1、隨著互聯(lián)網(wǎng)的飛速發(fā)展，社會(huì)的信息化程度不斷提高，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)深入到社會(huì)的各個(gè)方面，帶來(lái)了巨大的經(jīng)濟(jì)效益和社會(huì)效益，然而也帶來(lái)不可忽視的安全風(fēng)險(xiǎn)。防火墻是一種安全有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制，但是傳統(tǒng)的包過(guò)濾防火墻只對(duì)數(shù)據(jù)包的IP地址、協(xié)議和端口進(jìn)行分析，不支持應(yīng)用層協(xié)議，難以履行保護(hù)內(nèi)網(wǎng)安全的職責(zé)；而應(yīng)用代理網(wǎng)關(guān)防火墻難于配置，處理延遲很大，很容易成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。因此，狀態(tài)檢測(cè)技術(shù)成為目前研究最廣泛的防火墻技術(shù)，對(duì)每一個(gè)包的

2、檢查不僅根據(jù)規(guī)則表，更考慮了利用狀態(tài)表跟蹤每一個(gè)網(wǎng)絡(luò)會(huì)話(huà)的狀態(tài)，動(dòng)態(tài)地打開(kāi)和關(guān)閉端口，并加以會(huì)話(huà)超時(shí)的限制，能在很大程度上提高過(guò)濾安全性。Linux作為近幾年迅速發(fā)展起來(lái)的易于管理、維護(hù)并可完全免費(fèi)使用的操作系統(tǒng)，在系統(tǒng)的穩(wěn)定性、健壯性及價(jià)格的低廉性方面都獨(dú)具優(yōu)勢(shì)，隨著Linux服務(wù)器的應(yīng)用日益廣泛，其安全性也越來(lái)越重要。 本文開(kāi)發(fā)的防火墻以保護(hù)Linux服務(wù)器的安全為目標(biāo)，通過(guò)對(duì)Linux內(nèi)核的深入研究，首先提出了Linux系

3、統(tǒng)中狀態(tài)檢測(cè)技術(shù)的內(nèi)核原理及用戶(hù)空間實(shí)現(xiàn)方法，采用Netfilter的連接跟蹤技術(shù)對(duì)傳統(tǒng)包過(guò)濾做出了改進(jìn)。然后從防火墻策略、總體設(shè)計(jì)、具體設(shè)計(jì)和iptables用戶(hù)空間實(shí)現(xiàn)等幾個(gè)方面來(lái)考慮，提出了較全面的防火墻設(shè)計(jì)方案，在此基礎(chǔ)上分別實(shí)現(xiàn)了適用于Linux服務(wù)器SSH、FTP、DNS、Web等基本網(wǎng)絡(luò)服務(wù)的防火墻模塊，通過(guò)對(duì)包連接狀態(tài)的檢測(cè)而繞開(kāi)其他繁瑣的過(guò)濾規(guī)則，完成迅速數(shù)據(jù)流狀態(tài)的分析，從而大大提高了防火墻的過(guò)濾效率，并通過(guò)測(cè)試證明