【正文】 畢業(yè)設(shè)計(jì)（論文） 基于 linux 系統(tǒng)的防火墻技術(shù)的研究和應(yīng)用 畢業(yè)設(shè)計(jì)論文 基于 linux 系統(tǒng)的防火墻技術(shù)的研究和應(yīng)用 摘 要 隨著計(jì)算機(jī)網(wǎng)絡(luò)特別是近年來(lái) Inter 的飛速發(fā)展各公司企業(yè)政府機(jī)關(guān)交流信息的方式正在發(fā)生變化但這些部門面臨的最大的問(wèn)題就是如何用一種有效的安全解決方案來(lái)保護(hù)網(wǎng)絡(luò)及信息系統(tǒng)不受攻擊 在眾多的方案中防火墻是安全解決策略的關(guān)鍵部分防火墻是一類安全防范措施的總稱它是在兩個(gè)網(wǎng)絡(luò)之間強(qiáng)制實(shí)施訪問(wèn)控制策略的一個(gè)系統(tǒng)或一組系統(tǒng) 本文主要 是針對(duì)有關(guān)防火墻的技術(shù)和防火墻應(yīng)用的模型設(shè)計(jì)和實(shí)現(xiàn)進(jìn)行研究通過(guò)對(duì)各種防火墻技術(shù)和防火墻體系結(jié)構(gòu)的分類比較對(duì)明確防火墻相關(guān)概念和選擇使用防火墻上具有指導(dǎo)意義同時(shí)介紹了一種在 Linux 系統(tǒng)下集包過(guò)濾與代理于一身的復(fù)合防火墻的設(shè)計(jì)和實(shí)現(xiàn)過(guò)程 本課程設(shè)計(jì)介紹 Linux 系統(tǒng) TCPIP 的相關(guān)知識(shí)及 Iptables 語(yǔ)法做了介紹詳基于過(guò)程 TCPIP 協(xié)議和代理的直接相互配合使系統(tǒng)的防欺騙能力和運(yùn)行的健壯性都大大提高 實(shí)現(xiàn)了什么功能 在這里介紹的一些技術(shù)細(xì)節(jié)和實(shí)現(xiàn)策略可以為今后的防火墻構(gòu)造提供借鑒這種防火墻技術(shù)不僅可以使系統(tǒng) 更具有靈活性和可擴(kuò)展性更使得系統(tǒng)的安全性得到提高 關(guān)鍵詞 防火墻 包過(guò)濾 代理 復(fù)合型防火墻 Linux Abstract Recently with puter work and Inter increasing rapidly its have changed forever the way of corporations enterprises and anizations municating But the vital problem that they must face is how to protect their work and information system against attack by setting an effective work security solution In all of this solution firewall is one of the important parts Firewall is a type of work security measure A firewall is a system or group of systems that enforces an access control policy between two works In the dissertation we study on the modeling design and implementation of firewall technologies and firewall application By the paring and classifying the all types of firewall technology we present a whole concept of firewall technology to reader It is the good guide to choice and building firewall system In additional we illustrate a process of designing and implementing a plex firewall system which make packet filter and proxy under Linux operation system All of the detail of technologies and implementing strategies are a good example to building firewall system in future the firewalls are not only enhanced the flexible and expandable of application but also allowed to raise the systems safety Key words Firewall Packet Filter Proxy HybridFirewall Linux 目 錄 引 言 5 第 1 章 緒論 6 11 Intra 系統(tǒng)以及其安全問(wèn)題 6 12 防火墻技術(shù) 7 防火墻的定義 8 防火墻的基本類型 8 包過(guò)濾防火墻 9 應(yīng)用網(wǎng)關(guān) 10 13 設(shè)計(jì)與實(shí)現(xiàn) Linux 防火墻的緣起與目標(biāo) 12 第 2 章 使用防火墻構(gòu)造安全的解決方案 14 21 堡壘主機(jī)或雙穴主機(jī)網(wǎng)關(guān) 14 22 被屏蔽主機(jī)網(wǎng)關(guān) 15 23 被屏蔽子網(wǎng) 15 第 3 章 Linux 防火墻技術(shù) 17 31 Linux 防火墻技術(shù)的發(fā)展 17 32 利用 Linux 實(shí)現(xiàn)路由和包過(guò)濾 17 Ipchains 原理及簡(jiǎn)介 17 Ipchains 命令使用簡(jiǎn)介 22 33 Linux 下代理的實(shí)現(xiàn) 28 務(wù)器概述 28 代理軟件的簡(jiǎn)介和比較 32 結(jié) 論 35 致 謝 37 參考文獻(xiàn) 38 引 言 隨著網(wǎng)絡(luò)的發(fā)展 網(wǎng)絡(luò)的資源共享 網(wǎng)上辦公電 子商務(wù)等蓬勃發(fā)展 網(wǎng)絡(luò)給人們帶來(lái)了更快捷方便的信息交換和處理方式 在各方面改變著人們的生產(chǎn)生活為了充分利用網(wǎng)絡(luò)技術(shù)帶來(lái)的快捷和方便 越來(lái)越多的公司和政府部門在公司或部門范圍內(nèi)組建起自己的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng) Intra Intra 的技術(shù)優(yōu)勢(shì) 給公司帶來(lái)了高效的工作效率的同時(shí) 也帶來(lái)了全新的安全問(wèn)題 全球信息安全方面的研究工作者就此問(wèn)題展開了廣泛而深入的研究其中防火墻技術(shù) [1]是近年發(fā)展起來(lái)的一種網(wǎng)絡(luò)安全技術(shù)顧名思義它是在受保護(hù)網(wǎng)與外部網(wǎng)之間構(gòu)造一個(gè)保護(hù)層把攻擊者擋在受保護(hù)網(wǎng)的外面這種技術(shù)強(qiáng)制所有內(nèi)外網(wǎng)的連接都必須經(jīng)過(guò)此保護(hù)層在此進(jìn)行檢查和連接從而保護(hù)了受保護(hù)網(wǎng)資源免遭外部非法入侵它通過(guò)監(jiān)測(cè)限制或更改跨越防火墻的數(shù)據(jù)流盡可能地對(duì)外部網(wǎng)絡(luò)屏蔽有關(guān)受保護(hù)網(wǎng)絡(luò)的信息和結(jié)構(gòu)來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全保護(hù) 本文將首先從 Intra的安全性入手 分析 Intra面臨的安全問(wèn)題討論 Intra 安全設(shè)計(jì)需求然后詳述防火墻的背景知識(shí)和關(guān)鍵技術(shù)最后重點(diǎn)介紹我們提出的基于 Linux 平臺(tái)的復(fù)合防火墻的設(shè)計(jì)和實(shí)現(xiàn) 緒論 研究意義 Intra簡(jiǎn)單地說(shuō)是采用 Inter的技術(shù)和產(chǎn)品建立的公司中專用企業(yè)網(wǎng)絡(luò)人 們可以利用現(xiàn)有的內(nèi)部網(wǎng)絡(luò)硬件軟件和服務(wù)器采用 Inter 技術(shù)協(xié) 議 如 TCPIPHTTPSMTPHTML 等等 來(lái)建立企業(yè) Intra 近年來(lái) Intra 受到了人們的普遍關(guān)注并得到了迅速發(fā)展由于 Intra突破了傳統(tǒng)的企業(yè)管理信息系統(tǒng)的系統(tǒng)模式采用了多層的 ClientServer 模式并利用業(yè)已成熟而廣泛采用的 Inter 技術(shù)因此現(xiàn)代企業(yè)網(wǎng)絡(luò)都采用以 Web 為核心應(yīng)用以 TCPIPHTTP為傳輸協(xié)議通過(guò)瀏覽器訪問(wèn)與 Web相連的后臺(tái)數(shù)據(jù)庫(kù)構(gòu)成統(tǒng)一便利的信息交換平臺(tái)同時(shí)又能較好地與傳統(tǒng)的企業(yè)信息系 統(tǒng)相融合使企業(yè)的傳統(tǒng)應(yīng)用平衡地過(guò)度到 Intra 隨著 Intra 帶來(lái)的企業(yè)效率的提高 帶來(lái)了高度的信息共享和快捷便利的信息處理的方式的同時(shí) 也帶來(lái)了更大的安全性問(wèn)題 一方面 隨著企業(yè)規(guī)模的擴(kuò)大 為了提高企業(yè)的工作效率 加強(qiáng)部門間的信息交流和事務(wù)處理 要求網(wǎng)上辦公的規(guī)模也逐漸深化 通過(guò) Intra 共享的信息資源增多這些不同的信息按照其不同的內(nèi)容和性質(zhì)及其保密程度 應(yīng)當(dāng)設(shè)置不同的訪問(wèn)控制策略 另一方面 隨著企業(yè)規(guī)模的擴(kuò)大 Intra 也相應(yīng)的擴(kuò)大 連接到 Intra上工作的人員也增多 企業(yè) 的工作人員都通過(guò) Intra 訪問(wèn)共享的信息資源 這樣從 Intra 內(nèi)部造成的安全威脅在增加對(duì)資源的爭(zhēng)用也更突出如果沒有完善的安全措施 就可能由于工作人員的疏忽和誤操作或者內(nèi)部人員的惡意犯罪 造成絕密信息的泄露或系統(tǒng)信息資源的破壞 Intra[2]的安全即保護(hù)內(nèi)部的信息資源 使其不受意外的和蓄意的未經(jīng)授權(quán)的泄露和破壞 為了實(shí)現(xiàn)這一安全目標(biāo) 就必須對(duì) Intra 上的信息資源實(shí)現(xiàn)有效的訪問(wèn)控制 使得只有經(jīng)過(guò)授權(quán)的用戶才能以被授權(quán)的方式 讀 寫 執(zhí)行 進(jìn)行訪問(wèn) 禁止非法用戶的非授權(quán)訪問(wèn)和合法用 戶的越權(quán)訪問(wèn) 防火墻 介紹 2 研究?jī)?nèi)容 3 論文組織 12 防火墻技術(shù) 現(xiàn)代計(jì)算機(jī)環(huán)境中由于環(huán)境的復(fù)雜性和多樣性使得單純的主機(jī)安全防衛(wèi)越來(lái)越無(wú)法適應(yīng)網(wǎng)絡(luò)時(shí)代的要求網(wǎng)絡(luò)安全防衛(wèi)模式在這種情況下應(yīng)運(yùn)而生網(wǎng)絡(luò)安全服務(wù) [3]的最大特點(diǎn)就是將分散的各種安全任務(wù)集中到一點(diǎn)來(lái)管理把注意力集中到控制不同主機(jī)的網(wǎng)絡(luò)通信和它們所提供的服務(wù)上來(lái)采用網(wǎng)絡(luò)安全防衛(wèi)可以獲得很多的好處例如一個(gè)單獨(dú)的網(wǎng)絡(luò)防火墻可以保護(hù)幾百幾千臺(tái)計(jì)算機(jī)免于防火墻外的攻擊即使內(nèi)部個(gè)別主機(jī)的主機(jī)防衛(wèi)水平比較低 防火墻是一種網(wǎng)絡(luò)安全防衛(wèi)的典型實(shí)例通常將防火 墻安裝在被保護(hù)的內(nèi)部網(wǎng)和外部網(wǎng) Inter 之間的連接點(diǎn)上所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的活動(dòng)都必須經(jīng)過(guò)防火墻這樣防火墻就可以在此檢查這些活動(dòng)實(shí)施安全防范措施防火墻也可以被認(rèn)為是一種訪問(wèn)控制機(jī)制決定哪些內(nèi)部服務(wù)允許外部訪問(wèn)哪些不允許反之亦然從邏輯上講防火墻是一個(gè)分離器是一個(gè)限制器也是一個(gè)分析器 [4] 防火墻是一種有效的網(wǎng)絡(luò)安全控制機(jī)制它可以防止外部網(wǎng)絡(luò)發(fā)生的危險(xiǎn)波及內(nèi)部網(wǎng)絡(luò)歸納起來(lái)其主要功能包括 限制某些用戶信息進(jìn)入或離開一個(gè)被嚴(yán)格控制的子網(wǎng)通過(guò)防火墻可以過(guò)濾掉不安全服務(wù)和非法用戶禁止未授權(quán)的用戶訪問(wèn)受保護(hù)網(wǎng)絡(luò)可以把防 火墻設(shè)置成為只有預(yù)先被允許的服務(wù)和用戶才能通過(guò)防火墻這樣就降低了被保護(hù)子網(wǎng)遭受非法攻擊的風(fēng)險(xiǎn)性大大提高了網(wǎng)絡(luò)安全性 控制對(duì)特殊端點(diǎn)的訪問(wèn)防火墻可以允許受保護(hù)網(wǎng)的一些主機(jī)被外部網(wǎng)訪問(wèn)而另一些被保護(hù)起來(lái)防止不必要訪問(wèn) 提供監(jiān)視 Inter 安全和預(yù)警的方便端點(diǎn)防火墻可以記錄下所有通過(guò)它的訪問(wèn)并提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)同時(shí)它也是審查和記錄 Inter 使用情況的最佳點(diǎn)幫助網(wǎng)絡(luò)管理員掌握 Inter 連接費(fèi)用和帶寬擁擠的詳細(xì)情況提供了一個(gè)減輕部門負(fù)擔(dān)的方法 各種的防火墻的