在内核中,采用ipchains机制来控制包过滤,通过在输入链、输出链和转发链三个链表上设置规则达到包过滤;在内核中,IP数据包过滤系统实际上由Netfilter和ipt-ables两个组件组成,Netfilter是Linux核心中一个通用架构,它提供了一系列的“表”,每个表由若干“链”组成,而每条链中可以由一条或数条规则组成。通过对两种不同版本的包过滤机制的对比,分析了后者在前者基础上的改进和独特的优势,提出了下一步的研究方向。以Suse 为平台,利用Linux内核的Netfilter机制,使用C语言、XML语言、python语言和调试工具GCC等,设计并实现了一个基于IP地址和端口号的包过滤防火墙。与其它的防火墙不同,由于将被限制的IP和端口号设置在XML配置文件中,用户可以根据需要灵活、方便地修改要限制的IP和端口号。经过一系列针对不同IP地址、不同端口号以及不同类型的数据包的测试,该防火墙运行稳定和可靠。随着Internet的快速发展,网络资源共享程度进一步加强,网络信息的安全性问题也日益突出。防火墙技术在保护网络安全方面起着十分重要的作用,它是保障被保护网络和外部网络之间信息传输安全性的有效手段。 但是传统的防火墙技术面临着高安全性和高性能难以兼得的尴尬局面。具有高匹配效率的包过滤防火墙,对于网络通信内容的监测、过滤、处理无能为力,蠕虫网络、Email病毒的广泛流行、恶意代码的泛滥,对网络内容的安全性提出了迫切的现实要求,因此对于网络内容安全的研究及其产品的研发具有重大意义。随着Linux系统的广泛采用,对运行于其上的系统的内容安全性的开发和研究,对增强保护本国网络也有着重要的借鉴作用。 本文首先阐述了防火墙的发展历史和趋势,分析了网络内容安全现状,指出目前我们所面临的重要问题,然后以网络内容安全的广泛需求为背景,通过对主要防火墙技术特点、TCP协议及其在Linux平台的实现和Linux防火墙框架系统的分析,根据可行性、可使用、可管理、可扩充的设计原则,提出了一个在Linux内核下实现的基于会话还原技术,结合文本内容分析过滤技术,面向应用服务的内容安全解决方案,并给出了具体的设计和实现的方法
驾驶马桶去飞行
