状态检测防火墙研究与设计

作     者：张恒汝 

作者单位：电子科技大学 

学位级别：硕士

导师姓名：卢延诗

授予年度：2002年

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：状态检测机制 动态NAT 嵌入式Linux 模块机制 包速率限制 

摘      要：正文：网络信息安全问题不仅越来越受到生活在网络信息社会中的个人与公司的重视，而且已涉及到社会生活的方方面面。为了建立安全可靠的信息网络，进行安全技术的研究与设计应用是必要与迫切的。嵌入式Linux源代码的公开性以及它方便的可用性大大推动了基于嵌入式Linux的安全技术的研究及其相关安全产品的开发。本论文将研究基于嵌入式Linux平台的状态检测机制以及如何利用该机制实现动态NAT防火墙技术。 由于传统防火墙如包过滤防火墙、应用网关防火墙逐渐不能适应新的网络安全需求。因此，一种基于状态检测的防火墙成为网络安全的研究热点。对于某一通信连接，通信状态(以前的通信信息)和应用状态(其他的应用信息)是对该连接做出控制决定的关键因素。因此，为了保证高层的安全，防火墙必须能够访问、分析和利用以下四种信息：所有应用层的数据包信息;以前的通信状态信息;其它应用的状态信息;基于上述三种信息的、灵活的、表达式的估算信息。本论文首先结合Linux源代码分析了状态检测的基本原理和所实现的功能，详细地讨论了Linux中基于Ipv4所定义的数据包之间的连接状态、获取这些状态的方法、这些状态的相互影响以及这些状态的相互变迁以及这些连接的状态是如何记录到相应的表结构中，然后利用Linux所实现的状态检测机制实现了源地址NAT和目的地址NAT以及包速率限制等防火墙功能。本项目是基于Ipv4进行研究和设计的，在分析状态检测机制以及设计NAT时本文将协议划分为TCP、UDP、ICMP三种协议进行讨论，充分利用Linux的模块机制进行分析和设计，所以该套软件具有高度模块化、可扩展性好的特点。