论文部分内容阅读
随着全球信息化的飞速发展,正在建设的各种信息化系统已成为各国关键基础设施,人们在享受网络带来的巨大便利的同时,网络信息安全问题也越来越突出地摆在我们面前.信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分,是世界各国奋力攀登的制高点.防火墙作为一种网络或系统之间强制实行的访问控制机制,是网络安全领域的一种重要技术.由于Linux源代码的开放性,以及编写Linux内核源代码的高手很多就是黑客,所以Linux成为研究防火墙技术的一个很好的平台.目前,基于源代码开放的二次开发是计算机应用方向的热点之一.本文正是在这一背景下,借鉴国外经验并结合国内的实际情况,将构建具有自主知识产权和较高性能价格比的防火墙系统,作为选题进行研究的.本文的主要内容就是讨论基于Linux2.4内核的防火墙技术,这些技术包括连线跟踪、包过虑、地址转换、包处理、状态检测等,并在Linux的Netfilter框架中添加了流量控制模块、基于时间控制模块和ip-mac地址绑定模块.其中连线跟踪、包过虑、地址转换、包处理和状态检测功能借助于Linux下的Netfilter框架实现,而流量控制功能则借助于Linux下的高级路由实现,时间模块和ip-mac模块均是对Linux下的Netfilter框架的扩展.本系统是在Linux操作系统上采用标准C语言并利用Linux的模块编程机制开发实现的.Linux下的流量控制工具十分强大,但是难于理解和记忆.而本文所实现的流量控制功能,希望给用户一个实用、易于理解配置的流量控制器.基于时间的控制对防火墙等安全产品来说,是一个很实用的功能.CheckPoint公司的产品Firewall-1,它提供了对时间对象的控制,管理员可以指定一天中的某段时间,只在这段时间内才执行访问控制.时间控制在netfilter框架中是在TODO列表中.但至到Linux2.4中仍没有实现.考虑到这项功能的实用性,本文实现了全面的时间控制功能,可以以日期(年月日)、时刻(时分秒)、星期这三种准则的任意组合限定时间范围.其实现可由对iptables工具本身进行扩展,使时间控制成为它的一个可选的匹配准则.时间匹配选项跟其它匹配选项使用类似.对于IP地址盗用,本文所采用的解决方法是通过在防火墙上设置静态的IP、MAC地址对,只有符合设置的包才可以通过.对IP、MAC地址的绑定设置在主机对象的设置中实现,在主机对象设置中凡是同时指定了IP地址和MAC地址的主机对象,其IP、MAC地址是绑定成对的.其绑定的实现也是对iptables工具进行扩展所完成的.IP、MAC地址绑定成为它的一个可选的匹配准则.