基于嵌入式Linux的控制系统设计与实现
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
行 执 行 网 络 访 问 控 制 ,其 增 强 网 络 防 火 墙 安 全 性 同 时 , 更加智能的保护网络。目前,最新一代的智能防火墙通 过 对 数 据 的 识 别 ,应 用 智 能 算 法 实 现 不 同 需 求 的 网 络 访 问 控 制 ,避免了传统防火墙因匹配检查所需要海量 数 据 的 计 算 ,智 能 防 火 墙 能 够 高 效 地 检 测 网 络 行 为 的 特 征 值 ,进而方便地执行访问控制[2]。防火墙保护的网络 传 输 流 通 行 ;二是允 许网络数据传输流通过。目前,有的防火墙侧重于阻传 输 流 的 通 行 ,而 其 他 的 则 侧 重 允 许 网 络 数 据 传 输 流 通 过 。智能防火墙具有如下功能:(1)保护易受攻击的网 络 服 务 ;(2 )控制内网和外网网络系统之间的访问;(3 ) 集 中 监 控 网 络 的 安 全 性 ,提 高 工 作 效 率 ,减少管理成 本 ;(4 ) 内网数据的保密性和私有性得到提高;(5)监控 网 络 运 行 状 态 ,以 上 功 能 可 以 为 安 全 规 划 和 网 络 维 护 提供技术保障。
1.1 N etfflter防火 墙 工 作 原 理
自 从 1991年 Linux操 作 系 统诞生以来,二十多年 间它之所以深受用户的喜爱,不 仅 因 为 Linux是一套免 费使用的操作系统,还 因 为 Linux继承了 Unix设计思 想 ,是一个性能稳定的多用户网络操作系统。 Linux从
趻 现 代 计 算 机 2017.04上
2 流量控制模块与算法
2 . 1 流量控制模块 随着计算机网络的迅猛发展,路由器简单丟弃数
据包来处理拥塞的粗放方式也不在适用。网络流量监 测 系 统 的 总 体 功 能 分 为 流 量 统 计 和 异 常 检 测 功 能 ,系 统架构如图1 所示。
1 . 2 用 户 空 间 工 具 iptables
iptables作 为 Netfilter的用户配置工具,最大的优 势 是 不 需 要 重 新 编 译 即 可 实 现 网 络 系 统 的 扩 展 ,但在 使 用 该 命 令 以 前 ,必 须 通 过 加 载 Netfilter内核模块方可 实 现 。iptables命令可以完成封包过滤、封包重定向和 网络地 址 转 换 (NAT)及 扩 展 的 表 模 块 进 行 处 理 ,每个 表 又 包 括 自 己 的 链 ,每 个 链 又 包 含 数 条 过 滤 规 则 ,而每 个规则由大量的分类( iptables match)和一个连接动作 (iptables target)构成[5。
开发案例
2.4开 始 ,Linux内 核 通 过 引 人 Netfilter包 过 滤 框 架 ,其 在 网 络 系 统 上 实 现 了 数 据 包 过 滤 、状 态 检 测 、网络地址 转 换 ,以及数据包标记等,由于其设计的开放性,一般 具 有 有 内 核 开 发 经 验 的 网 络 程 序 员 ,通 过 利 用 其 提 供 开 发 的 接 口 ,在 内 核 的 数 据 链 路 层 与 网 络 层 进 行 设 计 , 实现用户所需要的功能模块[2-]。
开发案例
文章 编 号 =1007-1423(2017)10-0068-05
DO I: 10.3969/j.issn.l007-1423.2017.10.019
基于嵌入式Linux的控制系统设计与实现
孙遒
( 黑 龙 江 科 技 大 学 信 息 网 络 中 心 ,哈 尔 滨 150022)
摘要: 服务器的网络流量监测已成为网络安全领域的一个重要研究问题,结合当前网络流量监测技术的发展趋势和实际需 求,提 出 嵌 人 式 Linux架构的网络流量监测方案和识别拒绝服务攻击的网络异常检测功能SYN-Flood算 法 ,设计基于 嵌 人 式 Linux防 火 墙 Netfilter框架的网络控制系统。结果表明:该系统能够实现统计每个地址的字节流量,可以按照 设 定 策 略 进 行 限 制 访 问 ,同 时 网 络 流 量 监 测 系 统 具 备 识 别 异 常 流 量 信 息 的 功 能 ,测 试 并 验 证 其 可 行 性 和 可 靠 性 。 关键词: 控制系统;Netfilter; 流量查询;流量统计 基金项目: 黑龙江省教育科学规划重点课题“互联网+ ”背景下教育教学方式改革研究(No.GJB1215066)
1 Linux下的智能防火墙
传 统 防 火 墙 相 比 智 能 防 火 墙 存 在 诸 多 问 题 ,用户 往 往 难 以 理 解 。传 统 的 防 火 墙 保 护 网 络 是 一 个 简 单 机 制 ,其只能按代码机械地执行网络安全策略。而智能防 火 墙 并 非 简 单 地 执 行 过 滤 非 安 全 信 息 的 策 略 ,其通过 对 用 户 网 上 行 为 的 识 别 ,可 以 根 据 时 间 、地 点 与 行 为 进
0 引言
随 着 全 球 信 息 化 的 飞 速 发 展 ,Internet己经在 全 球 普 及 ,网络安全问题突显。捕获网络工作时的数据,利 用 其 数 据 特 征 实 时 监 控 网 络 运 行 状 态 ,分 析 网 络 中 数 据 的 异 常 ,通 过 分 析 网 络 的 性 能 ,以 及 网 络 各 层 的 的 安 全性,提高对整个网络的管理。保护网络计算机安全的 措 施 之 一 是 防 火 墙 技 术 ,以 限 制 网 络 通 信 ,阻止信息资 源 的 非 法 访 问 ,以 及 避 免 保 密 信 息 从 受 保 护 网 络 非 法 输 出 [1]。众 多 操 作 系 统 中 ,L in ux以 期 良 好 的 稳 定 性 、源 代码的开放性等优点,笔 者 基 于 Linux 2.4内核中集成 的iptables最新 解 决 方案,其根据按照用户的需求搭建 访 问 控 制 系 统 ,灵 活 地 掌 握 上 网 用 户 的 行 为 ,其对在 Linux平台下进行网络控制具有有重要的意义。