結(jié) 論
論文首先對防火墻知識做了一個總體上的認識。然后深入分析Linux Ij火墻內(nèi)核,對netfilter的數(shù)據(jù)流程及其怎樣實現(xiàn)防火墻框架機制進行剖析。在上述分析基礎(chǔ)上,研究了基于Linux抵御常見DoS攻擊的防火墻:用iptables方法實現(xiàn)了防火墻底層的基本模塊。分析了抵御SYN洪水攻擊的傳統(tǒng)算法,給出了改進算法。分析了淚滴及Smurf攻擊原理,對存在的安全薄弱點提出解決方案。用:ietfilter方法實現(xiàn)了防火墻上層的抵御SYN洪水、淚滴及Smurf攻擊模塊。經(jīng)測試,構(gòu)建的防火墻可以實現(xiàn)動態(tài)包過濾、NAT ( SNAT, DNAT)和DMZ功能。可以有效抵御常見DoS攻擊。最后,介紹了防火墻新技術(shù)。
通過以上工作,本文從廣度、深度兩個方面認識防火墻體系,增強了防火墻的理論知識、積累了防火墻開發(fā)設(shè)計經(jīng)驗,為以后從事相關(guān)研究打下了堅實)l礎(chǔ)。達到了本文目的。
下一步工作和展望:
由于時間原因,還有一些工作做的不夠充分:
(1) 僅實現(xiàn)了防火墻的基本功能,對于具體環(huán)境下的防火墻,尚需根據(jù)情況添加具體規(guī)則以實現(xiàn)具體功能。
(2) 網(wǎng)絡(luò)攻擊方法不僅限于DoS攻擊,還有許多其它攻擊,如IP地址欺騙、緩沖溢出等等。這些攻擊有些僅用Linux防火墻還無法抵御,還需要其它技術(shù)。因此,如何將Linux防火墻技術(shù)與其它新技術(shù)結(jié)合起來,是今后工作的重點。
這里有幾點想法:
(1) 將Linux防火墻做到網(wǎng)絡(luò)應(yīng)用層;
(2) Linux分布式防火墻;
(3) Linux防火墻智能化。
最后結(jié)論:
由于計算機網(wǎng)絡(luò)互聯(lián)的重要性,網(wǎng)絡(luò)安全是我國計算機網(wǎng)絡(luò)建設(shè)中應(yīng)當(dāng)引起重視的問題。在計算機安全性和計算機所能提供功能之間的平衡性是很重要的。在很多情況下,最安全的計算機往往功能是簡單的,能提供多種服務(wù)的則是最不安全的。本文作者為Linux2. 4 內(nèi)核下基于netfilter 設(shè)計開發(fā)防火墻作了有意的嘗試,設(shè)計了一個包過濾和應(yīng)用代理的混合型防火墻,重點解決了在Linux 環(huán)境下在netfilter 中設(shè)計防火墻的問題,并在此基礎(chǔ)上增加了主動及被動的安全措施以實現(xiàn)網(wǎng)絡(luò)安全的功能。
Linux 操作系統(tǒng)中的包過濾防火墻具有一般包過濾防火墻的優(yōu)點:簡單,速度快,功能強,能按照系統(tǒng)設(shè)定的安全策略對防火墻進行過濾,但是它也具有了很多傳統(tǒng)包過濾防火墻缺點:1.很多網(wǎng)絡(luò)服務(wù)的端口號是不固定的,對這服務(wù)不可能進行很好的過濾;2一些應(yīng)用協(xié)議使用的信息打包在IP 數(shù)據(jù)包中,所以不能方便地被包過濾級防火墻訪問和使用,所以對應(yīng)用服務(wù)的過濾很難;3.審計功能差,過濾規(guī)則的設(shè)計存在矛盾關(guān)系,過濾規(guī)則簡單,安全性差,過濾規(guī)則復(fù)雜,管理困難。4.無法抵御欺騙攻擊。對于端口掃描,我采用了對網(wǎng)絡(luò)連接進行正態(tài)分布統(tǒng)計計算,對網(wǎng)絡(luò)連入數(shù)在單位時間內(nèi)進行智能更新,采用誤判率1%為標(biāo)準(zhǔn)來決定掃描攻擊,在一定程度上解決了掃描攻擊問題。而對于欺騙攻擊,則采用記錄并分析所有通過防火墻的IP 數(shù)據(jù)包從源節(jié)點到目的節(jié)點所經(jīng)過的路由信息,即過濾數(shù)據(jù)包時也檢查該數(shù)據(jù)包所經(jīng)過的路由,丟棄那些經(jīng)過了不安全路由的數(shù)據(jù)包:特別是對IP劫持攻擊采用服務(wù)器方收到重置RST信號時也向?qū)Ψ桨l(fā)送一個RST重置信號,來有效的防御欺騙攻擊。為克服包過濾防火墻的缺點,就再設(shè)置了一個HTTP和通用應(yīng)用代理服務(wù)器,從而采用混合防火墻來保證內(nèi)部網(wǎng)絡(luò)安全。
由于時間和條件限制,本論文所設(shè)計的防火墻還有很多地方需要改進和完善,主要表現(xiàn)在以下幾個方面:
(1) 在包過濾管理模塊中還缺乏過濾規(guī)則檢查,有可能造成規(guī)則沖突的情況,這還需要防火墻管理員很高的專業(yè)知識;
(2) 對網(wǎng)絡(luò)掃描防御還存在問題,當(dāng)專業(yè)黑客掃描目標(biāo)端口時可能只掃描攻擊目標(biāo)幾個端口,所以防火墻對這中掃描攻擊沒有作用,還需要找出更加完善的辦法來進行防范;
(3) 對常用網(wǎng)絡(luò)應(yīng)用協(xié)議都應(yīng)該配置代理,本防火墻只實現(xiàn)了HTTP和一個通用代理;
(4) 還缺乏日志分析,本防火墻還只是靠專業(yè)人員對日志作分析。這些不足都需要進一步工作來完成。
致 謝
論文完成,首先要感謝我的導(dǎo)師雷國華教授。雷老師在我論文選題、研究,撰寫的過程中,進行了很重要并且具體、細致的指導(dǎo),雷老師的治學(xué)態(tài)度、思想方法、工作作風(fēng)都使我受益非淺。
在這里,我對所有給予我關(guān)心和幫助的老師同學(xué)表示衷心的感謝
