Linux個人防火牆的研究與實現
摘要:防火牆作爲1種重要的網絡安全技術,有着10分重要的意義。防火牆已經被用戶普遍接受,而且正在成爲1個主要的網絡安全設備。防火牆圈定1個保護的範圍,並假定防火牆是唯1的出口,然後防火牆來決定是放行還是封鎖進出的包。
基於NetFilter的Linux防火牆是目前最新的開放原始碼的Linux網絡安全軟件。本文將介紹防火牆相關知識,如何使用Linux設備驅動程序,如何使用Linux下的NetFilter防火牆機制來保護Linux系統安全以及個人防火牆的設計與實現和個人防火牆的測試。
安全策略是防火牆的靈魂和基礎。通常的安全策略可以基於如下兩點制訂:
● 准許除明確拒絕以外的全部訪問——所有未被禁止的都是合法的;
● 拒絕訪問除明確准許以外的全部訪問——所有未被允許的都是非法的。
關鍵字:NetFilter; Linux設備驅動程序; 個人防火牆; 安全策略
Abstract:As a important network security technology,firewall has a great significance. Firewall has been accepted by user widely, and is becoming a leading network security equipment.
Firewall set out a protected range, and suppose firewall is the only way out,then firewall decide whether the package could be transmitted or not.
Linux firewall, based on NetFilter, is the newest network security software with exoteric source code. The essay introduce some knowledge about firewall, how to use Linux device driver and Linux firewall mechanism based on NetFilter to protect Linux system, design,rezlization and test of personal firewall.
Safety precautions is the foundation of l safety precautions base on the following two points:
● permit all the access except what is denied definitely——all the access which is not forbidden is legal
● deny all the access except what is allowed definitely——all the access which is not allowed is illegal
Keywoards: NetFilter; Linux device driver; personal firewall; safety precautions
目 錄
前言 1
1 Linux系統 2
1.1 Linux系統簡介 2
1.1.1 什麼是Linux 2
1.1.2 Linux的'歷史 2
1.1.3 Linux的特點 3
1.2 Linux系統中的C語言 3
1.3 GCC編譯器常用命令描述 4
1.4 Linux設備驅動程序 5
1.4.1 Linux下的設備驅動簡介 5
1.4.2 Linux下驅動程序的特點 5
1.4.3 Linux下的驅動程序設計 6
2 防火牆相關知識 8
2.1 防火牆的1般原理 8
2.2 防火牆的功能 8
2.3 防火牆的分類 9
2.3.1 按層次分 9
2.3.2按基本方式分 9
2.4 各類防火牆的優缺點 11
2.4.1 包過濾防火牆 11
2.4.2 狀態/動態檢測防火牆 12
2.4.3使用應用程序代理防火牆的優點有: 12
2.4.4 NAT 13
2.4.5 個人防火牆 13
2.5 防火牆體系結構 13
2.5.1 雙重宿主主機體系結構 13
2.5.2 屏蔽主機體系結構 14
2.5.3 屏蔽子網體系結構 14
2.6 制定安全策略 14
2.7 確定分組過濾規則 14
2.8 防火牆產品和技術發展方向 14
2.8.1防火牆產品的發展 14
2.8.2防火牆技術發展方向 16
3 Linux的NetFilter分析 17
3.1 NetFilter概述 17
3.2 NetFilter在IP協議棧中的總體設計 17
3.3註冊鉤子函數 19
3.3.1相關數據結構 19
3.3.2 HOOK註冊函數 20
3.3.3 HOOK卸載函數 20
3.3.4 nf_hooks全局數組 20
3.4 NetFilter實現的防火牆基本機制 20
3.4.1包過濾 20
3.4.2包處理 21
3.5可加載內核模組編程 21
3.5.1 Linux可加載內核模組 21
3.5.2編寫可加載內核模組 22
3.5.3模組的加載與卸載 22
4 包過濾個人防火牆設計與實現 24
4.1 註冊與註銷鉤子函數的設計與實現 24
4.2 包處理設計與實現 24
4.3 過濾規則的設計與實現 25
4.4 規則的添加與刪除設計與實現 26
4.4.1 用戶程序的實現 26
4.4.2 內核防火牆檔案設備的實現 27
4.4.3 內核防火牆規則的添加與刪除的設計與實現 29
4.5 用戶接口程序添加與刪除規則命令 32
5 個人防火牆測試 33
5.1 測試目標 33
5.2 測試內容 33
5.3 測試方法 33
5.4 測試結果 33
5.4.1 檢查防火牆 IP過濾功能 33
5.4.2檢查防火牆端口過濾功能 35
致 謝 36
參考文獻 37
