您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 公司方案 > 基于Linux的包过滤防火墙研究与实现
南京邮电学院硕士学位论文基于Linux的包过滤防火墙研究与实现姓名:谢大鹏申请学位级别:硕士专业:计算机软件与理论指导教师:陈春玲20050401基于Linux的包过滤防火墙研究与实现作者:谢大鹏学位授予单位:南京邮电学院相似文献(10条)1.期刊论文詹瑾.谢赞福.ZHANJin.XIEZan-fuLinux内核Netfilter包过滤防火墙的设计与实现-科学技术与工程2010,10(18)讨论并分析了Netfilter的功能框架、工作原理及数据包过滤的实现机制,研究了在Netfilter框架中如何扩展用户自定义的可装载内核模块,开发并实现了IPv4协议下基于IP和端口的数据包过滤防火墙功能.深入学习和研究Netfilter框架及其可扩展性,该研究也为构建特定用户安全需求的防火墙系统提供借鉴.2.学位论文沈丽珍基于流量分析的双阈值包过滤防火墙的研究与设计2006随着计算机网络的全球化,网络应用不断发展,随之引发的网络安全问题越来越为企业和政府所重视。传统的网络安全技术侧重于网络的入侵检测或防病毒软件,这类安全措施通常不能减少网络中的异常包,特别是面对不断发展的DoS/DDoS攻击,用户网络只能处于一种被动的防御地位。随着Linux的不断完善发展,在linux2.4内核中提出并实现了Netfilter框架。Netfilter框架中使用了连线跟踪、包过滤、地址转换等技术,并采用了动态的安全策略。目前Netfilter/IPtables经受住了大量用户广泛使用的考验,取得了令人十分满意的效果。本文在分析Netfilter框架的基础上,设计并实现了一个基于流量分析的双阈值包过滤防火墙系统。该系统实现了对拒绝服务攻击的入侵检测以及当攻击产生时过滤异常包等功能。3.期刊论文董剑安.王永刚.吴秋峰iptables防火墙的研究与实现-计算机工程与应用2003,39(17)防火墙作为网络安全技术的重要手段,已经成为使用最多的网络安全解决方案.该文通过研究基于Linux2.4新内核Netfilter框架的iptables包过滤防火墙,介绍了第三代Linux防火墙的一种安全实现.4.学位论文丁健基于Netfilter框架的Linux防火墙技术研究及应用2009随着互联网的飞速发展,社会的信息化程度不断提高,计算机网络已经深入到社会的各个方面,带来了巨大的经济效益和社会效益,然而也带来不可忽视的安全风险。防火墙作为一种安全有效的网络安全机制,已经得到用户的广泛应用和认同,成为信息安全建设的重要一环。Linux作为一个广泛使用且开放源码的操作系统,具有优异的网络性能,在其上布置防火墙有一个可靠的基石。特别是2.4版内核以后逐渐成熟和完善的Netfilter框架是一个非常优秀的防火墙架构,其功能和性能可与多数的商业防火墙产品媲美。因此,越来越多的人选择Linux作为其防火墙开发平台。本文系统论述了防火墙技术的基本原理、发展历史,结合源代码分析了Linux内核防火墙Netfilter框架体系结构及其数据包过滤流程。在此基础上,通过对当前防火墙技术发展趋势的分析以及对应用的需求分析,通过定制的嵌入式Linux操作系统,完成了基于Netfilter框架的防火墙设计与实现。在应用层上定义的各种新协议,很多都是基于可变端口的,有些可以通过http端口80来传输数据,传统的包过滤防火墙无法识别。本文介绍了一种基于正则表达式匹配来检查数据包内容的方法,配合iptables实现了应用层识别和过滤的功能。拒绝服务攻击是近年来非常流行的网络攻击方式。它向服务器发送大量的带有虚假地址的请求,致使服务器资源耗尽,无法响应其它的请求。作为最常用的安全产品,防火墙在设计之初并没有考虑到针对拒绝服务攻击的防护,由于部署在网络入口位置,在某些情况下,防火墙甚至成为拒绝服务攻击的目标而导致整个网络的拒绝服务。本文详细分析了当前流行的拒绝服务攻击原理和攻击方式,以及防火墙的防范策略,重点介绍了Linux内核中SYNCookie的实现,并分析了该技术存在的不足,即在成功防御SYNFlood攻击的同时,也为ACKFlood攻击提供了机会,而且不使用重传机制导致了TCP连接的不可靠性。针对现有防范机制的不足,提出了具有可行性的改进方案。5.期刊论文王琼.WANGQiong使用NetFilter构建Linux防火墙-电脑知识与技术2010,06(25)该文主要深入分析了NetFilter的基本原理和内核模块编程的基本要点.在此基础上设计了一个基于NetFilter机制的可对网络数据包进行严格过滤的包过滤防火墙.该防火墙运行在内核态,具有很高的效率.数据包处理能力较强.同时NetFilter框架的使用使其具有良好的代码结构,易于维护和扩展.6.期刊论文肖蓉.XIAORong基于Netfilter框架的防火墙设计-现代计算机(专业版)2007(4)介绍Netfilter框架原理和iptables工作过程,分析在Netfilter框架下防火墙的设计与实现,以Netfilter为例构建一个简单的数据包过滤防火墙.7.学位论文孙鸿斌基于NETFILTER框架的内容过滤防火墙的研究与实现2007随着Internet的快速发展,网络内容的安全性问题也日益突出。具有高匹配效率的包过滤防火墙,对于网络通信内容的监测、过滤、处理无能为力。应用级代理防火墙虽然能够理解应用层信息,但对用户不透明,并且对网络性能影响很大。本文以高效、准确为目标,阐述了一种基于Netfilter框架的内容过滤防火墙的设计与实现,在网络层过滤应用层信息。本论文中涉及的技术,包括利用Netfilter框架的内核态包过滤,TCP会话还原,用户空间与内核空间的通信,防火墙的透明模式,以及内核态的数据包转发等。基于Netfilter框架的内容过滤防火墙,以透明的方式工作,它向一个导线一样串联在网络中,加载和卸载防火墙时,整个网络都不需要任何变动。利用Netfilter框架,在数据包流经操作系统协议栈中网络层时采集数据包,并分析数据包应用层的信息,以达到网络内容过滤的目的。系统在Netfilter框架的第一个钩子点注册函数,捕获数据包,并直接在内核态下对数据包进行重组,还原出原始数据。再将原始数据放入在内核态下开辟的缓冲区中,通过共享内存技术,将原始数据交给用户空间进行分析处理,并将结果返回给内核空间,合法的转发,非法的丢弃。TCP会话还原,需要缓存不同连接的数据,当一条连接结束时,还原出该连接的会话内容。本文详细讨论了用户空间与内核空间的区别以及通信方法,并实现了用户空间与内核空间的共享内存。内容过滤防火墙配置为透明模式,并解决了由于缓存数据对原有通信影响的问题。本文代码是在RedHatLinuX2.4.20内核下,采用C语言进行开发。8.期刊论文郝身刚.张丽.HAOShen-gang.ZHANGLiLinux下基于Netfilter的动态包过滤防火墙的设计与实现-南阳师范学院学报2006,5(6)网络安全在现代社会中的地位越来越重要,动态包过滤技术作为一种更有效的防火墙技术在网络安全领域起着关键性的作用.本文在分析了动态包过滤技术的工作原理、Linux系统下Netfilter框架结构的基础上,详细讨论了动态包过滤技术基于Netfilter结构的实现方法和实现细节,并最终完成了动态包过滤防火墙的设计和实现.9.学位论文闫秋玲基于状态检测的包过滤防火墙模型及其实现技术2005简单包过滤防火墙虽然速度较快,但针对某些特定服务,客户端不得不打开所有端口。所以简单包过滤系统存在着很大的安全漏洞。而代理型防火墙虽然安全性高,但速度很慢,并且无法满足用户量大的情况。为了将这二者的优势有效地结合起来,特分析了Linux内核中的Netfilter框架、Linux内核TCP/IP协议栈等等。在此基础上提出了基于状态检测的包过滤模型,即在Linux内核原有的包过滤机制中加入状态检测模块,将状态信息的存储机制和防火墙的包过滤机制结合起来,构建出了基于状态检测的包过滤防火墙。在基于状态检测机制的防火墙模型中,把一次会话过程中的所有IP包视为属于同一IP数据流,各个IP包之间相互关联,而非传统意义上的相互独立。利用“IP数据流”的概念,防火墙系统可以提取更多的安全信息,以用于安全策略的判断和处理。与简单包过滤的防火墙系统相比,基于状态检测机制的防火墙能够提取更多的信息,在一定程度上简化了安全规则,从而避免了简单包过滤机制中的安全漏洞。与代理型防火墙相比,这种模型不需要将一次会话过程中的所有IP包送到高层处理,凡是属于已连接的IP数据流,就可以越过安全规则检查。因此,它具有较快的处理速度。此外,针对基于此技术的过滤机制,进行了效率和安全性问题的分析,并描述了实际的测试过程和结果,证明了作者的观点。10.学位论文周鹏基于Linux防火墙的日志研究和设计2004基于对Linux2.4内核防火墙netfilter的原理的深入研究和在netfilter构架下防火墙的设计与实现的分析,本文论述了在Linux下防火墙的设计和开发过程,辅助日志功能模块的开发人员熟悉、掌握模块的开发过程,控制模块开发进度;辅助日志功能模块测试人员熟悉日志功能模块的设计方案,了解模块的功能,从而制定出测试大纲;辅助日志功能模块的维护.本防火墙是在Linux系统下基于netfilter框架的包过滤防火墙.该防火墙系统主要由管理器登录、访问控制列表(ACL)、网络地址转换(NAT)、日志系统等功能组成.在本系统中本人负责其中的日志功能模块,采用最新的ulog-acctd模块来实现通过防火墙的连接的访问日志.Ulog-acctd以后台运行的方式给出,它用来产生日志文件,这些日志文件用来统计通过防火墙连接的信息.Ulog-acctd记录通过Linux2.4+netfilter的IP包头并将所得的统计信息写入日志文件中.这些信息包括:时标、协议的类型、端口号数、包数、字节数和输入输出的接口、前缀等重要信息.在本论文的绪论中,首先介绍了防火墙研究背景及意义、防火墙的研究现状、发展方向和本文所作的主要研究工作.在第二章中,阐述了网络和防火墙的主要技术及工作原理.除了防火墙功能性要求外,防火墙用于审计工作所必须的日志文件也是设计和实现时必须考虑的重点.第三章针对防火墙的日志系统的概念、特点、常见系统中的日志文件及相应格式进行了阐述.第四章详细的描述了日志功能模块的程序和算法、测试过程,与现今流行的防火墙日志功能作出了比较,并概述了下一步日志审计工作.第五章是对全文的总结和展望.本文对日志功能模块的实现进行了全面的阐述.日志功能模块目的在于健全防火墙系统功能,并通过分析日志找出当前的系统漏洞,确定网络安全的薄弱环节,分析和定位可能出现的攻击,评定防火墙系统的可靠性和有效性,协助系统管理员完善系统的配置,大大地降低防火墙系统的管理难度.本系统设计防火墙最终将实现以下目标:1.控制进出网络的信息流向和信息包.2.提供使用和流量的日志.3.隐藏内部IP地址及网络结构的细节本系统的优越性在于它出色地完成了防火墙系统用于审计所需的日志文件,对日后的日志审计工作具有十分重要的现实意义.本文链接:授权使用:河池学院(hcxyIP),授权号:83dab346-89d9-4790-9a76-9e6b01047e3a下载时间:2011年1月14日
本文标题:基于Linux的包过滤防火墙研究与实现
链接地址:https://www.777doc.com/doc-6242709 .html