基于Netfilter框架的Linux防火墻技術研究及應用.pdf

1、隨著互聯(lián)網(wǎng)的飛速發(fā)展，社會的信息化程度不斷提高，計算機網(wǎng)絡已經深入到社會的各個方面，帶來了巨大的經濟效益和社會效益，然而也帶來不可忽視的安全風險。防火墻作為一種安全有效的網(wǎng)絡安全機制，已經得到用戶的廣泛應用和認同，成為信息安全建設的重要一環(huán)。Linux作為一個廣泛使用且開放源碼的操作系統(tǒng)，具有優(yōu)異的網(wǎng)絡性能，在其上布置防火墻有一個可靠的基石。特別是2.4版內核以后逐漸成熟和完善的Netfilter框架是一個非常優(yōu)秀的防火墻架構，其功能和

2、性能可與多數(shù)的商業(yè)防火墻產品媲美。因此，越來越多的人選擇Linux作為其防火墻開發(fā)平臺。 本文系統(tǒng)論述了防火墻技術的基本原理、發(fā)展歷史，結合源代碼分析了Linux內核防火墻Netfilter框架體系結構及其數(shù)據(jù)包過濾流程。在此基礎上，通過對當前防火墻技術發(fā)展趨勢的分析以及對應用的需求分析，通過定制的嵌入式Linux操作系統(tǒng)，完成了基于Netfilter框架的防火墻設計與實現(xiàn)。在應用層上定義的各種新協(xié)議，很多都是基于可變端口的，有

3、些可以通過http端口80來傳輸數(shù)據(jù)，傳統(tǒng)的包過濾防火墻無法識別。本文介紹了一種基于正則表達式匹配來檢查數(shù)據(jù)包內容的方法，配合iptables實現(xiàn)了應用層識別和過濾的功能。拒絕服務攻擊是近年來非常流行的網(wǎng)絡攻擊方式。它向服務器發(fā)送大量的帶有虛假地址的請求，致使服務器資源耗盡，無法響應其它的請求。作為最常用的安全產品，防火墻在設計之初并沒有考慮到針對拒絕服務攻擊的防護，由于部署在網(wǎng)絡入口位置，在某些情況下，防火墻甚至成為拒絕服務攻擊的目標