具有字符过滤功能的包过滤防火墙的设计研究

来源 :硅谷 | 被引量 : 0次 | 上传用户:mimibbs
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0510020-01
  
  一、绪论
  
  传统的包过滤防火墙系统主要是包过滤规则以IP 信息包为基础,对IP 源地址、IP 目标地址、封装协议(TCP/UDP)、端口号等进行筛选。只有符合访问条件的数据包才被转发,其它包被丢弃。其功能设计主要是为在IP层和传输层上进行过滤的,而内容过滤在传统的包过滤防火墙上是难以做到的,其功能主要是依靠代理防火墙来实现。而笔者所在的学院包过滤防火墙主要安置在校园网和外部网络的出入口,内部网络通过这个防火墙与外网进行联系,其浏览访问Internet的作用比较多,而目前各种暴力、色情等不良信息充斥网络,如果能在边界的包过滤防火墙中加入对网页内容过滤的功能,使其既能保持包过滤防火墙对用户完全透明和过滤速度比较快的特点,又能实现一定的内容过滤功能,就大大增加了边界包过滤防火墙在校园网络安全中的实用性。本文试图利用Linux自带的包过滤防火墙模块Iptable的拓展模块,进行在包过滤防火墙上实现字符内容的过滤的功能研究。
  
  二、Netfilter/layer7匹配简介
  
  netfilter的设计主要是为在IP层和传输层上进行过滤的,layer7匹配的出现使得netfilter具备了一定的内容检测能力,其代码可http://l7-filter.sf.net下载,layer7可用于TCP、UDP、ICMP协议的数据内容匹配。
  Layer7匹配的源码包括两个文件l7-protocols-.tar.gz和netf
  ilter-layer7-.tar.gz,第一个文件是各种协议的匹配模式的定义,模式文件的后缀名为“pat”,分不同的子目录,解压后复制到某个目录下,缺省把这些文件放到/etc/l7-protocols/目录下;第二个文件是源码,以补丁形式提供,包括内核netfilter和用户层的iptables的补丁,解开压缩文件后。可用命令:patch -p1 < 来打补丁,然后重新编译内核模块和iptables模块后就能使用了。
  由于模式只定义服务器段,而服务器返回的数据对于netfilter来说是属于ESTABLISHED的数据,所以要使用layer7匹配,必须是针对返回的数据进行匹配,而且要在通常的状态检测允许通过(iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT)的命令前进行,否则是检测不出什么来的。
  
  三、网页内容的过滤的具体实现
  
  首先我们有Iptable做NAT实现内部机器透过NAT共享能上Internet:
  1.下载所需要的软件包:
  下载新内核linux-2.6.19.7;下载iptables1.2.7;下载Layer-7补丁,模块协议:
  l7-protocols-2007-01-13.tar.gz 和netfilter-layer7-v2.9.tar.gz
  2.配置好内核选项:
  把源码都放在/usr/src下:tar -jvf linux-2.6.19.7.tar.bz2#解压
  3.安装下列L7补丁
  安装l7协议、L7内核支持补丁。
  make menuconfig进去 ,把Layer 7 match support选上 。
  
  四、编译内核、升级iptables(略)
  
  五、测试内容过滤功能
  
  string模块是匹配ASCII那种汉字编码的,也就是用UltraEdit用十六进制方式打开可以直接看懂的,我们以屏蔽网页中暴力和色情关键字为例,首先我们分别转换暴力和色情的utf-8和gb2212的十六进制编码,具体结果如下:
  B1A9C1A6 #暴力ASCLL码
  E69AB4E48A9B #暴力UTF-8码
  C9ABC7E9 #色情ASCLL码
  E889B2E68384#色情UTF-8码
  然后配置iptables规则:
  iptables -I FORWARD -m string --hex-string "| B1A9C1A6|" --algo bm --to 64424 -j DROP
  iptables -I FORWARD -m string --hex-string "| E69AB4E48A9B |" --algo bm --to 64424 -j DROP
  iptables -I FORWARD -m string --hex-string "| C9ABC7E9|" --algo bm --to 64424 -j DROP
  iptables -I FORWARD -m string --hex-string "| E889B2E683848|" --algo bm --to 64424 -j DROP
  将配置好的iptables防火墙过滤规则保存,经过测试,浏览含有“暴力”和“色情”关键字的网页时,iptables防火墙会自动对其进行过滤,阻止了客户端机器的浏览行为。
  
  六、结论
  
  使用Iptables配合L-7模块为校园网构建一个实用的具有字符过滤功能的包过滤防火墙系统,做为校园网边界防火墙系统,具备了对不良信息的过滤功能,以往这种过滤功能基本上是代理防火墙的工作,而代理防火墙的速度较慢,如果作为边界防火墙会大大影响内部主机的访问速度,因此我们利用Iptable的新增模块具有的网络层UTF-8码和 ASCLL码的过滤功能,将文字转换成UTF-8码和 ASCLL码的形式添加到过滤规则中去,在包过滤防火墙中实现字符的过滤,并通过测试,速度比较满意。
  
  参考文献:
  [1]唐建国,防火墙的安全及其效能分析[J].中国科技信息2007.4:120.
  [2]张琦,防火墙包过滤技术剖析[J].网管员世界,2007.11:95.
  [3]施怡,使用iptables构建Linux防火墙[J].福建电脑,2004.10:71.
  [4]刘君尧,Linux下基于Netfilter的防火墙设计[J].微机发展,2003.13(8):25-27。
  [5]杨刚、陈蜀宇,Linux中基于Netfilter/Iptables的防火墙研究[J].计算机工程与设计,2007.9,(28)17:4124.
  [6]李洋、汪虎松等,RedHat Linux9.0系统与网络管理教程[M].北京:电子工业出版社,2006.07.
  [7]邱桔、韦理丽,Linux下包过滤防火墙的设计与实现.计算机工程与设计.2006.7(27),13:2472-2475.
其他文献
该文从挂篮荷载计算、施工流程、支座及临时固结施工、挂篮安装及试验、合拢段施工、模板制作安装、钢筋安装、混凝土的浇筑及养生、测量监控等方面人手,介绍了S226海滨大桥
2004年1月9日,由中国社会保障杂志社主办,嘉实基金管理公司、中国光大银行协办的“养老保险基金管理与投资运营研讨会”在北京新世纪饭店召开。这是一次多方面人士共同参与的
请下载后查看,本文暂不支持在线获取查看简介。 Please download to view, this article does not support online access to view profile.
期刊
开饭馆的人过去有一个忌讳,就是不喜欢扎堆.如果一条大街上已经有了一家火锅店,再想开火锅店的人往往会避而远之,另寻门脸.其理由是,人家已经在这里安营扎寨了,咱别凑热闹了.
中图分类号:TP2文献标识码:A文章编号:1671-7597(2009)0510016-02    一、背景介绍    1854年,在纽约水晶宫举行的世界博览会上,美国人伊莱沙·格雷夫斯·奥的斯第一次向世人展示了他的发明-历史上第一部安全升降梯。从那以后,升降梯在世界范围内得到了广泛应用。电梯在操纵控制方面更是步步出新手柄开关操纵,按钮控制,信号控制,集选控制、人机对话等,多台电梯还出现了并联控制
期刊
党的十一届三中全会以来,我省职业教育得到了快速的发展。1998年全省有职业高中304所,完成招生计划58577人,比1997年增长9.7%;在校生124901人,比1997年增长8.3%;毕业生35552人,比1997年增长5.3%。有普通中等专业学... Since the Thi
请下载后查看,本文暂不支持在线获取查看简介。 Please download to view, this article does not support online access to view profile.
期刊
分析了MRP-II系统存在的缺陷,并利用供应链管理思想建立了开放的MRP-II系统模型.该模型的建立,对MRP-II系统的发展具有重要的指导意义.
请下载后查看,本文暂不支持在线获取查看简介。 Please download to view, this article does not support online access to view profile.
期刊