基于NETFILTER框架的内容过滤防火墙的研究与实现

摘要

随着Internet的快速发展，网络内容的安全性问题也日益突出。具有高匹配效率的包过滤防火墙，对于网络通信内容的监测、过滤、处理无能为力。应用级代理防火墙虽然能够理解应用层信息，但对用户不透明，并且对网络性能影响很大。本文以高效、准确为目标，阐述了一种基于Netfilter框架的内容过滤防火墙的设计与实现，在网络层过滤应用层信息。 本论文中涉及的技术，包括利用Netfilter框架的内核态包过滤，TCP会话还原，用户空间与内核空间的通信，防火墙的透明模式，以及内核态的数据包转发等。 基于Netfilter框架的内容过滤防火墙，以透明的方式工作，它向一个导线一样串联在网络中，加载和卸载防火墙时，整个网络都不需要任何变动。利用Netfilter框架，在数据包流经操作系统协议栈中网络层时采集数据包，并分析数据包应用层的信息，以达到网络内容过滤的目的。 系统在Netfilter框架的第一个钩子点注册函数，捕获数据包，并直接在内核态下对数据包进行重组，还原出原始数据。再将原始数据放入在内核态下开辟的缓冲区中，通过共享内存技术，将原始数据交给用户空间进行分析处理，并将结果返回给内核空间，合法的转发，非法的丢弃。 TCP会话还原，需要缓存不同连接的数据，当一条连接结束时，还原出该连接的会话内容。 本文详细讨论了用户空间与内核空间的区别以及通信方法，并实现了用户空间与内核空间的共享内存。内容过滤防火墙配置为透明模式，并解决了由于缓存数据对原有通信影响的问题。本文代码是在Red Hat LinuX 2.4.20内核下，采用C语言进行开发。

目录

文摘

英文文摘

声明

第1章绪论

1.1研究背景

1.2研究现状

1.3主要研究内容

1.4论文章节安排

第2章内容过滤防火墙的总体设计

2.1内容过滤模式研究

2.2防火墙技术分析

2.2.1包过滤防火墙

2.2.2应用级代理防火墙

2.3基于Netfilter框架的内容过滤防火墙的总体框架

2.3.1 Linux网络协议栈简介

2.3.2 Netfilter框架介绍

2.3.3总体框架

2.3.4主要模块功能

2.4系统平台及Netfilter框架的选择

2.5本章小结

第3章数据采集及预处理模块

3.1 TCP/IP中数据的封装与分用

3.2数据采集及预处理模块的设计与实现

3.2.1 sk_buff数据结构

3.2.2在Netfilter框架上扩展功能

3.3内核态处理数据包的优点

3.4 Linux内核模块编程

3.4.1内核模块的特性

3.4.2内核编程技术

3.5本章小结

第4章数据包处理模块

4.1数据包处理模块的设计

4.2 TCP会话还原

4.2.1 TCP会话还原技术分析

4.2.2 TCP会话还原框架

4.2.3 TCP会话还原的实现

4.3用户空间与内核空间的通信

4.3.1用户空间与内核空间的区别

4.3.2用户空间与内核空间的数据交互方法

4.3.3用户空间与内核空间共享内存的实现

4.4本章小结

第5章透明防火墙的实现

5.1透明模式的实现

5.1.1透明代理与透明模式的原理

5.1.2透明模式的实现

5.1.3在缓冲数据时维护透明性

5.2数据包转发的实现

5.2.1在IP层转发

5.2.2在数据链路层转发

5.3本章小结

第6章内容过滤模块及日志管理

6.1内容过滤模块的设计

6.1.1 Http协议处理

6.1.2多关键字过滤算法

6.2日志管理

6.3功能测试

6.3.1测试环境

6.3.2测试报告

6.4本章小结

结论

参考文献

攻读硕士学位期间所发表的学术论文

致谢