基于linux系统的防火墙技术与应用毕业设计论文Word文档下载推荐.docx
- 文档编号:16500195
- 上传时间:2022-11-24
- 格式:DOCX
- 页数:26
- 大小:179.45KB
基于linux系统的防火墙技术与应用毕业设计论文Word文档下载推荐.docx
《基于linux系统的防火墙技术与应用毕业设计论文Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《基于linux系统的防火墙技术与应用毕业设计论文Word文档下载推荐.docx(26页珍藏版)》请在冰豆网上搜索。
Linux
Abstract
Recently,withcomputernetworkandInternetincreasingrapidly,itshavechangedforeverthewayofcorporations,enterprises,andorganizationscommunicating.Butthevitalproblemthattheymustfaceishowtoprotecttheirnetworkandinformationsystemagainstattackbysettinganeffectivenetworksecuritysolution.Inallofthissolution,firewallisoneoftheimportantparts.
Firewallisatypeofnetworksecuritymeasure.Afirewallisasystemorgroupofsystemsthatenforcesanaccesscontrolpolicybetweentwonetworks.Inthedissertation,westudyonthemodeling,design,andimplementationoffirewalltechnologiesandfirewallapplication,Bythecomparingandclassifyingthealltypesoffirewalltechnology,wepresentawholeconceptoffirewalltechnologytoreader.Itisthegoodguidetochoiceandbuildingfirewallsystem.Inadditional,weillustrateaprocessofdesigningandimplementingacomplexfirewallsystemwhichmakepacketfilterandproxyunderLinuxoperationsystem,Allofthedetailoftechnologiesandimplementingstrategiesareagoodexampletobuildingfirewallsysteminfuture.thefirewallsarenotonlyenhancedtheflexibleandexpandableofapplicationbutalsoallowedtoraisethesystem’ssafety.
Keywords:
Firewall;
PacketFilter;
Proxy;
Hybrid-Firewall;
引言
随着网络的发展,网络的资源共享,网上办公,电子商务等蓬勃发展,网络给人们带来了更快捷方便的信息交换和处理方式,在各方面改变着人们的生产,生活。
为了充分利用网络技术带来的快捷和方便,越来越多的公司和政府部门在公司或部门范围内组建起自己的计算机网络系统(Intranet),Intranet的技术优势,给公司带来了高效的工作效率的同时,也带来了全新的安全问题。
全球信息安全方面的研究工作者就此问题展开了广泛而深入的研究,其中防火墙技术[1]是近年发展起来的一种网络安全技术。
顾名思义,它是在受保护网与外部网之间构造一个保护层,把攻击者挡在受保护网的外面。
这种技术强制所有内外网的连接都必须经过此保护层,在此进行检查和连接,从而保护了受保护网资源免遭外部非法入侵。
它通过监测、限制或更改跨越防火墙的数据流,尽可能地对外部网络屏蔽有关受保护网络的信息和结构来实现对网络的安全保护。
本文将首先从Intranet的安全性入手,分析Intranet面临的安全问题,讨论Intranet安全设计需求,然后详述防火墙的背景知识和关键技术,最后重点介绍我们提出的基于Linux平台的复合防火墙的设计和实现。
第1章绪论
1.1研究意义
Intranet简单地说是采用Internet的技术和产品建立的公司中专用企业网络,人们可以利用现有的内部网络硬件、软件和服务器,采用Internet技术协
议(如TCP/IP、HTTP、SMTP、HTML等等)来建立企业Intranet。
近年来,Intranet受到了人们的普遍关注,并得到了迅速发展。
由于Intranet突破了传统的企业管理信息系统的系统模式,采用了多层的Client/Server模式,并利用业已成熟而广泛采用的Internet技术,因此,现代企业网络都采用以Web为核心应用,以TCP/IP、HTTP为传输协议,通过浏览器访问与Web相连的后台数据库,构成统一便利的信息交换平台,同时又能较好地与传统的企业信息系统相融合,使企业的传统应用平衡地过度到Intranet。
随着Intranet带来的企业效.率的提高,带来了高度的信息共享和快捷便利的信息处理的方式的同时,也带来了更大的安全性问题。
一方面,随着企业规模的扩大,为了提高企业的工作效率,加强部门间的信息交流和事务处理,要求网上办公的规模也逐渐深化,通过Intranet共享的信息资源增多。
这些不同的信息按照其不同的内容和性质及其保密程度,应当设置不同的访问控制策略。
另一方面,随着企业规模的扩大,Intranet也相应的扩大,连接到Intranet上工作的人员也增多,企业的工作人员都通过Intranet访问共享的信息资源,这样从Intranet内部造成的安全威胁在增加,对资源的争用也更突出。
如果没有完善的安全措施,就可能由于工作人员的疏忽和误操作,或者内部人员的恶意犯罪,造成绝密信息的泄露或系统信息资源的破坏。
Intranet[2]的安全即保护内部的信息资源,使其不受意外的和蓄意的XX的泄露和破坏。
为了实现这一安全目标,就必须对Intranet上的信息资源实现有效的访问控制,使得只有经过授权的用户才能以被授权的方式(读,写,执行)进行访问。
禁止非法用户的非授权访问和合法用户的越权访问。
防火墙介绍
2.研究内容
3.论文组织
1.2防火墙技术
现代计算机环境中,由于环境的复杂性和多样性,使得单纯的主机安全防卫越来越无法适应网络时代的要求,网络安全防卫模式在这种情况下应运而生。
网络安全服务[3]的最大特点就是将分散的各种安全任务集中到一点来管理,把注意力集中到控制不同主机的网络通信和它们所提供的服务上来。
采用网络安全防卫可以获得很多的好处,例如,一个单独的网络防火墙可以保护几百几千台计算机免于防火墙外的攻击,即使内部个别主机的主机防卫水平比较低。
防火墙是一种网络安全防卫的典型实例。
通常,将防火墙安装在被保护的内部网和外部网/Internet之间的连接点上,所有进出内部网络的活动都必须经过防火墙,这样防火墙就可以在此检查这些活动,实施安全防范措施。
防火墙也可以被认为是一种访问控制机制,决定哪些内部服务允许外部访问,哪些不允许,反之亦然。
从逻辑上讲,防火墙是一个分离器,是一个限制器,也是一个分析器[4]。
防火墙是一种有效的网络安全控制机制。
它可以防止外部网络发生的危险波及内部网络,归纳起来,其主要功能包括:
●限制某些用户/信息进入或离开一个被严格控制的子网:
通过防火墙可以过滤掉不安全服务和非法用户,禁止未授权的用户访问受保护网络。
可以把防火墙设置成为只有预先被允许的服务和用户才能通过防火墙。
这样就降低了被保护子网遭受非法攻击的风险性,大大提高了网络安全性。
●控制对特殊端点的访问:
防火墙可以允许受保护网的一些主机被外部网访问,而另一些被保护起来,防止不必要访问。
●提供监视Internet安全和预警的方便端点:
防火墙可以记录下所有通过它的访问并提供网络使用情况的统计数据。
同时它也是审查和记录Internet使用情况的最佳点,帮助网络管理员掌握Internet连接费用和带宽拥挤的详细情况,提供了一个减轻部门负担的方法。
各种的防火墙的构造是不同的,有的是一台主机,有的甚至是一个网络系统。
这要取决于站点的安全要求和投资等综合因素。
1.2.1防火墙的定义
“防火墙(Firewall)”的原始含义是一种建筑,用以防止着火的时候火不至从一个房间蔓延到另一个房间。
后来,将其引入到计算机安全的领域来,特别是近年来多用于飞速发展的Internet网络中。
所以,有时也叫Internet防火墙。
防火墙[5]是在两个网络之间强制实施访问控制策略的一个系统或一组系统,是一个由多个部件组成的集合,它被放在两个网络之间,并具有如下特性:
●所有的从内部到外部或从外部到内部的通信都必须经过它。
●只有内部访问策略授权的通信才能被允许通过。
●系统本身要具有高可靠性。
简而言之,防火墙就是用来保护可信网络不受非可信网络侵入的一种机制,但它允许在这两个网络之间的进行通信。
这两种网络的最典型的例子就是企业内部网和Internet。
从安全策略和网络配置的角度来看,防火墙就是附加了许多安全机制的主机系统或路由器,使得内部网络与Internet之间或者与其他外部网络互相隔离,通过限制网络互访,隐藏主机或子网中的协议和服务,并保护其内部资源不受外部的攻击或滥用。
1.2.2防火墙的基本类型
经过十余年的发展过程,目前存在应用不同技术的多种防火墙,这些技术之间的区分不很明显,但就其处理的数据对象和实现层次来说,大体上可分为包过滤和应用层网关两种类型[6]:
●包过滤防火墙:
它是在IP层实现的,其处理对象是网络报文/IP包。
因此,它可以只用路由器完成。
包过滤根据网络报文的源IP地址、目的IP地址、源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。
●应用网关防火墙:
它是在应用层实现的,通过对网络服务的代理,检查
进出网络的各种服务。
其处理对象是各种不同的应用服务。
由于网络通讯基于层次参考模型,所以,不同类型的防火墙也就处理不同层次抽象出的通讯数据。
IP包过滤处理网络层数据,应用代理处理应用层数据。
随着防火墙技术的不断发展,近年来出现了许多加强功能的防火墙,本质上讲,它们都是这两类基本类型。
例如,现在出现了一种可以分析IP包数据区内容的智能型包过滤器[7],它通过深入检查IP包而得出的有关各种Internet服务的信息,进而进行访问控制,实际上属于包过滤型防火墙。
另外,有些防火墙是控制TCP通信会话层,如SOCKS,这种防火墙本质上是应用网关,只是对所有的应用都通过控制连接会话来实施。
1.2.3包过滤防火墙
包过滤防火墙工作于网络体系结构的IP层,作用对象是网络报文(或称为IP包)。
众所周知,在TCP/IP网络中,数据都是被封装到不同的IP包中进行传输的。
包过滤防火墙就是截获每个通过它的IP包,并进行安全检查,如果通过检查,就将该IP包正常转发出去,否则,阻止其通过,也就阻断了网络通讯。
TCP/IP[8]体系结构中,IP包头的信息主要包含以下内容:
●IP源地址
●IP目的地址
●协议(表明该IP包是TCP、UDP或ICMP包)
●TCP或UDP的源端口
●TCP或UDP的目的端口
●ICMP信息类型
在Internet中,提供某些特定服务的服务器一般都使用相对固定的端口。
因此,包过滤器只需控制端口,也就控制了服务。
IP包过滤的功能应用十分广泛,最常见的就是包过滤路由器。
它就是在路由IP包的同时基于一定的规则对IP包进行安全检查。
这些规则一般是基于一个五元组:
<
协议类型,源地址,目的地址,源端口,目的端口>
包过滤就可以通过协议类型来控制特定协议,通过IP地址[9]来控制特定的源和目的主机,通过控制源和目的端口来控制特定网络服务,通过源/目的来控制是入网信息还是出网信息,即控制信息方向。
同时,还可以制定IP地址和端口的组合规则,使得这种安全检查更加细致。
IP包过滤能够有效地控制网络的通信,具有速度快,效率高,花费少,对用户透明,支持任何协议等优点,但它仍然存在着以下不足:
●允许外部客户机直接连接内部主机系统
●可能导致IP欺骗等基于源地址的网络攻击
●在复杂环境中,管理的复杂度迅速提高
●一般的包过滤的审计功能较弱
●不能提供用户认证
包检查型防火墙是一种新型的防火墙,本质上也是应用了包过滤技术,所不同的是它不只根据IP包头信息进行检查过滤,而且还要检查包的TCP头甚至包的内容。
同时,还引入了动态规则的概念,减少许多防火墙系统的漏洞。
1.2.4应用网关
应用网关就是在网关上执行一些特定的应用程序或服务器程序,这些程序统称为“代理(Proxy)”程序。
在一个网络中,对于由内向外的请求和由外向内的请求的处理是不同的。
一般认为内部网络是比较安全,外部网络是危险的。
所以,要控制外部网络向内部的信息请求。
这时,就由代理程序将外部用户对内部网络的服务请求依据已制定的安全规则决定是否向内部真实服务器提交。
代理服务替代外部用户与内部网络中的服务器进行连接。
一个代理就好象在应用服务和用户之间的一个转发器。
当一个远程用户要请求内部的服务时,它首先与这个代理相连,经过认证后,再由代理连到目的主机,同时,将服务器的响应传送回给所代理的客户,如图1-1所示。
在这个过程中,代理既是客户程序又担任服务器的角色,对于真正的客户请求来说,它是服务器;
而对于服务器来说,它是一个客户请求进程。
代理服务是一种软件防火墙的解决方案。
从代理实现在不同的OSI网络分层次结构上来看,代理可分为回路层代理和应用层代理;
从代理控制的服务数来看,代理可分为公用代理和专用代理。
1.2.4.1回路层代理
回路层代理是工作在传输层上的一种代理方法,实现时通常在通用的传输层之上插入代理模块。
由于对于所有网络服务,都通过共同的回路层代理,所以这种代理也叫公共代理。
所有的入站和出站连接都必须先连接代理。
在建立连接之前,由代理服务器先检查连接会话请求,应用访问控制规则决定是否建立连接,然后再建立连接,并一直监控连接状态。
当连接打开时,回路层代理会将IP包在用户应用程序和Internet服务之间进行转发。
如果符合安全规则,则正常转发;
否则,IP数据包不得通过。
回路层代理可以提供较详尽的访问控制机制,其中包括认证和其它客户与代理之间的信息交换。
其缺点在于它是控制连接的,不支持UDP的服务。
另外,这种代理不能提供太详尽的审计信息。
1.2.4.2应用层代理
应用层代理防火墙能针对不同的应用协议和特殊的安全服务需求进行处理,并且能对IP包中的数据(甚至数据重组后的内容)进行不同的处理的。
通常,在这类防火墙系统中,都会有多个代理分别对应不同的应用。
每出现一种新的应用,就必须提供新的与之对应的代理,因此属于专用代理。
与回路层代理相比,应用层代理与其对等实体之间具有更好的交互性。
在这个过程中,代理程序既是客户程序,又是服务器程序。
首先,代理以服务器的身份接收的来自真正客户的请求,然后,对客户进行认证和安全检查;
安全检查通过后,再以客户机的身份将客户请求转发给真正的服务器。
待会话建立后,代理就作为一个转接器,在已初始化的客户机和服务器之间拷贝数据。
因为在客户机和服务器之间的所有数据都由应用程序代理存储转发,它对会话和数据拥有全部控制权。
所以,应用层代理能提供非常细致的认证和对应用服务进行访问控制。
1.3设计与实现Linux防火墙的缘起与目标
近几年来,迅速崛起的Linux成为IT产业最引人注目的焦点之一。
Linux[10]作为类Unix的一个网络操作系统,其良好的稳定性,低廉的价格和开放的源代码,在全球产生了巨大的影响。
Linux是一种符合GNU通用公共版权协议(GPL)的完全公开源码的类UNIX系统。
自1991年芬兰赫尔辛基大学的LinesTorvalds首先开发成功,得到了许多UNIX程序员和爱好者地不断完善。
借助全新的Internet开发模式,短短几年时间,Linux已经成长为一种功能强大、性能稳定的操作系统。
Linux与UNIX高度兼容,稳定性和可靠性都很好,但价格却低廉得多。
而且由于完全开放源代码,用户不必担心操作系统中存在后门,与之相对的是,Windows系统的安全漏洞和后门时有报道,如最近披露的关于FrontPage98的秘密口令使网站的非授权访问易如反掌。
越来越多的厂商开始支持Linux并在其上开发应用,使得Linux的发展和推广速度远远高于其他操作系统,如今已在网络服务器领域占据了超过20%的市场份额。
操作系统作为用户和计算机之间的界面,它一方面管理所有计算机系统资源,另一方面为用户提供一个抽象的虚拟机,避免了对系统硬件的直接操作。
Linux良好的应用前景和开放的代码使得它成为我们开发防火墙的理想平台。
此外Linux内置的路由和防火墙功能亦是本课题缘起的另一重要因素。
第2章使用防火墙构造安全的解决方案
2.1堡垒主机或双穴主机网关
如图2-1所示,这种配置是用一台装有两块网卡的堡垒主机做防火墙。
两块网卡各自与受保护网和外部网相连。
堡垒主机上运行着防火墙软件,可以转发应用程序,提供服务等。
图2-1堡垒主机解决方案图
双穴主机网关[11]装配的防火墙软件一般不转发TCP/IP协议,它为每种服务提供专门的应用程序。
其使用的便利性及安全性取决于管理者设置的访问方式:
是否允许用户登录到防火墙上。
如果设为允许,方便性提高了,但安全性会降低。
例如若某一合法用户设置的口令比较脆弱(weak),很容易被计算出来,那么设法取得该用户口令的黑客会利用该用户的帐户登录到防火墙上,设法取得超级用户特权,这样危险带扩展到整个受保护网。
双穴主机网关优于屏蔽路由器的地方是:
堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。
这对于日后的检查很有用。
但这不能帮助网络管理者确认内网中哪些主机可能已被黑客入侵。
双穴主机网关的一个致命弱点是:
一旦入侵者侵入堡垒主机并使其只具有路由功能,则任何网上用户均可以随便访问内网。
例如,若堡垒主机的操作系统是UNIX,系统管理者可以修改核心变量ipforwarding来禁止TCP/IP转发。
但熟知该操作系统的黑客设法取得系统特权后,也可以重设该变量使其具有路由功能。
系统管理员必须很注意监视软件的校订级和网关主机的配置才能及早发现。
2.2被屏蔽主机网关
屏蔽主机网关[11]易于实现也很安全,因此应用广泛。
如图2-2所示,一个分组过滤路由器连接外部网络,同时一个堡垒主机安装在内部网络上,通常在路由器上设立过滤规则,并使这个堡垒主机成为从外部网络唯一可直接到达的主机,这确保了内部网络不受未被授权的外部用户的攻击。
进出内部网络的数据只能沿图中的虚线流动。
图2-2屏蔽主机网关图
如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内网的变化不影响堡垒主机和屏蔽路由器的配置。
网关的基本控制策略由安装在上面的软件决定。
如果攻击者设法登录到它上面,内网中的其余主机就会受到很大威胁。
这与双穴主机网关受攻击时的情形差不多。
2.3被屏蔽子网
图2-3屏蔽子网图
这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。
在很多实现中,两个分组过滤路由器放在子网的两端,在子网内构成一个“非军事区”DMZ[12],如图2-3所示,内部网络和外部网络均可访问被屏蔽子网,但禁止它们穿过被屏蔽子网通信,象WWW和FTP服务器可放在DMZ中。
有的屏蔽子网中还设有一堡垒主机作为唯一可访问点,支持终端交互或作为应用网关代理。
这种配置的危险带仅包括堡垒主机、屏蔽子网主机及所有连接内网、外网和屏蔽子网的路由器。
如果攻击者试图完全破坏防火墙,他必须重新配置连接三个网的路由器,既不切断连接又不要把自己锁在外面,同时又不使自己被发现,这样也还是可能的。
但若禁止网络访问路由器或只允许内网中的某些主机访问它,则攻击会变得很困难。
在这种情况下,攻击者得先侵入堡垒主机,然后进入内网主机,再返回来破坏屏蔽路由器,整个过程中不能引发警报。
第2章Linux防火墙技术你的工作
Iptable实现局域网的安全控制
3.1Linux防火墙技术的发展
Ipchains是linux[13]的防火墙配置工具,以前叫Ipfwadm,版本的更新非常快,现在的版本号是1.3.10。
相对于Ipfwadm来讲,Ipchains更容易配置,且功能更强大。
最近,Linux又推出新一代防火墙工具Iptable,但是其运行还不稳定。
3.2利用Linux实现路由和包过滤
Linux是一种可以运行在PC上的网络操作系统,对于硬件的要求低,稳定性高,有良好的伸缩性。
Linux已内置了路由和防火墙功能。
在2.2内核以后Linux
推出的技术是Ipchains,在2.4内核版本后运行的技术是Iptables,它继续兼容Ipchains.
3.2.1Ipchains原理及简介
3.2..1.1原理简介
Ipchains[14]即IP链,是由IP防火墙管理程序ipfwadm发展而来。
从根本上说,Ipchains就是一种包过滤器。
Ipchains(IP链)作为Linux核心的一部分,当核心启动时,Ipchains也启动若干个规则表,也叫链。
包过滤器实际上是一段程序,它检查IP包的包头,决定包的命运。
它可以丢弃(DENY)这些包(就好像没
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 linux 系统 防火墙 技术 应用 毕业设计 论文