学位论文 > 优秀研究生学位论文题录展示

基于linux2.6的状态检测防火墙的研究与实现

作 者: 姚传奇
导 师: 周大水
学 校: 山东大学
专 业: 系统分析与集成
关键词: 状态检测 防火墙 netfilter conntrack
分类号: TP393.08
类 型: 硕士论文
年 份: 2011年
下 载: 42次
引 用: 0次
阅 读: 论文下载
 

内容摘要


防火墙技术是一种比较成熟的网络安全技术,在现代的互联网安全中起着举足轻重的地位,经过多年的发展,已经演变为具有多种网络安全功能的综合安全网关,成为网络中不可缺少的基础设置。防火墙和路由器的区别在于,路由器是负责转发报文的网络设备,而防火墙是负责丢弃报文的网络设备,而对于接受的报文,防火墙也负责发送到对应的端口,在这个意义上讲,防火墙(安全网关)可代替路由器来完成连接网络的作用。状态检测技术是一种先进的过滤报文的技术,它利用TCP/IP协议本身的特点,对于报文只进行必要的检测,大大的减少了规则匹配的数量,对于提高防火墙的数据吞吐量有着里程碑式的意义。Linux作为最近崛起的操作系统,无论是在桌面应用还是服务器和嵌入式开发,都有着用户群逐渐扩大的趋势。谷歌推出的android系统,也是基于linux开发的。Linux自产生以来,就因为优秀的网络支持,适应各种各样的网络环境,并提供了对TCP/IP协议的全面支持。Linux自内核2.4以后,加入了netfilter的架构,完整的实现了状态检测技术。Netfilter的连接跟踪模块,是linux开放给用户的内核级别的API,因此可利用该技术,开发具有状态检测功能的防火墙。可以说,目前市场上大多数的防火墙产品,均是基于linux内核来开发的,甚至有些直接利用iptables配置工具来完成。本文在分析研究linux网络报文转发流程的基础上,将netfilter和连接跟踪技术进行实际的应用,首先提出了自动控制子连接流量的概念,对于研究linux内核网络模块,有着广泛的意义。本文实现的状态检测防火墙,可以运行在嵌入式系统上,作为简单的安全网关,对于保护小型网络,可以直接利用。为开源社区以及linux内核开发者提供了一套可参考的模型。

全文目录


摘要  8-9
ABSTRACT  9-10
第1章 绪论  10-18
  1.1 网络安全概述  10-12
  1.2 Internet防火墙  12-13
    1.2.1 Internet防火墙与安全策略的关系  12
    1.2.2 防火墙的好处  12-13
    1.2.3 防火墙的作用  13
  1.3 防火墙的类型  13-16
  1.4 linux防火墙发展历史  16-18
第2章 包分类及状态检测  18-22
  2.1 包过滤使用的主要技术  18-20
    2.1.1 包过滤使用的主要技术  18-20
    2.1.2 包过滤技术的评判标准  20
  2.2 状态检测技术  20-22
第3章 linux2.6内核的net-filter架构  22-33
  3.1 Netfilter的框架  22-24
  3.2 netfilter的连接跟踪模块  24-33
    3.2.1 连接跟踪模块在net-filter中的位置  24-26
    3.2.2 连接建立的过程  26-30
    3.2.3 netfilter的连接状态  30-33
第4章 使用net-filter实现状态检测防火墙  33-48
  4.1 状态检测技术原理  33-34
  4.2 主要技术手段  34-38
    4.2.1 哈希表  34-35
    4.2.2 连接跟踪  35
    4.2.3 令牌桶算法控制流量  35-36
    4.2.4 子连接控制  36-38
  4.3 程序设计  38-48
    4.3.1 建立规则哈希链表  39-40
    4.3.2 使用连接跟踪表  40-42
    4.3.3 使用连接跟踪模块的私有数据(外带数据)  42-43
    4.3.4 控制带子连接的数据率  43
    4.3.5 发送reset报文并删除连接  43-45
    4.3.6 注册HOOK点  45
    4.3.7 netlink socket进行配置  45-46
    4.3.8 日志功能的实现  46-48
第5章 状态检测防火墙效果验证  48-50
  5.1 实验环境  48
  5.2 测试步骤  48-49
  5.3 实验结果  49-50
结论  50-52
参考文献  52-55
致谢  55-56
学位论文评阅及答辩情况表  56

相似论文

  1. 基于硬件防火墙的辅助管理系统服务器设计与实现,TP393.08
  2. 基于Linux的流量控制系统的研究与实现,TP393.06
  3. 基于防火墙和三层交换机的校园网络安全策略研究,TP393.08
  4. 甘肃富源化工综合办公平台的分析与设计,TP311.52
  5. 军校校园网络可靠性和安全性设计与实现,TP393.18
  6. 安全网关中流量采集和监控代理的设计与实现,TN915.08
  7. 基于防火墙的快速协议识别系统的设计与实现,TP393.08
  8. UPS电源蓄电池组均衡充电系统研究,TN86
  9. 防火墙策略冲突检测及可视化,TP393.08
  10. 使用HTTPS隧道和WebService的木马通信及监控系统研究,TP393.08
  11. 面向IPv6防火墙的高性能规则匹配关键技术研究与实现,TP393.08
  12. 防火墙安全策略配置关键技术研究,TP393.08
  13. 基于模糊规则矩阵变换的不确定推理算法研究,TP18
  14. 电子政务系统中的网络安全技术应用与报表系统设计实现,TP393.08
  15. 基于软交换的SIP网关的设计与实现,TN915.05
  16. 红外诊断技术在电气设备状态检测中的研究与应用,TN219
  17. 嵌入式自行火炮底盘系统状态检测和故障诊断技术研究,TJ818
  18. 金融防火墙制度的法律研究,D922.28
  19. 基于特洛伊木马技术的计算机远程控制研究与实现,TP273
  20. 网络蠕虫病毒的防御研究,TP393.08
  21. 基于防火墙和入侵检测的综合主机安全防范系统,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com