2774.A LINUX防火墙设计与实现 毕业设计论文.doc
《2774.A LINUX防火墙设计与实现 毕业设计论文.doc》由会员分享,可在线阅读,更多相关《2774.A LINUX防火墙设计与实现 毕业设计论文.doc(51页珍藏版)》请在课桌文档上搜索。
1、2毕业设计(论文)LINUX防火墙设计与实现 毕业设计(论文) 第43页 题 目 Linux防火墙设计与实现 题目类型:工程设计 技术专题研究 理论研究 软硬件产品开发一、设计任务及要求 1设计背景: 广泛分布的企业内部网络和公共网络互联起来,这种互联方式面临多种安全威胁,极易受到外界的攻击,导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一。Linux以其开放源码的特性,开放的网络特性使越来越多的用户选择Linux作为防火墙的操作平台。 2设计要求: (1)熟悉LINUX系统的NETFILTER防火墙技术与原理。 (2)熟悉LINUX下C语言的调试和编译;熟悉PER
2、L,CGI。 (3)熟悉LINUX内核模块的原理与编程实现。 (4)基于NETFILTER进行二次开发,设计包过滤防火墙,该防火墙架设在双宿主主机上,隔离内外网,实现系统管理,网络配置,安全策略配置,日志与流量统计等基本功能。 (5)进行系统总体方案设计以及各功能模块的详细设计与编程实现。 (6)测试系统。 二、应完成的硬件或软件实验 完成系统的开发,测试所设计的软件,能够实现所要求的功能。 三、应交出的设计文件及实物(包括设计论文、程序清单或磁盘、实验装置或产品等) 软件产品;毕业论文;光盘;英文翻译。 四、指导教师提供的设计资料 1计算机网络技术的有关论文、书籍和资料; 2Linux内核编
3、程、网络编程的相关书籍和资料。 五、要求学生搜集的技术资料(指出搜集资料的技术领域) 1搜集和整理与NETFILTER相关资料; 2搜集Linux内核编程相关资料; 3收集网络安全,防火墙的相关资料。 摘 要在科技日益发展的今天,大众生活与互联网的关系越来越密切,可是网络安全问题也越来越严重。近年来媒体报导的很多黑客入侵事件都是通过互联网进行攻击的。防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。在构建安全网络环境的过程中,防火墙作为第一道安全防线而倍受关注。本论文主要研究了Linux 2.4内核防火墙Netfilter系统的结构框架特点、工作原理及其在内核中的实现机制;Linux内核
4、模块的开发。论文设计了一个简单的包过滤防火墙。本设计在Netfilter上进行二次开发,设计一个内核模块,通过动态加载到内核中实现对数据包的过滤功能, 具有很高的效率,数据包处理能力较强。Netfilter框架的使用使其具有良好的代码结构,易于维护和扩展。防火墙架设在双网卡Linux服务器上,连接内部网络和外部网络。该防火墙主要实现以下功能:实现用户配置;基于IP地址的过滤;针对TCP/UDP协议端口的过滤;日志记录。论文主要内容包括:研究背景和本领域的研究现状;防火墙的基本概念;GNU/Linux 2.4内核防火墙Netfilter的工作原理和LINUX内核模块设计;防火墙主框架设计;详细说
5、明防火墙的各个功能模块的设计与实现;防火墙系统的测试,其中包括测试环境,测试方法与结果分析。关键词: 防火墙;包过滤;内核模块;Netfilter;钩子函数ABSTRACTNowadays,as technology is developing increasingly fast,the relationship between peoples ordinary life and Internet has become closer and closer. Meanwhile,the safety of Internet,becomes more and more serious. Recen
6、tly,it has often been reported that a lot of accidents about hackers attacking are done through the Internet. In the process of constructing security in the network environment in the process,firewall,as the first line of defense and security is very important.This paper works on the framework,theor
7、y and implementation mechanisms in kernel of the Linux firewall named Netfilter and Linux kernel module development. This paper designs a simple packet filtering firewall. The firewall system is the second development based on the Netfilter. The firewall is a kernel module which is dynamic loaded in
8、to the kernel to realize the packet filtering. This firewall has high efficiency and ability of dealing with data packages. It has good code structure because of using of Netfileter framework so it is easy to maintain and extend. The Linux server which the firewall is set up on has two network inter
9、face cards. A card connects the internal network and the other one connects external networks. The main functions of the firewall are as follows: achieving user profiles; IP address filtering; TCP / UDP port filters; log records. The main content of the paper includes: the background and research st
10、atus quo of this field; the basic theory of firewall; the GNU/Linux 2.4 kernel Netfilter firewalls working principle and Linux kernel module design; the design of the firewall main framework; descriptions of the firewalls each function modules design in detail and implementation; At last,firewall sy
11、stem testing is introduced,including test environment,testing methods and results.Key words: firewall; packet filtering; Kernel module; Netfilter; hook function目 录摘 要 IVABSTRACT V第1章绪论11.1 课题研究的背景11.2 选题意义与目的11.2.1 为什么要使用防火墙11.2.2防火墙可以防范什么11.2.3 选择本课题的目的21.3 本人工作2第2章防火墙知识与相关技术介绍32.1 防火墙原理32.2防火墙功能42
12、.3 防火墙的体系结构42.3.1 双重宿主主机体系结构52.3.2 屏蔽主机体系结构52.3.3 屏蔽子网体系结构62.4 包过滤技术的介绍62.4.1 什么是包过滤防火墙62.4.2 包过滤防火墙的工作层次72.4.3 包过滤器操作的基本过程72.4.4 包过滤技术的优缺点72.5 其他相关技术介绍82.5.1 代理82.5.2 状态检测92.5.3 DMZ非军事化区102.5.4 NAT102.6 LINUX防火墙概述112.7 防火墙技术的发展方向11第3章 开发平台与相关技术原理介绍133.1 LINUX操作系统简介133.2 VMWARE简介133.3 LINUX下C与PERL编程
13、基础143.3.1 源程序的编辑143.3.2源程序的编译143.4 LINUX 2.4内核介绍143.4.1 Linux内核模块设计153.4.2 模块的定义153.4.3 模块的优点153.4.4 模块的结构163.5 NETFILTER 原理介绍163.5.1 什么是Netfilter163.5.2 Netfilter在IPv4中的结构17第4章包过滤防火墙系统总体设计224.1 系统功能要求224.2 总体设计思路224.3 系统主框架224.4 系统模块23第5章系统详细设计255.1系统配置模块255.2 程序初始化模块265.3 NETFILTER钩子函数注册/注销模块275.4
14、 IP包检查模块285.5 外网数据包过滤模块295.6 内网数据包过滤模块315.7 LINUX MODULE操作模块315.8 程序控制模块315.9 系统日志模块315.10 程序使用32第6章系统测试346.1 测试目标346.2 测试环境346.3 测试内容366.3.1 基于IP地址的过滤366.3.2 基于端口的过滤386.4 结论40结 论 41致 谢 42参考文献 43第1章绪论Linux包过滤防火墙作为一种网络安全安全防护的工具,对其研究有着重大意义。本章主要介绍课题背景和研究意义,叙述了本人所做的具体工作。1.1 课题研究的背景广泛分布的企业内部网络和公共网络互联起来,这
15、种互联方式面临多种安全威胁,极易受到外界的攻击,导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一。 Linux以其开放源码的特性,开放的网络特性使越来越多的用户选择Linux作为防火墙的操作平台。1.2 选题意义与目的1.2.1 为什么要使用防火墙同其它任何社会一样,Internet也受到某些无聊之人的困扰,这些人喜爱在网上做这类的事,像在现实中向其他人的墙上喷染涂鸦、将他人的邮箱推倒或者坐在大街上按汽车喇叭一样。一些人试图通过Internet完成一些真正的工作,而另一些人则拥有敏感或专有数据需要保护。一般来说,防火墙的目是将那些无聊之人挡在你的网络之外,同时使你仍
16、可以完成工作。 许多传统风格的企业和数据中心都制定了计算安全策略和必须遵守的惯例。在一家公司的安全策略规定数据必须被保护的情况下,防火墙更显得十分重要,因为它是这家企业安全策略的具体体现。如果你的公司是一家大企业,连接到Internet上的最难做的工作经常不是费用或所需做的工作,而是让管理层信服上网是安全的。防火墙不仅提供了真正的安全性,而且还起到了为管理层盖上一条安全的毯子的重要作用。1.2.2 防火墙可以防范什么一些防火墙只允许电子邮件通过,因而保护了网络免受除对电子邮件服务攻击之外的任何攻击。另一些防火墙提供不太严格的保护措施,并且拦阻一些众所周知存在问题的服务。一般来说,防火墙在配置上
17、是防止来自“外部”世界未经授权的交互式登录的。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的防火墙可以防止来自外部的传输流进入内部,但又允许内部的用户可以自由地与外部通信。如果你切断防火墙的话,它可以保护你免受网络上任何类型的攻击。 防火墙的另一个非常重要的特性是可以提供一个单独的“拦阻点”,在“拦阻点”上设置安全和审计检查。与计算机系统正受到某些人利用调制解调器拨入攻击的情况不同,防火墙可以发挥一种有效的“电话监听”(Phone tap)和跟踪工具的作用。防火墙提供了一种重要的记录和审计功能,它们经常可以向管理员提供一些情况概要,提供有关通过防火墙的传流输的类型和数量以及
18、有多少次试图闯入防火墙的企图等等信息。1.2.3 选择本课题的目的防火墙技术是一种综合性的网络安全技术,要了解防火墙先要了解TCP/IP网络协议,IP包结构等许多网络知识,对自己以后在网络方向的发展有着深远的意义。也可以把开发过程作为以后开发有商业价值的网络软件的初步探索,为以后的工作积累宝贵的经验。本防火墙是基于Linux(2.4.18内核)操作系统的。这是一种开源的,免费的操作系统,非常便于学习。通过在这个平台开发本软件,可以深入了解操作系统的内核,对内核级编程做一个初步尝试。也可以将对TCP/IP协议栈的认识得到升华。1.3 本人工作1.对防火墙的历史,现状,发展做了研究;2.掌握如何使
19、用Vmware搭建模拟网络实验环境;3.分析了Linux 2.4内核模块机制,了解了Linux下的C编程和Perl编程及Vim的使用;4.详细介绍了Netfilter的原理,并深入研究了钩子函数的使用方法和作用机制;5.利用Netfilter原理开发并实现了简单包过滤模块、实现IP地址过滤、端口过滤和日志记录等功能;6.对该防火墙的功能进行了测试;7.对本产品的优缺点进行了总结并对防火墙技术的发展趋势进行了展望。第2章防火墙知识与相关技术介绍2.1 防火墙原理古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。自然,这种墙因此而得名“防火墙”。现在,如果一个网络链
20、接到了Internet上面,它的用户就可以访问外部网络并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵, 提供扼守本网络的安全和审计的唯一关卡。这种中介系统也叫做“防火墙”,或“防火墙系统” 12。如图2-1:图2-1 防火墙示意图作为近年来新兴的保护计算机网络安全技术性措施,防火墙(Firewall)是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止不安全网络对信息资源的非法访问,也可以使用防火墙阻止专利
21、信息从企业的网络上被非法输出。防火墙是一种被动防卫技术,由于它假设了网络的边界和服务,因此对内部的非法访问难以有效地控制。因此,防火墙最适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络。作为Internet网的安全性保护软件,防火墙已经得到广泛的应用。通常企业为了维护内部的信息系统安全,在企业网和Internet间设立防火墙软件。企业信息系统对于来自Internet的访问,采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问,也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用防火墙过滤掉从该主机
22、发出的数据包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在防火墙上设置,使得只有这两类应用的数据包可以通过。这对于路由器来说,就要不仅分析IP层的信息,而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。防火墙一般安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯12。2.2防火墙功能鉴于以上的原理,建立防火墙可以达到以下目的:1.管理进出网络的访问 防火墙允许网络管理员定义一个“阻塞点”来防止非法用户进入内部网络,禁止存在安全脆弱性的服务进出网络,来抗击网络攻击。2.保护网络上的脆弱的服务 防火墙通过过滤存在安全缺陷的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2774.A LINUX防火墙设计与实现 毕业设计论文 2774. LINUX 防火墙 设计 实现 毕业设计 论文

链接地址:https://www.desk33.com/p-1266318.html