Linux个人防火墙的设计与实现

Linux个人防火墙的设计与实现
http://netsecurity.51cto.com/  2006-02-16 11:25    计算机安全  我要评论()
摘要：本文设计的是一个基于Linux主机的包过滤型个人防火墙，它实现的功能和现今市场上流行的防火墙有巨大差距。随着技术的不断发展，防火墙也处于不断的变化之中。防火墙技术经历了包过滤、应用代理网关再到状态检测三个阶段。
标签：防火墙  Linux  数据包捕获模块  包过滤
摘 要 防火墙是网络安全研究的一个重要内容，数据包捕获是包过滤型防火墙的前提，本文对基于Linux主机的个人防火墙的数据包捕获模块进行了研究,重点论述数据包捕获模块的结构、组成以及功能。首先对信息安全及防火墙的重要性进行论述，并给出防火墙的详细分类；然后分析了基于Linux主机的个人防火墙总体设计及软硬件平台原理，接着论述Linux下的数据包捕获模块结构与原理，并详述其具体实现步骤。
关键词 防火墙 Linux 数据包捕获模块 包过滤
一、防火墙概述
网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。
根据防火墙所采用的技术不同，可以将它分为四种基本类型：包过滤型、网络地址转换—NAT、代理型和监测型。包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。
代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。
监测型防火墙是新一代的产品，能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时,这