基于TCP/IP协议栈的多层防火墙设计
来源:56doc.com 资料编号:5D26550 资料等级:★★★★★ %E8%B5%84%E6%96%99%E7%BC%96%E5%8F%B7%EF%BC%9A5D26550
资料以网页介绍的为准,下载后不会有水印.资料仅供学习参考之用. 密 保 惠 帮助
资料介绍
基于TCP/IP协议栈的多层防火墙设计(开题报告,论文13000字)
摘 要
Internet逐渐触及到社会的方方面面,人们的日常生活也 越来越离不开互联网,但是带来的信息安全问题也来令人堪忧。防火墙是随着网络安全的出现而产生的,但是对于如今的互联网规模,传统的防火墙显得不足,难以兼容高安全和高性能。具有高匹配效率的包过滤防火墙,能够精确过滤规则中的数据包,但对于DOS类似的攻击却无能为力。
本文主要阐述了基于Linux网络栈的多层防火墙的研究与实现。
首先介绍了防火墙的背景知识,以及网络安全现状。之后分析了网络安全的广泛需求,通过对防火墙技术和Netfilter框架的分析,本文开发一款从网络层到传输层的多层防火墙。其主要优势体现在两方面:一方面防火墙在内核网络栈的网络层和传输层过滤数据包,实现多层防护,内核级防火墙相对于应用层过滤减轻了用户态的资源浪费;另一方面从入侵者的观点来看,从信息收集到发起多层攻击大大增加攻击者的难度,从而有效网络安全保护。
本文代码基于linux3.5.0内核,使用Linux C编程。
关键字: 网络安全; 防火墙; Netfilter;Linux 内核;
Design and Implementation of a Multi-layer Firewall based on TCP / IP Protocol Stack
Abstract
Firewall technology plays an important role in the protection of network security. Network is necessary for people in the daily life. But the network security has become more worrisome. The firewall comes with the network security issues. But for the scale of today's Internet, the traditional firewall is insufficient. It’s hard to compatible both high security and high performance. Packet filtering firewall with high efficiency can precise filter data packet which storage in the set of rules .But it can do nothing for the DOS attack or similar attack.
This thesis focuses on the study and implementation of a multi-layer Firewall based on Linux protocol stack.
First, this thesis introduces the development history and network security’s current situation, then analyzes the broad needs of network security, by analyzing the main technical features of the firewall and Netfilter framework based on the kernel’s TCP / IP protocol stack, we develop the multilayer firewall. The firewall’s feature lies in two aspects. On the one hand, the firewall filters the packets from the network layer to the transport layer, at the same time, decreasing waste of resources in user space; On the other hand, the firewall increase the difficulty of the attackers, who collect the information to attack the network, so it can protect the security of the network effectively.
In this thesis, the firewall accomplished is based on Linux 3.5.0 kernel, using Linux C programming.
Keywords : network security ; firewall ; Netfilter; Linux kernel
目录
摘 要 I
ABSTRACT II
目录 III
第一章 引言 1
1.1 课题研究背景 1
1.2 课题的研究目的和意义 1
1.3 课题的研究内容和实现 2
第二章 INTERNET安全与防火墙技术 3
2.1 网络安全 3
2.2 防火墙技术 4
2.2.1防火墙技术概述 4
2.2.2 防火墙主要功能 5
2.2.3 防火墙的分类 5
第三章 LINUX内核网络栈的实现分析 7
3.1 LINUX下TCP/IP协议栈实现分析 7
3.1.1 Linux的网络栈的层次关系 7
3.1.2 Linux传输层TCP协议的具体实现 8
3.2 LINUX下防火墙框架剖析 12
3.2.1 NetFilter 介绍 12
3.2.2 Netfilter的框架剖析 12
3.3 LINUX内核模块编程 15
3.3.1编程环境简介 15
3.3.2内核模块的编译 16
3.3.2 基于Linux 3.5内核网络栈防火墙用到的主要数据结构 17
第四章 包过滤防火墙的实现 19
4.1 防火墙的总体设计 19
4.1.1 选择Linux内核版本 19
4.1.2 网络拓扑结构的设计 20
4.1.3 防火墙的系统结构 21
4.2 基于IP地址和端口号的过滤模块的实现 21
4.3 内核模块与配置文件交互模块的实现 25
4.4 基于NETLINK的用户程序和内核模块交互的实现 26
4.5 防火墙的测试 28
第五章 总结与展望 34
参考文献 35
致 谢 36 |