基于Linux的防火墙设计与实现..doc

摘 要 防火墙是网络安全研究的一个重要内容，数据包捕获是包过滤型防火墙的前提，本文对基于linux主机的个人防火墙的数据包捕获模块进行了研究,重点论述数据包捕获模块的结构、组成以及功能。首先对信息安全及防火墙的重要性进行论述，并给出防火墙的详细分类；然后分析了基于linux主机的个人防火墙总体设计及软硬件平台原理，接着论述linux下的数据包捕获模块结构与原理，并详述其具体实现步骤 关键词： 防火墙 linux， 数据包捕获模块 ，包过滤 Abstract firewall network security is an important content of the research, the packet filter packet capture is the premise of firewall, this paper is based on personal firewall of host Linux packet capture module was studied,and focuses on the packet captures module structure, composition and function. First to information security and the importance of the firewall is discussed in detail, and gives the firewall. Then based on the analysis of the main Linux personal firewall software and hardware platform and overall design principle, then discusses the Linux packet capture module structure and principle, and discuss its specific implementation steps. Keywords: firewall Linux; packet captures; the packet filter modules 目录 绪 论 1 第一章 Linux系统 2 1.1 Linux系统简介 2 1.2 Linux的特点 2 第二章 防火墙简介 5 2.1传统防火墙及其缺陷 5 2.2分布式防火墙 5 第三章 ?LINUX防火墙的几种常见功能 9 3.1 包过滤 9 3.2 代理 9 3.3 IP伪装 11 3.4 一个LINUX防火墙实例 12 第四章 防火墙系统 15 4.1防火墙系统总体设计 15 第五章 基于linux的数据包捕获模块 16 5.1基于linux的数据包捕获模块结构 16 5.2基于linux的数据包捕获模块原理分析 16 第六章 数据包捕获模块设计 19 6.1数据包捕获模块设计流程 19 6.2数据包捕获模块实现 19 第七章 程序中用到的结构体 21 7.1程序中用到的一些结构体解析 21 致 辞 23 参考文献: 24 绪言 网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。 根据防火墙所采用的技术不同，可以将它分为四种基本类型：包过滤型、网络地址转换—nt、代理型和监测型。包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全络地址转换是一种用于把p地址转换成临时的、外部的、注册的ip地址标准。它允许具有私有ip地址的内部网络访问因特网。 代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。 监测型防火墙是新一代的产品，能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击