网络防火墙设计与技术研究.docVIP

网络防火墙设计与技术研究 　　[摘要]随着计算机网络技术的快速发展， 全球信息化已成为世界发展的大趋势。在当今的信息社会中，计算机网络在政治、经济、军事、日常生活中发挥着日益重要的作用，从而使人们对计算机网络的依赖性大大加强，现有的计算机网络在建立之初大都忽视安全问题， 而且多数都采用协议，协议在设计上具有缺陷， 因为协议在设计上力求运行效率，其本身就是造成网络不安全的主要因素。由于计算机网络具有连接形式多样性、开放性、互联性等特点，使网络很容易受到各种各样的攻击，所以当人们充分享受网络所带来的方便和快捷的同时，也充分认识到网络安全所面临的严峻考验，本文主要分析LINUX内核防火墙的技术和设计开发的实现过程。 　　[关键词]网络安全 防火墙 包过滤 Linux 　　中图分类号：TP3 文献标识码：A 文章编号：1671－7597(2008)0710058－03 　　 　　一、课题研究的背景和现状 　　 　　计算机网络是指将物理上分离的多台独立计算机通过通信线路互相连接起来的一个信息共享，协同工作的计算平台。它能够实现信息传送和信息处理功能，使网络中的用户能够共享数据资源。Internet最初起源于1969年美国国防部高级研究计划局ARPA(Advanced ResearchProject Agency)建立的试验网络ARPAnet。短短的几十年时间里internet已经发展为几百万个网络互联加入，信息化、网络化已经成为时代的重要特征。人类进入知识经济时代，社会和军事的发展都强烈的依赖于信息网络，然而利用和依赖的程度越高，网络安全问题带来的风险和挑战就越大。随着internet在我国的迅速发展和普及，信息安全问题也越来越突出，许多单位和个人都曾经遭受过黑客不同程度的入侵和破坏。黑客为什么能如此容易的屡屡得逞呢？究其原因，主要是由于网络系统的复杂性，TCP/IP协议本身的缺陷，以及计算机系统本身存在着的固有的弱点和脆弱性，病毒泛滥等等。 　　 　　二、防火墙的应用分类 　　 　　在网络安全问题日益严重的情况下，各种网络安全的防范措施应运而生，从第一个防火墙产品出现至今，防火墙作为一种解决网络间访问控制的有效方法，保护计算机网络安全的技术性措施，是一种访问控制技术，主要作用是通过限制网络通信，阻止对信息资源的非法访问和防止保密信息从受保护网络非法输出，在网络边界上通过建立起来的网络通信监控系统来隔离内部和外部网络，以阻挡外部网络的侵入从运行机制上看，防火墙主要有以下2种类型： 　　1．包过滤防火墙( Filtering Firewall) :包过滤防火墙设置在网络层，包过滤技术是根据定义的过滤规则，通过对IP 包的IP 地址等信息进行匹配以决定对此包的处理。 　　2．代理防火墙(Proxy Firewall) :代理防火墙又称应用层网关级防火墙，它的安全功能是隐藏客户，因为它代表客户发起连接，而且可防止外部主机对内部机器上服务的连接，较包过滤防火墙而言，代理可进一步过滤数据内容，在有效数据部分中寻找可疑内容，当然其代价就是系统时间的消耗。 　　 　　三、Linux防火墙内核及模块 　　 　　目前Linux操作系统以其良好的稳定性、低廉的价格和开放的源代码等优点逐渐成为人们广泛使用的系统，Linux的迅速发展，这既得益于它的自由软件属性和稳定、高效、健壮的内核，也与Linux是一个高性能的网络操作系统密不可分。自从1995年ipfwadm开始进入Linux1.2.1核心，Linux的防火墙实现有很长的时间了。ipfwadm实现了标准的TCP/IP包过滤功能，比如过滤源地址与目的地址以及端口过滤。早在1999年第一个稳定的2.2.0核心中防火墙的实现被ipchains替代了，ipchains的新功能包括支持规则链，碎片包控制，较好的网络地址翻译功能(NAT)以及其他一些有用的改进。我们需要明白Linux防火墙包括核心级代码(通常是可加载核心模块或者核心源程序的补丁)和用户级代码(一个配置的工具，比如/usr/bin/ipchains，这是用来插入包规则到核心空间的)因此无论如何，只要新的Linux防火墙代码被引入，核心和用户空间的有关代码都要改写。然而，Linux2.4内核中Netfilter/Iptables的出现，所带来的最重要变化就是引入了模块化的架构方式。比如，ipchains和ipfwadm兼容模式是通过一个核心模块的设置实现的，该模块能够在运行的核心中插入，以便提供相应的通讯功能。在Netfilter/iptables中用户自定义编码功能已经成为了可能，比如过滤一定范围的端口，根据TTL值和包的到达时间进行判断，对自定义的协议进行状态监视，对随机的数据包进行监视，用其自身的防火墙管理工具I