【導(dǎo)讀】畢業(yè)設(shè)計(jì)（論文）--基于linux系統(tǒng)的防火墻技術(shù)的研。隨著計(jì)算機(jī)網(wǎng)絡(luò)特別是近年來Inter的飛速發(fā)展各公司企業(yè)政府機(jī)關(guān)交。流信息的方式正在發(fā)生變化但這些部門面臨的最大的問題就是如何用一種有效。的安全解決方案來保護(hù)網(wǎng)絡(luò)及信息系統(tǒng)不受攻擊。在眾多的方案中防火墻是安全解決策略的關(guān)鍵部分防火墻是一類安全防范。措施的總稱它是在兩個(gè)網(wǎng)絡(luò)之間強(qiáng)制實(shí)施訪問控制策略的一個(gè)系統(tǒng)或一組系統(tǒng)。究通過對(duì)各種防火墻技術(shù)和防火墻體系結(jié)構(gòu)的分類比較對(duì)明確防火墻相關(guān)概念。和選擇使用防火墻上具有指導(dǎo)意義同時(shí)介紹了一種在Linux系統(tǒng)下集包過濾與。代理于一身的復(fù)合防火墻的設(shè)計(jì)和實(shí)現(xiàn)過程。本課程設(shè)計(jì)介紹Linux系統(tǒng)TCPIP的相關(guān)知識(shí)及Iptables語法做了介紹詳。TCPIP協(xié)議和代理的直接相互配合使系統(tǒng)的防欺騙能力和運(yùn)行的健壯性都。11Intra系統(tǒng)以及其安全問題6. 全球信息安全方面的研究工作者就此問題展開了廣泛而深入的研究其中防。近年來Intra受到了人們的普遍關(guān)注并得到了迅速發(fā)展由于Intra

　　

【正文】 client 的角度看來連接是 100 的 10254 的 8080 端口之間建立的 透明代理 透明代理的意思是客戶端根本不需要知道有代理服務(wù)器的存在 在以上基礎(chǔ)上我們做以下工作 1 配置透明代理服務(wù)器軟件運(yùn)行在代理服務(wù)器的 8080 端口 2 配置代理服務(wù)器將所有對(duì) 80 端口的連接重定向到 8080 端口 3 配置客戶端瀏覽器直接連解到 Inter 4 在客戶端配置好 DNS 5 配置客戶端的缺省網(wǎng)關(guān) 1 當(dāng)我們在客戶端瀏覽器中打開一個(gè) web請求比如 這時(shí)將陸續(xù)發(fā)生以下事件 1 客戶端向 DNS請求 得到相應(yīng)的 IP地 120然后客戶端使用某一端口比如 1066 向該 IP 地址的 80 端口發(fā)起 web 連接請求請求 web 頁面 2 當(dāng)該請求包通過透明代理服務(wù)器時(shí)被重定向到代理服務(wù)器的綁定端口 8080 于是透明代理服務(wù)器用某一端口比如 1088120的 80端口發(fā)起 web連接請求請求web 頁面 3 收到響應(yīng)的 web 頁面后代理服務(wù)器把該數(shù)據(jù)傳送給客戶端 4 客戶端瀏覽器顯示該頁面 的角度看來連 4 地 1088 端口 120 的 80 端口之間 建立的從 client的角度看來連接是 100 的 1066 端口 120 的 80 端口之間建立的 以上就是傳統(tǒng)代理服務(wù)器和透明代理服務(wù)器的區(qū)別所在 inux 下的代理服務(wù)器軟件很多我 一個(gè)著名的 Linux 軟件站點(diǎn)查看了一下足有六十多個(gè)但是被廣泛應(yīng)用的只有 Apachesockssquid 等幾個(gè)實(shí)踐證明是高性能的代理軟件下面我們分別來比較一下這幾個(gè)軟件 1 Apache Apache是世界上用的最廣泛的 HTTP服務(wù)器之所以用的最廣泛是因?yàn)樗鼜?qiáng)大的功能高效率安全性和速度 始 Apache開始包含了一個(gè)代理模塊 用 Apache作代理服務(wù)器的性能優(yōu)勢并不明顯不建議使用 2 Socks Socks 是一種網(wǎng)絡(luò)代理協(xié)議該協(xié)議可以讓客戶機(jī)通過 Socks 服務(wù)器獲得對(duì)Inter 的完全訪問能力 Scoks 在服務(wù)器和客戶端之間建立一個(gè)安全的代理數(shù)據(jù)通道從客戶的角度看來 Scoks是透明的從服務(wù)器的角度看來 Socks就是客戶端客戶端不需要具有對(duì) Inter 的直接訪問能力 也就是說可以使用私有 IP 地址因?yàn)?Socks 服務(wù)器能夠把來自于客戶端的連接請求重定向到 Inter 此外Socks 服務(wù)器可以對(duì)用戶連接請求進(jìn)行認(rèn)證允許合法用戶 建立代理連接同理Socks 也能防止非授權(quán)的 Inter 用戶訪問內(nèi)部網(wǎng)絡(luò)所以常常把 Socks 當(dāng)作防火墻來使用 常見的瀏覽器如 etscapeIE 等可以直接使用 Socks 并且我們也可以使用 ocks5所帶的 client 來使那些不直接支持 socks 的 inter 軟件使用 Socks 更多的資料可以參考 Socks 官方站點(diǎn) 3 TIS FWTK TIS FWTK 是 Trusted Information Systems TIS Firewall Tools Kit 的簡稱也稱為 FWTK 與其說是 代理服務(wù)器還不如稱之為防火墻因?yàn)樗菓?yīng)用網(wǎng)關(guān)式防火墻軟件包的典型代表 FWTK 是用來建立和維護(hù)內(nèi)部網(wǎng)絡(luò)防火墻的工具集其代碼是用 C 語言編寫的它可以運(yùn)行在類 UNIX 的許多平臺(tái)上如 LinuxSCO UNIXFWTK 包含了許多獨(dú)立的組件大部分的組件是代理應(yīng)用程序其支持的協(xié)議主要有以下幾種 TelFTP HTTPXwindows FWTK 的突出優(yōu)點(diǎn)是將很好的訪問控制融入其設(shè)計(jì)中 4 delegate delegate 是一個(gè)應(yīng)用級(jí)網(wǎng)關(guān)或者稱之為代理服務(wù)器 Deldegate 主要具有以下的特性具有靈活的訪問控制功 能 2． 通過緩存降低網(wǎng)絡(luò)帶寬的利用率 3． 通過重用和共享連接提高響應(yīng)時(shí)間 4． delegate 是完全免費(fèi)的 5． 支持多種操作系統(tǒng)如 Unix Windows9598NT2K OS2 6． 支持多種協(xié)議 HTTP FTP NNTP POP IMAP SMTP Tel Wais X LDAP LPR Socks ICP SSL5 Squid 對(duì)于 web用戶來說 Squid是一個(gè)高性能的代理緩存服務(wù)器 Squid支持 FTPgopher和 HTTP協(xié)議和一般的代理緩存軟件不同 Squid用一個(gè)單獨(dú)的非模塊化 的 IO驅(qū)動(dòng)的進(jìn)程來處理所有的客戶端請求 Squid 將數(shù)據(jù)元緩存在內(nèi)存中同時(shí)也緩存 DNS 查詢的結(jié)果除此之外它還支持非模塊化的 DNS查詢對(duì)失敗的請求進(jìn)行消極緩存 Squid支持 SSL支持訪問控制由于使用了 ICP 輕量 Inter 緩存協(xié)議 Squid 能夠?qū)崿F(xiàn)層疊的代理陣列從而最大限度地節(jié)約帶寬 Squid 由一個(gè)主要的服務(wù)程序 squid 一個(gè) DNS 查詢程序 dnsserver 幾個(gè)重寫請求和執(zhí)行認(rèn)證的程序以及幾個(gè)管理工具組成當(dāng) Squid 啟動(dòng)以后它可以派生出預(yù)先指定數(shù)目的 dnsserver進(jìn)程而每一個(gè) dnsserver進(jìn)程 都可以執(zhí)行單獨(dú)的 DNS查詢這樣一來就大大減少了服務(wù)器等待 DNS 查詢的時(shí)間 6 選擇 從上面的比較可以看出 Apache 主要功能是 web 服務(wù)器代理功能只不過是其一個(gè)模塊而已 Socks 雖然強(qiáng)大但有欠靈活 TIS FWTK 不但下載太麻煩安裝配置也挺煩人至于 delegate 和 squiddelegate 支持的協(xié)議更多并且也支持緩存雖然delegate支持的協(xié)議比較多但事實(shí)上值得作緩存的協(xié)議不過有 HTTP和 FTP兩種在獲得緩存高性能的同時(shí)使用戶能夠無縫的訪問 Inter 因此我使用 Squid 一方面使用 Linux 下的 Ipchains 完成數(shù)據(jù)包的檢查另一方面通過 Squid 進(jìn)行緩存代理并且 Squid 也同時(shí)進(jìn)行基于客戶客戶組以及目標(biāo) IP 或 URL 等的過濾此外在本系統(tǒng)還實(shí)現(xiàn)了對(duì)內(nèi)部網(wǎng)分時(shí)分段的網(wǎng)絡(luò)連接控制以加強(qiáng)對(duì)數(shù)據(jù)包的檢查提高傳輸安全同時(shí)對(duì) Ipchains中僅對(duì)于 IP地址的過濾提供了功能的擴(kuò)展與補(bǔ)充在設(shè)置 Squid 代理的同時(shí)我應(yīng)用了 IP 偽裝既可以彌補(bǔ) Squid 代理的缺陷又發(fā)揮了 IP偽裝在共享上網(wǎng)的同時(shí)屏蔽內(nèi)部 IP的特性進(jìn)一步提高整體性能保證防火墻系統(tǒng)的安全可靠性而且透明代理的解決方案既減少了用戶端的維護(hù)開支又利用了高緩存代理所大 大提高客戶機(jī)訪問速度減少本地節(jié)點(diǎn)的出口負(fù)載及流量降低成本提高經(jīng)濟(jì)效益這種防火墻既有包過濾的功能又能在應(yīng)用層進(jìn)行代理具有先進(jìn)的過濾和代理體系能從數(shù)據(jù)鏈路層到應(yīng)用層進(jìn)行全方位安全處理 TCPIP 協(xié)議和代理的直接相互配合使本系統(tǒng)的防欺騙能力和運(yùn)行的健壯性都大大提高本文所提出的解決方案對(duì)于設(shè)備要求不高基本上可利用現(xiàn)有設(shè)備完成可以說是零成本高效益而且為方便對(duì)防火墻系統(tǒng)的有效管理利用 Qt[52]開發(fā)工具和 C 語言[53]C[54]設(shè)計(jì)實(shí)現(xiàn)的管理系統(tǒng)其界面條理清晰操作簡單方便相對(duì)于在 Linux 系統(tǒng)下的防火墻本機(jī)進(jìn)行規(guī)則配置日 志查詢等操作具有更加友好的交互性防火墻的認(rèn)證系統(tǒng)采用 Linux本身的系統(tǒng)用戶認(rèn)證即用戶就是防火墻所在主機(jī)的 Linux一般帳戶相應(yīng)的密碼為其登錄密碼因此對(duì)于廣大中小型企業(yè)來講本文提出的解決方案無疑是一套性價(jià)比極高的安全系統(tǒng)當(dāng)企業(yè)選擇購買并安裝了防火墻系統(tǒng)以后進(jìn)一步的任務(wù)就在于如何有效利用防火墻使其在網(wǎng)絡(luò)安全體系結(jié)構(gòu)中發(fā)揮最大的作用防火墻的使用和管理成為每日工作的重點(diǎn)但是隨著用戶的日益增多網(wǎng)絡(luò)復(fù)雜程度不斷提升防火墻的管理難度也會(huì)急劇增加進(jìn)一步的工作就是將防火墻系統(tǒng)和管理和認(rèn)證子系統(tǒng)有機(jī)地結(jié)合起來具有強(qiáng)大的訪問控 制功能和方便有效的管理機(jī)制的防火墻系統(tǒng)將成為有力的安全屏障另外防火墻只是整個(gè)網(wǎng)絡(luò)安全防護(hù)的一部分它需要其他的防護(hù)措施和技術(shù)如密碼技術(shù)訪問控制權(quán)限管理病毒防治等也只有運(yùn)用先進(jìn)認(rèn)證技術(shù)并在網(wǎng)絡(luò)層上實(shí)施統(tǒng)一的用戶端對(duì)端的數(shù)據(jù)流加密技術(shù)再結(jié)合目前的防火墻技術(shù)以進(jìn)行必要的內(nèi)容檢測攻擊檢測及其他一些手段才能解決內(nèi)部網(wǎng)安全問題并最終提供一套一體化的解決途徑 致 謝 首先我要感謝武漢科技大學(xué)為我提供的良好的研究環(huán)境和學(xué)習(xí)氛圍在這四年的學(xué)習(xí)中不僅培養(yǎng)了我獨(dú)立科研能力開闊了眼界和活躍了思維更重要的是引起了我對(duì)網(wǎng)絡(luò)和信息安全 技術(shù)的濃厚興趣相信今后我都會(huì)始終密切關(guān)注這個(gè)領(lǐng)域的動(dòng)態(tài) 在此畢業(yè)之際我要特別感謝我的導(dǎo)師李富年對(duì)我的悉心指導(dǎo)和巨大鼓勵(lì)我還要感謝我的家人對(duì)我的理解和支持以及同學(xué)們的幫助 再次感謝所有關(guān)心和幫助過我的老師同學(xué)和朋友并祝愿他們幸?？鞓? 參考文獻(xiàn) [1] Matthew StrebeCharles Perkins 著黎文董正衛(wèi)等譯高效構(gòu)筑與管理防火墻 [M] 北京電子工業(yè)出版社 2021 [2] 張小斌等計(jì)算機(jī)網(wǎng)絡(luò)安全工具 [M]北京清華大學(xué)出版社 1999 [3] 羅傳榮郭文秀 著政府上網(wǎng)工程實(shí)用技術(shù) [M] 北京人民郵電 出版社2021 [4] Stang DJ 著程佩青譯計(jì)算機(jī)網(wǎng)絡(luò)安全奧秘 [M]北京電子工業(yè)出版社 1996 [5] Chris HareKaranjit Siyan 著劉威勇王明舉等譯 Inter 防火墻與網(wǎng)絡(luò)安全 [M] 北京 機(jī)械工業(yè)出版社 1998 [6] Terry William Ogletree 著防火墻原理與實(shí)施 [M] 北京電子工業(yè)出版社 2021 [7] 沈 偉 峰 陳 維 鈞 基 于 的 防 火 墻 的 構(gòu) 建 〔 J 〕lisolegworkipchainszip hanqi2833 hanqi2833 hanqi2833 hanqi2833 堡壘主機(jī) 受保護(hù)網(wǎng) 外部網(wǎng) 圖 21 堡壘主機(jī)解決方案圖 堡壘主機(jī) 屏蔽路由器 網(wǎng)中其他主機(jī) 外部網(wǎng) 受保護(hù)網(wǎng) 圖 22 屏蔽主機(jī)網(wǎng)關(guān)圖 堡壘主機(jī) 外部網(wǎng) 受保護(hù)網(wǎng) 屏蔽路由器 屏蔽路由器 被屏蔽子網(wǎng) 圖 23 屏蔽子網(wǎng)圖 Checksun Sanity Output Chain Forward Chain Input Chain Chain Demasqueradeed Routing Decision Masquerad Local IO Interface Local Process