Linux个人防火墙的设计与实现--数据包捕获部分.pdfVIP

维普资讯 Linux个人防火墙的设计与实现 数据包捕获部分 华南理工大学计算机学院 陈晓霞 华南师范大学电信学院 刘寿强 陈梓忠 摘 要 防火墙是网络安全研究的一个重要内容，数据包捕获是包过滤型防火墙的前提。本文对基于Linux主机的个人 防火墙的数据包捕获模块进行 了研究，重点论述数据 包捕获模块的结构、组成以及功能。首先对信息安全及防火墙的重 要性进行论述，并给 出防火墙的详细分类；然后分析了基于Linux主机的个人防火墙总体设计及软硬件平台原理，接着 论述Linux下的数据包捕获模块结构与原理，并详述其具体实现步骤。 关键词 防火墙 Linux数据包捕获模块 包过滤 防火墙概述 用。监测型防火墙在安全性上已超越了包过滤型和代理服务器 型防火墙，但其实现成本较高。基于对系统成本与安全技术成 本的综合考虑，用户可以选择性地使用某些监测型技术。 网络防火墙技术是一种用来加强网络之问访问控制，防止 外部网络用户以非法手段通过外部网络进入内部网络，访问内 部网络资源，保护内部网络操作环境的特殊网络互联设备。它 二、基于Linux个人防火墙总体设计 对两个或多个网络之间传输的数据包按照一定的安全策略来实 施检查，以决定网络之间的通信是否被允许，并监视网络运行 本文研究的是防火墙系统的软硬件环境以及该防火墙的开 状态。 发步骤和所要实现的功能，最后重点对该防火墙系统所需要的 根据防火墙所采用的技术不同，可以将它分为四种基本类 硬件和软件平台原理进行说明。尽管所有Linux系统都 自带防 型：包过滤型、网络地址转换一NAT、代理型和监测型。包过 火墙内核程序，但需要用户进行配置才能起到保护网络安全的 滤型产品是防火墙的初级产品，其技术依据是网络中的分包传 目的。 1 输技术。包过滤技术的优点是简单实用，实现成本较低，在应 、 防火墙系统总体设计 用环境比较简单的情况下，能够以较小的代价在一定程度上保 Linux系统下实现软件防火墙的设计与应用，实质上就是 证系统的安全。网络地址转换是一种用于把 IP地址转换成临 基于主机的网络安全解决方案。因此，我们完全可以选择合适 时的、外部的、注册的IP地址标准。它允许具有私有 IP地址 的软硬件平台和相应的防火墙设计原理，自己开发出一套能够 的内部网络访问因特网。 满足要求的防火墙系统。 代理型防火墙也可以被称为代理服务器，它的安全性要高 归纳起来这里要实现的防火墙需要满足两大要求：第一， 于包过滤型产品，并已经开始向应用层发展。代理型防火墙的 必须能够对主机提供安全保护，即对主机与局域网以外的主机 优点是安全性较高，可以针对应用层进行侦测和扫描，对付基 进行数据传输时实施安全保护 {第二，必须能够提供 良好的人 于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性 机接 口界面，具有容易操作、容易管理的优点。 能有较大的影响，而且代理服务器必须针对客户机可能产生的 考虑到现有硬件设备的限制，在保证满足实验要求的环境 所有应用类型逐一进行设置，大大增加了系统管理的复杂性。 下尽可能地简化实验环境。因为该防火墙系统是基于主机设计 监测型防火墙是新一代的产品，能够对各层的数据进行主 的，故 只需要一个联网的主机即可进行实验。该系统是在 动的、实时的监测，在对这些数据加 以分析的基础上，监测型 Linux环境下用C语言