返回
linux防火墙设计的研究与实现

linux防火墙设计的研究与实现

ID:34166800

大小:4.05 MB

页数:83页

时间:2019-03-03

linux防火墙设计的研究与实现_第1页
linux防火墙设计的研究与实现_第2页
linux防火墙设计的研究与实现_第3页
linux防火墙设计的研究与实现_第4页
linux防火墙设计的研究与实现_第5页
资源描述:

《linux防火墙设计的研究与实现》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、西南交通大学硕士研究生学位论文第l页摘要在计算机网络技术飞速发展的今天,网络安全问题日益突出,防火墙技术也越来越受到人们关注。在一些信息敏感场所,需要自行设计与开发符合特定需求的防火墙系统。而Linux提供了基于内核的Netfilter框架,具有通用性和可扩展性,使得开发人员可以结合不同的网络安全需求,设计并实现所需的防火墙系统。论文首先阐述了在LinuxNetfilter框架上构建防火墙的基本原理,接着介绍了防火墙设计与实现中涉及的技术与理论基础,最后设计并实现了一个拥有包过滤、防常见DoS攻击、日志记录、事件通知、配置管理等功能的高性能防火墙系统HiPF(HighPe

2、rformanceFirewall)。HiPF与传统防火墙相比,具有以下特色:1、传统Linux防火墙联动性较差,无法将内核态侦测到的事件通知用户态进程。HiPF实现了事件通知功能,防火墙在发现期望事件后,将消息反馈给用户态进程,以达到应急、报警、联动的目的。2、传统Linux防火墙缺乏对规则集的一致性诊断。规则集的非一致性有可能降低防火墙的安全性。HiPF提供对规则集的一致性诊断功能,提供最优的规则移除步骤,使得规则集满足一致性。3、传统Linux防火墙使用线性搜索算法实现数据包的分类,在庞大的规则集与大流量的情况下分类速率很低。大多数状态防火墙使用HASH算法实现高效

3、分类,但是针对HASH算法缺陷的攻击会大大降低分类速率。HiPF使用了基于计算几何的GEM(GeometricEfficientMatching)算法,实现了在规则集庞大和高流量情况下,仍然保持极高的吞吐量。论文提出一种GEM数据结构的构造算法,实验证明该构造算法具有时间与空间上的可行性。论文介绍了测试环境的配置,开发了一个基于winpcap测试工具一NetTest,该工具可以根据配置文件灵活的发送数据包,具有较稳定的发送性能。最后使用NetTest测试GEM与线性搜索算法的性能,测试证明GEM算法具有较高的性能与实用价值。另外测试了事件通知功能,验证当防火墙受到攻击时可

4、以正确执行响应命令,实现报警、与其它系统联动等功能。通过测试,证明了本防火墙达到了设计的目的。文中涉及的思路、设计方法、算法对Linux的防火墙开发有一定的参考价值。关键字:Linux;防火墙设计;一致性诊断;匹配算法西南交通大学硕士研究生学位论文第1I页AbstractNowadaysthecomputernetworktechnologyisdevelopingrapidly,peoplepaymoreandmo佗attentiontofirewalltechnologywhilethenetworksecurityproblemsareincreasingpromi

5、nent.Itisnecessarytodesignanddevelopourownfirewallsystemforspecialrequirementsinthesensitivedepartment.LinuxprovidestheNetfilterframeworkbasedonkernelwithgenericandscalabilityfeatures.Thedeveloperscanimplementtheirfirewallsystemsdependingondifferentnetworksecurityrequirements.Firstofall,t

6、hetheoryofbuildingafirewallbasedonLinuxNetfilterispresentedillthisthesis.Thenthetechnologyandtheoryreferredindesignandimplementationofthefirewallisintroduced.Finally,thedesignandimplementationofHiPF(HighPerformanceFirewall)withfunctionsofpacketfiltering,anti-DoS(DenialofService)attacks,lo

7、gging,eventnotification,configurationmanagementarepresentedinthisthesis.HiPFhasthefollowingfeaturescomparedwiththetraditionalfirewalls:1.Thetraditionallinuxfirewallshavelittleabilitytoassociatewithothersystem,itc柚’tsendnotificationtouser-spaceprocessesfromkernel-spa

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。