基于Linux平台的校园防火墙系统的设计与实现

发布时间：2019-09-19 05:32

【摘要】：当前网络安全所面临的威胁主要来自病毒攻击、木马攻击、黑客攻击以及间谍软件的窃密。光靠杀毒软件不足以保证系统的安全。传统防火墙在面对新一代的网络安全威胁作用越来越小,而UTM(统一威胁管理)网关虽然集成了防火墙、防毒系统、入侵检测与监控系统等功能,但在性能以及应对内部网络安全威胁方面存在不足,需要与应用级防火墙相互配合来共同维护网络安全。本文通过对Linux内核、防火墙原理与技术、TCP/IP协议以及Linux高级网络特性的研究,实现了一个Linux环境下的简易防火墙。本次设计的校园防火墙提供了URL过滤功能,可以控制校园用户对非法站点的访问。它可以实现IP地址和MAC地址的绑定,防止校园内部网络用户更换IP地址,进行恶意攻击。这款硬件防火墙具有流量控制功能,可以分配合理的带宽给校园用户。RG-WALL 1000还具有HTTP透明代理,NAT功能和VPN等功能,能够充分满足校园网络的需要。SIPFW防火墙的总体架构由两个部分组成:用户空间部分的交互控制用户接口和内核空间部分的处理模块。本文通过对netfilter架构上INPUT链、OUTPUT链、FORWARD链的网络数据进行过滤完成对进入本地、从本机发出、经由本机转发的网络数据进行处理。用户空间主要由命令行解析和内核通信两部分组成,命令行解析使用GNU系统函数进行处理,通信部分则负责传递用户的合法输入信息并将该操作结果展示给用户。本文设计的防火墙内核空间与用户空间之间的通信,通过内接建立的私有Netlink通信类型的套接字进行处理完成用户对过滤规则的列表、增加、删除、清除等操作。通过使用Linux内核中的PROC虚拟文件系统将防火墙中的信息传递给用户空间。本论文所实现的SIPFW防火墙基本可以实现简单的网络数据的拦截,SIPFW防火墙的功能比较单一,可以进行网络数据的拦截,可以通过用户的命令对防火墙过滤规则进行设计,可以记录防火墙规则的命中情况,可以通过配置文件和PROC虚拟文件系统对防火墙进行简单的配置等。本系统经过测试,运行良好,已达到预期效果。
【图文】：

框架图,用户空间,主程序,框架

与接收消息相反：首先申请一个 struct sk_buff 结构，规则化后ct nlmsghdr 置于缓冲区前面，最后调用函数 netlink_ unicast()将处理完毕用户命令后再使用函数 kfree_ skb()释放 struct sk_buff 空间主程序框架空间主程序框架如图 4-12 所示：首先解析用户输入的参数并判性，在控制台上显示解析结果，建立 NETLINK 套接字将解析结内核响应。用户的操作为列出规则列表时，先判断规则链的个 0，则返回结果为空，，否则用户空间一直等待直至内核将规则全户的操作为规则设置时，将规则写入到规则文件当中并返回已

虚拟文件,Linux系统,读写,日志文件

图 4-14 PROC 虚拟文件的建立OC 文件的读写同 Linux 系统文件读写操作相同，故在此不做赘述志管理模块系统日志模块主要记录防火墙用户自定义过滤规则的命中情况，不的命中情况（默认规则命中较多，会使得日志文件的无限增大）。火墙日志文件的路径将从防火墙配置文件中读取，如果配置文件中，将从路径"/etc/sipfw.log" 的文件中读取，并将命中规则写入此文志文件的一行为注释或者命中规则，防火墙日志文件的格式如下：|时间 from 源 IP 源端口目的 IP 目的端口协议类型动作]#开头的日志记录所在行表示改行为注释行，其他行则记录了防火墙中规则，主要记录了处理时间、源 IP 地址、源端口号、目的 IP 地址
【学位授予单位】：电子科技大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP393.08

【参考文献】