| 【中文题名】 | P2P环境下混合增强型防火墙研究与实现 |
| 【英文题名】 | The Research and Implementation of the Hybrid Enhanced Firewall under P2P Environment |
| 【学科专业】 | 计算机应用技术 |
| 【论文级别】 | 硕士论文 |
| 【投稿时间】 | 2006-3-24 |
| 【中关键词】 | P2P,防火墙,特征值,netfilteriPtables,shell, |
| 【英关键词】 | P2P,firewall,characteristic values,netfilter/iptables,shell, |
| 【分类导航】 | 工业技术>自动化技术、计算机技术>计算技术、计算机技术>计算机的应用>计算机网络>一般性问题 |
| 【论文摘要】 | 目前,防火墙通过开放或封闭对应P2P协议传输的默认端口达到对P2P应用的控制。由于P2P技术的快速发展,如今的P2P软件能够利用动态端口、HTTP搭载P2P数据、“UDP打洞”等技术穿透防火墙,使得防火墙形同虚设。
本文基于以上背景,设计实现出一种P2P环境下混合增强型防火墙,在保留传统防火墙优点的基础上,引进特征值内容的分析,通过特征值对P2P应用进行有效的防范和拦截。论文具体研究和实现工作包括以下几个方面:
◇ P2P环境下混合增强型防火墙的总体设计。主要包括系统硬件、内核裁减、安全管理模块、P2P过滤模块与安全策略的设计
◇ 详细分析了Linux2.4.20内核中netfilter/iptables防火墙框架在IPv4协议栈中的实现机制
◇ 对典型的5种P2P应用协议(BitTorrent protocol,eDonkey protocol,Gnutella protocol,DirectConnect protocol,FastTrack protocol)的研究,从其协议数据包中分析出一个或多个特征值
◇ 基于Linux2.4.2... |
| 【论文题纲】 |
|
摘要 |
3-4 |
|
Abstract |
4-11 |
|
第1章 绪论 |
11-19 |
|
1.1 研究背景 |
11-15 |
|
1.1.1 防火墙现状 |
11-13 |
|
1.1.2 P2P给网络带来的安全隐患 |
13-15 |
|
1.1.3 对典型P2P软件穿透防火墙的技术分析 |
15 |
|
1.2 国内外研究现状 |
15-16 |
|
1.3 论文意义及研究工作 |
16-18 |
|
1.4 论文创新工作 |
18 |
|
1.5 论文结构与内容安排 |
18-19 |
|
第2章 HEFUPE原型系统总体设计 |
19-26 |
|
2.1 HEFUPE原型系统组成 |
19 |
|
2.2 HEFUPE原型系统硬件结构设计 |
19-20 |
|
2.3 Linux内核裁减设计 |
20-21 |
|
2.4 HEFUPE安全管理模块设计 |
21-23 |
|
2.5 P2P包过滤模块设计 |
23 |
|
2.6 HEFUPE安全策略 |
23-24 |
|
2.7 HEFUPE实验环境 |
24-26 |
|
第3章 netfilter/iptables实现机制分析 |
26-36 |
|
3.1 netfilter总体结构 |
26-27 |
|
3.2 netfilter核心模块 |
27-30 |
|
3.2.1 关键数据结构 |
28-29 |
|
3.2.2 登记函数 |
29 |
|
3.2.3 卸载函数 |
29-30 |
|
3.3 iptables简介 |
30-31 |
|
3.4 iptables核心数据结构 |
31-33 |
|
3.4.1 table |
31 |
|
3.4.2 rule |
31-32 |
|
3.4.3 Match |
32 |
|
3.4.4 Target |
32-33 |
|
3.5 iptables主要注册和注销函数 |
33-36 |
|
3.5.1 table注册函数 |
33-34 |
|
3.5.2 table注销函数 |
34 |
|
3.5.3 match与target注册函数 |
34-35 |
|
3.5.4 match与target注销函数 |
35-36 |
|
第4章 典型P2P协议特征值分析 |
36-47 |
|
4.1 特征值分析思路 |
36 |
|
4.2 特征值分析 |
36-46 |
|
4.2.1 BitTorrent protocol |
37-38 |
|
4.2.2 eDonkey protocol |
38-40 |
|
4.2.3 Gnutella protocol |
40-42 |
|
4.2.4 DirectConnect protocol |
42-44 |
|
4.2.5 FastTrack protocol |
44-46 |
|
4.3 特征值归纳 |
46-47 |
|
第5章 P2P过滤模块设计与实现 |
47-55 |
|
5.1 P2P过滤模块设计思路 |
47 |
|
5.2 P2P过滤模块具体设计与实现 |
47-53 |
|
5.2.1 P2P过滤模块内核部分设计与实现 |
47-49 |
|
5.2.2 P2P过滤模块用户空间设计与实现 |
49-53 |
|
5.3 P2P特征值匹配 |
53-54 |
|
5.3.1 固定偏移匹配 |
53 |
|
5.3.2 动态偏移匹配 |
53-54 |
|
5.4 与系统挂接 |
54-55 |
|
第6章 典型P2P协议特征值测试与评估 |
55-68 |
|
6.1 测试计划 |
55-56 |
|
6.1.1 准确性评估 |
55 |
|
6.1.2 快速性评估 |
55-56 |
|
6.2 P2P默认端口 |
56 |
|
6.3 准确性测试 |
56-63 |
|
6.3.1 特征值识别P2P应用准确性测试 |
56-60 |
|
6.3.1.1 BitTorrent protocol |
56-57 |
|
6.3.1.2 Gnutella protocol |
57-58 |
|
6.3.1.3 FastTrack protocol |
58 |
|
6.3.1.4 eDonkey protocol |
58-59 |
|
6.3.1.5 DirectConnect protocol |
59-60 |
|
6.3.2 特征值唯一性测试 |
60-63 |
|
6.3.3 准确性测试总结 |
63 |
|
6.4 快速性测试 |
63-68 |
|
6.4.1 未加载P2P规则的RTT值 |
64-65 |
|
6.4.2 加载P2P规则的RTT值 |
65-66 |
|
6.4.3 RTT值的比较 |
66-68 |
|
第7章 防火墙专用shell设计与实现 |
68-77 |
|
7.1 Linux shell概述 |
68 |
|
7.2 防火墙专用shell(fshell)总体结构 |
68-69 |
|
7.3 fshell管理模块功能 |
69-70 |
|
7.4 fshell具体设计 |
70-73 |
|
7.4.1 fshell流程图 |
70-71 |
|
7.4.2 fshell运行过程 |
71 |
|
7.4.3 fshell中关键系统调用函数 |
71-73 |
|
7.4.3.1 execvp |
72 |
|
7.4.3.2 fork |
72 |
|
7.4.3.3 wait |
72-73 |
|
7.4.4 fshell开发模型 |
73 |
|
7.5 fshell具体实现 |
73-76 |
|
7.5.1 fshell命令行解析与执行 |
73-74 |
|
7.5.2 fshell环境的设置 |
74-76 |
|
7.6 与系统挂接 |
76-77 |
|
第8章 结束语 |
77-79 |
|
8.1 已完成工作和进一步开发设想 |
77-78 |
|
8.2 应用前景 |
78-79 |
|
参考文献 |
79-81 |
|
攻读学位期间发表论文 |
81-82 |
|
致谢 |
82 |
|
| 【DOI】 | LunWen.ID:2.2008.372256 |
