基于Linux系統的包過濾防火墻

基于Linux系統的包過濾防火墻

畢業論文

基于Linux系統的包過濾防火墻
 
摘 要：隨著21世紀的到來，Internet的迅速發展給現代人的生產和生活都帶來了前所未有的飛躍，大大提高了工作效率，豐富了人們的生活，彌補了人們的精神空缺；而與此同時給人們帶來了1個日益嚴峻的問題——網絡安全。在眾多的網絡安全防范手段中，防火墻有著價格低廉、適用性強、操作相對簡單等特點，因此得到了眾多受眾的喜愛。本文從網絡安全這1課題入手，逐步深入，論述了在Linux系統上實現包過濾防火墻的過程。
本文的第1章主要是對當今網絡的發展和網絡安全的現狀進行了描述和分析；第2章主要對網絡中常用的4種攻擊模式進行了分析和比較，它們分別是：服務拒絕攻擊、利用型攻擊、信息收集型攻擊、假消息攻擊；本文的第3章綜合介紹分析現今常用的防火墻的6種模式，他們分別是：包過濾防火墻、狀態/動態檢測防火墻、應用程序代理防火墻、NAT設置防火墻、個人防火墻，其中重點介紹了包過濾防火墻，并詳細分析其優缺點；第4章著重介紹Linux內核模塊編程及其防火墻架構Netfilter；第5章，本文介紹開發1個簡單的包過濾防火墻的過程。
最后，第6章本文對整個設計以及網絡安全和包過濾防火墻的特點進行了1個總結。
關鍵詞：網絡安全；網絡攻擊；防火墻；Netfilter；鉤子函數
 
Packet Filtering Firewall On The Linux System
 
Abstract：Along with the advent of 21 century, the internet’s flying development brings us unimaginable advancement on life style and industry. It not only improves on our work efficiency, but also enriches peoples life. It’s becoming more and more important for us. Whereas internet’s development also brings us a progressively problem called the safety of network. In numerous of modes to keep away from network attacks, firewall depends on its logical price, strong applicability and wieldy handle win a lots of people’s favor. This thesis started with network safety, and discussed how to design a packet filtering firewall on Linux system.
 In content, this thesis includes six parts. At the chapter 1 of the thesis, it depicted and analysed the actuality of network safety in China. At the next chapter it compared and analysed four models of network attacks nowadays. On chapter 3, it introduced six models of firewall ,afterward, it detailed introduced the elements of paket filtering firewall and analysed its excellences and disadvantages. Chapter 4 is to introduce Linux kernel and Netfilter which is the basic on theoretics to design a packet filtering firewall on Linux system. And the chapter 5 is to introduce the processes of designing a filewall.
Finally, it carried the summary of the whole thesis.
Keyword: The network safety The network attacks  Firewall  Netfilter  Hook
目  錄
前   言 1
1 網絡安全概述 2
1.1 何謂網絡安全 2
1.2 我國網絡安全現狀 2
1.3 網絡安全問題的解決辦法 4
1.4 本章小結 5
2 網絡攻擊模式簡介 6
2.1 服務拒絕攻擊 6
2.2 利用型攻擊 8
2.3 信息收集型攻擊 9
2.4 假消息攻擊 10
2.5 本章小結 10
3 防火墻模式及分析 11
3.1 包過濾防火墻 11
3.2 狀態/動態防火墻 13
3.3 應用程序代理防火墻 15
3.4 NAT 15
3.5 個人防火墻 16
3.6 本章小結 17
4 Linux內核模塊編程及Netfilter 18
4.1 Linux內核模塊和驅動的編寫 18
4.2 Netfilter及其HOOK函數簡介 23
4.3 利用Netfilter實現Linux內核防火墻 27
5 詳細設計 33
5.1 開發系統概述 33
5.2、主要算法描述 34
5.3遇到的問題及解決方法 35
5.4 源程序、注解及用戶手冊 36
6 結束語 37
參考文獻 38
致  謝 39
附錄1：源程序及其注解 40
附錄2：用戶手冊 60

前   言
防火墻作為1種網絡或系統之間強制實行訪問控制的機制，是確保網絡安全的重要手段。如果用戶能根據自己的實際需要，將防火墻設計的1般理論和方法與自己系統的具體實踐相結合，設計1些小而精、精而強的防火墻程序，則往往可以發揮出比花大價錢買來的通用型防火墻更好的作用。
由于篇幅限制，本文僅以Linux系統為例，介紹了1個運用Netfilter技術的簡單包過濾防火墻的設計與實現。
該防火墻的設計與實現是基于Linux 2.4內核的1個子系統——Netfilter，運用其提供的HOOK函數接口連接內核的方法來實現。Netfilter子系統能使諸如數據包過濾、網絡地址轉換(NAT)以及網絡連接跟蹤等技巧成為可能，這些功能僅需通過使用內核網絡代碼提供的各式各樣的HOOK既可以完成。通過Netfilter設計的該防火墻，具有簡潔有效、代碼精簡等優點，并且不要求用戶對Linux內核擁有專家級的了解。

【基于Linux系統的包過濾防火墻】相關文章：

基于Netfilter的包過濾防火墻設計03-08

基于LINUX操作系統 的防火墻技巧及其具體實現03-23

基于ARM9微處理器與Linux操作系統的SD驅動開發03-07

基于Linux和S3C2410嵌入式圖像采集系統設計03-07

嵌入式Linux系統中的GUI系統的研究與移植03-18

linux系統論文參考文獻11-14

基于linux的網絡對講機的研究與實現03-07

解析基于ARM9的Linux內存映射03-07

基于WEB的在線考試系統03-09