基于linux内核netfilter模块的防火墙毕业答辩.pptVIP

防火墙功能测试 IP地址过滤端口过滤协议过滤 日志记录文件 基于linux防火墙的包过滤策略设计与实现  2012年6月13日 选题背景 （1）网络安全问题突出：病毒，信息窃取等 （2）包过滤防火墙 ：设计相对简单，开发成本低，可以满足相对简单的网络防御要求等 （3）linux系统：开源，稳定，应用广泛， 学习资源多，网络功能强大 设计原理及方案 包过滤防火墙： 将每个经过主机网卡的数据包的包头信息（如ip、端口、协议等）与防火墙事先设置好的过滤规则进行匹配，若匹配成功，则根据规则中的数据包处理方式来决定数据包的丢弃还是接收。 安全域 数据包 数据包 拆开数据包 Source Destination Permit Protocol Host A Host C Pass TCP Host B Host C Accept UDP 查找对应的控制策略 根据策略决定如 何处理该数据包 数据包 数据包 IP头 TCP头 数据 包过滤判断信息 包过滤防火墙工作原理示意图 基于源ip 基于目的ip 基于源端口 基于目的端口 基于协议 ……….. 本方案基于linux内核中netfilter模块设计 netfilter模块网络数据包处理流程图 防火墙总体架构图 防火墙主要功能模块 (1) 内核数据包过滤框架：netfilter过滤框架 (2) 用户与内核空间的交互：netlink通信机制 (3) 规则命中日志记录：内核文件操作 内核数据包过滤框架 用户空间与内核空间交互 netlink通信机制图 规则命中日志记录 内核文件操作： 创建文件、写文件等操作 防火墙功能测试 IP地址过滤 下发规则前，ping 127.0.0.1，可以正常ping通： 下发规则./fw_user -A INPUT 127.0.0.1 0 0 0 proto DROP之后： IP地址过滤 防火墙功能测试IP地址过滤 端口过滤 端口过滤 下发规则前，可以将虚拟机root目录下的名称为1的文件传送到ip 为10.8.1.34的虚拟机（这里是虚拟机本机）的home目录下： 下发规则./fw_user -A OUTPUT 0 0 0 22 proto DROP之后，无法传送文件 ： 防火墙功能测试 IP地址过滤端口过滤 协议过滤 协议过滤 下发规则前，ping虚拟机本机ip 10.8.1.34，可以正常ping通： 下发规则./fw_user -A INPUT 0 0 0 0 icmp DROP之后；无法ping通 日志记录文件 谢谢各位评委老师！ * *