Linux下应用层包过滤防火墙的设计与实现

发布时间：2017-04-23 08:08

  本文关键词：Linux下应用层包过滤防火墙的设计与实现，由笔耕文化传播整理发布。

【摘要】：网络的发展和普及,带领人类进入了一个崭新的信息化时代,智能化网络充斥在人类生活的各个方面。然而,传统的防火墙工作在网络层,不能对通过Email'快速传播的病毒、嵌在web页面的恶意代码、HTTP攻击等手段进行有效的防范,因此引起了人们对于应用层网络安全的重视,也加速了对应用层包过滤技术的研究。将应用层包过滤技术嵌入现有的包过滤防火墙,结合两者优点,同时检测网络层和应用层的数据包信息,多层次提高网络安全性。通过对客户端可能用到的各种应用类型逐一设置,可以过滤多种应用层协议数据包,加强应用层包过滤的功能。 本文基于现有应用层过滤产品存在的问题,设计并实现了一个应用层包过滤防火墙。系统在原有包过滤防火墙的基础上集成了内容过滤和病毒检测的功能。本文的主要工作和成果如下： 1.数据包捕获模块中分别设计了内核层和应用层的流程。无需在内核设计模块,内核层直接通过NetFilter的配置就可以将数据报文放入指定的队列中,应用层调用NetLink套接字接口接收共享队列中的数据报文。 2.重组模块中结合哈希表和HTTP会话机制建立哈希会话链表,通过对数据包IP五元组的哈希运算决定填充链表位置,从而完成重组工作。 3.内容过滤模块中改进并实现了一个关键字匹配算法,将报文内容与关键字库中的关键字逐一比对,检测非法关键字符,对报文内容进行有效的过滤。 4.病毒检测模块中无需还原原有文件,利用流查杀引擎和流病毒库直接对一定数量的数据包进行病毒检测。优化病毒检测流程,对病毒采用只查不杀的处理方式,减少因报文转发而产生的系统时延。
【关键词】：应用层包过滤防火墙 数据包捕获 病毒检测 内容过滤
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08
【目录】：

• 摘要4-5
• ABSTRACT5-9
• 第一章 引言9-14
• 1.1 研究背景和意义9-10
• 1.2 国内外研究现状10-11
• 1.3 论文的研究内容11-12
• 1.4 论文创新点12
• 1.5 论文组织结构12-13
• 1.6 小结13-14
• 第二章 相关技术研究14-28
• 2.1 Netfilter/Iptables机制14-18
• 2.1.1 Netfilter框架14-15
• 2.1.2 Netfilter/Iptables的表和链15-17
• 2.1.3 Iptables过滤规则设置17-18
• 2.2 内核空间与用户空间通信18-22
• 2.2.1 现有的通信方式及分析18-21
• 2.2.2 Netlink详细介绍21-22
• 2.3 HTTP协议报文22-25
• 2.3.1 HTTP报文结构23-24
• 2.3.2 HTTP请求和响应报文24-25
• 2.4 关键字匹配算法25-27
• 2.5 小结27-28
• 第三章 应用层包过滤防火墙的设计28-39
• 3.1 系统设计需求28-29
• 3.1.1 功能需求28
• 3.1.2 性能需求28-29
• 3.2 系统总体设计29-31
• 3.2.1 系统架构29-30
• 3.2.2 系统体系设计30-31
• 3.3 主要功能详细设计31-38
• 3.3.1 数据包捕获31-34
• 3.3.2 会话重组34-36
• 3.3.3 内容过滤36-37
• 3.3.4 病毒检测37-38
• 3.4 小结38-39
• 第四章 应用层包过滤防火墙的实现39-62
• 4.1 数据包捕获模块39-43
• 4.1.1 内核层数据发送39-40
• 4.1.2 应用层数据接收40-43
• 4.2 重组模块43-51
• 4.3 内容过滤模块51-56
• 4.3.1 内容过滤实现51-52
• 4.3.2 关键字匹配算法改进52-55
• 4.3.3 关键字匹配算法实现55-56
• 4.4 病毒检测56-60
• 4.5 日志管理60-61
• 4.6 小结61-62
• 第五章 系统测试62-69
• 5.1 测试环境和目标62-63
• 5.2 功能测试63-66
• 5.2.1 内容过滤测试63-64
• 5.2.2 病毒检测测试64-65
• 5.2.3 结果分析65-66
• 5.3 性能测试66-68
• 5.3.1 改进BM算法的性能测试66-67
• 5.3.2 系统性能测试67-68
• 5.4 小结68-69
• 第六章 总结与展望69-72
• 6.1 总结69-70
• 6.2 下一步的展望70-72
• 参考文献72-74
• 致谢74

【参考文献】

中国期刊全文数据库 前10条

1 刘建志;田志宏;;基于Netfilter框架和IP Queue机制的轻量级网络防火墙实现[J];智能计算机与应用;2012年04期

2 张燕飞;李亚琼;;有关KMP模式匹配算法的探索[J];计算机光盘软件与应用;2014年08期

3 董昱;马鑫;;基于netlink机制内核空间与用户空间通信的分析[J];测控技术;2007年09期

4 董剑安,王永刚,吴秋峰;iptables防火墙的研究与实现[J];计算机工程与应用;2003年17期

5 李惠娟;王汝传;任勋益;;基于Netfilter的数据包捕获技术研究[J];计算机科学;2007年06期

6 刘晓红;纪越峰;;下一代应用层防火墙性能及其测试[J];计算机工程;2006年11期

7 曹成;周健;黄方剑;钱田芬;;Netfilter框架下防火墙模型总体结构设计[J];计算机应用;2007年S1期

8 翟钰,武舒凡,胡建武;防火墙包过滤技术发展研究[J];计算机应用研究;2004年09期

9 邹飞;;内容过滤关键技术的研究[J];科技信息(科学教研);2008年06期

10 杨小虎;俞建新;;当前网络存储中零拷贝技术浅析[J];计算机工程与设计;2006年04期

  本文关键词：Linux下应用层包过滤防火墙的设计与实现，由笔耕文化传播整理发布。

，

本文编号：322068