文档介绍:密级: 单位代码: 10422
分类号: TP393 学号: 200811958
硕士学位论文
论文题目:
作者姓名
姚传奇
专业
系统分析与集成
指导教师姓名
专业技术职务
周大水教授
2011 年 3 月 15 日
山东大学硕士学位论文
硕士研究生: 姚传奇
导师: 周大水
申请学位级别: 理学硕士
学科、专业: 系统分析与集成
所在单位: 网络信息安全研究所
原创性声明
本人郑重声明:所呈交的学位论文,是本人在导师的指导下,独立进行研究所取得的成果。除文中已经注明引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研究作出重要贡献的个人和集体,均已在文中以明确方式标明。本声明的法律责任由本人承担。
论文作者签名: 日期:
关于学位论文使用授权的声明
本人完全了解山东大学有关保留、使用学位论文的规定,同意学校保留或向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅;本人授权山东大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或其他复制手段保存论文和汇编本学位论文。
(保密论文在解密后应遵守此规定)
论文作者签名: 导师签名: 日期:
摘要
防火墙技术是一种比较成熟的网络安全技术,在现代的互联网安全中起着举足轻重的地位,经过多年的发展,已经演变为具有多种网络安全功能的综合安全网关,成为网络中不可缺少的基础设置。
防火墙和路由器的区别在于,路由器是负责转发报文的网络设备,而防火墙是负责丢弃报文的网络设备,而对于接受的报文,防火墙也负责发送到对应的端口,在这个意义上讲,防火墙(安全网关)可代替路由器来完成连接网络的作用。状态检测技术是一种先进的过滤报文的技术,它利用TCP/IP协议本身的特点,对于报文只进行必要的检测,大大的减少了规则匹配的数量,对于提高防火墙的数据吞吐量有着里程碑式的意义。
Linux作为最近崛起的操作系统,无论是在桌面应用还是服务器和嵌入式开发,都有着用户群逐渐扩大的趋势。谷歌推出的android系统,也是基于linux开发的。Linux自产生以来,就因为优秀的网络支持,适应各种各样的网络环境,并提供了对TCP/IP协议的全面支持。,filter的架构,filter的连接跟踪模块,是linux开放给用户的内核级别的API,因此可利用该技术,开发具有状态检测功能的防火墙。可以说,目前市场上大多数的防火墙产品,均是基于linux内核来开发的,甚至有些直接利用iptables配置工具来完成。
本文在分析研究linux网络报文转发流程的基础上,将netfilter和连接跟踪技术进行实际的应用,首先提出了自动控制子连接流量的概念,对于研究linux内核网络模块,有着广泛的意义。本文实现的状态检测防火墙,可以运行在嵌入式系统上,作为简单的安全网关,对于保护小型网络,可以直接利用。为开源社区以及linux内核开发者提供了一套可参考的模型。
关键词状态检测;filter;conntrack
Research and Implementation of State Inspection Firewall Based on Linux
Abstract
Firewall technology is a relatively work security technology, and untile now a lot of today'work also use this. It has developed into a multi-function security gateway, and to e indispensable to modern work infrastructure settings. Under decades of development, firewall technology has e increasingly mature.
The difference between firewall and router is: the router is responsible for forwarding packets work equipment, while the firewall is responsible for dropping packets work equipment. For receiving packets, the firewall is al