 2.1 传统防火墙及其缺陷 5 2.2 分布式防火墙 5 第三章 LINUX 防火墙的几种常见功能9 9 3. .1 包过滤 9 3. .2 代理 9 3. .3 IPIP 伪装.11 3. .4 一个 LINUX 防火墙实例 .12 第四章 防火墙系统1515 4.1 防火墙系统总体设计 .1
5、5 第五章 基于 LINUX 的数据包捕获模块1616 5.1 基于LINUX的数据包捕获模块结构.16 5.2 基于LINUX的数据包捕获模块原理分析.16 第六章 数据包捕获模块设计1919 6.1 数据包捕获模块设计流程 .19 6.2 数据包捕获模块实现 .19 第七章 程序中用到的结构体2121 7.1 程序中用到的一些结构体解析 .21 致 辞2323 参考文献: : 2424 1 绪绪言言 网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以 非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作 环境的特殊网络互联设备。它对两个或多个网络之间传输的数据
6、包按照一定的 安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状 态。 根据防火墙所采用的技术不同,可以将它分为四种基本类型:包过滤型、 网络地址转换net、代理型和监测型。包过滤型产品是防火墙的初级产品,其 技术依据是网络中的分包传输技术。包过滤技术的优点是简单实用,实现成本 较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系 统的安全络地址转换是一种用于把 ip 地址转换成临时的、外部的、注册的 ip 地址标准。它允许具有私有 ip 地址的内部网络访问因特网。 代理型防火墙也 可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用 层发展。
7、代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描, 对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大 的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设 置,大大增加了系统管理的复杂性。 监测型防火墙是新一代的产品,能够对各 层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型 防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般 还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之 中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强 的防范作用。监测型防火墙在安全性上已超越了
8、包过滤型和代理服务器型防火 墙,但其实现成本较高。基于对系统成本与安全技术成本的综合考虑,用户可 以选择性地使用某些监测型技术。 2 第一章第一章 LinuxLinux 系统系统 1.11.1 LinuxLinux 系统简介系统简介 Linux 是一套免费使用和自由传播的类 Unix 操作系统。我们通常所说的 Linux,指的是 GNU/Linux ,即采用 Linux 内核的 GNU 操作系统。GNU 代表 GNUs Not Unix。它既是一个操作系统,也是一种规范。Linux 最早由 Linus Torvalds 在 1991 年开始编写。在这之前,Richard Stallman 创建
9、了 Free Software Foundation(FSF)组织以及 GNU 项目,并不断的编写创建 GNU 程序 (程序的许可方式均为 GPL:General Public License) 。在不断的有程序员和 开发者加入到 GNU 组织中后,变造就了今天我们所看到的 Linux! Linux 是一个内核。然而一个完整的操作系统不仅仅是内核而已。所以许 多个人、组织和企业开发了基于 GNU/Linux 的 Linux 发行版。今天有不计其数 的发行版可供人们选择使用,虽然不够统一的标准给不同版本的使用者在技术 上的相互沟通带来了一定的麻烦,但归根结底“自由、开源、团结互助”的理 念是 L
10、inux 爱好者们共同的向往。 1.21.2 LinuxLinux 的特点的特点 有很多人现在都在学习和研究 Linux。作为当今一种新兴和流行的操作系 统的前身来源与强大的 UNIX。而那个芬兰小伙子一开始就没把它定位成一种操 作系统。但是 Linux 的作用在今天已越来越重要了。想接触和学习它,就要先 了解它的特点。让我们一起来了解一下吧: 1.自由开源软件 首先,Linux 可以说是作为开放源码的自由软件的代表,作为自由软件, 它有如下两个特点:一是它开放源码并对外免费提供,二是爱好者可以按照自 己的需要自由修改、复制和发布程序的源码,并公布在 Internet 上,因此 Linux 操
11、作系统可以从互联网上很方便地免费下载得到,这样你还可以省下购 买 Windows 操作系统的一笔不小的资金。且由于可以得到 Linux 的源码,所以 3 操作系统的内部逻辑可见,这样就可以准确地查明故障原因,及时采取相应对 策。在必要的情况下,用户可以及时地为 Linux 打 “补丁”,这是其它操作系 统所没有的优势。同时,这也使得用户容易根据操作系统的特点构建安全保障 系统,不用担心来自那些不公开源码的 “黑盒子”式的系统预留的什么 “后 门”的意外的打击。而且,Linux 上跑的绝大多数应用程序也是免费可得的, 用了 Linux 就再也不用担心背上“使用盗版软件”的黑锅了。 2.真正的多任
12、务多用户 只有很少的操作系统能提供真正的多任务能力,尽管许多操作系统声明支 持多任务,但并不完全准确,如 Windows。而 Linux 则充分利用了 X86CPU 的 任务切换机制,实现了真正多任务、多用户环境,允许多个用户同时执行不同 的程序,并且可以给紧急任务以较高的优先级。 3.价格优势 价格其实是影响产品的重要因素,作为开源软件,它的价格优势不言而 喻。 4.多平台 支持各种 CPU,包括 Intel,AMD,ARM,Mips 等。 5.强大的网络功能 实际上,Linux 就是依靠互联网才迅速发展了起来,Linux 具有强大的网 络功能也是自然而然的事情。它可以轻松地与 TCP/IP
13、、LANManager、Windows for Workgroups、Novell Netware 或 Windows NT 网络集成在一起,还可以通过以太网或调制解调器连接到 Internet 上。 Linux 不仅能够作为网络工作站使用,更可以胜任各类服务器,如 X 应用 服务器、文件服务器、打印服务器、邮件服务器、新闻服务器等等。 6.兼容性高 Linux 对系统兼容性较高,对硬件要求不是很高。支持很多软硬件平台。 7.开发功能强 4 Linux 支持一系列的 UNIX 开发,它是一个完整的 UNIX 开发平台,几乎 所有的主流程序设计语言都已移植到 Linux 上并可免费得到,如 C、
14、C+、Fortran77、ADA、PASCAL、Modual2 和 3、Tcl/TkScheme、SmallTalk/X 等。 8.具有丰富的图形用户界面 Linux 的图形用户界面是 Xwindow 系统。如 GNOME、KDE。还有 SHELL。Xwindow 可以做 MSWindows 下的所有事情,而且更有趣、更丰富, 用户甚至可以在几种不同风格的窗口之间来回切换。另外它还支持很多的应用 软件,这也是它的一大特性。 9.9.可爱的可爱的“代言物代言物” 下次大家看到可爱企鹅造型的时候,不只是要联想到 QQ。其实 Linux 也是 的哦。 10.10.安全性和稳定性安全性和稳定性 这点不
15、用多说,Linux 的较高安全性和良好的稳定性能是它的一大特色。 5 第二章第二章 防火墙简介防火墙简介 2.12.1 传统防火墙及其缺陷传统防火墙及其缺陷 防火墙是指设置在不同网络或网络安全域之间,根据一定的安全策略对网 络间的通信实施访问控制的一系列部件的组合。 传统意义上的防火墙就是指边界防火墙,它将网络分为内网和外网两部分。 它是网络间信息传输的唯一出入口,能够根据安全策略控制(允许、拒绝、监 测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服 务、实现网络和信息安全的重要的、基本的安全装置。在逻辑上,防火墙是一 个分离器,一个限制器,也是一个分析器,有效地监控了内部
16、网和 Internet 之间 的任何活动,保证了内部网络的安全。 传统防火墙依赖于网络的拓扑限制,它假定内网上的所有主机都是可信任 的,而外网上的所有主机都是不可信的。当网络遵照拓扑限制时,这种模型工 作得很好;但是,随着网络连接的扩充和新的网络应用的发展,这种模型暴露 出了越来越多的缺陷,面临着极大的挑战。主要表现在: 1)对绕过防火墙的攻击无能为力;如果防火墙的规则设置不当,内网上的所 有主机将暴露在外部攻击的直接威胁之下。 2)由于信任内网上的所有主机,而对来自网络内部的恶意攻击、未授权访问 或无意的误操作“视而不见”。 3)是潜在的通信瓶颈和单一故障点。 4)与端到端加密(如 VPN)有冲突。 5)由于依赖于网络拓扑,无法支持移动计算。 为了克服上述缺陷,产生了“分布式防火墙”( Distributed Firewall )的概念。 6 2.22.2 分布式防火墙分布式防火墙 多台基于主机但受集中管理和配置的防火墙组成了分布式防火墙。在分布 式防火墙中,安全策略仍然被集中定义,但是在每一个
