Linux個人防火墻的設計與實現

　　摘 要 防火墻是網絡安全研究的一個重要內容，數據包捕獲是包過濾型防火墻的前提，本文對基于Linux主機的個人防火墻的數據包捕獲模塊進行了研究,重點論述數據包捕獲模塊的結構、組成以及功能。首先對信息安全及防火墻的重要性進行論述，并給出防火墻的詳細分類；然后分析了基于Linux主機的個人防火墻總體設計及軟硬件平臺原理，接著論述Linux下的數據包捕獲模塊結構與原理，并詳述其具體實現步驟。

　　關鍵詞 防火墻 Linux 數據包捕獲模塊 包過濾

一、防火墻概述
　　網絡防火墻技術是一種用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。

　　根據防火墻所采用的技術不同，可以將它分為四種基本類型：包過濾型、網絡地址轉換—NAT、代理型和監測型。包過濾型產品是防火墻的初級產品，其技術依據是網絡中的分包傳輸技術。包過濾技術的優點是簡單實用，實現成本較低，在應用環境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統的安全。網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。

　　代理型防火墻也可以被稱為代理服務器，它的安全性要高于包過濾型產品，并已經開始向應用層發展。代理型防火墻的優點是安全性較高，可以針對應用層進行偵測和掃描，對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響，而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統管理的復雜性。

　　監測型防火墻是新一代的產品，能夠對各層的數據進行主動的、實時的監測，在對這些數據加以分析的基礎上，監測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網絡的節點之中，不僅能夠檢測來自網絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用。監測型防火墻在安全性上已超越了包過濾型和代理服務器型防火墻，但其實現成本較高。基于對系統成本與安全技術成本的綜合考慮，用戶可以選擇性地使用某些監測型技術。

二、基于Linux個人防火墻總體設計
　　本文研究的是防火墻系統的軟硬件環境以及該防火墻的開發步驟和所要實現的功能，最后重點對該防火墻系統所需要的硬件和軟件平臺原理進行說明。盡管所有Linux系統都自帶防火墻內核程序，但需要用戶進行配置才能起到保護網絡安全的目的。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]