论文部分内容阅读
【摘要】 防火墙是一种虚拟的网络隔离技术,当前防火墙技术已经发展到第五代,更加完善,对于提高计算机网络应用安全性具有重要作用。
【关键词】 防火墙 计算机网络
一、计算机网络防火墙安全结构设计
基于LINUX防火墙方案爱设计提高系统安全性、可靠性,设计系统分为基本功能、辅助功能以及增强功能。根据某单位实际软硬件环境,开发满足要求的防火墙系统。防火墙实现需要满足主机安全保护和良好人际界面基础,方便操作和管理。
考虑到现有硬件的显示,简化试验环境,基于主机设计,在Linux环境下采用C语言实现,界面设计和数据库的联接通过Kylix开发工具实现。防火墙包括用户端、以太网和系统服务器三个端口,内网同时能够实现访问功能,但是外网访问会受到限制。
防火墙通过三端口实现,采用两个独立网卡,一个主要针对服务器安全,另外一个实现数据交换。防火墙代理系统的实现方式能够保证用户信息的安全传递。所采用的操作系统为嵌入式操作系统,方便修改和裁剪,而且安全性能较高,是比较理想的软件设计平台。
二、计算机网络的安全保障实现路径
防火墙设计模块分为数据路、包过滤、身份认证等模块。链路层建立在物理层传输能力基础上,位于内外网之间,包括IP、ARP和RARP协议,其中IP协议实现数据传输,ARP和RARP模块实现地址信息的接受。在防火墙系统实现中,需要配置硬件,设置intranet内部网址,同时配置相应的软件地址。主要复制内核文件,busybox-1.18.5 linux linux-3.0.1.tar.bz。复制到源代码目录并命名为.config,root@server56 src]# cd linux-3.0.1;/boot/config-2.6.18-164.el5. /.config。进入编译配置界面,使用make命令编译内核,[root@ server56 linux-3.0.1] # make,makemake modules_install。将内核信息写入grub中,重新启动系统。命令brcfg_era 调用: br_forward 模块。
身份认证模块并不具有灵活性,该设计系统比较适合小型单位,因此在设计中,需要设计用户自制,录入用户资源信息,对内部成员实现用户认证,需要解决身份认证和记录问题。
用户认证模块设计中, 用户进图模块,判断用户信息,符合则进入数据库,苟泽生成配置文件,进图系统主控程序。
主机发起访问,需要在数据包报头中指明IP地址,数据包被处理时,源地址替换为防火墙出口段IP地址,同时防火墙可会出现临时端口,回应数据到来时,外部制剂能够看到端口号。该模块充分利用内核模块设计优势,模块初始化有con-lter实现。
在防火墙配置中,NAT和ACL是重点,ACL实现访问控制,NAT则实现计算机访问地址转换。建立内部网络和外部网络,将PC2、Core连接起到,利用软件进行配置。
Linux网络协议栈按照分層设计思想,分为系统判断、协议无关、协议实现、驱动以及无关设备驱动层。模块驱动中,先判断insmod,登记成功则成功插入,否则返回。检测网络设备名字,确定进入init-function函数,确定网卡设备是否存在,存在则进行初始化工作,存在则初始化成功。以上模块驱动中,需要监测和初始化网络设备,启动时,系统能够检测可能存在的设备。
主要过程为启动时,在dec-base列表上检测网络设备结构,采用net-dev-init函数对节点进行init函数指针,说明设备存在,设备不存在则删除,保存信息完成初始化,系统完成内核启动后,产生init进程,刁颖sys-setup初始化设备,启动检测程度,实现设备检测。
网卡初始化函数任务为判断该设备是够存在,完成网卡驱动后,传输网络数据,注册ei-interrupt()后处理服务程序结构数据。
三、安全测试
以某单位实际工作环境为背景,从外层防火墙进行分析,在测试中判断性能质量。预期结构正向ping成功,访问被禁止,规则不允许,实测结果征象成功,反向不同,访问被禁止,与预测结果相一致。IP过滤规则对数据包测试,预测正向成功,反向禁止,访问被禁止,实测结果与预期结果一致。将IP包过滤应用于FTP服务,实测结果禁止telnet访问,允许PTP访问,与预期结果一致。对防火墙进行攻击测试,测试结果显示防火墙能够抵御绝大多数网络攻击,与预期结果相一致。
四、总结
总之,本文主要分析基于LINUX防火墙网络安全设计,经过测试,防火墙能够实现与测试工作的双重性能,包过滤技术能够综合性分析数据包和应用层规则,在未来整合中能够整合更多范畴,采用分布式设计结构,安全防护强度大大提高,管理员能够第一事件处理相关事务。
【关键词】 防火墙 计算机网络
一、计算机网络防火墙安全结构设计
基于LINUX防火墙方案爱设计提高系统安全性、可靠性,设计系统分为基本功能、辅助功能以及增强功能。根据某单位实际软硬件环境,开发满足要求的防火墙系统。防火墙实现需要满足主机安全保护和良好人际界面基础,方便操作和管理。
考虑到现有硬件的显示,简化试验环境,基于主机设计,在Linux环境下采用C语言实现,界面设计和数据库的联接通过Kylix开发工具实现。防火墙包括用户端、以太网和系统服务器三个端口,内网同时能够实现访问功能,但是外网访问会受到限制。
防火墙通过三端口实现,采用两个独立网卡,一个主要针对服务器安全,另外一个实现数据交换。防火墙代理系统的实现方式能够保证用户信息的安全传递。所采用的操作系统为嵌入式操作系统,方便修改和裁剪,而且安全性能较高,是比较理想的软件设计平台。
二、计算机网络的安全保障实现路径
防火墙设计模块分为数据路、包过滤、身份认证等模块。链路层建立在物理层传输能力基础上,位于内外网之间,包括IP、ARP和RARP协议,其中IP协议实现数据传输,ARP和RARP模块实现地址信息的接受。在防火墙系统实现中,需要配置硬件,设置intranet内部网址,同时配置相应的软件地址。主要复制内核文件,busybox-1.18.5 linux linux-3.0.1.tar.bz。复制到源代码目录并命名为.config,root@server56 src]# cd linux-3.0.1;/boot/config-2.6.18-164.el5. /.config。进入编译配置界面,使用make命令编译内核,[root@ server56 linux-3.0.1] # make,makemake modules_install。将内核信息写入grub中,重新启动系统。命令brcfg_era 调用: br_forward 模块。
身份认证模块并不具有灵活性,该设计系统比较适合小型单位,因此在设计中,需要设计用户自制,录入用户资源信息,对内部成员实现用户认证,需要解决身份认证和记录问题。
用户认证模块设计中, 用户进图模块,判断用户信息,符合则进入数据库,苟泽生成配置文件,进图系统主控程序。
主机发起访问,需要在数据包报头中指明IP地址,数据包被处理时,源地址替换为防火墙出口段IP地址,同时防火墙可会出现临时端口,回应数据到来时,外部制剂能够看到端口号。该模块充分利用内核模块设计优势,模块初始化有con-lter实现。
在防火墙配置中,NAT和ACL是重点,ACL实现访问控制,NAT则实现计算机访问地址转换。建立内部网络和外部网络,将PC2、Core连接起到,利用软件进行配置。
Linux网络协议栈按照分層设计思想,分为系统判断、协议无关、协议实现、驱动以及无关设备驱动层。模块驱动中,先判断insmod,登记成功则成功插入,否则返回。检测网络设备名字,确定进入init-function函数,确定网卡设备是否存在,存在则进行初始化工作,存在则初始化成功。以上模块驱动中,需要监测和初始化网络设备,启动时,系统能够检测可能存在的设备。
主要过程为启动时,在dec-base列表上检测网络设备结构,采用net-dev-init函数对节点进行init函数指针,说明设备存在,设备不存在则删除,保存信息完成初始化,系统完成内核启动后,产生init进程,刁颖sys-setup初始化设备,启动检测程度,实现设备检测。
网卡初始化函数任务为判断该设备是够存在,完成网卡驱动后,传输网络数据,注册ei-interrupt()后处理服务程序结构数据。
三、安全测试
以某单位实际工作环境为背景,从外层防火墙进行分析,在测试中判断性能质量。预期结构正向ping成功,访问被禁止,规则不允许,实测结果征象成功,反向不同,访问被禁止,与预测结果相一致。IP过滤规则对数据包测试,预测正向成功,反向禁止,访问被禁止,实测结果与预期结果一致。将IP包过滤应用于FTP服务,实测结果禁止telnet访问,允许PTP访问,与预期结果一致。对防火墙进行攻击测试,测试结果显示防火墙能够抵御绝大多数网络攻击,与预期结果相一致。
四、总结
总之,本文主要分析基于LINUX防火墙网络安全设计,经过测试,防火墙能够实现与测试工作的双重性能,包过滤技术能够综合性分析数据包和应用层规则,在未来整合中能够整合更多范畴,采用分布式设计结构,安全防护强度大大提高,管理员能够第一事件处理相关事务。