【正文】 畢業(yè)設計（論文） 基于 linux 系統(tǒng)的防火墻技術的研究和應用 畢業(yè)設計論文 基于 linux 系統(tǒng)的防火墻技術的研究和應用 摘 要 隨著計算機網絡特別是近年來 Inter 的飛速發(fā)展各公司企業(yè)政府機關交流信息的方式正在發(fā)生變化但這些部門面臨的最大的問題就是如何用一種有效的安全解決方案來保護網絡及信息系統(tǒng)不受攻擊 在眾多的方案中防火墻是安全解決策略的關鍵部分防火墻是一類安全防范措施的總稱它是在兩個網絡之間強制實施訪問控制策略的一個系統(tǒng)或一組系統(tǒng) 本文主要 是針對有關防火墻的技術和防火墻應用的模型設計和實現(xiàn)進行研究通過對各種防火墻技術和防火墻體系結構的分類比較對明確防火墻相關概念和選擇使用防火墻上具有指導意義同時介紹了一種在 Linux 系統(tǒng)下集包過濾與代理于一身的復合防火墻的設計和實現(xiàn)過程 本課程設計介紹 Linux 系統(tǒng) TCPIP 的相關知識及 Iptables 語法做了介紹詳基于過程 TCPIP 協(xié)議和代理的直接相互配合使系統(tǒng)的防欺騙能力和運行的健壯性都大大提高 實現(xiàn)了什么功能 在這里介紹的一些技術細節(jié)和實現(xiàn)策略可以為今后的防火墻構造提供借鑒這種防火墻技術不僅可以使系統(tǒng) 更具有靈活性和可擴展性更使得系統(tǒng)的安全性得到提高 關鍵詞 防火墻 包過濾 代理 復合型防火墻 Linux Abstract Recently with puter work and Inter increasing rapidly its have changed forever the way of corporations enterprises and anizations municating But the vital problem that they must face is how to protect their work and information system against attack by setting an effective work security solution In all of this solution firewall is one of the important parts Firewall is a type of work security measure A firewall is a system or group of systems that enforces an access control policy between two works In the dissertation we study on the modeling design and implementation of firewall technologies and firewall application By the paring and classifying the all types of firewall technology we present a whole concept of firewall technology to reader It is the good guide to choice and building firewall system In additional we illustrate a process of designing and implementing a plex firewall system which make packet filter and proxy under Linux operation system All of the detail of technologies and implementing strategies are a good example to building firewall system in future the firewalls are not only enhanced the flexible and expandable of application but also allowed to raise the systems safety Key words Firewall Packet Filter Proxy HybridFirewall Linux 目 錄 引 言 5 第 1 章 緒論 6 11 Intra 系統(tǒng)以及其安全問題 6 12 防火墻技術 7 防火墻的定義 8 防火墻的基本類型 8 包過濾防火墻 9 應用網關 10 13 設計與實現(xiàn) Linux 防火墻的緣起與目標 12 第 2 章 使用防火墻構造安全的解決方案 14 21 堡壘主機或雙穴主機網關 14 22 被屏蔽主機網關 15 23 被屏蔽子網 15 第 3 章 Linux 防火墻技術 17 31 Linux 防火墻技術的發(fā)展 17 32 利用 Linux 實現(xiàn)路由和包過濾 17 Ipchains 原理及簡介 17 Ipchains 命令使用簡介 22 33 Linux 下代理的實現(xiàn) 28 務器概述 28 代理軟件的簡介和比較 32 結 論 35 致 謝 37 參考文獻 38 引 言 隨著網絡的發(fā)展 網絡的資源共享 網上辦公電 子商務等蓬勃發(fā)展 網絡給人們帶來了更快捷方便的信息交換和處理方式 在各方面改變著人們的生產生活為了充分利用網絡技術帶來的快捷和方便 越來越多的公司和政府部門在公司或部門范圍內組建起自己的計算機網絡系統(tǒng) Intra Intra 的技術優(yōu)勢 給公司帶來了高效的工作效率的同時 也帶來了全新的安全問題 全球信息安全方面的研究工作者就此問題展開了廣泛而深入的研究其中防火墻技術 [1]是近年發(fā)展起來的一種網絡安全技術顧名思義它是在受保護網與外部網之間構造一個保護層把攻擊者擋在受保護網的外面這種技術強制所有內外網的連接都必須經過此保護層在此進行檢查和連接從而保護了受保護網資源免遭外部非法入侵它通過監(jiān)測限制或更改跨越防火墻的數據流盡可能地對外部網絡屏蔽有關受保護網絡的信息和結構來實現(xiàn)對網絡的安全保護 本文將首先從 Intra的安全性入手 分析 Intra面臨的安全問題討論 Intra 安全設計需求然后詳述防火墻的背景知識和關鍵技術最后重點介紹我們提出的基于 Linux 平臺的復合防火墻的設計和實現(xiàn) 緒論 研究意義 Intra簡單地說是采用 Inter的技術和產品建立的公司中專用企業(yè)網絡人 們可以利用現(xiàn)有的內部網絡硬件軟件和服務器采用 Inter 技術協(xié) 議 如 TCPIPHTTPSMTPHTML 等等 來建立企業(yè) Intra 近年來 Intra 受到了人們的普遍關注并得到了迅速發(fā)展由于 Intra突破了傳統(tǒng)的企業(yè)管理信息系統(tǒng)的系統(tǒng)模式采用了多層的 ClientServer 模式并利用業(yè)已成熟而廣泛采用的 Inter 技術因此現(xiàn)代企業(yè)網絡都采用以 Web 為核心應用以 TCPIPHTTP為傳輸協(xié)議通過瀏覽器訪問與 Web相連的后臺數據庫構成統(tǒng)一便利的信息交換平臺同時又能較好地與傳統(tǒng)的企業(yè)信息系 統(tǒng)相融合使企業(yè)的傳統(tǒng)應用平衡地過度到 Intra 隨著 Intra 帶來的企業(yè)效率的提高 帶來了高度的信息共享和快捷便利的信息處理的方式的同時 也帶來了更大的安全性問題 一方面 隨著企業(yè)規(guī)模的擴大 為了提高企業(yè)的工作效率 加強部門間的信息交流和事務處理 要求網上辦公的規(guī)模也逐漸深化 通過 Intra 共享的信息資源增多這些不同的信息按照其不同的內容和性質及其保密程度 應當設置不同的訪問控制策略 另一方面 隨著企業(yè)規(guī)模的擴大 Intra 也相應的擴大 連接到 Intra上工作的人員也增多 企業(yè) 的工作人員都通過 Intra 訪問共享的信息資源 這樣從 Intra 內部造成的安全威脅在增加對資源的爭用也更突出如果沒有完善的安全措施 就可能由于工作人員的疏忽和誤操作或者內部人員的惡意犯罪 造成絕密信息的泄露或系統(tǒng)信息資源的破壞 Intra[2]的安全即保護內部的信息資源 使其不受意外的和蓄意的未經授權的泄露和破壞 為了實現(xiàn)這一安全目標 就必須對 Intra 上的信息資源實現(xiàn)有效的訪問控制 使得只有經過授權的用戶才能以被授權的方式 讀 寫 執(zhí)行 進行訪問 禁止非法用戶的非授權訪問和合法用 戶的越權訪問 防火墻 介紹 2 研究內容 3 論文組織 12 防火墻技術 現(xiàn)代計算機環(huán)境中由于環(huán)境的復雜性和多樣性使得單純的主機安全防衛(wèi)越來越無法適應網絡時代的要求網絡安全防衛(wèi)模式在這種情況下應運而生網絡安全服務 [3]的最大特點就是將分散的各種安全任務集中到一點來管理把注意力集中到控制不同主機的網絡通信和它們所提供的服務上來采用網絡安全防衛(wèi)可以獲得很多的好處例如一個單獨的網絡防火墻可以保護幾百幾千臺計算機免于防火墻外的攻擊即使內部個別主機的主機防衛(wèi)水平比較低 防火墻是一種網絡安全防衛(wèi)的典型實例通常將防火 墻安裝在被保護的內部網和外部網 Inter 之間的連接點上所有進出內部網絡的活動都必須經過防火墻這樣防火墻就可以在此檢查這些活動實施安全防范措施防火墻也可以被認為是一種訪問控制機制決定哪些內部服務允許外部訪問哪些不允許反之亦然從邏輯上講防火墻是一個分離器是一個限制器也是一個分析器 [4] 防火墻是一種有效的網絡安全控制機制它可以防止外部網絡發(fā)生的危險波及內部網絡歸納起來其主要功能包括 限制某些用戶信息進入或離開一個被嚴格控制的子網通過防火墻可以過濾掉不安全服務和非法用戶禁止未授權的用戶訪問受保護網絡可以把防 火墻設置成為只有預先被允許的服務和用戶才能通過防火墻這樣就降低了被保護子網遭受非法攻擊的風險性大大提高了網絡安全性 控制對特殊端點的訪問防火墻可以允許受保護網的一些主機被外部網訪問而另一些被保護起來防止不必要訪問 提供監(jiān)視 Inter 安全和預警的方便端點防火墻可以記錄下所有通過它的訪問并提供網絡使用情況的統(tǒng)計數據同時它也是審查和記錄 Inter 使用情況的最佳點幫助網絡管理員掌握 Inter 連接費用和帶寬擁擠的詳細情況提供了一個減輕部門負擔的方法 各種的防火墻的