文档介绍：北京工业大学
硕士学位论文
基于Linux防火墙与IDS联动的系统设计与部署
姓名:王军
申请学位级别:硕士
专业:软件工程
指导教师:蔡建平;张宪华
20070301
摘要络安全问题。在课题开发过程中,作者主要参与了系统总体设计规划、防火墙配本文作者通过分析本单短的网络环境,在判断网络资产安全面临威胁的基础上,在单位局域网中采用了僮飨低撤阑鹎健⒉渴餾软件、通过开发设计程序协调锰理报警信号和防火墙联动,解决了局域网接入因特网的网只有当一个线程完成操作之后,其它线程才可以更改队列。。在盗屑扑慊习沧癓操作系统,配置防火墙模块使之成为多端的防火墙;使用砑魑狪,配置氖涑鑫猆蛱捉幼郑计程序在同一个域套接字上实时接收谋ň藕牛远薷腖防火墙的规则阻断攻击:设计发送命令的子程序向系统中的第二域套接字发送控制命令,解决榫筒馐晕侍猓⑽=窈笾悄芑⒄勾蚰〈系统的主程序在二个套接字上监听,当有信号到来时,丰程序判别数据是命令或报警,分别向两个不同的线程发送启动信号。是命令则根据命令的内容执行命令,命令包括设置不被阻断槐;的地址链表。增减被保护的,显示被保护的地址列表,显示发生过攻击行为而被阻断的地址列表,取消所有的被保护的地址链表,取消被阻断的所有地址链表。是报警信号则解析出报警数据的信息,与已经存在的被保护的地址队列比较,如果在队列中则予以放行;如不在队列中,则与被阻断队列进行比较,如果已经存在于被阻断的队列中,则修改棚应节点中的报警时间,记录日志;如果是新发现的地址攻击行为,则在阻断队列中增加节点:所有的报警信息均被日志记录。当到达预设的阻断时间后,改写防火墙规则取消阻断,同时从阻断队列中将主程序中,两个域套接字接收函数均为阻塞类型,为了避免浪费系统资源,使用函数监听两个套接字文件,判断哪个套接字文件发生变化,发送信号启动相关线程,两个处理数据线程平时休眠,对于同时运行的主机压力比较轻。为了避免系统出现竞争现象,利用了低程峁┑幕コ锁功能,当一个线程操作某个队列时,队列被加锁,其他线程不能操作这个队列,相关的节点删除。
本系统强调了实时性能,避免了其他剡以分析日志的系统的时间滞后弱点;增加了可以随时进行人工干预的功能,强调了可以随时进行保护,克服了联动系统虚警阻断问题。采取多种措施努力降低了系统开销。,又可以接收报警数据,同时又强调了效率,是本系使用盗形⒒诵兴械某绦虺杀镜土杂诘退偻缋乱使用这个系统,可以达到深度模式匹配的功能,在一定条件下可以替代价格昂贵的商业关键词欢嘞叱蹋蛔枞换コ饬浚盒藕帕统的独创性。6低常薷膕规则库,也可以应用到其它类似的网络。北京工业大巍硕士学位论文
疘,..,猻,猵:。瑃.’,瑃。:.,瑃..
..—琱:甀甋,,瑀瑃.:籱—篵簃:北京工业大学硕士学位论文琽.
躲韭翩弛嗍咄:丝童独创性声明关于论文使用授权的说明·≥本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研人已经发表或撰写过的研究成果,也不包含为获得北京工业大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均本人完全了解北京工业大学有关保留、使用学位论文的规定,即:学校有权保罄送交论文的复印件,允许论文被查阅和借阅;学校可以公布论文的全部或部分内容,可以采用影印,缩印或其他复制手段保存论文。究成果。尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他已在论文中作了明确的说明并表示了谢意。签名:日期:C艿穆畚脑诮饷芎笥ψ袷卮斯娑
!M绶阑鹎课题来源课题研究的内容我单位内部计算机采用政府专网的形式接入因特网,同时连接的计算机有多台,其中提供、竦募扑慊饕惶ǎ峁┩缧畔⒎⒉迹褂衿髟冻涛ね荆衿鞯腎刂肺.·.·.缃涌诖。由于网络攻击行为日益增多,再加上直接将服务器配置在因特网中未加任何防护,管理员不能及时更瓤服务器补丁等问题。在使用中,曾经发生过服务器被攻伲⑾钟腥耸酝既肭窒低车奈侍猓突Щ侍飧啵3鱿直还セ鞯奈侍狻我们试图采用安装专业防火墙的方式米解决这个问题,J欠阑鹎皆に愦凼昂贵,一些公司提出最少十几万的设备才能满足要求,这种代价超过了我单位的承受能力。经过分析我们准备采用盗屑扑慊僮飨低约设计开发防火墙与6南低趁鬃魑J侄伪;ね绨踩ā防火墙是一套用于控制网络数据包出入网络的软硬件设备总称。功能主要包含以下几个方面:访问控制,如应用蟹梦士刂疲还セ鞣婪叮绶乐龋籒;宦酚桑蝗现ず图用埽蝗罩炯锹迹恢С滞艿取N了满足多样化的组网需求,降低用户对其它专用设备的需求,减少用户建网成本,防火墙上也常常把其它网络技术结合进来,例如支持恢С侄酚桑鏡,等;支持拨号,忍匦裕恢С止域网口;支持透明模