基于Linux的防火墙设计与实现

1摘要防火墙是网络安全研究的一个重要内容，数据包捕获是包过滤型防火墙的前提，本文对基于linux主机的个人防火墙的数据包捕获模块进行了研究,重点论述数据包捕获模块的结构、组成以及功能。首先对信息安全及防火墙的重要性进行论述，并给出防火墙的详细分类；然后分析了基于linux主机的个人防火墙总体设计及软硬件平台原理，接着论述linux下的数据包捕获模块结构与原理，并详述其具体实现步骤关键词：防火墙linux，数据包捕获模块，包过滤2Abstractfirewallnetworksecurityisanimportantcontentoftheresearch,thepacketfilterpacketcaptureisthepremiseoffirewall,thispaperisbasedonpersonalfirewallofhostLinuxpacketcapturemodulewasstudied,andfocusesonthepacketcapturesmodulestructure,compositionandfunction.Firsttoinformationsecurityandtheimportanceofthefirewallisdiscussedindetail,andgivesthefirewall.ThenbasedontheanalysisofthemainLinuxpersonalfirewallsoftwareandhardwareplatformandoveralldesignprinciple,thendiscussestheLinuxpacketcapturemodulestructureandprinciple,anddiscussitsspecificimplementationsteps.Keywords:firewallLinux;packetcaptures;thepacketfiltermodules3目录绪论............................................................1第一章LINUX系统..............................................21.1LINUX系统简介.................................................21.2LINUX的特点...................................................2第二章防火墙简介..............................................52.1传统防火墙及其缺陷............................................52.2分布式防火墙..................................................5第三章LINUX防火墙的几种常见功能..........................93.1包过滤........................................................93.2代理..........................................................93.3IP伪装......................................................113.4一个LINUX防火墙实例.........................................12第四章防火墙系统.............................................154.1防火墙系统总体设计...........................................15第五章基于LINUX的数据包捕获模块...........................165.1基于LINUX的数据包捕获模块结构................................165.2基于LINUX的数据包捕获模块原理分析............................16第六章数据包捕获模块设计....................................196.1数据包捕获模块设计流程.......................................196.2数据包捕获模块实现...........................................19第七章程序中用到的结构体....................................217.1程序中用到的一些结构体解析...................................21致辞..........................................................23参考文献:.......................................................241绪言网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。根据防火墙所采用的技术不同，可以将它分为四种基本类型：包过滤型、网络地址转换—net、代理型和监测型。包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全络地址转换是一种用于把ip地址转换成临时的、外部的、注册的ip地址标准。它允许具有私有ip地址的内部网络访问因特网。代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。监测型防火墙是新一代的产品，能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。监测型防火墙在安全性上已超越了包过滤型和代理服务器型防火墙，但其实现成本较高。基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用某些监测型技术。2第一章Linux系统1.1Linux系统简介Linux是一套免费使用和自由传播的类Unix操作系统。我们通常所说的Linux，指的是GNU/Linux，即采用Linux内核的GNU操作系统。GNU代表GNU’sNotUnix。它既是一个操作系统，也是一种规范。Linux最早由LinusTorvalds在1991年开始编写。在这之前，RichardStallman创建了FreeSoftwareFoundation（FSF）组织以及GNU项目，并不断的编写创建GNU程序（程序的许可方式均为GPL：GeneralPublicLicense）。在不断的有程序员和开发者加入到GNU组织中后，变造就了今天我们所看到的Linux！Linux是一个内核。然而一个完整的操作系统不仅仅是内核而已。所以许多个人、组织和企业开发了基于GNU/Linux的Linux发行版。今天有不计其数的发行版可供人们选择使用，虽然不够统一的标准给不同版本的使用者在技术上的相互沟通带来了一定的麻烦，但归根结底“自由、开源、团结互助”的理念是Linux爱好者们共同的向往。1.2Linux的特点有很多人现在都在学习和研究Linux。作为当今一种新兴和流行的操作系统的前身来源与强大的UNIX。而那个芬兰小伙子一开始就没把它定位成一种操作系统。但是Linux的作用在今天已越来越重要了。想接触和学习它，就要先了解它的特点。让我们一起来了解一下吧：1.自由开源软件首先，Linux可以说是作为开放源码的自由软件的代表，作为自由软件，它有如下两个特点：一是它开放源码并对外免费提供，二是爱好者可以按照自己的需要自由修改、复制和发布程序的源码，并公布在Internet上，因此Linux操作系统可以从互联网上很方便地免费下载得到，这样你还可以省下购买Windows操作系统的一笔不小的资金。且由于可以得到Linux的源码，所以操作系统的内部逻辑可见，这样就可以准确地查明故障原因，及时采取相应对策。在必要的情3况下，用户可以及时地为Linux打“补丁”，这是其它操作系统所没有的优势。同时，这也使得用户容易根据操作系统的特点构建安全保障系统，不用担心来自那些不公开源码的“黑盒子”式的系统预留的什么“后门”的意外的打击。而且，Linux上跑的绝大多数应用程序也是免费可得的，用了Linux就再也不用担心背上“使用盗版软件”的黑锅了。2.真正的多任务多用户只有很少的操作系统能提供真正的多任务能力，尽管许多操作系统声明支持多任务，但并不完全准确，如Windows。而Linux则充分利用了X86CPU的任务切换机制，实现了真正多任务、多用户环境，允许多个用户同时执行不同的程序，并且可以给紧急任务以较高的优先级。3.价格优势价格其实是影响产品的重要因素，作为开源软件，它的价格优势不言而喻。4.多平台支持各种CPU，包括Intel,AMD,ARM,Mips等。5.强大的网络功能实际上，Linux就是依靠互联网才迅速发展了起来，Linux具有强大的网络功能也是自然而然的事情。它可以轻松地与TCP/IP、LANManager、WindowsforWorkgroups、NovellNetware或WindowsNT网络集成在一起，还可以通过以太网或调制解调器连接到Internet上。Linux不仅能够作为网络工作站使用，更可以胜任各类服务器，如X应用服务器、文件服务器、打印服务器、邮件服务器、新闻服务器等等。6.兼容性高Linux对系统兼容性较高，对硬件要求不是很高。支持很多软硬件平台。7.开发功能强Linux支持一系列的UNIX开发，它是一个完整的UNIX开发平台，几乎所有的主流程序设计语言都已移植到Linux上并可免费得到，如C、C++、Fortran77、ADA、PASCAL、Modual2和3、Tcl/TkScheme、SmallTalk/X等。8.具有丰富的图形用户界面4Linux的图形用户界面是Xwindow系统。如GNOME、KDE。还有SHELL。Xwindow可以做MSWindows下的所有事情，而且更有趣、更丰富，用户甚至可以在几种不同风格的窗口之间来回切换。另外它还支持很多的应用软件，这也是它的一大特性。9.可爱的“代言物”下次大家看到可爱企鹅造型的时候，不只是要联想到QQ。其实Linux也是的哦。10.安全性和稳定性这点不用多说，Linux的较高安全性和良好的稳定性能是它的一大特色。5第二章防火墙简介2.1传统防火墙及其缺陷防火墙是指设置在不同网络或网络安全域之间，根据一定的安全策略对网络间的通信实施访问控制的一系列部件的组合。传统意义上的防火墙就是指边界防火墙，它将网络分为内网和外网两部分。它是网络间信息传输的唯一出入口，能够根据安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的重要的、基本的安全装置。在逻辑上，防火墙是一个分离器，一个