【摘要】：當前網(wǎng)絡安全所面臨的威脅主要來自病毒攻擊、木馬攻擊、黑客攻擊以及間諜軟件的竊密。光靠殺毒軟件不足以保證系統(tǒng)的安全。傳統(tǒng)防火墻在面對新一代的網(wǎng)絡安全威脅作用越來越小,而UTM(統(tǒng)一威脅管理)網(wǎng)關雖然集成了防火墻、防毒系統(tǒng)、入侵檢測與監(jiān)控系統(tǒng)等功能,但在性能以及應對內(nèi)部網(wǎng)絡安全威脅方面存在不足,需要與應用級防火墻相互配合來共同維護網(wǎng)絡安全。本文通過對Linux內(nèi)核、防火墻原理與技術、TCP/IP協(xié)議以及Linux高級網(wǎng)絡特性的研究,實現(xiàn)了一個Linux環(huán)境下的簡易防火墻。本次設計的校園防火墻提供了URL過濾功能,可以控制校園用戶對非法站點的訪問。它可以實現(xiàn)IP地址和MAC地址的綁定,防止校園內(nèi)部網(wǎng)絡用戶更換IP地址,進行惡意攻擊。目前學院硬件防火墻(RG-WALL 1600-EI)具有流量控制功能,可以分配合理的帶寬給校園用戶。RG-WALL 1600-EI還具有HTTP透明代理,NAT功能和VPN等功能,能夠充分滿足校園網(wǎng)絡的需要,但這些都必須購買相應的模塊。SIPFW防火墻的總體架構(gòu)由兩個部分組成:用戶空間部分的交互控制用戶接口和內(nèi)核空間部分的處理模塊。本文通過對netfilter架構(gòu)上INPUT鏈、OUTPUT鏈、FORWARD鏈的網(wǎng)絡數(shù)據(jù)進行過濾完成對進入本地、從本機發(fā)出、經(jīng)由本機轉(zhuǎn)發(fā)的網(wǎng)絡數(shù)據(jù)進行處理。用戶空間主要由命令行解析和內(nèi)核通信兩部分組成,命令行解析使用GNU系統(tǒng)函數(shù)進行處理,通信部分則負責傳遞用戶的合法輸入信息并將該操作結(jié)果展示給用戶。本文設計的防火墻內(nèi)核空間與用戶空間之間的通信,通過內(nèi)接建立的私有Netlink通信類型的套接字進行處理完成用戶對過濾規(guī)則的列表、增加、刪除、清除等操作。通過使用Linux內(nèi)核中的PROC虛擬文件系統(tǒng)將防火墻中的信息傳遞給用戶空間。本論文所實現(xiàn)的SIPFW防火墻基本可以實現(xiàn)簡單的網(wǎng)絡數(shù)據(jù)的攔截,SIPFW防火墻的功能比較單一,可以進行網(wǎng)絡數(shù)據(jù)的攔截,可以通過用戶的命令對防火墻過濾規(guī)則進行設計,可以記錄防火墻規(guī)則的命中情況,可以通過配置文件和PROC虛擬文件系統(tǒng)對防火墻進行簡單的配置等。本系統(tǒng)經(jīng)過測試,運行良好,已達到預期效果。
[Abstract]:The main threats to network security come from virus attack, Trojan horse attack, hacker attack and spyware theft. Anti-virus software alone is not enough to ensure the safety of the system. In the face of the new generation of network security threats, the traditional firewall is becoming less and less effective, while the UTM (Unified threat Management) gateway integrates the functions of firewall, anti-virus system, intrusion detection and monitoring system, etc. However, there are shortcomings in performance and in dealing with internal network security threats, so it is necessary to cooperate with application-level firewalls to maintain network security. Based on the research of Linux kernel, firewall principle and technology, TCP / IP protocol and the characteristics of Linux advanced network, a simple firewall in Linux environment is implemented in this paper. This design of campus firewall provides URL filtering function, which can control the access of campus users to illegal sites. It can realize the binding of IP address and MAC address, and prevent the users of campus internal network from changing IP address and making malicious attack. At present, the college hardware firewall (RG-WALL 1600-EI) has the function of flow control, which can allocate reasonable bandwidth to the campus user. RG-WALL 1600-EI also has the functions of HTTP transparent proxy, Nat and VPN, which can fully meet the needs of campus network. But all these must purchase the corresponding module. SIPFW firewall architecture consists of two parts: interactive control user interface in user space part and processing module in kernel space part. In this paper, the network data of the INPUT output chain is filtered on the netfilter architecture, and the network data which is sent out from the local computer and transmitted through the local computer is processed. The user space is mainly composed of two parts: command line parsing and kernel communication. The command line parsing is handled by GNU system function, and the communication part is responsible for transmitting the legitimate input information of the user and displaying the operation result to the user. In this paper, the communication between the firewall kernel space and the user space is processed by the socket of the private Netlink communication type, which is used to complete the list, add, delete, and clear of the filter rules. The information in firewall is transferred to user space by using PROC virtual file system in Linux kernel. The SIPFW firewall implemented in this paper can basically realize the simple network data interception. The function of SIPFW firewall is relatively simple, and the network data can be intercepted. The firewall filtering rules can be designed by the user's command. We can record the hit of firewall rules and configure firewall by configuration file and PROC virtual file system. The system has been tested, running well, has achieved the desired results.
【學位授予單位】：電子科技大學
【學位級別】：碩士
【學位授予年份】：2015
【分類號】：TP393.08;TP316.81

【相似文獻】

相關期刊論文 前10條

1 李慶東,張文娟;網(wǎng)絡安全問題研究[J];情報科學;2000年08期

2 ;計算機網(wǎng)絡安全導論[J];工業(yè)控制計算機;2000年04期

3 牛丹梅,洪毅,王軍;淺議網(wǎng)絡安全技術及管理[J];黑龍江水利科技;2000年02期

4 ;網(wǎng)絡安全技術[J];農(nóng)業(yè)信息探索;2000年02期

5 辛欣;認識網(wǎng)絡安全──與3Com電子商務發(fā)展經(jīng)理的對話[J];市場與電腦;2000年08期

6 ;網(wǎng)絡安全,路在腳下[J];市場與電腦;2000年08期

7 陳永;上海加強網(wǎng)絡安全──“互聯(lián)網(wǎng)絡安全問題與對策”研討會舉行[J];上海微型計算機;2000年12期

8 徐晨;網(wǎng)絡安全 商機無限[J];上海微型計算機;2000年34期

9 屠政;正有網(wǎng)絡公司開啟網(wǎng)絡安全之門[J];中國信息導報;2000年09期

10 馮婷婷;網(wǎng)絡安全警句[J];軟件工程師;2000年08期

相關會議論文 前10條

1 李正男;吳亞非;丁志新;;計算機網(wǎng)絡安全概述[A];第六次全國計算機安全技術交流會論文集[C];1991年

2 劉小躍;馬建峰;;高等師范院校網(wǎng)絡安全課程教改新思路[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

3 劉勝利;劉楠;肖達;劉龍;;網(wǎng)絡安全專業(yè)本科生創(chuàng)新能力培養(yǎng)研究與探索[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

4 陳紅松;;網(wǎng)絡安全課程中學生興趣的激發(fā)與培養(yǎng)[A];著力提高高等教育質(zhì)量，，努力增強高校創(chuàng)新與服務能力——北京市高等教育學會2007年學術年會論文集（上冊）[C];2008年

5 張軍;;網(wǎng)絡安全的形勢與對策[A];四川省通信學會2006年學術年會論文集（二）[C];2006年

6 ;積極推進全球網(wǎng)絡安全[A];四川省通信學會2006年學術年會論文集（二）[C];2006年

7 洪婷;陳永定;;淺談圖書館網(wǎng)絡安全與對策[A];福建省圖書館學會2006年學術年會論文集[C];2006年

8 陳雯;;淺談圖書館網(wǎng)絡安全[A];福建省圖書館學會2007年學術年會論文集[C];2007年

9 李穎;;淺談網(wǎng)絡安全應對策略[A];天津市電視技術研究會2012年年會論文集[C];2012年

10 陳其豐;;客戶網(wǎng)絡安全探討[A];海南省通信學會學術年會論文集（2008）[C];2008年

相關重要報紙文章 前10條

1 肖健;六大趨勢“惹火”2005網(wǎng)絡安全[N];中國計算機報;2005年

2 鮑捷;中外聯(lián)手維護網(wǎng)絡安全[N];人民日報;2004年

3 記者 史芳;“先發(fā)制人”成為網(wǎng)絡安全新主張[N];中國經(jīng)濟導報;2006年

4 國際電聯(lián)電信標準化局局長 本報高級顧問 趙厚麟;推進全球網(wǎng)絡安全：多方協(xié)作的重大工程[N];人民郵電;2006年

5 賽迪顧問通信產(chǎn)業(yè)研究中心咨詢師 李煜;網(wǎng)絡安全市場面臨洗牌[N];通信產(chǎn)業(yè)報;2007年

6 ;二季度網(wǎng)絡安全市場銷售額達11億美元[N];網(wǎng)絡世界;2006年

7 Tony;強勁需求拉動網(wǎng)絡安全市場快速增長[N];中國計算機報;2007年

8 黃粵寶 本報記者 叢曉明;公安機關檢查網(wǎng)絡安全工作[N];丹東日報;2008年

9 記者 方祥生;歐安組織網(wǎng)絡安全會議開幕[N];光明日報;2009年

10 傅曉輝;網(wǎng)絡安全商機開盤[N];通信產(chǎn)業(yè)報;2004年

相關博士學位論文 前10條

1 薄澄宇;網(wǎng)絡安全與中美關系[D];中共中央黨校;2015年

2 李偉明;網(wǎng)絡安全語言關鍵技術的研究[D];華中科技大學;2006年

3 張建鋒;網(wǎng)絡安全態(tài)勢評估若干關鍵技術研究[D];國防科學技術大學;2013年

4 司加全;網(wǎng)絡安全態(tài)勢感知技術研究[D];哈爾濱工程大學;2009年

5 田大新;網(wǎng)絡安全中若干問題的研究[D];吉林大學;2007年

6 Kittichote Rojanakul（開心）;E-GOVERNMENT NETWORK SECURITY E-GOVERNMENT的網(wǎng)絡安全的研究[D];吉林大學;2011年

7 甘亮;面向網(wǎng)絡安全監(jiān)控的流數(shù)據(jù)處理技術研究[D];國防科學技術大學;2011年

8 牛峗;單通道10Gbps在線網(wǎng)絡安全處理器設計研究與實現(xiàn)[D];清華大學;2014年

9 萬國根;面向內(nèi)容的網(wǎng)絡安全監(jiān)控模型及其關鍵技術研究[D];電子科技大學;2005年

10 張樹壯;面向網(wǎng)絡安全的高性能特征匹配技術研究[D];哈爾濱工業(yè)大學;2011年

相關碩士學位論文 前10條

1 張衛(wèi)清;網(wǎng)絡安全與網(wǎng)絡安全文化[D];南華大學;2006年

2 吳磊;網(wǎng)絡安全企業(yè)服務營銷問題研究[D];華北電力大學（北京）;2006年

3 張煜;基于信息融合的分層次網(wǎng)絡安全態(tài)勢感知研究[D];天津理工大學;2015年

4 劉敏;基于攻擊圖的網(wǎng)絡安全評估技術研究[D];南京理工大學;2015年

5 李棟楠;P公司網(wǎng)絡安全及管理體系的改進與實施研究[D];廣西大學;2015年

6 曾玉生;基于Linux平臺的內(nèi)江職業(yè)技術學院防火墻系統(tǒng)的設計與實現(xiàn)[D];電子科技大學;2015年

7 戴銀華;網(wǎng)絡安全綜合評價技術研究[D];天津大學;2007年

8 焦鵬程;綜合化無線IP網(wǎng)絡安全接入平臺的設計與實現(xiàn)[D];西安電子科技大學;2009年

9 楊森香;網(wǎng)絡安全監(jiān)管系統(tǒng)的研究與應用[D];華北電力大學（北京）;2010年

10 趙祖亮;青島檢驗檢疫局網(wǎng)絡安全解決方案[D];中國海洋大學;2004年

本文編號：2239795