Linux防火墙开发设计

摘 要

　　在网络技术不断发展的今天， 网络在带给我们便捷高效的生活的同时也伴随着各式各样的网络安全问题。近几年来不断爆发各种网络安全事件如 12306 泄密事件，棱镜事件等，都在警示着我们不能忽视网络安全问题。防火墙作为防止网络攻击的一种主要方式，通常被用作阻止不合法的连接和将内部网络从不安全的网络中分割出来。iptables 表链规则作为 Linux 防火墙过滤数据包的依据，是服务器安全策略的具体实现， Linux 防火墙的防御能力直接受过滤规则配置的好坏的影响。 Linux 为我们提供了防火墙框架 Netfilter，我们能够使用用户空间模块工具-- iptables 在该框架上实现防火墙功能。iptables 提供了日志功能录数据包的各种信息，使得我们能够根据日志信息及时发现网络攻击，改进我们的配置，从而配置出更为安全的 Linux 防火墙。

　　本文基于个人 Linux 主机对于防火墙的需求，通过使用 Linux 防火墙工具Netfilter/Iptables 对防火墙进行配置，设计并实现了一个基于 Linux 操作系统的状态检测包过滤防火墙，最后通过使用 SSH Secure Shell 等测试工具验证了防火墙的安全性和有效性。具体的研究内容和成果如下：

　　1、 本文基于防火墙系统中的 netfilter/iptablesIP 过滤包系统实现了常见协议的状态检测功能，通过状态检测功能我们能够降低常见包过滤防火墙因检查每个报文头文件所带来的资源浪费和时延，从而大大减低了个人主机因防火墙所带来的额外开销。

　　2、 针对 Linux 用户主机，分析常见 DDoS 的攻击原理和攻击方法，通过分析和调节 Linux 主机下/proc 目录下各个文件，并通过 netfilter/iptablesIP 过滤包系统为用户添加相应的的规则链，设计实现了 SYN Flood、ping Flood 和端口扫描攻击的防御模块。最后通过测试，该防火墙能够抵御常见的 DDoS 攻击，并对用户主机的性能影响较小。

　　关键词： 防火墙； 状态检测； 拒绝服务攻击； 过滤规则

ABSTRACT

　　With the development of Internet,the Internet brought us convenient and efficient life while also accompanied by a variety of network security issues. In recent years,a variety of network security incidents continue to erupt as 12306 leaks,The Background of Prism event. This security issues are warning us that we should not ignore the importance of network security. Firewall as a major way to prevent network attacks,is often used to prevent illegal connections and the internal network from insafe networks segmented. Linux Packet Filtering Firewall filters packets based on iptables bracelet rule,iptables embodies the security policy of servers. The defense capability of our Linux firewall is directly affected by the quality of our filtering rules.

　　Linux provides us with a firewall frame-- Netfilter,we can use iptables to realize the firewall function based on Netfilter frame．Iptables also provides powerful log functions,which can help us to record a variety of information,so that we can detect network attacks according to the log information,and according to the log we can improve our iptables rules and help to configure a more secure Linux firewall.

　　Based on the demand for personal computer firewall,we can design and implement a Linu operating system based stateful inspection packet filtering firewall by using the tool—Netfilter/Iptables.and finally by using SSH Secure Shell and other testing tools and method,we verify the firewall The safety and efficacy. Specific research contents and results are as follows:

　　Based on netfilter/iptables of firewall system, we achieve the state detection function of the common protocol packet through the IP filtration system .Compare with common packet filtering firewall, by using state detection function we can reduce waste of resources and delay . Because common packet filtering firewall need to examine each packet header, thus the state detection can greatly reduce the overhead additional spending of firewall that build in the linux.

　　In connection with the demand of Linux hosts, we analyze the principle and methods of the DDoS attack, by analyzing and adjusting each file of / proc directory under the Linux host, and by using netfilter/iptables IP packet filter system,we can add some appropriate rules chain for users, designing and implementing an DDoS module against the SYN Flood, ping Flood and port scan attack. Finally, through testing, the firewall can resist most of DDoS attacks, and have a less impact on the performance of Linux hosts.

　　KEY WORDS： Firewall; State Inspection; DDoS; Filtering rules

　　在过去的几十年里，计算机技术持续发展更新，互联网逐渐成为了人们日常生活不可缺少的一部分，每天都有大量的移动和本地客户端设备接入到因特网中。近年来，我国互联网市场规模和用户体量高速增长，截至 2014 年 12 月底，网站总量保持规模化发展，为 364.7 万个，网站使用的独立域名为 481.2 万余个，互联网接入服务商达到了 1068 家，网民规模达到了 6.49 亿，手机网民规模达5.57 亿，互联网普及率达到 47.9%，与此同时，信息化的迅猛发展也带来诸多网络安全威胁等伴生性问题。我国基础网络仍存在较多漏洞风险，云服务日益成为网络攻击的重点目标，域名系统面临严峻的 DDoS 攻击，针对重要网站的 DNS解析篡改的攻击频发。网络攻击威胁日益向工业互联网领域渗透，已发现我国部分地址 感染专门针对工业控制系统的恶意程序事件。分布式反射型的拒绝服务攻击日趋频繁，各种病毒，木马活动十分猖獗，使得互联网面临前所未有的挑战各种各样的网络安全问题接踵而来。

　　DDoS 攻击是不法之徒为了获取某种经济上的利益或者是满足个人的探究欲望而进行的攻击行为，另外由于 DDoS 攻击技术门槛逐年降低，因此基于 DoS上的 DDoS 攻击技术不断进步，呈现出了攻击频率不断升高、攻击流量规模不断增大，攻击方式更加多样化等特征。2013年3月起，CNCERT/CC针对rejoice2013、darkness、darkshell、imddos、风云、猎鹰、脑残片制造机、雪花、幽幽、残壳、毁灭等常见 DDoS 工具开展抽样监测。根据监测数据表明，使用上述 DDoS 工具进行的分布式拒绝服务攻击事件规模巨大，每天几十万台主机在不知情的情况下被黑客利用而成为用作发起 DDoS 攻击的“肉鸡”，有每天都有成千上万台主机正在遭受到 DDoS 攻击，因而逐渐变成威胁中国网络安全的一个重要因素。

　　而防火墙作为保护计算机以及网络的安全的一种重要方法，在多年防御网络攻击的过程中，也取得了长足的进步。防火墙技术是通过硬件设备或者软件的组合应用对网络信息进行分离、分析和限制来实现对网络数据资源和用户信息保护的一种访问控制技术。防火墙控制访问功能是根据用户或者企业制定好的过滤规则和系统配置为基础，对所有经过防火墙的数据报文分析、处理，分离出准许访问的那部分并予以通过实现的。

　　当终端用户不仅使用防火墙软件保护自己的网络免受攻击，而且也帮助管理自己的内部网络数据。由于在市面上，适合企业使用的高性能软件或者硬件防火墙均价格昂贵，对于大多数创业公司和小型企业，他们迫切需要网络防火墙来保证服务器的数据安全，而这笔费用的确会成为制约公司发展的一个因素。幸运的是， Linux 几乎具备所有的网络功能和开放源码的工具软件，利用 kernel 中的netfilter 模块，我们可以根据个人自身的需求，搭建出足以媲美大部分商用防火墙的具备高效率、低成本、持续稳定和高安全性的 Linux 防火墙。

　　防火墙由最初的包过滤技术、应用代理技术到目前的下一代防火墙（NextGeneration Firewall）技术，经过了几代人不断的努力。其中检测包过滤技术由于使用简单、高效率等优势，很快便在防火墙领域应用开来。但是使用包过滤技术的防火墙无法提供深度的防御，不能防御 IP 欺骗和一些网络攻击。应用代理防火墙虽然由于工作在 OSI 模型的第七层能够为我们提供深层数据的检测，但是对于不同的应用协议，防火墙需要开发相对应的程序，程序的兼容性需要提高。通过分析国内外防火墙测试报告数据，我们可以看出代理防火墙在互联网高度发展的当今社会已经满足不了保护网络安全的重任了目前，大多中小型企业仍然使用传统的防火墙技术即简单包过滤技术来节省开支，包过滤防火墙技术仍然停留在检测网络层和传输层的数据包报头信息的检测上，通过匹配过滤规则，按照设定的规则选择放行或者丢弃数据包。而目前 Web 2.0 应用正在蓬勃发展，海量应用都是运行在 OSI 模型的应用层，但简单包过滤防火墙却无法覆盖到应用层，无法有效地识别和判断应用层数据，更不用说检测应用程序所携带的而已代码了，很显然简单包过滤与当前的网络安全环境是格格不入的。

　　当前大量的网络威胁和网络攻击都是来自应用层，并且其规模和频率在逐年增强，攻击手段也趋于多样化。显然在当前网络环境中，传统防火墙已无法满足网络安全的需求了。CheckPoint 作为全球一流的互联网安全解决方案供应商第一个提出了状态检测这一个概念，状态检测防火墙能够通过在 OSI 模型的网络层读取数据包并取得检测需要的信息，最后根据过滤规则完成对连接的判断来决定接受或者拒绝该数据包。与简单包过滤防火墙相比较，状态检测防火墙首先能够从数据包中提取更多有用的数据并对信息进行相应的处理操作，提高了防火墙的安全性。其次在状态检测防火墙中当连接建立起来之后我们就无需去检测该连接的数据报文，因而拥有更高的效率。最后，状态检测防火墙可以通过产生新的安全策略和过滤规则来兼容一个新的应用程序，因而可扩展性更好。

　　只需要简单的配置就能够实现集中式管理，从而保障了大型网络间安全策略的同步，降低了运营费用。

　　防火墙虽然在从简单包过滤技术发展到集成多种技术得到了不小的进步，但是随着网络攻击方式的多元化和攻击规模的增大，我们仍需要不断研究新技术以应对当前和未来的网络威胁，因为基于包过滤技术的防火墙仍然是当下主流，而当前的防火墙主要是对已知漏洞和攻击的防范，而在未来，对未知的网络攻击如何进行提前预判和进行防御仍然是防火墙发展过程中不得不要解决的问题。要应对未来防火墙的威胁，我们必须使我们的防火墙更加智能化：

　　首先，防火墙必须能够预知网络威胁。通过不间断地监控收集网络数据变化并分析这些数据变化来产生网络运行正常时的特征。同时对比分析当前的网络数据流并与正常运行的数据特征进行比较，主动查找出危害网络安全环境的因素并及时将它消除。

　　其次，以人为本应当作为防火墙的一个重要原则。 未来防火墙应当像网络攻击在更大空间上发挥人的主观能动性，不断降低对防火墙技术知识的依赖程度，使得用户能够根据自身的需求搭建出满足自身需求的网络环境。

　　Linux防火墙开发设计:

 SSH 工作流程

HTTP 工作流程

实验拓扑图

 SSH secure Shell 登录

FTP 测试结果

目 录

　　第一章 绪论
　　　　1.1 论文的研究背景及意义
　　　　1.2 防火墙研究现状与发展趋势
　　　　1.3 论文的研究内容和组织结构
　　　　　　1.3.1 论文的主要工作
　　　　　　1.3.2 论文的组织结构
　　第二章 网络安全基本概念
　　　　2.1 我国网络安全概况
　　　　2.2 常见的网络攻击
　　　　　　2.2.1 拒绝服务攻击
　　　　　　2.2.2 分布式拒绝服务攻击
　　　　　　2.2.3 欺骗攻击
　　　　　　2.2.4 缓冲区溢出攻击
　　　　　　2.2.5 社会工程学攻击
　　　　2.3 常见的分布式拒绝服务攻击
　　　　　　2.3.1 smurf 攻击
　　　　　　2.3.2 Trinoo 攻击
　　　　　　2.3.3 Land 攻击
　　　　　　2.3.4 死亡之 ping 攻击
　　　　　　2.3.5 SYN Flood 攻击
　　　　　　2.3.6 DRDoS 攻击
　　　　2.4 本章小结
　　第三章 Linux 防火墙
　　　　3.1 防火墙简介
　　　　3.2 防火墙的判别依据
　　　　　　3.2.1 各层封包包头的信息
　　　　　　3.2.2 包的数据内容
　　　　　　3.2.3 连接状态
　　　　3.3 防火墙技术的分类
　　　　　　3.3.1 包过滤技术
　　　　　　3.3.2 应用代理技术
　　　　　　3.3.3 状态检测技术
　　　　3.4 常见的防火墙结构
　　　　　　3.4.1 单机防火墙
　　　　　　3.4.2 网关式防火墙
　　　　　　3.4.3 通透式防火墙
　　　　3.5 Linux 防火墙框架
　　　　　　3.5.1 Netfilter/Iptables 架构简介
　　　　　　3.5.2 Netfilter/Iptables 模块化工作框架
　　　　　　3.5.3 Iptables——Netfilter 使用工具
　　　　3.6 防火墙技术发展
　　　　3.7 本章小结
　　第四章 Linux 防火墙系统总体设计
　　　　4.1 系统设计需求
　　　　4.2 状态检测模块的设计
　　　　　　4.2.1 状态检测的概念
　　　　　　4.2.2 iptables 状态检测的实现
　　　　4.3 防火墙日志
　　　　　　4.3.1 日志的概念
　　　　　　4.3.2 Linux 系统日志
　　　　　　4.3.3 Iptables 防火墙日志
　　　　4.4 防火墙的初始化
　　　　　　4.4.1 防火墙的内核配置
　　　　　　4.4.2 防火墙的 shell 脚本的创建
　　　　　　4.4.3 删除已经存在的规则
　　　　　　4.4.4 防火墙的默认策略
　　　　　　4.4.5 重置和停止防火墙
　　　　4.5 状态检测的实现
　　　　　　4.5.1 SSH 协议的状态检测
　　　　　　4.5.2 FTP 协议的状态检测
　　　　　　4.5.3 DNS 协议的状态检测
　　　　　　4.5.4 HTTP 协议的状态检测
　　　　4.6 网络攻击模块
　　　　4.7 本章小结
　　第五章 Linux 防火墙的测试
　　　　5.1 防火墙的开启与停止
　　　　5.2 实验环境的设置
　　　　5.3 防火墙的测试
　　　　5.4 本章小结
　　第六章 总结与展望
　　　　6.1 总结
　　　　6.2 展望
　　参考文献
　　发表论文和参加科研情况说明
　　致 谢

（如您需要查看本篇毕业设计全文，请您联系客服索取）