基于linux内核netfilter模块的防火墙毕业答辩

基于基于linux防火墙的包过滤策略设计与实现防火墙的包过滤策略设计与实现 2012年6月13日选题背景（1）网络安全问题突出：病毒，信息窃取等（2）包过滤防火墙：设计相对简单，开发成本低，可以满足相对简单的网络防御要求等（3）linux系统：开源，稳定，应用广泛，学习资源多，网络功能强大 设计原理及方案 包过滤防火墙：将每个经过主机网卡的数据包的包头信息（如ip、端口、协议等）与防火墙事先设置好的过滤规则进行匹配，若匹配成功，则根据规则中的数据包处理方式来决定数据包的丢弃还是接收。安全域 数据包数据包拆开数据包SourceDestinationPermitProtocolHost A Host CPassTCPHost B Host CAcceptUDP查找对应的控制策略根据策略决定如何处理该数据包数据包数据包IP头TCP头数据包过滤判断信息包过滤防火墙工作原理示意图基于源ip基于目的ip基于源端口基于目的端口基于协议.本方案基于linux内核中netfilter模块设计netfilter模块网络数据包处理流程图防火墙总体架构图防火墙主要功能模块(1)内核数据包过滤框架：netfilter过滤框架(2)用户与内核空间的交互：netlink通信机制(3)规则命中日志记录：内核文件操作 内核数据包过滤框架 用户空间与内核空间交互netlink通信机制图规则命中日志记录内核文件操作：创建文件、写文件等操作 防火墙功能测试防火墙功能测试IP地址过滤 下发规则前，可以正常ping通：下发规则./fw_user -A INPUT 0 0 0 proto DROP之后：IP地址过滤地址过滤 防火墙功能测试防火墙功能测试IP地址过滤端口过滤端口过滤端口过滤 下发规则前，可以将虚拟机root目录下的名称为1的文件传送到ip 为的虚拟机（这里是虚拟机本机）的home目录下：下发规则./fw_user -A OUTPUT 0 0 0 22 proto DROP之后，无法传送文件：防火墙功能测试防火墙功能测试 IP地址过滤端口过滤协议过滤 协议过滤协议过滤下发规则前，ping虚拟机本机ip，可以正常ping通：下发规则./fw_user -A INPUT 0 0 0 0 icmp DROP之后；无法ping通 防火墙功能测试防火墙功能测试 IP地址过滤端口过滤协议过滤日志记录文件日志记录文件日志记录文件谢谢各位评委老师！