基于安全增強的嵌入式Linux的硬件防火墻設(shè)計與實現(xiàn).pdf

1、由于網(wǎng)絡(luò)攻擊行為的日益多樣化,單一的網(wǎng)絡(luò)安全技術(shù)已經(jīng)不能滿足當(dāng)前的安全需求.本文介紹了一種新的分布式防火墻系統(tǒng)-主動式防火墻.主動式防火墻集成了網(wǎng)絡(luò)地址轉(zhuǎn)換NAT、虛擬專用網(wǎng)VPN、一次性口令認(rèn)證OTP等技術(shù),通過防火墻和入侵檢測IDS、漏洞掃描Scanner等多種網(wǎng)絡(luò)安全技術(shù)的聯(lián)動,實現(xiàn)了動態(tài)防御.本文的研究工作主要分為兩大部分.一是主動式防火墻系統(tǒng)框架的設(shè)計,包括主動式防火墻中的聯(lián)動設(shè)計和基于安全增強的嵌入式Linux的硬件防火墻設(shè)

2、計.二是安全增強的嵌入式Linux內(nèi)核實現(xiàn)以及通用安全接口的實現(xiàn).針對防火墻模塊和IDS、Scanner等模塊的聯(lián)動,提出了一個包括聯(lián)動策略接口、通用安全接口、安全信息管理等的整體框架.管理員通過聯(lián)動策略接口制定系統(tǒng)的策略;安全信息管理主要對日志進(jìn)行規(guī)格化并分析;通用安全接口保證傳輸數(shù)據(jù)的安全性.一旦IDS檢測到入侵行為或者Scanner發(fā)現(xiàn)漏洞,安全信息管理通過對日志的分析后,通知防火墻修改過濾規(guī)則來主動的保護(hù)內(nèi)部網(wǎng)絡(luò).通過對目前防火

3、墻軟硬件方案的優(yōu)缺點,以及嵌入式Linux作為操作系統(tǒng)的優(yōu)點的比較分析,提出并設(shè)計了基于Intel x86工業(yè)主板的硬件防火墻方案,實現(xiàn)了作為主動式防火墻平臺的嵌入式Linux系統(tǒng).由于嵌入式Linux在安全上的缺陷,無法滿足作為防火墻平臺的安全需要.在研究了現(xiàn)有的安全增強的Linux技術(shù)的基礎(chǔ)上,實現(xiàn)了基于Linux capabilities的安全增強的嵌入式Linux系統(tǒng).通過使用Linux capabilities這種強制訪問控制