《基于Linux的防火墙(共7页).doc》由会员分享,可在线阅读,更多相关《基于Linux的防火墙(共7页).doc(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上基于Linux的防火墙 摘要:目前防火墙发展到第四代是基于安全操作系统的防火墙,本文主要是对Linux下的防火墙Netlifter进行了探讨。首先对防火墙技术的发展阶段进行了回顾和说明。然后具体的研究了Linux下的防火墙Neffilter的框架及功能。最后基于防火墙的改进方向给出了一些建议。 关键字:防火墙Linux Netfilter 1概述 Linux是国际互联网发展的产物,在我国得到很快的发展。网络服务器使用Linux作为核心系统的比重也在不断增大。Linmx的开源策略使它得到广大用户的青睐,但这也让系统一览无余,系统存在的漏洞很容易被他人利用,因此应更加注重
2、整个系统的网络安全设计。本文就是Linux系统的防火墙Netfilter。 2防火墙技术简介 防火墙有许多种形式,有以软件形式运行在普通计算机之上的,也有以固件形式设计在路由器之中的。总体来说,根据防火墙发展的阶段层次分,目前主要可以将防火墙分为四代:包过滤防火墙、应用级网关、状态监视器和基于专用操作系统的防火墙。 2.1第一代防火墙包过滤防火墙 包过滤防火墙,最早从cisco的IOS软件中分离出来的,即对流经网络防火墙的所有数据包逐个检查。这类防火墙简洁、速度快、费用低。缺陷是工作在网络层,只检查IP和TCP的包头,不能彻底防止地址欺骗,对更高协议层的信息无理解力。 2.2第二代防火墙_应用
3、级网关防火墙 “应用代理”防火墙采用一种被称为“应用协议分析”的新技术。“应用协议分析”技术工作在OSI模型的最高层应用层上。在这一层里能接触到的所有数据都是最终形式,因而可以实现更高级的数据检测过程。 由于代理防火墙采取是代理机制进行工作,内外部网络之间的通信都需先经过代理服务器审核,通过后再由代理服务器连接,因此内外部网络两边的计算机不能直接会话。目前,代理防火墙的普及范围远远不及包过滤型防火墙。 2.3第三代防火墙状态检测防火墙 是在基于“包过滤”原理的“动态包过滤”技术发展而来的,也是为了抵御各种恶意水平网络黑客通过构造各种有害的网络数据包的攻击行为。这种防火墙技术通过一种被称为“状态
4、检测”的模块,在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,根据各种过滤规则作出安全决策。 这种“状态检测”模块称之为监测引擎。它支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。状态检测防火墙还可以检测无连接状态的远程过程调用和用户数据报之类的端口信息。 2.4第四代防火墙基于专用操作系统的防火墙 防火墙自身无法解决网络对防火墙的攻击,所以,提出了一种新的防火墙技术思想基于专用操作系统的防火墙。 我们采用安全操作系统作为防火墙的运行平台,首先,安全操作系统实现了强制访问控制手段,从而可以防止黑客对防火墙运行平台的攻击行为。Linux操作系统的兴
5、起和不断发展,使基于专用操作系统的第四代防火墙的开发成为可能。 3基于Unux的防火墙Netfilter 在Linux内核版本2.4以上采用的Netfilter架构是一种内核中用于扩展各种网络服务的结构化底层框架。Netfilter的设计思想是生成个模块结构使之能够比较容易扩展,新特性加入到内核中并不需要重新启动内核。这样,可以通过简单的构造一个内核模块来实现网络新特性的扩展。 3.1Netfilter框架 在Linux2.4内核中配置Netfilter框架的程序是一个使用getsockopt系统调用与内核通讯、称为iptables的数据报选择系统。种数据报选择用于实现数据报过滤(Filter
6、表),网络地址转换(NAT表)及数据报处理(Mangle表)。Linux2,4内核提供的这三种数据报处理功能都是独立的模块,都集成到了由Netfilter框架中。 3.2Netfilter可以实现的功能 3.2.1实现状态检测 每个网络连接包括以下信息:源地址、目的地址、源端口和目的端口,协议类型、连接状态(TCP协议)和超时时间等。它除了能够完成简单包过滤防火墙的包过滤工作外。还在内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的安全性。 3.2.2实现包过滤 Filter表格不会对数据报进行修改,而只对数据报进行过滤。lptables优于ipchains的一个方面就是它速度更快,
7、更为小巧。它是通过三个钩子函数接入Netfilter框架的。因此对于任何一个数据报只有一个地方对其进行过滤。 3.2.3实现NAT NAT表格监听三个Netfilter钩子函数。其中NF-IP-PRE-ROUTING实现对需要转发的数据报的源地址进行地址转换,而NF-IP-POST-ROUTINC则对需要转发的数据包的目的地址进行地址转换。NAT表格被用在源NAT、目的NAT、伪装(其是源NAT的一个特例)及透明代理(其是目的NAT的一个特例)。 3.2.4实现数据报从核心态到用户态的转换 标准的队列处理器模块可将数据报排队后从核心态转换到用户态。QUENE是一个特殊的目标,它将包放到用户空间
8、等待处理。需要两个额外的部件:队列处理器(处理包在内核和用户空间的流通)和用户空间的应用程序(接受包、操作包)。 4总结 本文是基于Linux的Netfilter框架实现第四代防火墙,具有自保护功能好、功能完善、配置灵活、费用低、兼容性和可扩展性好等特点。但是仍有几个问题需要在以后的研究中解决:一时如何支持目前的高宽带的网络流量问题;二是如何做好防火墙的维护和升级问题;三是如何保护各种安全软件之间的安全策略、安全需求和安全功能的对应设计问题。 对于上述防火墙中问题,目前初步建议是:采用多防火墙并行进行流量均衡以适应目前的高带宽;完善防火墙的审计功能来先期做好防火墙的维护和升级工作;进行一些安全
9、风险分析工作以保证用户安全策略和安全需求的正确实现。 参考文献: 1.黄菊.包过滤防火墙和代理防火墙的比较.郑州航空工业管理学院学报。2003,12.第21卷,第4期 2.程全洲。郝身刚.基于Linux防火墙的入侵检测技术的研究与实现,南阳师范学院学报2005,4(9). 3.李永禄,秦华,王巍Linux内核状态检测防火墙的研究与分析.无线电通信技术,2005,31(1) 4.王华.防火墒发展趋势研究.软件导报,2008.1(7):132-133. 5.韩德志.防火墙模型及系统设计J.计算机工程与应用2001,(6).21-73 6.毛德操,胡希明LINUX内核源代码情景分析.浙江大学出版社.2001专心-专注-专业