论文部分内容阅读
随着网络的普及和深入,分支机构众多的大型单位越来越多地在公网上进行远程办公,迫切需要一个可靠、简单、高效、灵活的防火墙网关解决方案,保证机密数据在公网上安全传输。
Linux防火墙的最新版本以Netfilter框架为基础,构建了Iptables这一强大、灵活并且具备良好扩展性的防火墙工具,在网络安全领域中发挥着越来越重要的影响。但针对不断变化的网络安全要求,Linux防火墙在应对安全事件时仍然表现出功能的局限性,因此在实际使用中有必要对其进行安全扩展,在防火墙中增加数据包认证、加解密和VPN网关等功能。
针对上述需求和传统方案的缺陷,本文以Linux2.4版本内核防火墙作为研究对象,通过分析Netfilter/Iptables框架结构和工作机制,对其扩展方法进行研究,给出利用可装载内核模块进行防火墙扩展的一般流程与方法。然后对Linux防火墙在安全VPN网关方面的扩展应用作了进一步的探讨,提出了一种基于Linux平台的、支持包过滤、数据加解密、认证功能的SESP-VPN网关系统。该系统利用Netfilter的钩子机制,对Iptables防火墙目标模块进行了加解密、认证功能的扩展,并参考IPSec中ESP协议的优点设计了自己的安全封装协议实现VPN网关功能,能有效满足机密数据在公网上安全传输的需求。文章最后从功能和性能两方面做了系统测试,总结了设计过程中遇到的主要问题及解决办法,针对SESP-VPN网关系统的不足提出了改进方向和建议。