基于文件访问的安全网关的研究

摘要

随着互联网的迅猛发展，网络已成为人们工作、学习和生活的一个重要平台。网络在提供给人们便利的同时，也产生了很大的负面影响，如不良和非法信息的传播，内网中机密信息的泄露，垃圾邮件等问题，对网络安全和效率构成严重的威胁。对网络中使用的文件共享协议进行分析，把对文件的非法操作过滤，对敏感信息进行证据保全和审计，将对于网络的进一步建设和发展起到重要作用。 目前的安全网关产品能截获和分析的协议有：SMTP、FTP、HTTP、POP3、IMAP、NNTP，因此能够实现反垃圾邮件、Web过滤、内容过滤和防病毒等功能。为了实现文件级的安全控制，提出了一种基于文件访问的安全网关。该网关能够截获和分析文件共享协议，如SMB、NFS、FTP等。它主要由数据包捕获模块、数据包分析模块、控制规则管理模块、数据包过滤和转发模块、日志记录模块、地址映射等几部分组成。本文着重研究了SMB协议通信的交互过程和其相关的协议命令；解析出了SMB数据包中的源MAC地址、目的MAC地址、源IP地址、目的IP地址、用户名、操作、操作的目的文件等信息：制定相关的访问控制规则；实现了数据包的分析和过滤。 由于安全网关对数据包过滤效率的高要求性和文件共享协议的多样性，要实现基于文件访问的安全网关是一项艰巨的任务，本论文只是做了其中的一小部分工作，大量的相关问题还需要进一步的改进和解决。如NFS协议、FTP协议的捕获和分析；数据包过滤性能的提高；访问控制规则优化等都是今后需要研究和解决的问题。

目录

文摘

英文文摘

声明

第1章绪论

1.1课题背景

1.2安全网关的类型

1.2.1基于内容过滤的安全网关

1.2.2基于机器访问控制的应用网关

1.2.3基于文件访问的安全网关

1.3本文研究的问题与设计思路

1.3.1本文研究的问题

1.3.2设计思路

1.3.3基于文件访问安全网关的硬件环境

1.4论文的主要内容与论文组织

第2章安全网关研究的相关理论

2.1网络安全模型--PPDR

2.2安全网关过滤技术

2.2.1包过滤防火墙

2.2.2应用网关

2.2.3状态检测网关

2.3开发及辅助分析工具

2.3.1 GCC简介

2.3.2数据包嗅探工具：Ethereal

2.3.3 Eclipse和CDT简介

第3章文件共享协议分析

3.1 SMB消息服务块协议简介

3.1.1 NetBIOS概述

3.1.2消息服务块协议(SMB)

3.2 SMB协议分析

3.2.1 Windows-Windows的数据包分析

3.2.2 Linux-Windows的数据包分析

3.3 NFS协议简介

3.4 NFS协议分析

3.4.1实验环境搭建：配置NFS服务器

3.4.2 NFS数据包分析

3.5本章小结

第4章数据包捕获与安全策略设计

4.1几种分组捕获机制介绍

4.2数据包捕获函数库

4.2.1 Libpcap库Winpcap库

4.2.2 Winpcap捕获数据包的基本步骤

4.2.3 Winpcap主要数据结构和函数介绍

4.3数据包捕获实现

4.3.1设置网络接口为混杂模式

4.3.2打开socket设备

4.3.3接收数据包

4.3.4数据包分析

4.4安全策略的描述方法

4.4.1安全策略的形式化表示

4.4.2访问控制列表法

4.5安全策略的设计和实现

4.5.1访问控制规则设计

4.5.2访问控制规则实现

4.6本章小结

第5章数据包判别与过滤方法

5.1数据包判别

5.2数据包过滤

5.3数据包的转发

5.4本章小结

第6章系统部分功能的实现

6.1系统实现的整体结构

6.2运行结果

6.2.1 ACL的执行结果

6.2.2 GATEWAY的执行结果

第7章总结与展望

7.1本文的主要贡献和研究特色

7.2进一步的工作

参考文献

致谢

攻读硕士学位期间录用发表论文情况