【摘要】：當(dāng)前網(wǎng)絡(luò)安全所面臨的威脅主要來自病毒攻擊、木馬攻擊、黑客攻擊以及間諜軟件的竊密。光靠殺毒軟件不足以保證系統(tǒng)的安全。傳統(tǒng)防火墻在面對新一代的網(wǎng)絡(luò)安全威脅作用越來越小,而UTM(統(tǒng)一威脅管理)網(wǎng)關(guān)雖然集成了防火墻、防毒系統(tǒng)、入侵檢測與監(jiān)控系統(tǒng)等功能,但在性能以及應(yīng)對內(nèi)部網(wǎng)絡(luò)安全威脅方面存在不足,需要與應(yīng)用級防火墻相互配合來共同維護(hù)網(wǎng)絡(luò)安全。本文通過對Linux內(nèi)核、防火墻原理與技術(shù)、TCP/IP協(xié)議以及Linux高級網(wǎng)絡(luò)特性的研究,實(shí)現(xiàn)了一個Linux環(huán)境下的簡易防火墻。本次設(shè)計(jì)的校園防火墻提供了URL過濾功能,可以控制校園用戶對非法站點(diǎn)的訪問。它可以實(shí)現(xiàn)IP地址和MAC地址的綁定,防止校園內(nèi)部網(wǎng)絡(luò)用戶更換IP地址,進(jìn)行惡意攻擊。目前學(xué)院硬件防火墻(RG-WALL 1600-EI)具有流量控制功能,可以分配合理的帶寬給校園用戶。RG-WALL 1600-EI還具有HTTP透明代理,NAT功能和VPN等功能,能夠充分滿足校園網(wǎng)絡(luò)的需要,但這些都必須購買相應(yīng)的模塊。SIPFW防火墻的總體架構(gòu)由兩個部分組成:用戶空間部分的交互控制用戶接口和內(nèi)核空間部分的處理模塊。本文通過對netfilter架構(gòu)上INPUT鏈、OUTPUT鏈、FORWARD鏈的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾完成對進(jìn)入本地、從本機(jī)發(fā)出、經(jīng)由本機(jī)轉(zhuǎn)發(fā)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理。用戶空間主要由命令行解析和內(nèi)核通信兩部分組成,命令行解析使用GNU系統(tǒng)函數(shù)進(jìn)行處理,通信部分則負(fù)責(zé)傳遞用戶的合法輸入信息并將該操作結(jié)果展示給用戶。本文設(shè)計(jì)的防火墻內(nèi)核空間與用戶空間之間的通信,通過內(nèi)接建立的私有Netlink通信類型的套接字進(jìn)行處理完成用戶對過濾規(guī)則的列表、增加、刪除、清除等操作。通過使用Linux內(nèi)核中的PROC虛擬文件系統(tǒng)將防火墻中的信息傳遞給用戶空間。本論文所實(shí)現(xiàn)的SIPFW防火墻基本可以實(shí)現(xiàn)簡單的網(wǎng)絡(luò)數(shù)據(jù)的攔截,SIPFW防火墻的功能比較單一,可以進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的攔截,可以通過用戶的命令對防火墻過濾規(guī)則進(jìn)行設(shè)計(jì),可以記錄防火墻規(guī)則的命中情況,可以通過配置文件和PROC虛擬文件系統(tǒng)對防火墻進(jìn)行簡單的配置等。本系統(tǒng)經(jīng)過測試,運(yùn)行良好,已達(dá)到預(yù)期效果。
[Abstract]:The main threats to network security come from virus attack, Trojan horse attack, hacker attack and spyware theft. Anti-virus software alone is not enough to ensure the safety of the system. In the face of the new generation of network security threats, the traditional firewall is becoming less and less effective, while the UTM (Unified threat Management) gateway integrates the functions of firewall, anti-virus system, intrusion detection and monitoring system, etc. However, there are shortcomings in performance and in dealing with internal network security threats, so it is necessary to cooperate with application-level firewalls to maintain network security. Based on the research of Linux kernel, firewall principle and technology, TCP / IP protocol and the characteristics of Linux advanced network, a simple firewall in Linux environment is implemented in this paper. This design of campus firewall provides URL filtering function, which can control the access of campus users to illegal sites. It can realize the binding of IP address and MAC address, and prevent the users of campus internal network from changing IP address and making malicious attack. At present, the college hardware firewall (RG-WALL 1600-EI) has the function of flow control, which can allocate reasonable bandwidth to the campus user. RG-WALL 1600-EI also has the functions of HTTP transparent proxy, Nat and VPN, which can fully meet the needs of campus network. But all these must purchase the corresponding module. SIPFW firewall architecture consists of two parts: interactive control user interface in user space part and processing module in kernel space part. In this paper, the network data of the INPUT output chain is filtered on the netfilter architecture, and the network data which is sent out from the local computer and transmitted through the local computer is processed. The user space is mainly composed of two parts: command line parsing and kernel communication. The command line parsing is handled by GNU system function, and the communication part is responsible for transmitting the legitimate input information of the user and displaying the operation result to the user. In this paper, the communication between the firewall kernel space and the user space is processed by the socket of the private Netlink communication type, which is used to complete the list, add, delete, and clear of the filter rules. The information in firewall is transferred to user space by using PROC virtual file system in Linux kernel. The SIPFW firewall implemented in this paper can basically realize the simple network data interception. The function of SIPFW firewall is relatively simple, and the network data can be intercepted. The firewall filtering rules can be designed by the user's command. We can record the hit of firewall rules and configure firewall by configuration file and PROC virtual file system. The system has been tested, running well, has achieved the desired results.
【學(xué)位授予單位】：電子科技大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2015
【分類號】：TP393.08;TP316.81

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 李慶東,張文娟;網(wǎng)絡(luò)安全問題研究[J];情報(bào)科學(xué);2000年08期

2 ;計(jì)算機(jī)網(wǎng)絡(luò)安全導(dǎo)論[J];工業(yè)控制計(jì)算機(jī);2000年04期

3 牛丹梅,洪毅,王軍;淺議網(wǎng)絡(luò)安全技術(shù)及管理[J];黑龍江水利科技;2000年02期

4 ;網(wǎng)絡(luò)安全技術(shù)[J];農(nóng)業(yè)信息探索;2000年02期

5 辛欣;認(rèn)識網(wǎng)絡(luò)安全──與3Com電子商務(wù)發(fā)展經(jīng)理的對話[J];市場與電腦;2000年08期

6 ;網(wǎng)絡(luò)安全,路在腳下[J];市場與電腦;2000年08期

7 陳永;上海加強(qiáng)網(wǎng)絡(luò)安全──“互聯(lián)網(wǎng)絡(luò)安全問題與對策”研討會舉行[J];上海微型計(jì)算機(jī);2000年12期

8 徐晨;網(wǎng)絡(luò)安全 商機(jī)無限[J];上海微型計(jì)算機(jī);2000年34期

9 屠政;正有網(wǎng)絡(luò)公司開啟網(wǎng)絡(luò)安全之門[J];中國信息導(dǎo)報(bào);2000年09期

10 馮婷婷;網(wǎng)絡(luò)安全警句[J];軟件工程師;2000年08期

相關(guān)會議論文 前10條

1 李正男;吳亞非;丁志新;;計(jì)算機(jī)網(wǎng)絡(luò)安全概述[A];第六次全國計(jì)算機(jī)安全技術(shù)交流會論文集[C];1991年

2 劉小躍;馬建峰;;高等師范院校網(wǎng)絡(luò)安全課程教改新思路[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

3 劉勝利;劉楠;肖達(dá);劉龍;;網(wǎng)絡(luò)安全專業(yè)本科生創(chuàng)新能力培養(yǎng)研究與探索[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

4 陳紅松;;網(wǎng)絡(luò)安全課程中學(xué)生興趣的激發(fā)與培養(yǎng)[A];著力提高高等教育質(zhì)量，，努力增強(qiáng)高校創(chuàng)新與服務(wù)能力——北京市高等教育學(xué)會2007年學(xué)術(shù)年會論文集（上冊）[C];2008年

5 張軍;;網(wǎng)絡(luò)安全的形勢與對策[A];四川省通信學(xué)會2006年學(xué)術(shù)年會論文集（二）[C];2006年

6 ;積極推進(jìn)全球網(wǎng)絡(luò)安全[A];四川省通信學(xué)會2006年學(xué)術(shù)年會論文集（二）[C];2006年

7 洪婷;陳永定;;淺談圖書館網(wǎng)絡(luò)安全與對策[A];福建省圖書館學(xué)會2006年學(xué)術(shù)年會論文集[C];2006年

8 陳雯;;淺談圖書館網(wǎng)絡(luò)安全[A];福建省圖書館學(xué)會2007年學(xué)術(shù)年會論文集[C];2007年

9 李穎;;淺談網(wǎng)絡(luò)安全應(yīng)對策略[A];天津市電視技術(shù)研究會2012年年會論文集[C];2012年

10 陳其豐;;客戶網(wǎng)絡(luò)安全探討[A];海南省通信學(xué)會學(xué)術(shù)年會論文集（2008）[C];2008年

相關(guān)重要報(bào)紙文章 前10條

1 肖健;六大趨勢“惹火”2005網(wǎng)絡(luò)安全[N];中國計(jì)算機(jī)報(bào);2005年

2 鮑捷;中外聯(lián)手維護(hù)網(wǎng)絡(luò)安全[N];人民日報(bào);2004年

3 記者 史芳;“先發(fā)制人”成為網(wǎng)絡(luò)安全新主張[N];中國經(jīng)濟(jì)導(dǎo)報(bào);2006年

4 國際電聯(lián)電信標(biāo)準(zhǔn)化局局長 本報(bào)高級顧問 趙厚麟;推進(jìn)全球網(wǎng)絡(luò)安全：多方協(xié)作的重大工程[N];人民郵電;2006年

5 賽迪顧問通信產(chǎn)業(yè)研究中心咨詢師 李煜;網(wǎng)絡(luò)安全市場面臨洗牌[N];通信產(chǎn)業(yè)報(bào);2007年

6 ;二季度網(wǎng)絡(luò)安全市場銷售額達(dá)11億美元[N];網(wǎng)絡(luò)世界;2006年

7 Tony;強(qiáng)勁需求拉動網(wǎng)絡(luò)安全市場快速增長[N];中國計(jì)算機(jī)報(bào);2007年

8 黃粵寶 本報(bào)記者 叢曉明;公安機(jī)關(guān)檢查網(wǎng)絡(luò)安全工作[N];丹東日報(bào);2008年

9 記者 方祥生;歐安組織網(wǎng)絡(luò)安全會議開幕[N];光明日報(bào);2009年

10 傅曉輝;網(wǎng)絡(luò)安全商機(jī)開盤[N];通信產(chǎn)業(yè)報(bào);2004年

相關(guān)博士學(xué)位論文 前10條

1 薄澄宇;網(wǎng)絡(luò)安全與中美關(guān)系[D];中共中央黨校;2015年

2 李偉明;網(wǎng)絡(luò)安全語言關(guān)鍵技術(shù)的研究[D];華中科技大學(xué);2006年

3 張建鋒;網(wǎng)絡(luò)安全態(tài)勢評估若干關(guān)鍵技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2013年

4 司加全;網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)研究[D];哈爾濱工程大學(xué);2009年

5 田大新;網(wǎng)絡(luò)安全中若干問題的研究[D];吉林大學(xué);2007年

6 Kittichote Rojanakul（開心）;E-GOVERNMENT NETWORK SECURITY E-GOVERNMENT的網(wǎng)絡(luò)安全的研究[D];吉林大學(xué);2011年

7 甘亮;面向網(wǎng)絡(luò)安全監(jiān)控的流數(shù)據(jù)處理技術(shù)研究[D];國防科學(xué)技術(shù)大學(xué);2011年

8 牛峗;單通道10Gbps在線網(wǎng)絡(luò)安全處理器設(shè)計(jì)研究與實(shí)現(xiàn)[D];清華大學(xué);2014年

9 萬國根;面向內(nèi)容的網(wǎng)絡(luò)安全監(jiān)控模型及其關(guān)鍵技術(shù)研究[D];電子科技大學(xué);2005年

10 張樹壯;面向網(wǎng)絡(luò)安全的高性能特征匹配技術(shù)研究[D];哈爾濱工業(yè)大學(xué);2011年

相關(guān)碩士學(xué)位論文 前10條

1 張衛(wèi)清;網(wǎng)絡(luò)安全與網(wǎng)絡(luò)安全文化[D];南華大學(xué);2006年

2 吳磊;網(wǎng)絡(luò)安全企業(yè)服務(wù)營銷問題研究[D];華北電力大學(xué)（北京）;2006年

3 張煜;基于信息融合的分層次網(wǎng)絡(luò)安全態(tài)勢感知研究[D];天津理工大學(xué);2015年

4 劉敏;基于攻擊圖的網(wǎng)絡(luò)安全評估技術(shù)研究[D];南京理工大學(xué);2015年

5 李棟楠;P公司網(wǎng)絡(luò)安全及管理體系的改進(jìn)與實(shí)施研究[D];廣西大學(xué);2015年

6 曾玉生;基于Linux平臺的內(nèi)江職業(yè)技術(shù)學(xué)院防火墻系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];電子科技大學(xué);2015年

7 戴銀華;網(wǎng)絡(luò)安全綜合評價(jià)技術(shù)研究[D];天津大學(xué);2007年

8 焦鵬程;綜合化無線IP網(wǎng)絡(luò)安全接入平臺的設(shè)計(jì)與實(shí)現(xiàn)[D];西安電子科技大學(xué);2009年

9 楊森香;網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)的研究與應(yīng)用[D];華北電力大學(xué)（北京）;2010年

10 趙祖亮;青島檢驗(yàn)檢疫局網(wǎng)絡(luò)安全解決方案[D];中國海洋大學(xué);2004年

本文編號：2239795