文档介绍:1带入侵检测的Linux个人防火墙的研究与实现贵州大学计算机软件与理论研究所2选题背景及意义?高速发展,个人、企业以及政府部门越来越多地依靠网络传递信息,然而网络的开放性与共享性容易使它受到外界的攻击与破坏,信息的安全保密性受到严重影响。网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。?虽然防火墙是阻止黑客攻击的一种有效手段,但随着攻击技术的发展,这种单一的防护手段已不能确保网络的安全,它存在以下的弱点和不足:1)防火墙对信息流的控制缺乏灵活性2)在攻击发生后,利用防火墙保存的信息难以调查和取证?为了确保计算机网络安全,必须建立一整套的安全防护体系,进行多层次、多手段的检测和防护。入侵检测就是安全防护体系中重要的一环,它能够及时识别网络中发生的入侵行为并实时报警。入侵检测所具有的实时性、动态检测和主动防御等特点,弥补了防火墙等静态防御工具的不足。将入侵检测与防火墙配合使用,可以极大地提高网络的安全防御能力,对信息安全的防范有参考价值。filter是Linux内核实现数据包过滤/数据包处理/NAT等的功能框架,它在Linux内核中的IPv4、等网络协议栈中都有相应的实现,filter内核更加安全可靠,且运行时占用资源较少。讨论了在此框架上如何实现防火墙,以及如何将入侵检测的功能融合进防火墙中。?filter制作的核外配置工具,filter进行操作,filter的用户界面。filter可进行数据包过滤,但在现实中由于其配置较复杂,iptables经常被束之高阁。设计的软件向用户屏蔽掉晦涩复杂的iptables配置语法,取而代之的是提供方便、简易的操作模式。?对进出网络的数据包进行实时监控,当检测到攻击信息时及时通知用户。完善的访问记录功能,可显示所有被拦截的访问记录,包括访问的时间、来源、类型等都详细地记录下来,您可以清楚地看到是否有入侵者想连接到您的机器,从而制定更有效的防护规则。并且可将所有访问记录进行保存,以便用户在日后进行深入分析或者作为证据提交给用户的ISP。本文所做的主要工作与创新之处贵州大学计算机软件与理论研究所4?检测引擎是入侵检测实现的核心,准确性和快速性是衡量其性能的重要指标,前者主要取决于对入侵行为特征码提炼的精确性和规则撰写的简洁实用性,后者主要取决于引擎的组织结构,是否能够快速地进行规则匹配。到目前为止共有3066个可用的规则,并且还在不断加入更多规则,同时提供规则描述语言,这种语言灵活而强大,以便用户可以添加自己的检测规则。?入侵检测能够进行协议分析,内容的搜索/匹配。现在能够分析的协议有TCP、UDP、ICMP、IP和ARP。能够检测多种方式的攻击和探测,例如:缓冲区溢出、秘密端口扫描、CGI攻击、SMB探测、探测操作系统指纹特征的企图等等。?入侵检测模块支持各种形式的插件、扩充和定制。目前有三类插件:预处理插件、检测插件和输出插件,包括数据库日志输出插件、破碎数据包检测插件、端口扫描检测插件、HTTP URI normalization插件、XML插件等。预处理插件是在捕获分组时对分组作的一些“预处理”动作,比如探测过小的IP碎片,重组IP分组,重组TCP报文等;检测插件则是按照规则文件中定义的规则依次地分析每个数据包;输出插件负责信息的输出。本文所做的主要工作与创新之处贵州大学计算机软件与理论研究所5?个人防火墙概述?关键技术详解与实现?系统设计与实现?论文工作的实际应用、进一步研究构想内容提要贵州大学计算机软件与理论研究所6个人防火墙的概念?在逻辑上讲,个人防火墙是一个分离器,一个限制器,也是一个分析器,之间的任何活动,保证了个人主机的安全。?进一步说,个人防火墙是一个位于单台PC之上的软件。它可以截取PC上进行的入站和出站TCP/IP网络连接尝试,并使用预先定义的规则允许或禁止其连接。贵州大学计算机软件与理论研究所7个人防火墙的特点?防火墙强化了网络安全策略,实现了快速方便的安全管理。?防火墙能防止非授权用户进入用户主机。?防火墙可以方便的监视网络的安全性并报警。?由于所有的访问都经过防火墙,防火墙是审计和记录网络的访问和使用的最佳位置。?一个好的个人防火墙具备: 1)所有的入站和出站网络数据流必须经过防火墙 2)只有符合安全策略的数据流才能通过防火墙 3)防火墙自身应具有非常强的抗攻击免疫力贵州大学计算机软件与理论研究所8个人防火墙策略?在构筑防火墙之前,需要制定一套完整有效的安全策略。?网络服务访问策略: --一种高层次的具体到事件的策略,主要用于定义在网络中允许或禁止的服务。?防火墙设计策略:-- 一种是”一切未被允许的都是禁止的”,一种是“一切未被禁止的都是允许的”。第一种的特点是安全性好,但是用户所能使用的服