防火墙一直是国内外网络安全应用研究的一个热点。其技术路线主要经历了从“包过滤”到“代理”再到“状态检测技术”的变迁。 把研究范围集中于通用操作系统上构建的软件防火墙,可以发现许多产品都是基于操作系统自身的TCP/IP协议栈的。这种实现方式不可避免地存在一些隐患,防火墙的自身安全性未能得到重视。另一方面,我们认为防火墙在状态检测和代理两种技术融合的问题上还有更好的实现方式。有鉴于此,本课题的目的是自主研制基于专用协议栈的防火墙网关,以透明、安全、高效为主要目标。 本防火墙系统以Linux操作系统为平台,通过模块加载的方式动态修改操作系统的网络流程,并建立自己的专用协议栈乃至整个防火墙系统。主要使用C语言进行编程开发。 经过近一年时间的努力,本人完成了对Linux系统TCP/IP协议栈及其内核防火墙Netfilter的源代码分析,明确了防火墙专用协议栈的构成;研究了透明模式,以方便防火墙的实施:构建了防火墙的专用协议栈,提高了防火墙的自身安全性;在此基础上实现了基于应用层协议分析的状态检测技术,使得状态检测与代理两种技术更好地融合在一起,从而提升了防火墙的功能。 本防火墙系统是在Linux平台上开发的,开发成本低,用户实施的成本也低;而防火墙的功能与同类产品相比则更为强大,因此很有市场潜力。同时,自主开发网络安全产品有助于切实保障国内企业单位的信息安全,因此本毕业设计还是一项具有社会效益的工作。