包过滤防火墙无法检测出网络病毒,因此对其研究很有必要。设计的防火墙屏蔽了Linux自身的TCP/IP协议栈,重新构建了适合防火墙专用的TCP/IP协议栈,完成了防火墙上TCP协议的连接保持、数据包确认、文件传输等功能。防火墙主要考虑了HTTP协议下的文件过滤,使得内网主机在通过HTTP协议下载文件时自动过滤病毒文件,保证内网主机的安全;防火墙以Linux可加载内核模块形式实现,可以过滤链路层以上的各层;为提高病毒检测速度,提出了将病毒检测软件运行在核心态的方法。实验结果表明:设计的防火墙在性能和功能上都达到了预期目的。

• 单位
  重庆大学