目 录
摘要 4
Abstract 5
引言 6
第1章 绪论 7
1.1Intranet系统以及其安全问题 7
1.2防火墙技术 8
1.2.1 防火墙的定义 9
1.2.2 防火墙的基本类型 9
1.2.3 包过滤防火墙 10
1.2.4 应用网关 11
1.2.4.1 回路层代理 12
1.2.4.2 应用层代理 13
1.3 设计与实现Linux防火墙的缘起与目标 13
第2章 使用防火墙构造安全的解决方案 15
2.1 堡垒主机或双穴主机网关 15
2.2 被屏蔽主机网关 16
2.3 被屏蔽子网 16
第3章 Linux防火墙技术 18
3.1 Linux 防火墙技术的发展 18
3.2 利用Linux 实现路由和包过滤 18
3.2.1 Ipchains原理及简介 18
3.2.1.1 原理简介 18
3.2.1.2 源代码分析 20
3.2.2 Ipchains命令使用简介 23
3.3 Linux下代理的实现 29
3.3.1代理服务器概述 29
3.3.1.1 什么是代理服务器 29
3.3.1.2 代理服务器的功能 30
3.3.2 代理软件的简介和比较 33
结 论 36
致 谢 38
参考文献 39
摘要
随着计算机网络,特别是近年来Internet的飞速发展,各公司、企业、政府机关交流信息的方式正在发生变化。但这些部门面临的最大的问题就是如何用一种有效的安全解决方案来保护网络及信息系统不受攻击。在众多的方案中,防火墙是安全解决策略的关键部分。
防火墙是一类安全防范措施的总称,它是在两个网络之间强制实施访问控制策略的一个系统或一组系统。本文主要是针对有关防火墙的技术和防火墙应用的模型、设计和实现进行研究,通过对各种防火墙技术和防火墙体系结构的分类比较,对明确防火墙相关概念和选择使用防火墙上具有指导意义。同时,介绍了一种在Linux系统下集包过滤与代理于一身的复合防火墙的设计和实现过程。在这里介绍的一些技术细节和实现策略可以为今后的防火墙构造提供借鉴。这种防火墙技术不仅可以使系统更具有灵活性和可扩展性,更使得系统的安全性得到提高。
关键词: 防火墙 包过滤 代理 复合型防火墙 Linux
Abstract
Recently, with computer network and Internet increasing rapidly, its have changed forever the way of corporations, enterprises, and organizations communicating. But the vital problem that they must face is how to protect their network and information system against attack by setting an effective network security solution. In all of this solution, firewall is one of the important parts.
Firewall is a type of network security measure. A firewall is a system or group of systems that enforces an access control policy between two networks. In the dissertation, we study on the modeling, design, and implementation of firewall technologies and firewall application, By the comparing and classifying the all types of firewall technology, we present a whole concept of firewall technology to reader. It is the good guide to choice and building firewall system. In additional, we illustrate a process of designing and implementing a complex firewall system which make packet filter and proxy under Linux operation system, All of the detail of technologies and implementing strategies are a good example to building firewall system in future. the firewalls are not only enhanced the flexible and expandable of application but also allowed to raise the system’s safety.
Keyword: Firewall Packet Filter Proxy Hybrid-Firewall Linux
引言
随着网络的发展, 网络的资源共享, 网上办公,电子商务等蓬勃发展, 网络给人们带来了更快捷方便的信息交换和处理方式, 在各方面改变着人们的生产,生活。为了充分利用网络技术带来的快捷和方便, 越来越多的公司和政府部门在公司或部门范围内组建起自己的计算机网络系统(Intranet), Intranet的技术优势, 给公司带来了高效的工作效率的同时, 也带来了全新的安全问题。
全球信息安全方面的研究工作者就此问题展开了广泛而深入的研究,其中防火墙技术[1]是近年发展起来的一种网络安全技术。顾名思义,它是在受保护网与外部网之间构造一个保护层,把攻击者挡在受保护网的外面。这种技术强制所有内外网的连接都必须经过此保护层,在此进行检查和连接,从而保护了受保护网资源免遭外部非法入侵。它通过监测、限制或更改跨越防火墙的数据流,尽可能地对外部网络屏蔽有关受保护网络的信息和结构来实现对网络的安全保护。
本文将首先从Intranet的安全性入手, 分析Intranet面临的安全问题,讨论Intranet安全设计需求,然后详述防火墙的背景知识和关键技术,最后重点介绍我们提出的基于Linux平台的复合防火墙的设计和实现。
第1章 绪论
1.1 Intranet系统以及其安全问题
Intranet简单地说是采用Internet的技术和产品建立的公司中专用企业网络,人们可以利用现有的内部网络硬件、软件和服务器,采用Internet技术和协
议(如TCP/IP、HTTP、SMTP、HTML 等等)来建立企业Intranet。
近年来,Intranet受到了人们的普遍关注,并得到了迅速发展。由于Intranet突破了传统的企业管理信息系统的系统模式,采用了多层的Client/Server模式,并利用业已成熟而广泛采用的Internet技术,因此,现代企业网络都采用以Web为核心应用,以TCP/IP、HTTP为传输协议,通过浏览器访问与Web相连的后台数据库,构成统一便利的信息交换平台,同时又能较好地与传统的企业信息系统相融合,使企业的传统应用平衡地过度到Intranet。随着Intranet带来的企业效.率的提高, 带来了高度的信息共享和快捷便利的信息处理的方式的同时, 也带来了更大的安全性问题。
一方面, 随着企业规模的扩大, 为了提高企业的工作效率, 加强部门间的信息交流和事务处理, 要求网上办公的规模也逐渐深化, 通过Intranet共享的信息资源增多。这些不同的信息按照其不同的内容和性质及其保密程度, 应当设置不同的访问控制策略。
另一方面, 随着企业规模的扩大, Intranet也相应的扩大, 连接到Intranet上工作的人员也增多, 企业的工作人员都通过Intranet访问共享的信息资源, 这样从Intranet 内部造成的安全威胁在增加,对资源的争用也更突出。如果没有完善的安全措施, 就可能由于工作人员的疏忽和误操作,或者内部人员的恶意犯罪, 造成绝密信息的泄露或系统信息资源的破坏。
Intranet[2]的安全即保护内部的信息资源, 使其不受意外的和蓄意的未经授权的泄露和破坏。 为了实现这一安全目标, 就必须对Intranet上的信息资源实现有效的访问控制, 使得只有经过授权的用户才能以被授权的方式(读, 写, 执行) 进行访问。 禁止非法用户的非授权访问和合法用户的越权访问。
