返回
基于linux的ipv6分布式防火墙技术研究

基于linux的ipv6分布式防火墙技术研究

ID:22970990

大小:51.50 KB

页数:5页

时间:2018-11-02

基于linux的ipv6分布式防火墙技术研究_第1页
基于linux的ipv6分布式防火墙技术研究_第2页
基于linux的ipv6分布式防火墙技术研究_第3页
基于linux的ipv6分布式防火墙技术研究_第4页
基于linux的ipv6分布式防火墙技术研究_第5页
资源描述:

《基于linux的ipv6分布式防火墙技术研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、基于Linux的IPv6分布式防火墙技术研究IPv6的X络体系架构安全性离不开防火墙的支持。此文首先对分布式防火墙的研究,总体设计了基于Linux的IPv6分布式防火墙X络体系架构,然后实现了基于Linux环境下的IPv6分布式防火墙。关键词:IPv6;分布式防火墙;Linux引言  随着Inter的快速发展,X络安全问题是人们最为关注的问题,基于IPv4协议边界式防火墙存在着日益突出的问题,主要体现在IP地址空间缺乏和骨干路由器中路由表“爆炸”的等突出问题。边界式防火墙在保护企业内部X络的情况下,确实是一种有效的X络安全技术,而随着X络应用

2、规模的日益扩大,它的缺陷也不断呈现出来,很难实现X络的安全性和X络性能的均衡性。为了弥补IPv4和传统边界式防火墙的缺陷性及X络安全性等问题,此文提出了基于Linux的IPv6分布式防火墙X络体系架构的设计与实现。IPv6作为下一代互联X的基础协议存在很多优势。IPv6解决了IPv4存在的地址空间缺乏和路由表“爆炸”等问题,并且在安全性、移动性以及QoS等方面有着强有力的支持,IPv6协议由于包头设计得更加合理,使得路由器在处理数据包时更加快捷。此外,IPv6将IPSec集成到了协议内部,使得IPSec不再单独存在等等。1分布式防火墙X络体系

3、结构1.1分布式防火墙技术  分布式防火墙分为安全策略管理服务器[Server]、客户端防火墙[Client]两部分.安全策略管理服务器主要负责安全策略、用户、日志、审计等管理作用。该服务器是集中管理控制中心,统一制定和分发安全策略,负责管理系统日志、多主机的统一管理,使终端用户“零”负担。客户端防火墙主要作用于各个服务器、工作站、个人计算机上,按照安全策略文件的内容,必须通过包过滤、特洛伊木马过滤和脚本过滤的三层过滤检测,保护计算机在正常情况下连接X络时不会受到黑客恶意的入侵与攻击,从而大大提高了X络安全性能。多台基于主机但集中管理与配置的

4、防火墙组成了分布式防火墙。在分布式防火墙中,安全策略仍然被集中定义,但是在每一个单独的X络端点(如主机、路由器)上实施。  分布式防火墙包括安全策略语言、发布安全策略机制及应用、实施安全策略机制。安全策略的法则严格地规定了允许通过的通讯文件和禁止通过的通讯的文件,它可以在多种类型的情况下应用,还必须有权利委派和身份鉴别的功能。策略制定之后就可以发布至X络端点上去了。在传输过程中,策略发布系统必须保证策略法则的完整性、真实性。策略发布有多种形式,可以直接“推”到终端系统上,可以由终端按照需求截取,也可以提供给用户(以证书的形式)。策略实施机制系

5、统在主机上,在处理进出的通讯之前,它需要查询本地策略才能做出允许或者禁止的决定。1.2分布式防火墙体系架构             图1分布式防火墙体系架构  针对边界式防火墙的缺陷,提出了“分布式防火墙”(DistributedFireent),如图1所示。(1)X络防火墙(NetentCentral)  它作为服务器软件,主要负责总体安全策略的策划、管理、分发及日志的汇总,还有远程管理、系统设置、系统安全等其它辅助功能。它也是在边界式防火墙功能的一个完善。它具有智能管理的功能,提高了防火墙的安全防护灵活性、管理性。X络防火墙和主机防火墙把

6、日志发送给日志分析系统之后保存到日志文件之中,X络管理维护中心发放法则给X络防火墙和主机防火墙,管理中心与主机防火墙和边界防火墙之间的通信必须通过身份验证之后运用openssH数据安全通道加密通讯,这样管理中心与主机防火墙和X络防火墙的通信才会更加安全。此外管理中心还有用户图形界面(GUI)功能,负责管理X络中的所有端点、制定和分发安全策略,而且要分析从主机防火墙、X络防火墙接收的日志,依据分析的结果再修改安全策略。2主机防火墙的设计与实现  Linux广泛地应用到世界各地服务器X络当中,由于它是开源的。Linux版本2.4内核中已采用了Ne

7、tfilter的防火墙框架,而且内核中还支持IPv6协议栈。所以此文采用Linux作为目标环境下的系统的开发和运行平台。  2.1主机管理模块  主机管理模块包括数据发送程序(向管理中心发送日志)、数据接受程序(接受管理中心发放的法则)两部分,数据发送程序的作用:首先要跟自己机器的SSH端口建立TCP连接,之后从日志文件读出一行数据再发送,直到文件完成。数据接受程序的作用:监听SSH端口,把接收到的法则代替原来的法则,让它运用新的法则。2.2主机防火墙模块  Linux版本2.4内核中集成了Netfilter框架,基于Linux平台下,该框架

8、具有新的X络安全功能:X络数据包过滤、状态保持、NAT及抗攻击等。Iptables作为Netfilter框架在用户空间的配置工具的任务:负责从用户命令行界面接收命令

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。