基于Linux主机IPv6防火墙的设计与实现
摘要
随着Internet在社会各个领域的不断推广,以及骇人听闻的“网络黑客”事件的时有发生,使得曾经被我们忽视了的“网络安全”正日益受到业界的关注和重视。造成Internet网络不安全局面的原因很多,网络攻击和非法入侵的手段也很多,但是究其根本原因,是缺乏一个能保证网络高度安全的防火墙。
Internet网络现在所采用的是IPv4协议,但由于IPv4协议存在着这样和那样的缺点,IPV6协议已经成为未来网络协议发展的必然趋势,这也为设计防火墙系统提供了一个新思路。本文提出了一种基于Linux的防火墙和入侵检测技术(IDS)相结合来保证网络安全的解决方案,即在Linux系统下IPV6防火墙的设计与实施。
本文从网络安全的现状谈起,探讨了网络安全的主要威胁因素和相应的攻击手段,同时也归纳了针对这些威胁因素和攻击手段而采取的提高网络安全的安全措施和技术手段。接下来的内容共分为三部分,就网络安全的解决方案进行了深入的研究和探讨,并设计和实现了该防火墙系统。
第一部分包括第二章,主要按照软件工程的实现方式围绕系统的实现展开讨论,包括总体设计、需求分析、系统实现步骤、软硬件环境以及系统所要实现的功能。最后对系统实现的软硬件环境的原理和发展趋势进行探讨。
第二部分针对系统的总体设计和需求分析,对该防火墙系统实现的原理和具体的实现过程进行了讲述,它包括第三章和第四章。其中,第三章提出了防火墙系统实现的总体结构,主要对数据包嗅探器(sniffer)、数据分析处理、数据库操作、流量统计的结构与原理进行分析,重点讲述了该防火墙系统向IPV6移植的原理;第四章则综合以上的理论和原理分析,分别对数据包捕获模块、数据处理模块、规则设置模块、数据库查询模块和流量统计模块进行设计和实现,并着重讲述了向IPV6移植的实现过程。
第三部分对该防火墙系统进行测试,并且根据这些结果,分析了现有系统的不足和以后需要解决的问题。包括第五章和第六章,其中第五章讲述了防火墙系统实现以后的运行界面及运行结果,以及向IPV6的移植以后对系统的测试过程;第六章对所实现的系统提出了改进意见,并对以后IPv6防火墙技术的发展进行展望。
With the popularization of Internet in many fields, more and more application of Internet has been adopted. And we often heard some bad news about hackers and crackers, who had broken into computers and systems again. So the security of network is more important nowadays, and it is becoming a focus of Internet. Why is Internet so frangible? After analyzing many events of network attacks and invalid intrusions, we found that the frangibility of Internet is due to lack of the firewall to protect the network security.
As you know, Internet nowadays bases on the IPv4 protocol, which has some imperfect. IPv6 will be the necessary developed current in the future, as is the new thought of designing firewall systems. This dissertation put forward a resolvable means of integrating into firewall and IDS to protect network security. That is the design and implement of IPv6 firewall in Linux.
At the begin of the dissertation, we has discussed the state of security on Internet, analyzed the factors caused frangibility of Internet, and intrude some means used to provide security services for Internet. After that, this dissertation focus on secure network access and designing and implementing the firewall system as follows.
Firstly, we have summarized some means and methods of firewall implement according to software engineering in detail at Chapter II. It contains collectivity design, demand analysis, system implement, software and hardware situation and the results of system. Then we discussed the principle and develop current of software and hardware.
Secondly, we discussed the realization principle and concretely process of firewall system. At Chapter III, we suggested some configuration and effective principle such as sniffer, data analyze and transact, database operate and flux statistics, and the principle of transplant to IPv6. According to these theory and principles, we implemented a package filter firewall of IPV6 at Chapter IV.
In the end, we have tested the IPv6 firewall system at Chapter V , especially test the IPv6 system. According to the results we analyzed the shortage of the system and provided the resolve methods, and prospected the IPv6 firewall technology at Chapter VI.
Internet网络现在所采用的是IPv4协议,但由于IPv4协议存在着这样和那样的缺点,IPV6协议已经成为未来网络协议发展的必然趋势,这也为设计防火墙系统提供了一个新思路。本文提出了一种基于Linux的防火墙和入侵检测技术(IDS)相结合来保证网络安全的解决方案,即在Linux系统下IPV6防火墙的设计与实施。
本文从网络安全的现状谈起,探讨了网络安全的主要威胁因素和相应的攻击手段,同时也归纳了针对这些威胁因素和攻击手段而采取的提高网络安全的安全措施和技术手段。接下来的内容共分为三部分,就网络安全的解决方案进行了深入的研究和探讨,并设计和实现了该防火墙系统。
第一部分包括第二章,主要按照软件工程的实现方式围绕系统的实现展开讨论,包括总体设计、需求分析、系统实现步骤、软硬件环境以及系统所要实现的功能。最后对系统实现的软硬件环境的原理和发展趋势进行探讨。
第二部分针对系统的总体设计和需求分析,对该防火墙系统实现的原理和具体的实现过程进行了讲述,它包括第三章和第四章。其中,第三章提出了防火墙系统实现的总体结构,主要对数据包嗅探器(sniffer)、数据分析处理、数据库操作、流量统计的结构与原理进行分析,重点讲述了该防火墙系统向IPV6移植的原理;第四章则综合以上的理论和原理分析,分别对数据包捕获模块、数据处理模块、规则设置模块、数据库查询模块和流量统计模块进行设计和实现,并着重讲述了向IPV6移植的实现过程。
第三部分对该防火墙系统进行测试,并且根据这些结果,分析了现有系统的不足和以后需要解决的问题。包括第五章和第六章,其中第五章讲述了防火墙系统实现以后的运行界面及运行结果,以及向IPV6的移植以后对系统的测试过程;第六章对所实现的系统提出了改进意见,并对以后IPv6防火墙技术的发展进行展望。
With the popularization of Internet in many fields, more and more application of Internet has been adopted. And we often heard some bad news about hackers and crackers, who had broken into computers and systems again. So the security of network is more important nowadays, and it is becoming a focus of Internet. Why is Internet so frangible? After analyzing many events of network attacks and invalid intrusions, we found that the frangibility of Internet is due to lack of the firewall to protect the network security.
As you know, Internet nowadays bases on the IPv4 protocol, which has some imperfect. IPv6 will be the necessary developed current in the future, as is the new thought of designing firewall systems. This dissertation put forward a resolvable means of integrating into firewall and IDS to protect network security. That is the design and implement of IPv6 firewall in Linux.
At the begin of the dissertation, we has discussed the state of security on Internet, analyzed the factors caused frangibility of Internet, and intrude some means used to provide security services for Internet. After that, this dissertation focus on secure network access and designing and implementing the firewall system as follows.
Firstly, we have summarized some means and methods of firewall implement according to software engineering in detail at Chapter II. It contains collectivity design, demand analysis, system implement, software and hardware situation and the results of system. Then we discussed the principle and develop current of software and hardware.
Secondly, we discussed the realization principle and concretely process of firewall system. At Chapter III, we suggested some configuration and effective principle such as sniffer, data analyze and transact, database operate and flux statistics, and the principle of transplant to IPv6. According to these theory and principles, we implemented a package filter firewall of IPV6 at Chapter IV.
In the end, we have tested the IPv6 firewall system at Chapter V , especially test the IPv6 system. According to the results we analyzed the shortage of the system and provided the resolve methods, and prospected the IPv6 firewall technology at Chapter VI.
引文
[1] 北京启明星辰信息技术有限公司.防火墙原理与实用技术.电子工业出版社.2002.1
[2] 21世纪信息安全研讨会.会议报道.计算机世界.2000.5.15
[3] 严望佳.21世纪的网络与网络安全.计算机世界.2000.10.30
[4] Terry William Ogletree. Practical Firewall. 电子工业出版社.2001年
[5] 刘渊,乐红兵.因特网防火墙技术.机械工业出版社.1998年
[6] 孙静,曾红卫.网络安全检测与预警.计算机工程.Vol.27 No.7 109-110
[7] 胡昌振,李贵涛.面向21世纪网络安全与防护.北京希望电子出版社.2000.2
[8] 杨波,朱秋萍.Web安全技术综述.计算机应用研究.2002.10 1-4
[9] William R. Cheswick. Firewall and Internet Security. 机械工业出版社.2000年
[10] 王海霞,赵正军,刘纪平.网络防火墙技术浅析.计算机工程与设计.Vol.23 No.2 14-17
[11] 路璐,马先立.利用网络入侵检测系统与防火墙的功能结合构建安全网络模型.计算机应用研究.No.10 93-95 2002年
[12] 蒋建春,冯登国.网络入侵检测原理与技术.国防工业出版社.2001.7
[13] Rebecca Gurley Bace. 入侵检测.人民邮电出版社,2001.6
[14] Terry Escamilla. Intrusion Detection. 电子工业出版社.1999.7
[15] 蒋嶷川,田盛丰.数据挖掘技术在入侵检测系统中的应用.计算机工程.Vol.27 No.4 130-131
[16] 骆炎民,张全秋,吴金龙.改进地防火墙技术.福建电脑,2002.8
[17] Silvano Gai.IPV6网络互连与Cisco路由器.机械工业出版社.2000.2
[18] http://210.25.132.18/harvest/IPSec_fisher.pdf
[19] Stevens W R. TCP/IP illustrated. Vol. 1, 2, 3. Addison-wesley Press, 1998
[20] S. Deering, R. Hinden,"Internet Protocol, Version 6(Ipv6)Specification", RFC 1883, December 1995
[21] 谭海平.Linux下IPV4和IPV6的互操作性研究.http://www. china-pub.com 2002-09-29 09:08:26
[22] R. Braden, Editor. Requirements for Internet Hosts--Communication Layers. RFC1122. 1989-10
[23] T. Narten, E. Nordmark. Neighbor Discovery for IP Version 6 (IPv6). RFC 2461. 1998-12
[24] Kent S. Atkinson R. Security architecture for the Internet protol. IETF, Internet RFC:2401 ,November, 1998
[25] Kent S, Atkinson R. IP authentication header. IETF, Internet RFC; 2402, November 1998
[26] Kent S, Atkinson R. IP Encapsulating Security Payload(ESP). IETF, Internet RFC; 2402, November 1998
[27] 李滢,赵杨川.IPV6协议及其发展现状.本溪冶金高等专科学校学报.Vol.4 No.1 4-6
[28] Danesh A. 邱仲潘译.Linux从入门到精通.电子工业出版社,1999
[29] 何田.Linux管理员指南.清华大学出版社.1999
[30] 青松研究室.Linux初学与实作.青岛出版社.1999
[31] http://tech.sina.com.cn/s/2001-11-14/2139.html
[32] http://yesky.com/20010717/189277.shtml
[33] 金勇华,曲俊生.Java网络高级编程.人民邮电出版社.2001年8月
[34] Eckel B. Java编程思想.Thinking in Java. 机械工业出版社.2000
[35] 万映辉,张水平等,基于TCP/IP信息哄骗技术的研究与实现.计算机工程.Vol.27 No.3 127-128
[36] Stevens W R. UNIX环境高级编程.机械工业出版社.1999年
[37] Baruch R, Schroeter C. Writing Character Device Driver for Linux. 1994
[38] Welsh. Matt. Linux权威指南.中国电力出版社.2000年3月
[39] http://www.xfocus.org
[40] 李碧容.Linux环境下的socket编程 2000.12.09 http://www.china-pub.com/computers/emook/0532/info.htm
[41] 唐正军,刘代志.网络嗅探器Sniffer软件源代码浅析(1).计算机工程.Vol.27 No.5 165-166
[42] 唐正军,刘代志.网络嗅探器Sniffer软件源代码浅析(3).计算机工程.Vol.28 No.2 63-65
[43] Russell P R. Unreliable Guide to Hacking the Linux Kernel. 2000
[44] McCanne S, Jacobson V. The BSD Packet Filter: A new Architecture for User-level packet Capture. Proceedings of the 1993 Winter USENIX Technical Conference, USENIX, 1993-01
[45] Denning D. E. An Intrusion-detection Model. IEEE Transactions on Software Engineering, 1987, SE-13(2)
[46] 严桂兰,刘甲耀.Java在网络多媒体声像设计中的应用.计算机应用.Vol.21 No.6 59-60
[47] 王东滨,方滨兴等.基于WEB管理的网络监测技术的设计与实现.计算机工程.Vol.28 No.10 203-204
[48] 易正强,王耀军.基于Proxy的网络计费系统的设计与实现.计算机工程.Vol.27 No.2 166-168
[49] 吴黎兵,崔建群.基于SNMP协议的校园网计费系统的数据采集.计算机应用.Vol.21
No.3 81-83
[50] 红蜻蜓IP地址分配查询工具.冬威软件工作室.http://www.supersoft.com.cn/
[51] http://210.25.132.18/;北邮ipv6试验床
[52] Gilligan R, ThomonS, Bound J, et al. Basic Socket Interface Extensions for IPv6. RFC 2553, 1999-03
[53] 夏涛,余胜生.开发支持IPV6的应用程序.计算机工程.Vol.27 No.10 51-52
[54] Stevens W, Thomas M. Advanced Sockets API for IPv6. RFC2292. 1999
[55] 唐正军,刘代志.网络嗅探器Sniffer软件源代码浅析(2).计算机工程.Vol.28 No.1 11-13
[56] 袁春阳,柴乔林等.网络入侵检测系统中网络实时监听程序的设计与实现.计算机工程.Vol.28 No.10 150-152
[57] 黄锦,李家滨.基于防火墙日志信息的入侵检测研究.计算机工程.Vol.27 No.9 115-117
[58] www.dukejava.com作者:javaduke 2001-05-30 永远的UNIX
[59] 何杰,夏荣霞.利用Java Swing实现数据库结构化查询界面.计算机应用,Vol.21.No.3 93-94
[60] Carol McCullough-Dieter.Oracle8实用大全.中国水利水电出版社,1999
[61] 隋杰,于华.基于JDBC的JavaBuilder4.0数据库应用程序设计.计算机工程.Vol.27 No.12 189-190
[62] Wutka M.张森译.Java编程技巧.浙江科学技术出版社.西蒙与舒斯特国际出版公司,1999
[63] R. Gilligan, S. Thomson, J. Bound, W. Stevens. Basic Socket Interface Extensions for IPV6. RFC 2553, March 1999
[64] J. Postel. RFC 790. 1981-9
[65] J. Reynolds, J. Postel. RFC 1700. 1994-10
[66] IPV6羽翼渐丰——新型互联网服务指日可待.互联网周刊.2002.7.13
[67] Patrick Chan, Rosanna Lee.Java类库手册.北京大学出版社.1996年
[68] 谢斌,罗勃.Linux网站建设技术指南.机械工业出版社.2000年8月
[2] 21世纪信息安全研讨会.会议报道.计算机世界.2000.5.15
[3] 严望佳.21世纪的网络与网络安全.计算机世界.2000.10.30
[4] Terry William Ogletree. Practical Firewall. 电子工业出版社.2001年
[5] 刘渊,乐红兵.因特网防火墙技术.机械工业出版社.1998年
[6] 孙静,曾红卫.网络安全检测与预警.计算机工程.Vol.27 No.7 109-110
[7] 胡昌振,李贵涛.面向21世纪网络安全与防护.北京希望电子出版社.2000.2
[8] 杨波,朱秋萍.Web安全技术综述.计算机应用研究.2002.10 1-4
[9] William R. Cheswick. Firewall and Internet Security. 机械工业出版社.2000年
[10] 王海霞,赵正军,刘纪平.网络防火墙技术浅析.计算机工程与设计.Vol.23 No.2 14-17
[11] 路璐,马先立.利用网络入侵检测系统与防火墙的功能结合构建安全网络模型.计算机应用研究.No.10 93-95 2002年
[12] 蒋建春,冯登国.网络入侵检测原理与技术.国防工业出版社.2001.7
[13] Rebecca Gurley Bace. 入侵检测.人民邮电出版社,2001.6
[14] Terry Escamilla. Intrusion Detection. 电子工业出版社.1999.7
[15] 蒋嶷川,田盛丰.数据挖掘技术在入侵检测系统中的应用.计算机工程.Vol.27 No.4 130-131
[16] 骆炎民,张全秋,吴金龙.改进地防火墙技术.福建电脑,2002.8
[17] Silvano Gai.IPV6网络互连与Cisco路由器.机械工业出版社.2000.2
[18] http://210.25.132.18/harvest/IPSec_fisher.pdf
[19] Stevens W R. TCP/IP illustrated. Vol. 1, 2, 3. Addison-wesley Press, 1998
[20] S. Deering, R. Hinden,"Internet Protocol, Version 6(Ipv6)Specification", RFC 1883, December 1995
[21] 谭海平.Linux下IPV4和IPV6的互操作性研究.http://www. china-pub.com 2002-09-29 09:08:26
[22] R. Braden, Editor. Requirements for Internet Hosts--Communication Layers. RFC1122. 1989-10
[23] T. Narten, E. Nordmark. Neighbor Discovery for IP Version 6 (IPv6). RFC 2461. 1998-12
[24] Kent S. Atkinson R. Security architecture for the Internet protol. IETF, Internet RFC:2401 ,November, 1998
[25] Kent S, Atkinson R. IP authentication header. IETF, Internet RFC; 2402, November 1998
[26] Kent S, Atkinson R. IP Encapsulating Security Payload(ESP). IETF, Internet RFC; 2402, November 1998
[27] 李滢,赵杨川.IPV6协议及其发展现状.本溪冶金高等专科学校学报.Vol.4 No.1 4-6
[28] Danesh A. 邱仲潘译.Linux从入门到精通.电子工业出版社,1999
[29] 何田.Linux管理员指南.清华大学出版社.1999
[30] 青松研究室.Linux初学与实作.青岛出版社.1999
[31] http://tech.sina.com.cn/s/2001-11-14/2139.html
[32] http://yesky.com/20010717/189277.shtml
[33] 金勇华,曲俊生.Java网络高级编程.人民邮电出版社.2001年8月
[34] Eckel B. Java编程思想.Thinking in Java. 机械工业出版社.2000
[35] 万映辉,张水平等,基于TCP/IP信息哄骗技术的研究与实现.计算机工程.Vol.27 No.3 127-128
[36] Stevens W R. UNIX环境高级编程.机械工业出版社.1999年
[37] Baruch R, Schroeter C. Writing Character Device Driver for Linux. 1994
[38] Welsh. Matt. Linux权威指南.中国电力出版社.2000年3月
[39] http://www.xfocus.org
[40] 李碧容.Linux环境下的socket编程 2000.12.09 http://www.china-pub.com/computers/emook/0532/info.htm
[41] 唐正军,刘代志.网络嗅探器Sniffer软件源代码浅析(1).计算机工程.Vol.27 No.5 165-166
[42] 唐正军,刘代志.网络嗅探器Sniffer软件源代码浅析(3).计算机工程.Vol.28 No.2 63-65
[43] Russell P R. Unreliable Guide to Hacking the Linux Kernel. 2000
[44] McCanne S, Jacobson V. The BSD Packet Filter: A new Architecture for User-level packet Capture. Proceedings of the 1993 Winter USENIX Technical Conference, USENIX, 1993-01
[45] Denning D. E. An Intrusion-detection Model. IEEE Transactions on Software Engineering, 1987, SE-13(2)
[46] 严桂兰,刘甲耀.Java在网络多媒体声像设计中的应用.计算机应用.Vol.21 No.6 59-60
[47] 王东滨,方滨兴等.基于WEB管理的网络监测技术的设计与实现.计算机工程.Vol.28 No.10 203-204
[48] 易正强,王耀军.基于Proxy的网络计费系统的设计与实现.计算机工程.Vol.27 No.2 166-168
[49] 吴黎兵,崔建群.基于SNMP协议的校园网计费系统的数据采集.计算机应用.Vol.21
No.3 81-83
[50] 红蜻蜓IP地址分配查询工具.冬威软件工作室.http://www.supersoft.com.cn/
[51] http://210.25.132.18/;北邮ipv6试验床
[52] Gilligan R, ThomonS, Bound J, et al. Basic Socket Interface Extensions for IPv6. RFC 2553, 1999-03
[53] 夏涛,余胜生.开发支持IPV6的应用程序.计算机工程.Vol.27 No.10 51-52
[54] Stevens W, Thomas M. Advanced Sockets API for IPv6. RFC2292. 1999
[55] 唐正军,刘代志.网络嗅探器Sniffer软件源代码浅析(2).计算机工程.Vol.28 No.1 11-13
[56] 袁春阳,柴乔林等.网络入侵检测系统中网络实时监听程序的设计与实现.计算机工程.Vol.28 No.10 150-152
[57] 黄锦,李家滨.基于防火墙日志信息的入侵检测研究.计算机工程.Vol.27 No.9 115-117
[58] www.dukejava.com作者:javaduke 2001-05-30 永远的UNIX
[59] 何杰,夏荣霞.利用Java Swing实现数据库结构化查询界面.计算机应用,Vol.21.No.3 93-94
[60] Carol McCullough-Dieter.Oracle8实用大全.中国水利水电出版社,1999
[61] 隋杰,于华.基于JDBC的JavaBuilder4.0数据库应用程序设计.计算机工程.Vol.27 No.12 189-190
[62] Wutka M.张森译.Java编程技巧.浙江科学技术出版社.西蒙与舒斯特国际出版公司,1999
[63] R. Gilligan, S. Thomson, J. Bound, W. Stevens. Basic Socket Interface Extensions for IPV6. RFC 2553, March 1999
[64] J. Postel. RFC 790. 1981-9
[65] J. Reynolds, J. Postel. RFC 1700. 1994-10
[66] IPV6羽翼渐丰——新型互联网服务指日可待.互联网周刊.2002.7.13
[67] Patrick Chan, Rosanna Lee.Java类库手册.北京大学出版社.1996年
[68] 谢斌,罗勃.Linux网站建设技术指南.机械工业出版社.2000年8月