Linux防火牆資料包捕獲模組

來源:互聯網
上載者:User

  一、防火牆概述

  網路防火牆技術是一種用來加強網路之間存取控制,防止外部網路使用者以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路作業環境的特殊網路互聯裝置。它對兩個或多個網路之間傳輸的資料包按照一定的安全性原則來實施檢查,以決定網路之間的通訊是否被允許,並監視網路運行狀態。

  根據防火牆所採用的技術不同,可以將它分為四種基本類型:包過濾型、網路位址轉譯—NAT、代理型和監測型。包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。網路位址轉譯是一種用於把IP地址轉換成臨時的、外部的、註冊的IP地址標準。它允許具有私人IP地址的內部網路訪問網際網路。

  代理型防火牆也可以被稱為Proxy 伺服器,它的安全性要高於包過濾型產品,並已經開始嚮應用層發展。代理型防火牆的優點是安全性較高,可以針對應用程式層進行偵測和掃描,對付基於應用程式層的侵入和病毒都十分有效。其缺點是對系統的整體效能有較大的影響,而且Proxy 伺服器必須針對客戶機可能產生的所有應用類型逐一進行設定,大大增加了系統管理的複雜性。

  監測型防火牆是新一代的產品,能夠對各層的資料進行主動的、即時的監測,在對這些資料加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。監測型防火牆在安全性上已超越了包過濾型和Proxy 伺服器型防火牆,但其實現成本較高。基於對系統成本與安全技術成本的綜合考慮,使用者可以選擇性地使用某些監測型技術。

二、基於Linux個人防火牆總體設計

  本文研究的是防火牆系統的軟硬體環境以及該防火牆的開發步驟和所要實現的功能,最後重點對該防火牆系統所需要的硬體和軟體平台原理進行說明。儘管所有Linux系統都內建防火牆核心程式,但需要使用者進行配置才能起到保護網路安全的目的。

  1、防火牆系統總體設計

  Linux系統下實現軟體防火牆的設計與應用,實質上就是基於主機的網路安全解決方案。因此,我們完全可以選擇合適的軟硬體平台和相應的防火牆設計原理,自己開發出一套能夠滿足要求的防火牆系統。

  歸納起來這裡要實現的防火牆需要滿足兩大要求:第一,必須能夠對主機提供安全保護,即對主機與區域網路以外的主機進行資料轉送時實施安全保護;第二,必須能夠提供良好的人機介面介面,具有容易操作、容易管理的優點。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。