概要:在Linux系统下,具有图形界面的防火墙系统很少,而包含内容过滤的防火墙系统更可以说是少之又少,本程序不仅具有防火墙功能,而且可以对rar、zip压缩格式的文件进行过滤。
关键词:Linux,IPv4,内容过滤,防火墙,rar,zip
引言
网络安全的意义:
随着现代社会不断向信息化方向迈进,各种经济和军事等活动对信息基础设施的依赖性将不断增强, 例如金融系统的资金转账、电子商业交易、电力和水等基础设施的运行、现代化的战争都得依靠电子网络来完成。所以敌对国家、地区之间通过网络攻击对方的信息系统,窃取机密的事件将不断增加。这些随时爆发的网络信息战已被认为是对发达社会的一种潜在威胁。所以可以这么说信息安全是关系到国家和民族利益的事情。同时,随着因特网不断增长,垃圾信息也在不断的增加。例如以暴力、色情、反动等内容为主题的信息广为泛滥并且严重损坏用户的身心健康。所以控制信息内容也是一项利国利民的事情。
现阶段的工作:
现阶段侧重于研究一种基于linux的嵌入IPv4协议栈的内容过滤防火墙系统。
本系统构架在内部局域网和外部网之间,对所有进出内部局域网的信息进行过滤。对于输入的数据包,系统将先进行包过滤,如果通过了包过滤,才会进行下一步的内容过滤,做出基于信息内容的决定。本过滤系统就是把包过滤技术和内容过滤技术二者结合起来,做到防御网络攻击和过滤垃圾信息。
整个系统由各种功能块组成,主要包括包过滤模块、内容过滤模块、用户界面功能块、数据交互模块、过滤规则、过滤日志等。其中包过滤模块、内容过滤模块是嵌入协议栈中在linux内核内实现;用户界面功能块是在用户空间内实现,用户可以在此输入各种规则;数据交互模块则是一个linux设备启动程序,其为处于内核的包过滤模块、内容过滤模块和处于用户空间的用户界面功能块提供数据交互。各个功能块互相协调实现网络信息安全。
随着IPv6网络的不断普及,本系统也在探讨提供IPv6环境下的网络安全保护。现阶段正在在netfilter6结构上进行开发。
本系统的独特之处:
1.根据现在网络信息数据往往是被压缩的特点,本系统能够解压过滤现今流行的压缩格式的数据信息,例如zip、rar等压缩格式。
2.使用基于linux的嵌入协议栈设计模式,过滤功能块处于linux的内核,提高了内容过滤的效率。
3.把包过滤技术和内容过滤技术结合起来,根据数据包的头信息和内容信息判断网络攻击的类型,同时也能进行内容信息的过滤。
4.系统具有自适应能力。本系统不断的采集网络负载、CPU负载和内存负载的信息,当这三者的综合信息过大时,系统将不再进行内容过滤,当综合信息下降到一定的值时,系统重新进行内容过滤。
5.本过滤系统提供IPv4网络环境的信息安全保护。