【摘要】：當(dāng)前網(wǎng)絡(luò)安全所面臨的威脅主要來(lái)自病毒攻擊、木馬攻擊、黑客攻擊以及間諜軟件的竊密。光靠殺毒軟件不足以保證系統(tǒng)的安全。傳統(tǒng)防火墻在面對(duì)新一代的網(wǎng)絡(luò)安全威脅作用越來(lái)越小,而UTM(統(tǒng)一威脅管理)網(wǎng)關(guān)雖然集成了防火墻、防毒系統(tǒng)、入侵檢測(cè)與監(jiān)控系統(tǒng)等功能,但在性能以及應(yīng)對(duì)內(nèi)部網(wǎng)絡(luò)安全威脅方面存在不足,需要與應(yīng)用級(jí)防火墻相互配合來(lái)共同維護(hù)網(wǎng)絡(luò)安全。本文通過(guò)對(duì)Linux內(nèi)核、防火墻原理與技術(shù)、TCP/IP協(xié)議以及Linux高級(jí)網(wǎng)絡(luò)特性的研究,實(shí)現(xiàn)了一個(gè)Linux環(huán)境下的簡(jiǎn)易防火墻。本次設(shè)計(jì)的校園防火墻提供了URL過(guò)濾功能,可以控制校園用戶對(duì)非法站點(diǎn)的訪問(wèn)。它可以實(shí)現(xiàn)IP地址和MAC地址的綁定,防止校園內(nèi)部網(wǎng)絡(luò)用戶更換IP地址,進(jìn)行惡意攻擊。這款硬件防火墻具有流量控制功能,可以分配合理的帶寬給校園用戶。RG-WALL 1000還具有HTTP透明代理,NAT功能和VPN等功能,能夠充分滿足校園網(wǎng)絡(luò)的需要。SIPFW防火墻的總體架構(gòu)由兩個(gè)部分組成:用戶空間部分的交互控制用戶接口和內(nèi)核空間部分的處理模塊。本文通過(guò)對(duì)netfilter架構(gòu)上INPUT鏈、OUTPUT鏈、FORWARD鏈的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過(guò)濾完成對(duì)進(jìn)入本地、從本機(jī)發(fā)出、經(jīng)由本機(jī)轉(zhuǎn)發(fā)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理。用戶空間主要由命令行解析和內(nèi)核通信兩部分組成,命令行解析使用GNU系統(tǒng)函數(shù)進(jìn)行處理,通信部分則負(fù)責(zé)傳遞用戶的合法輸入信息并將該操作結(jié)果展示給用戶。本文設(shè)計(jì)的防火墻內(nèi)核空間與用戶空間之間的通信,通過(guò)內(nèi)接建立的私有Netlink通信類型的套接字進(jìn)行處理完成用戶對(duì)過(guò)濾規(guī)則的列表、增加、刪除、清除等操作。通過(guò)使用Linux內(nèi)核中的PROC虛擬文件系統(tǒng)將防火墻中的信息傳遞給用戶空間。本論文所實(shí)現(xiàn)的SIPFW防火墻基本可以實(shí)現(xiàn)簡(jiǎn)單的網(wǎng)絡(luò)數(shù)據(jù)的攔截,SIPFW防火墻的功能比較單一,可以進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的攔截,可以通過(guò)用戶的命令對(duì)防火墻過(guò)濾規(guī)則進(jìn)行設(shè)計(jì),可以記錄防火墻規(guī)則的命中情況,可以通過(guò)配置文件和PROC虛擬文件系統(tǒng)對(duì)防火墻進(jìn)行簡(jiǎn)單的配置等。本系統(tǒng)經(jīng)過(guò)測(cè)試,運(yùn)行良好,已達(dá)到預(yù)期效果。
【圖文】：

與接收消息相反：首先申請(qǐng)一個(gè) struct sk_buff 結(jié)構(gòu)，規(guī)則化后ct nlmsghdr 置于緩沖區(qū)前面，最后調(diào)用函數(shù) netlink_ unicast()將處理完畢用戶命令后再使用函數(shù) kfree_ skb()釋放 struct sk_buff 空間主程序框架空間主程序框架如圖 4-12 所示：首先解析用戶輸入的參數(shù)并判性，在控制臺(tái)上顯示解析結(jié)果，建立 NETLINK 套接字將解析結(jié)內(nèi)核響應(yīng)。用戶的操作為列出規(guī)則列表時(shí)，先判斷規(guī)則鏈的個(gè) 0，則返回結(jié)果為空，，否則用戶空間一直等待直至內(nèi)核將規(guī)則全戶的操作為規(guī)則設(shè)置時(shí)，將規(guī)則寫入到規(guī)則文件當(dāng)中并返回已

圖 4-14 PROC 虛擬文件的建立OC 文件的讀寫同 Linux 系統(tǒng)文件讀寫操作相同，故在此不做贅述志管理模塊系統(tǒng)日志模塊主要記錄防火墻用戶自定義過(guò)濾規(guī)則的命中情況，不的命中情況（默認(rèn)規(guī)則命中較多，會(huì)使得日志文件的無(wú)限增大）�；饓θ罩疚募穆窂綄姆阑饓ε渲梦募凶x取， 如果配置文件中，將從路徑"/etc/sipfw.log" 的文件中讀取， 并將命中規(guī)則寫入此文志文件的一行為注釋或者命中規(guī)則，防火墻日志文件的格式如下：|時(shí)間 from 源 IP 源端口 目的 IP 目的端口 協(xié)議類型 動(dòng)作]#開(kāi)頭的日志記錄所在行表示改行為注釋行，其他行則記錄了防火墻中規(guī)則，主要記錄了處理時(shí)間、源 IP 地址、源端口號(hào)、目的 IP 地址
【學(xué)位授予單位】：電子科技大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2014
【分類號(hào)】：TP393.08

【參考文獻(xiàn)】

相關(guān)碩士學(xué)位論文 前1條

1 王維劍;基于netfilter/iptables防火墻的設(shè)計(jì)與實(shí)現(xiàn)[D];安徽理工大學(xué);2012年

本文編號(hào)：2537906