基于LINUX的代理防火墙的开发研究.pdfVIP

网络与通信 基于LINUX的代理防火墙的开发 鹿凯宁 姚伟栋 杨晋生 (天津大学计算机信息网络中心，300072,laliu@,ywd@,jsyang@) 摘 要 本文主要介绍基于LINUX的平台的代理防火墙的开发和所实现的功能，并结合目前一些代理服务器的 不足提出一些改进，以及改进的实现途径 关键词 代理 LINUX POSXI.1防火墙 ARP绑定 TheDevelopmentofLinux-basedProxy-Firewall LuKaining YaoWeidongYangJinsheng ComputerInformationNetworkCenter TianjinUniversiyt Tian她,300072,PR.C Abstract ThispaperintroducesthedevelopmentofProxy-FirewallbasesLinuxanditsfunctions，thenpresentsthe methodsofimprovementaccordingtosomelimitationsofproxyserverscurrentlyused. KeywordsProxy Linux POSIXIFirewall人RPbinded 随着信息产业的发展，因特网已经成为一种强 对这一端口的访问策略列表来决定对这个报文的动 有力的实用工具，用于电子交易、广告宣传、信息 作:如果允许通过，就予以简单的转发;如果被禁 交换与知识获取。但是，将企业内部的LAN接入 止，则丢弃该报文。这种防火墙对通信的两端主机 因特网必须有相应的安全防护措施，内部LAN对 来说是不可见的，传输层的链路完整地存在于源主 外部资源的访问同样也要进行控制，比如对某些站 机与目的主机之间，两端的应用层软件不必做任何 点的隔离或者对一些网段的计费等。一般的方法是 改动。由于过滤型防火墙对报文的处理较少，占用 设置防火墙。防火墙的实体是一种软件，它既有在 机器时间少，机理简单，所以速度较快并且易于实 专门硬件上运行的产品，也有在UNIX,LINUX 现。但是相应地，它对访问的控制和监视都很薄弱， 或NT平台上的产品。代理服务器就是一种廉价防 不能满足高要求的安全策略，不能实现对资源的暂 火墙，它特别适用与中小企业或实验室LAN之间 时缓存，未能有效地降低网络流量。过滤型防火墙 的访问控制。本系统建立在LINUX平台上，全部 的示意图如F: 采用符合POSIX1的C语言函数，保证了软件的 Desination 可移植性和低成本。 SMW肠时 Filter Host 1.防火墙的一般形式 代理型防火墙，顾名思义，它将代理源主机向 防火墙一般分为两大类，一种是纯粹过滤型 目的主机发起连接。源主机发起的连接终止于代理 的，另一种是基于代理服务的。过滤型的防火墙 服务器。而目的主机收到的连接则是由代理服务器 对某一端口进来的报文的报头进行检查，并结合针 代替源主机发起的，这样，一次请求需要两次连接。 ·563 ·k ，9古岛一否港国P,洲算机会议论文集 源主_机端的高层软件必须做适当的改动，使各种清 TCP部分的实现我们将以Ht