發(fā)表論文(杭書文)

1、<p>　　防火墻遠程配置系統的研究與設計</p><p>　　作者:杭書文 單位:江蘇省無錫立信職教中心校</p><p>　　摘 要：防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術。防火墻的遠程配置的技術背景是HTTP協議。它遵循HTTP協議來分析客戶端請求，包括一系列請求頭和消息實體，并根據客戶端請求構造相應的響應消息，也包括一系列

2、響應消息頭和響應消息實體，從而對客戶端請求作出相應的回應。達到遵從HTTP協議要求來設計實現遠程管理技術平臺的要求。目的就是設計一個防火墻的安全遠程管理的基礎平臺，實現防火墻的遠程配置功能。</p><p>　　關鍵詞：防火墻，HTTP協議，WEB</p><p><b>　　一、開發(fā)背景</b></p><p>　　隨著計算機和網絡的發(fā)展，它

3、提供了發(fā)布住處和檢索信息的場所,但它也帶來了信息污染和信息破壞的危險,各種攻擊入侵手段也相繼出現了，為了保護其數據和資源的安全，人們開發(fā)出一種能阻止計算機之間直接通信的技術，并沿用了古代類似這個功能的名字——“防火墻”。用專業(yè)術語來說，防火墻是一種位于兩個或多個網絡間，實施網絡之間訪問控制的組件集合。對于普通用戶來說，所謂“防火墻”，指的就是一種被放置在自己的計算機與外界網絡之間的防御系統，從網絡發(fā)往計算機的所有數據都要經過它的判斷處理

4、后，才會決定能不能把這些數據交給計算機，一旦發(fā)現有害數據，防火墻就會攔截下來，實現了對計算機的保護功能。</p><p>　　防火墻是一種安全性機制，通過這種機制可以增強對兩個網絡之間的訪問控制。防火墻可以限制來自外部網絡的訪問，按照有關設置允許經過檢查的數據進入和流出。原則上應該認為防火墻存在兩種機制：一種用于阻礙訪問，一種用于允許訪問。當外部網絡的用戶訪問網內資源時，要通過防火墻控制；而內部網絡的用戶訪問網外

5、資源時，也相應的要通過防火墻來實現。這樣，防火墻就起到了一個“警衛(wèi)”的作用，可以將需要禁止的數據包在這里丟掉。</p><p>　　正是由于防火墻管理的必要和遠程配置管理技術良好的發(fā)展前景，又鑒于Web的遠程管理模式的方便性和靈活性，本文將對基于Linux的遠程配置管理系統進行研究、設計與實現。</p><p>　　二、防火墻遠程配置研究的意義</p><p>　　

6、在網絡安全問題日趨嚴峻的今天，防火墻作為第一道防線起著關鍵的作用。防火墻可以對流經它的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。從而對防火墻的研究成為研究熱點。</p><p>　　安全、方便、易用的遠程配置和管理，是防火墻產品作為網絡安

7、全設備必不可少的組成部分，也是防火墻產品在市場中的賣點之一。其實隨著IPv6新協議的逐步推廣，這種遠程配置和管理技術將成為所有網絡電器產品的技術賣點。由于IPv6的地址位數是IPv4的四倍，即地址位數達到128位，這樣，可以提供的IP地址幾乎是取之不盡，完全可以使世界上每一臺網絡電器都分配到一個唯一的IPv6地址，從而使每一個產品通過遠程配置和管理成為可能，每個產品的維護和售后服務以及有關產品的其它參數和性能的了解都可以通過遠程控制進行

8、。由于遠程配置、管理有這樣的廣闊用途和使用空間，就使得對它的研究和開發(fā)成為必要。</p><p>　　三、防火墻遠程安全管理系統模塊設計</p><p>　　本防火墻系統采用基于Web的遠程管理方式，用戶通過標準瀏覽器進行遠程管理，因此需要Web服務程序對它們管理的請求進行響應。</p><p>　　本課題是以防火墻服務管理系統為中心展開研究，Web服務模塊的設計、

9、系統平臺的搭建等兩方面都是為之服務。而防火墻遠程安全管理是整個防火墻系統安全的重要組成部分之一，沒有安全的管理，防火墻不可能達到預期的安全目的。實用的防火墻必須有完善、可靠的遠程管理系統作為后盾，依靠它進行防火墻基本策略的制定、遠程過濾規(guī)則的配置，遠程進行規(guī)則、日志的瀏覽以及用戶、網絡和防火墻本身的管理等。為了整合項目并使之能正常運作，必須對防火墻的遠程配置進行研究和設計。</p><p>　　系統模塊設計的技術

10、背景</p><p>　　HTTP協議是用于從Web服務器傳輸超文本到本地瀏覽器的傳送協議，是Web服務器與瀏覽器傳輸的內容必須遵循的應用層協議，是一種無狀態(tài)協議。</p><p>　　根據RFC1945（HTTP1.0）和RFC2616（HTTP1.1）規(guī)定，HTTP協議是基于請求／響應范式的，HTTP消息分為請求消息和響應消息兩類。</p><p>　　WWW使

11、用過程中，傳輸分為四個過程：建立TCP連接、客戶端提出HTTP請求、服務端HTTP響應、拆除TCP連接，如圖3-1所示：</p><p>　　1)客戶端與服務器建立聯系。與服務器建立連接，要指定機器名稱、資源名稱和端口號，可以通過URL來提供這些信息。URL的格式為： </p><p>　　HTTP：//<IP地址>/[端口號]/[路徑][?<查詢信息>]</

12、p><p>　　資源的缺省值是INDEX或DEFAULT，端口號缺省為80。</p><p>　　2)客戶端向服務器提出請求。請求信息包括希望返回的文件名和客戶機信息，客戶機信息以請求頭發(fā)送給服務器。</p><p>　　3)服務器對請求作出應答。服務器收到一個請求，就會立刻解釋請求中所用到的方法，并開始處理應答。服務器的應答消息也包含頭字段形式的報文信息。</p

13、><p>　　4)關閉客戶與服務器之間的連接。</p><p>　　客戶與服務器之間的連接是一次性的連接，它限制每次連接只處理一個請求，當服務器響應一個請求后就會立即關閉此連接，這樣及時地釋放連接可以大大提高服務器的執(zhí)行效率。</p><p>　　在客戶和Web服務模塊進行交互時，用戶的輸入常常通過使用HTML表單將相關信息送往Web服務模塊。HTML表單包含有下拉式菜

14、單和按鈕等HTML頁面元素，這樣的表單將使用戶能夠進行交互式訪問。在一個HTML文檔中可以有多個HTML表單，每個表單都具有相同基本結構，且都必須有處理程序相對應。表單中有如下重要屬性：</p><p><b>　　1)Method </b></p><p>　　Method屬性，用來指定Web客戶機在向服務器提交表單數據時所采取的請求方法。一般有GET和POST兩種

15、方法。二種方法之間的主要區(qū)別是在向服務器傳送表單數據時，采用的方法不同。</p><p>　　a) GET方法是把需要提交的數據用“?”附加到URL的后面， 在頭部信息中發(fā)送。</p><p>　　b) POST方法是把需要提交的數據作為數據信息內容發(fā)送。</p><p><b>　　2)Action </b></p><p

16、>　　Action屬性也位于表單的Form標簽中，用來指定Web服務器上用來接收表單數據內容并進行處理的URL，它一般是Web服務器上的可執(zhí)行程序，它負責處理表單數據，還負責產生對所提交的數據的響應，以便服務器可以向客戶機返回響應。</p><p>　　3)Enctype </p><p>　　Web客戶機發(fā)送數據所使用的編碼機制都由Enctype屬性指定。URL編碼機制的基本思想就

17、是把表單中的所有數據都格式化為順序對，組合在一個字符串中。</p><p>　　另外，還有一種稱為Multipart的編碼機制被加入到HTML規(guī)范中，它的指定方法為:ENCTYPE= "Multipart/form-data"。Multipart編碼機制的主要目的是使文件能夠通過HTML表單上傳。</p><p>　　2、防火墻遠程安全管理中的Web服務模塊設計<

18、/p><p>　　Web服務模塊主進程監(jiān)聽設定的端口，一旦有瀏覽器的請求到達，則建立連接并返回新的套接字描述符交由子進程使用。子進程讀取請求并分解出URI、請求方法，再創(chuàng)建子進程并根據所請求文件的擴展名對應的MIME類型進行判斷，如是靜態(tài)文本則根據配置文件進行相應的修改然后構造返回網頁發(fā)送給瀏覽器；如是CGI腳本，則創(chuàng)建一個子進程執(zhí)行該腳本，處理腳本運行結果并把結果返回服務器，服務器再根據實際情況確定返回給瀏覽器的信

19、息。最后關閉該連接。</p><p>　　防火墻遠程服務管理系統內部關系：</p><p>　　整個系統分三大模塊，三個模塊之間的關系見圖3-2，客戶端利用標準瀏覽器發(fā)出請求，HTTPD響應客戶端的請求，進行相應的處理。其中傳輸的數據需要安全保障。</p><p>　　這三個模塊中前兩個模塊SSL和HTTPD是輔助模塊，是為第三個模塊遠程管理提供服務，所有工作都圍繞

20、第三個模塊進行。為了達到防火墻遠程管理、配置的目的，設計的HTTPD需要支持三種請求。</p><p>　　三個模塊形成一個統一整體，整體系統的數據流程見圖3-3，HTTPD接收到客戶端的請求后，進行HTTP頭的解析，分析出客戶端的請求是何種請求，根據防火墻遠程管理、配置系統的功能要求，本系統從大的方面實現二種請求，即GET 和POST請求，POST請求是進行配置文件的更新，即執(zhí)行相關的CGI程序，完成相應的功能

21、。GET請求分成兩種，第一種是對相應的配置網頁的調用，其中還要調用配置文件對相應的網頁進行修改，再生成相應的網頁返回給客戶端。另一種是客戶端請求的不是瀏覽相應網頁內容，而是要瀏覽相應配置文件或相應的配置規(guī)則，此時就要進行HTTP協議下的文件傳輸，使客戶端能瀏覽相應的配置文件或配置規(guī)則，甚至在必要時還可以把它們下載存儲在客戶端。如果客戶端不是這兩種請求方法，分析HTTP頭時就會報錯。</p><p>　　圖3-3

22、 系統流程圖</p><p><b>　　四、展望</b></p><p>　　本文除了現有的研究意義外，還有一定的發(fā)展?jié)摿ΑＴ诂F在的這個飛速發(fā)展的電子信息以及網絡時代，所有的電子數碼終端等產品都可以在其嵌入式系統中設計遠程配置管理系統，但這將對于技術、設備有更高的要求，而卻可以使電子數碼終端產品邁上一個新的臺階。</p><p><b

23、>　　參考文獻：</b></p><p>　　[1] 張斌，Linux平臺下的Web編程，北京：清華大學出版社，2000</p><p>　　[2] Richard J.Gondek等編，《防火墻技術大全》，機械工業(yè)出版社</p><p>　　[3] 博嘉科技主編，《linux防火墻技術探秘》，北京：國防工業(yè)出版社，2002.10</p>