张晓玲[1]2003年在《基于Linux主机IPv6防火墙的设计与实现》文中研究表明随着Internet在社会各个领域的不断推广,以及骇人听闻的“网络黑客”事件的时有发生,使得曾经被我们忽视了的“网络安全”正日益受到业界的关注和重视。造成Internet网络不安全局面的原因很多,网络攻击和非法入侵的手段也很多,但是究其根本原因,是缺乏一个能保证网络高度安全的防火墙。 Internet网络现在所采用的是IPv4协议,但由于IPv4协议存在着这样和那样的缺点,IPV6协议已经成为未来网络协议发展的必然趋势,这也为设计防火墙系统提供了一个新思路。本文提出了一种基于Linux的防火墙和入侵检测技术(IDS)相结合来保证网络安全的解决方案,即在Linux系统下IPV6防火墙的设计与实施。 本文从网络安全的现状谈起,探讨了网络安全的主要威胁因素和相应的攻击手段,同时也归纳了针对这些威胁因素和攻击手段而采取的提高网络安全的安全措施和技术手段。接下来的内容共分为叁部分,就网络安全的解决方案进行了深入的研究和探讨,并设计和实现了该防火墙系统。 第一部分包括第二章,主要按照软件工程的实现方式围绕系统的实现展开讨论,包括总体设计、需求分析、系统实现步骤、软硬件环境以及系统所要实现的功能。最后对系统实现的软硬件环境的原理和发展趋势进行探讨。 第二部分针对系统的总体设计和需求分析,对该防火墙系统实现的原理和具体的实现过程进行了讲述,它包括第叁章和第四章。其中,第叁章提出了防火墙系统实现的总体结构,主要对数据包嗅探器(sniffer)、数据分析处理、数据库操作、流量统计的结构与原理进行分析,重点讲述了该防火墙系统向IPV6移植的原理;第四章则综合以上的理论和原理分析,分别对数据包捕获模块、数据处理模块、规则设置模块、数据库查询模块和流量统计模块进行设计和实现,并着重讲述了向IPV6移植的实现过程。 第叁部分对该防火墙系统进行测试,并且根据这些结果,分析了现有系统的不足和以后需要解决的问题。包括第五章和第六章,其中第五章讲述了防火墙系统实现以后的运行界面及运行结果,以及向IPV6的移植以后对系统的测试过程;第六章对所实现的系统提出了改进意见,并对以后IPv6防火墙技术的发展进行展望。
陈金牛[2]2007年在《嵌入式IPv6防火墙设计与实现》文中研究表明防火墙是在内部网与外部网之间实施安全防范的系统,它限制外界用户对内部网络的访问,管理内部用户访问外部网络的权限,保护着主机信息在网络上的安全。传统的边界防火墙不能保护内部网络之间的安全,分布式防火墙系统结构可以解决这一问题,分布于局域网内的嵌入式防火墙能够保证局域网内访问的安全性。在互联网协议方面,IETF为解决IPv4网络地址不足的问题推出了IPv6协议。IPv6设计有128位的地址长度,能很好的解决地址空间问题。同时IPv6协议结构的改进有助于网络安全的改善。新网络协议的推出要求网络设备必须更新支持IPv6。为了解决防火墙对IPv6协议的兼容及对内部网络之间安全的保障问题,本文设计实现了基于Intel XScale IXP425处理器的嵌入式IPv6防火墙。该防火墙可以通过WEB远程加以管理,对IPv6网络包和IPv4网络包均可以进行良好的过滤。防火墙能够判断出网络包的协议类型,分别加以处理,实行动态包过滤,并可以解决IPv6分片攻击问题。防火墙硬件系统基于IXP425处理器,该处理器具有良好的网络特性,拥有分布式处理架构,并行方式执行其指令流。处理器的高速性保证了嵌入式IPv6防火墙处理网络数据包的高效性。防火墙软件系统基于Linux的Netfilter框架,该框架对网络包的处理体系十分成熟,从而保证了嵌入式IPv6防火墙运行时的稳定性和准确性。此外,防火墙支持WEB界面管理使得定制过滤规则十分方便。本文最后通过实际设定过滤规则,对防火墙在IPv6和IPv4下的工作情况进行测试,验证了防火墙的准确性和高效性。
邹莹[3]2006年在《基于Linux主机IPv6防火墙的设计与实现》文中研究说明针对频繁发生的“网络黑客”事件,创新地设计与实现了基于Linux主机的IPv6防火墙,主要论述了数据包捕获模块、数据处理模块、规则设置模块、数据库查询模块和流量统计模块的设计与实现。首先阐述了信息安全及防火墙的重要性,给出防火墙的概念和原理;然后分析基于Linux主机的IPV6防火墙系统总体设计思路,最后论述基于Linux主机的IPV6防火墙的设计与实现,并详述其具体实现的各个模块。
张科[4]2007年在《IPv6防火墙状态检测技术的研究与实现》文中研究表明以Internet为主要标志的网络技术飞速发展,为人们的日常生活和社会生产的发展带来了巨大的便利。随着网络深入到社会生活的方方面面,网络信息安全的问题已经成为人们关注的焦点。防火墙技术作为保护网络信息安全的主要技术之一,目前已经成为构建安全可靠网络的常用方法。随着新一代互联网协议——IPv6的产生和即将到来的大规模应用,进行IPv6防火墙的研究是必要而且迫切的。相对于传统的包过滤和应用网关技术,状态检测具有速度快,安全性较高的特点,是目前主流的防火墙技术。Linux作为开放源码的操作系统,有着广泛的应用。其2.4和2.6内核版本不仅支持IPv6协议栈,而且所采用的Netfilter/iptables框架引入了模块化的构建方式,可以方便地实现IPv6防火墙。本论文的主要目的就是对基于Linux操作系统的IPv6防火墙状态检测技术进行研究和实现。围绕这一目标,主要做了以下叁个方面的工作:①在分析IPv4状态检测技术和Linux防火墙框架Netfilter/iptables的基础上。通过在Netfilter的NF_IP6_FORWARD HOOK点挂接自定义状态检测函数,以可加载内核模块的方式实现IPv6防火墙状态检测模块。②基于Patricia tries构造半开连接表来处理TCP连接建立的过程,利用端口队列来跟踪每个半开连接,按照先进先出的原则对半开连接进行数量统计和状态检测。模拟实验表明,引入这种方法的IPv6防火墙状态检测模块能够比较有效的抵御Syn Flood攻击。③为了提高连接状态表匹配的效率,采用一种新的哈希函数以解决IPv6 128 bit地址造成的连接状态表过大的问题。并且基于IP流的思想,在哈希表的头结点中增加一个指向上次匹配成功的冲突链结点的指针,以提高下次匹配的查找速度。本文基于理论分析和技术实现,对IPv6防火墙状态检测技术进行了研究和实现并优化了性能,为IPv6下的网络安全做出了有效的探索。
夏铭[5]2014年在《基于双栈技术的校园网防火墙设计与实现》文中研究说明随着IPv4地址的日益枯竭弊端显现,IPv6的普及推广速度越来越快。我校适逢搬迁新校区网络扩容的机遇。为了实现公网的IPv4接入与教育网的IPv6接入,实施网络升级工程。而设计出一个提供IPv4下网络安全防护和IPv6下网络安全防护的防火墙方案就被提上了日程。本文以同时支持IPv4/IPv6双栈协议的防火墙为研究课题,重点研究了双栈下的混合路由、IPv4协议下的iptables与IPv6协议下的ip6tables、以及防火墙性能调优等,主要研究内容分为五部分。首先简单地对IPv6介绍后,讨论了IPv4向IPv6过渡的几种过渡技术,讨论了双栈技术、隧道技术和转换机制这几种常用的过渡技术。对校园网络升级方案中设计采用支持双栈的防火墙进行论证。接着讨论解决了双栈条件下的混合路由问题。对在防火墙上实现混合路由功能进行了分析与设计,使用到了策略路由技术,为以后实现均衡负载打下了技术基础,留有一定的升级空间。同时也在防火墙上安装了Quagga软件,随着以后网络规模的扩大,以及拓扑结构变得更加复杂,这里通过使用开源Quagga软件来实现IPv6的路由功能。同时为将来的技术升级留下了余量。然后从网络层和传输层入手,以协议原理为基础,从数据包头部结构、协议本身、验证、流量四个方面,对攻击实现方法进行分析。虽然IPv6解决了IPv4地址空间的问题,以及协议本身的改进,可以消除一些针对验证和流量的攻击,但是从网络分层模型上来说是类似的,那就意味着攻击可以一定程度上沿用IPv4的思路,并进行拓展,所以IPv6的安全形势也不容乐观。论文分别在IPv4与IPv6协议下,对防火墙的iptables和ip6tables进行了脚本设计与编写,并对完成的策略分别进行TCP和UDP测试。在防火墙各个模块功能正常完成测试后,即开始进行整机入校园网功能测试。并着手进行了防火墙优化工作,同时以OpenSWAN为平台加入了IPsec功能。在防火墙调优工作中,实现了有状态的UDP、TCP、ICMP和FTP会话的检查;有状态的IPv4和IPv6之间翻译分组的检查;处理EH,路由选择、逐跳、选项和分段头部;端口到应用映射(PAM),允许网络管理员定制使用的TCP和UDP端口。这个特征允许它们实行基于内容的接入控制,甚至在一个更宽的端口范围内。
张彤[6]2006年在《基于Linux的防火墙软件系统研究开发》文中研究说明随着计算机网络的普及,网络安全问题日益突出,防火墙作为一种行之有效的网络安全机制,已经得到广大用户的认同。 作者在研究包过滤、代理服务、状态检测等防火墙基本实现技术的基础上,探索了netfilter防火墙框架结构、用户态下的netfilter控制程序等Linux防火墙实现技术与工具,设计并实现了基于Linux的软件防火墙。 本防火墙软件包括身份认证、包过滤、代理服务和日志管理等主要模块,具有设定安全策略、分组过滤规则与代理服务的功能。 本文介绍了作者的研究开发工作,详细描述了基于Linux的软件防火墙的分析、设计、实现过程,以及主要数据结构及算法。以包过滤模块为例,分析了防火墙向IPv6环境移植的原理。最后介绍了防火墙的测试过程。
刘艳[7]2010年在《基于Linux的IPv6分布式防火墙技术研究》文中认为IPv6的网络体系架构安全性离不开防火墙的支持。此文首先对分布式防火墙的研究,总体设计了基于Linux的IPv6分布式防火墙网络体系架构,然后实现了基于Linux环境下的IPv6分布式防火墙。
王则林[8]2005年在《基于Web的嵌入式Linux防火墙服务管理系统的研究与实现》文中提出本文对嵌入式Linux防火墙系统和防火墙的安全远程管理体系进行了分析和研究,并在此基础上设计实现了一个基于Web的嵌入式Linux防火墙服务管理系统。本文具体做了以下几方面工作: ◆对嵌入式Linux防火墙的安全远程管理体系进行了研究、规划和总体设计; ◆对符合防火墙安全管理要求的Web服务模块进行了研究与设计; ◆应用SSL/TLS,保证服务器和客户端之间传输信息的安全性、完整性和保密性,设计和实现了叁种安全访问模式和叁重身份认证体系,在加密强度和效率之间达到一种平衡; ◆防火墙远程配置系统的研究和设计,实现了远程管理用户与防火墙的接口,提供了防火墙用户管理,网络管理,URL过滤,P2P协议过滤,状态查询等功能的远程配置,以及防火墙本身的管理和实时监控; ◆基于Flash的系统固件和嵌入式Linux系统启动设计,提供了整个系统基于Flash的无盘运行环境,同时保证嵌入式防火墙和web远程配置接口能在系统启动完成后自动加载,保证防火墙正常运行、基于Web的嵌入式Linux防火墙服务管理系统正常提供服务; ◆进行原型系统的测试,对系统的设计进行了验证。
唐力[9]2006年在《基于Linux的IPv6防火墙测试工具的设计与实现》文中指出IPv6网络正以前所未有的速度在全球蔓延。众多由于起步晚而受制于美国的国家,纷纷投入IPv6的研究浪潮,并将此视为互联网重新洗牌后崛起的关键机会。中国在全球IPv6领域已经成为领先者之一,其标志是全球最大的纯IPv6网络CERNET2的建成。 NGI(Next Generation Internet)网络运营的成功既依赖于其覆盖面、成熟的管理和广泛的应用,也取决于用户对网络的信任度。没有相应的网络安全保证,用户就会在是否选择IPv6替代IPv4的问题上摇摆不定。研究IPv6网络安全技术,并开发相应产品,已经成为IPv6部署面临的迫切问题。 优秀的产品需要科学的测试来保证。本文从IPv6网络安全的需求出发,分析了适用于下一代网络环境的IPv6防火墙的可能形式,并通过开发防火墙的实际经验和对其未来走向的预测,设计并实现了一个IPv6防火墙测试系统。其核心功能包括:在缺乏相应网络环境的情况下,辅助防火墙类IPv6安全系统的开发和测试;避免使用协议支持落后且数据内容缺失的商业测试系统,同时大大降低了开发的成本;使针对IPv6安全隐患开发的特征处理能够易于验证。 针对以上分析,本文提出的测试工具被设计为一个运行于Linux内核之上,使用自带伪IPv6协议栈,以帧为处理单位优化速度,可实现百兆IPv6分组数据流量的系统。此外,商业测试系统由于加密算法出口限制,无法全面支持的IPsec协议,也在本系统中得到全面的支持。 最后,论文提供了若干使用本系统,对IPv6防火墙进行测试的案例分析,并给出了在已完成的IPv6防火墙中测试的结果。
徐涛[10]2008年在《基于IPv6分布式防火墙的设计与实现》文中研究说明随着计算机网络的发展和普及,特别是互联网大规模的应用,网络安全越来越受到人们的普遍关注。防火墙作为保障网络安全的重要手段已被广泛应用到计算机网络中。目前新一代基于IPv6协议的互联网即将得到大规模应用;因此,进行IPv6防火墙的研究是必要而且是迫切的。传统的防火墙设置在网络边界,在内部企业网和外部互联网之间构成一个屏障,进行网络存取控制。但是传统防火墙存在一个致命的缺陷:传统防火墙把内部网络一端的用户看成是可信任的,外部网络一端的用户则都被作为潜在的攻击者来对待。分布式防火墙的出现可以有效的解决了传统防火墙的缺陷。分布式防火墙把Internet和内部网络均视为“不友好的”。它对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。从总体上说分布式防火墙技术还处在进一步的发展阶段。本文首先对当前Internet发展现状和网络安全问题进行了介绍,指出传统防火墙的不足。在第2章中首先介绍了传统防火墙的发展现状、体系结构等方面的知识,进一步指出了传统防火墙所面临的问题,由此引入了分布式防火墙,并对其进行了研究,对几种现存的分布式防火墙模型进行详细的分析,在此基础上,设计和实现了一个充分利用现有技术基于IPv6的分布式防火墙系统。在随后的章节中又对分布式防火墙所用的技术,如IPSec、Netfitler/Iptables和NDIS做了进一步的探讨,并给出分布式防火墙的实现方案。本文基于理论分析和技术实现,对基于IPv6分布式防火墙技术进行了研究和实现,为IPv6平台下的网络安全做出了有效的探索。
参考文献:
[1]. 基于Linux主机IPv6防火墙的设计与实现[D]. 张晓玲. 天津工业大学. 2003
[2]. 嵌入式IPv6防火墙设计与实现[D]. 陈金牛. 厦门大学. 2007
[3]. 基于Linux主机IPv6防火墙的设计与实现[J]. 邹莹. 电脑知识与技术. 2006
[4]. IPv6防火墙状态检测技术的研究与实现[D]. 张科. 重庆大学. 2007
[5]. 基于双栈技术的校园网防火墙设计与实现[D]. 夏铭. 电子科技大学. 2014
[6]. 基于Linux的防火墙软件系统研究开发[D]. 张彤. 西安理工大学. 2006
[7]. 基于Linux的IPv6分布式防火墙技术研究[J]. 刘艳. 信息与电脑(理论版). 2010
[8]. 基于Web的嵌入式Linux防火墙服务管理系统的研究与实现[D]. 王则林. 苏州大学. 2005
[9]. 基于Linux的IPv6防火墙测试工具的设计与实现[D]. 唐力. 东北大学. 2006
[10]. 基于IPv6分布式防火墙的设计与实现[D]. 徐涛. 华东师范大学. 2008
标签:互联网技术论文; 防火墙论文; 网络安全论文; ipv6论文; 包过滤防火墙论文; ipv6东北大学论文; 状态检测防火墙论文; 网络安全防护论文; 网络安全协议论文; 分布式架构论文; linux系统论文; linux服务器论文; 分布式技术论文; 用户研究论文; 信息安全论文; 用户分析论文; 分布式部署论文; netfilter论文; ipv4论文;