Linux個人防火牆的設計與實現

　　摘 要 防火牆是網路安全研究的一個重要內容，資料包捕獲是包過濾型防火牆的前提，本文對基於Linux主機的個人防火牆的資料包捕獲模組進行了研究,重點論述資料包捕獲模組的結構、組成以及功能。首先對資訊安全及防火牆的重要性進行論述，並給出防火牆的詳細分類；然後分析了基於Linux主機的個人防火牆總體設計及軟硬體平台原理，接著論述Linux下的資料包捕獲模組結構與原理，並詳述其具體實現步驟。

　　關鍵詞 防火牆 Linux 資料包捕獲模組 包過濾

一、防火牆概述

　　網路防火牆技術是一種用來加強網路之間存取控制，防止外部網路使用者以非法手段通過外部網路進入內部網路，訪問內部網路資源，保護內部網路作業環境的特殊網路互聯裝置。它對兩個或多個網路之間傳輸的資料包按照一定的安全性原則來實施檢查，以決定網路之間的通訊是否被允許，並監視網路運行狀態。

　　根據防火牆所採用的技術不同，可以將它分為四種基本類型：包過濾型、網路位址轉譯—NAT、代理型和監測型。包過濾型產品是防火牆的初級產品，其技術依據是網路中的分包傳輸技術。包過濾技術的優點是簡單實用，實現成本較低，在應用環境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統的安全。網路位址轉譯是一種用於把IP地址轉換成臨時的、外部的、註冊的IP地址標準。它允許具有私人IP地址的內部網路訪問網際網路。

　　代理型防火牆也可以被稱為Proxy 伺服器，它的安全性要高於包過濾型產品，並已經開始嚮應用層發展。代理型防火牆的優點是安全性較高，可以針對應用程式層進行偵測和掃描，對付基於應用程式層的侵入和病毒都十分有效。其缺點是對系統的整體效能有較大的影響，而且Proxy 伺服器必須針對客戶機可能產生的所有應用類型逐一進行設定，大大增加了系統管理的複雜性。

　　監測型防火牆是新一代的產品，能夠對各層的資料進行主動的、即時的監測，在對這些資料加以分析的基礎上，監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火牆產品一般還帶有分布式探測器，這些探測器安置在各種應用伺服器和其他網路的節點之中，不僅能夠檢測來自網路外部的攻擊，同時對來自內部的惡意破壞也有極強的防範作用。監測型防火牆在安全性上已超越了包過濾型和Proxy 伺服器型防火牆，但其實現成本較高。基於對系統成本與安全技術成本的綜合考慮，使用者可以選擇性地使用某些監測型技術。

二、基於Linux個人防火牆總體設計

　　本文研究的是防火牆系統的軟硬體環境以及該防火牆的開發步驟和所要實現的功能，最後重點對該防火牆系統所需要的硬體和軟體平台原理進行說明。儘管所有Linux系統都內建防火牆核心程式，但需要使用者進行配置才能起到保護網路安全的目的。