防火墙技术是网络安全的基石,本文介绍了防火墙的相关内容,包括防火墙的基本概念、分类、主要技术和体系结构,并在此基础上提出了一种流过滤技术,讲述了流过滤技术的定义、原理、特点及实现要点等,最后详细介绍了基于流过滤技术的Linux防火墙的设计及实现方案。 传统防火墙的核心技术可概括分为包过滤、状态检测包过滤和应用代理,包过滤和状态检测包过滤对网络层与传输层保护能达到很好的效果,但对应用层的保护和内容监控,却显得力不从心。应用代理是为防范应用层攻击而设计的,但是在透明性及部署上却存在缺点,不能透明方便地部署,而且不能达到高数据流量的处理要求。 由于以上原因,流过滤技术被提出来,它代表了一种全新的防火墙体系结构,不但克服包过滤和应用代理的诸多缺陷,而且融合了它们的优点。流过滤技术的原理是在状态检测包过滤的基础上,针对具体应用层协议采用专门设计的TCP/IP协议栈实现对链路层数据流在应用层重组并在此基础上进行过滤,以包过滤的形态提供应用层保护能力,使得规则匹配在防火墙内部由数据链路层直达应用层。 本论文根据报文中包含的端口及标志位,将报文分为两类:关键报文及非关键报文,对不同的类型的报文进行不同的处理。非关键报文使用包过滤技术进行过滤,关键报文使用流过滤技术进行过滤。流过滤技术将属于同一会话的关键报文重组,对重组后的数据使用BM算法进行过滤,非法数据根据规则作相应处理,合法数据发送给目的主机。在防火墙系统的结构上提出了一种C/S结构的防火墙系统,包括防火墙主程序及防火墙管理客户端。防火墙主程序实现防火墙主要功能,而防火墙管理客户端则只负责接收防火墙主程序传送来的实时报警信息,并提供防火墙管理人员查看及管理信息的功能。