朱真珠-基于Linux的防火墙设计与实现

南京广播电视大学毕业设计说明书1南京广播电视大学毕业设计说明书题目:基于Linux的防火墙设计与实现姓名：朱真珠学号：087530503年级：2008年春专业：计算机网络学生类别：开放专科指导教师：张迁老师教学单位：南京电大工业技工分校2009年5月6日南京广播电视大学毕业设计说明书2南京广播电视大学毕业设计（论文，作业）课题审批表教学单位(盖章)专业计算机网络学生类别开放大专课题名称基于Linux的防火墙设计与实现填报时间2009年3月8日课题内容简介目的意义：防火墙在网络安全中起着重要作用。但是，目前传统的边界防火墙暴露出越来越多的缺陷，无法适应新的网络应用。基于Linux的防火墙是对传统防火墙的改进。解决问题：能够对主机提供安全保护，即对主机与局域网以外的主机进行数据传输时实施安全保护，能够提供良好的人机接口界面，具有容易操作、容易管理的优点。使用方法：全程动态包过滤本防火墙要在Linux下实现全程动态包过滤功能，通过分析数据包的地址、协议、端口对任何网络连接当前状态进行访问控制，从而提高系统的性能和安全性。提供日志审计本防火墙配备了日志记录系统和查询工具，用于记录系统管理、系统访问及针对安全策略的网络访问情况。防火墙数据库的备份本防火墙制作防火墙过滤数据库，并且管理员可以能动地对该数据库进行设置。课题结论：课题结论：基于Linux的防火墙实施在各个网络端点上，克服了传统防火墙的缺陷，有效保护了主机，适应了新的网络应用的需要。我们构建了一个可运行的范例展示了分布式防火墙的可行性。其健壮性、有效性和可扩展性还需要作进一步的试验进行评估、测定。指导教师姓名张迁参加学生姓名朱真珠指导教师意见市校审核意见审核部门盖章：年月日南京广播电视大学毕业设计说明书3基于Linux的防火墙设计与实现（南京广播电视大学计算机网络专业姓名朱真珠学号087530503）【内容摘要】:防火墙是网络安全研究的一个重要内容，数据包捕获是包过滤型防火墙的前提，本文对基于linux主机的个人防火墙的数据包捕获模块进行了研究,重点论述数据包捕获模块的结构、组成以及功能。首先对信息安全及防火墙的重要性进行论述，并给出防火墙的详细分类；然后分析了基于linux主机的个人防火墙总体设计及软硬件平台原理，接着论述linux下的数据包捕获模块结构与原理，并详述其具体实现步骤关键词防火墙linux数据包捕获模块包过滤南京广播电视大学毕业设计说明书4目录绪论........................................................................................................................................................1第一章LINUX系统...............................................................................................................................11.1LINUX系统简介.............................................................................................................................11.2LINUX的特点.................................................................................................................................2第二章防火墙简介................................................................................................................................42.1传统防火墙及其缺陷...................................................................................................................42.2分布式防火墙...............................................................................................................................4第三章LINUX防火墙的几种常见功能.............................................................................................53.1包过滤..........................................................................................................................................53.2代理..............................................................................................................................................63.3IP伪装.........................................................................................................................................73.4一个LINUX防火墙实例..............................................................................................................8第四章防火墙系统..............................................................................................................................114.1防火墙系统总体设计.................................................................................................................11第五章基于LINUX的数据包捕获模块..............................................................................................115.1基于LINUX的数据包捕获模块结构...........................................................................................115.2基于LINUX的数据包捕获模块原理分析...................................................................................12第六章数据包捕获模块设计..............................................................................................................136.1数据包捕获模块设计流程.........................................................................................................136.2数据包捕获模块实现.................................................................................................................14第七章程序中用到的结构体..............................................................................................................157.1程序中用到的一些结构体解析.................................................................................................15致辞：....................................................................................................................................................17参考文献:..............................................................................................................................................18南京广播电视大学毕业设计说明书1绪论网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。根据防火墙所采用的技术不同，可以将它分为四种基本类型：包过滤型、网络地址转换—nat、代理型和监测型。包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全络地址转换是一种用于把ip地址转换成临时的、外部的、注册的ip地址标准。它允许具有私有ip地址的内部网络访问因特网。代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。监测型防火墙是新一代的产品，能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。监测型防火墙在安全性上已超越了包过滤型和代理服务器型防火墙，但其实现成本较高。基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用某些监测型技术。第一章Linux系统1.1Linux系统简介Linux是一套免费使用和自由传播的类Unix操作系统。我们通常所说的Linux，指的是GN