Linux個人防火墻的設計與實現(xiàn)

　　摘 要 防火墻是網(wǎng)絡安全研究的一個重要內容，數(shù)據(jù)包捕獲是包過濾型防火墻的前提，本文對基于Linux主機的個人防火墻的數(shù)據(jù)包捕獲模塊進行了研究,重點論述數(shù)據(jù)包捕獲模塊的結構、組成以及功能。首先對信息安全及防火墻的重要性進行論述，并給出防火墻的詳細分類；然后分析了基于Linux主機的個人防火墻總體設計及軟硬件平臺原理，接著論述Linux下的數(shù)據(jù)包捕獲模塊結構與原理，并詳述其具體實現(xiàn)步驟。

　　關鍵詞 防火墻 Linux 數(shù)據(jù)包捕獲模塊 包過濾

一、防火墻概述
　　網(wǎng)絡防火墻技術是一種用來加強網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內部網(wǎng)絡，訪問內部網(wǎng)絡資源，保護內部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包按照一定的安全策略來實施檢查，以決定網(wǎng)絡之間的通信是否被允許，并監(jiān)視網(wǎng)絡運行狀態(tài)。��

　　根據(jù)防火墻所采用的技術不同，可以將它分為四種基本類型：包過濾型、網(wǎng)絡地址轉換—NAT、代理型和監(jiān)測型。包過濾型產品是防火墻的初級產品，其技術依據(jù)是網(wǎng)絡中的分包傳輸技術。包過濾技術的優(yōu)點是簡單實用，實現(xiàn)成本較低，在應用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。網(wǎng)絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網(wǎng)絡訪問因特網(wǎng)。

　　代理型防火墻也可以被稱為代理服務器，它的安全性要高于包過濾型產品，并已經開始向應用層發(fā)展。代理型防火墻的優(yōu)點是安全性較高，可以針對應用層進行偵測和掃描，對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響，而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統(tǒng)管理的復雜性。

　　監(jiān)測型防火墻是新一代的產品，能夠對各層的數(shù)據(jù)進行主動的、實時的監(jiān)測，在對這些數(shù)據(jù)加以分析的基礎上，監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網(wǎng)絡的節(jié)點之中，不僅能夠檢測來自網(wǎng)絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用。監(jiān)測型防火墻在安全性上已超越了包過濾型和代理服務器型防火墻，但其實現(xiàn)成本較高�；�于對系統(tǒng)成本與安全技術成本的綜合考慮，用戶可以選擇性地使用某些監(jiān)測型技術。

二、基于Linux個人防火墻總體設計
　　本文研究的是防火墻系統(tǒng)的軟硬件環(huán)境以及該防火墻的開發(fā)步驟和所要實現(xiàn)的功能，最后重點對該防火墻系統(tǒng)所需要的硬件和軟件平臺原理進行說明。盡管所有Linux系統(tǒng)都自帶防火墻內核程序，但需要用戶進行配置才能起到保護網(wǎng)絡安全的目的。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]