计算机系统结构硕士论文-IPv6下嵌入式Linux防火墙的设计与实现.pdf

江西师范大学 硕士学位论文 ipv6下嵌入式linux防火墙的设计与实现 姓名：张小余 申请学位级别：硕士 专业：计算机系统结构 指导教师：罗杰 20080501 摘要 随着网络技术与嵌入式技术的迅速发展，将嵌入式系统连接进入i n t e m e t 网 络成为发展的必然，这样有利于嵌入式设备与信息网络彼此互连，一方面扩大了 设备的可控范围，另方面拓展了信息网路的信息资源。i n t e r n e t 网络现在所采 用的大多是i p v 4 协议，但由于口v 4 协议存在口地址不足等缺点，i n t e m e t 网络 向i p v 6 过渡势在必行，嵌入式系统连接i p v 6 网络成为发展的必然趋势。 既然i p v 6 将成为今后i n t e r n e t 的主导。那么i p v 6 的网络安全问题也摆在人 们面前。防火墙这一强有力的网络安全工具己在i p v 4 网络得到广泛的应用，但 在i p v 6 网络中防火墙工具还很少，尤其在嵌入式设备中，由于其设备的特殊性、 资源的有限性防火墙的设计更加显得重要，亟待人们研究。其关键技术就是防火 墙的设计和移植。如何设计一个稳定、灵活、高效的嵌入式防火墙成为本文研究 的难点。 l i n u x 作为一种开放源代码的操作系统，在世界各地有着广泛的应用。l i n u x 内核版本2 6 中己采用了n e t f i l t e r 的防火墙框架，并且已支持i p v 6 协议栈。目前 l i n u x 防火墙作为一种包过滤防火墙在i p v 4 下的应用稳定可靠，在l p v 6 下的应 用尚未得到重视。这主要是由于很多地方i p v 6 地址接入i n t e m e t 还不是那么方便， 但是随着i p v 6 的逐渐普及，i p v 6 技术会越来越成熟。 本文探讨了嵌入式系统的发展趋势和当今各种网络协议的特点，介绍了嵌入 式l i n u x 的广泛应用和发展趋势，阐述了防火墙在嵌入式系统的重要作用和基于 i p v 6 协议防火墙的发展趋势，主要研究了n e t f i l t e r 框架防火墙的设计、实现以 及其在嵌入式l i n u x 中的移植。通过提出一个基于i p v 6 的防火墙的总体设计方 案，实现了个简单、稳定、高效、灵活的嵌入式防火墙。 关键词：i p v 6 ；防火墙：嵌入式；l i n u x i a b s t r a c t w i t ht h ed e v e l o p m e n to ft h ei n t e r n e ta n dt h ee m b e d d e ds y s t e m ，e m b e d d e d s y s t e mw i l lb ee q u i p p e dw i t hi n t e m e ta c c e s si nt h en e a rf u t u r e t h ec o m b i n a t i o no f e m b e d d e ds y s t e ma n di n t e r a c tc a nm a k et h ee m b e d d e dd e v i c ea n dt h ei n f o r m a t i o n n e t w o r kt o g e t h e r o nt h eo n eh a n d ，i tc a i lb r o a d e nt h er e g i o no ft h ec o n t r o l l e dd e v i c e ， o nt h eo t h e r , i tc a l lb r o a d e ni n f o r m a t i o no ft h en e t w o r k a sw ek n o w , m o s to ft h e i n t e m e tn o w a d a y sb a s e so nt h ep v 4p r o t o c o l ，w h i c hh a ss o m ei m p e r f e c ts u c ha s i n s u f f i c i e n ti pa d d r e s sa n ds oo n ，s ot h ei n t e r n e ti sd e v e l o p i n gf r o md v 4t oi p v 6 ，a n d i p v 6w i l lb et h en e c e s s a r yd e v e l o p e df o re m b e d d e ds y s t e m s s i n c ei p v 6w i l ll e a dt a k et h ed o m i n a n tp o s i t i o ni nt h ed e v e l o p m e n to fi n t e r n e t ， t h es e c u r i t yo ft h en e x tg e n e r a t i o nn e t w o r kh a sb e c o m et h ep r o b l e md e m a n d i n g p r o m p ts o l u t i o n f i r e w a l l ，勰ap o w e r f u lt o o li nt h es e c u r i t yo fn e t w o r k ，h a sb e e n w i d e l yu s e di n i p v 4n e t w o r k h o w e v e r , t h i sp o w e r f u lt o o li ss e l d o mu s e di ni p v 6 n e t o w o r k , e s p e c i a l l yi ne m b e d d e ds y s t e m ，b e c a u s ei t ss p e c i a l t i e so ft h ed e v i c ea n d t h ee x i g u i t yo ft h er e s o u r c e ，i t sm u c hm o r ei m p o r t a n tt od e s i g nt h ef i r e w a l l i ti s u r g e n tt or e s e a r c hb yp e o p l e i t sc r i t i c a lt e c h n o l o g yi st h ed e s i g n i n ga n dt r a n s p l a n t i n g o ft h ef i r e w a l l t h ed i f f i c u l tp o i n to ft h i sa r t i c l ei sh o wt od e s i g nas t a b l e 、f l e x i b l ea n d e f f i c i e n tf i r e w a l li ne m b e d d e ds y s t e m a sa no p e ns o u r c eo p e r a t i o ns y s t e m ，l i n u xh a sb e e nw i d e l yu s e do na l lk i n d so f p l a t f o r m s n e t f i l t e rf r a m e w o r kw h i c hi st h em i d d l el e v e lo fl i n u xo p e r a t i o ns y s t e m a n df i r e w a l la p p l i c a t i o n s ，h a sb e e ni n t e g r a t e di n t ol i n u xk e r n e l2 6 l i n u xk e r n e l2 6 h a sa l s os u p p o r t e di p v 6p r o t o c o ls t a c k l i n u xf i r e w a l li sak i n do fp a c k e tf i l t e r f i r e w a l lo fs t a b i l i t ya n dr e l i a b i l i t yi n 口v 4n e t w o r k ，b u ti t sn ou s ei ni p v 6n e t w o r k t h er e a s o ni si t sn o t c o n v e n i e n tt oa c c e s st ot h ei n t e m e tf o ri p v 6a d d r e s si nm a n y p l a c e s b u tt h et e c h n o l o g yo fi p v 6w i l lb em o r ea n dm o r em a t u r ew h e nt h ei p v 6 b e c o m e sm o r ea n dm o r e p o p u l a r a tt h eb e g i no ft h ed i s s e r t a t i o n ，w eh a sd i s c u s s e dt h ee m b e d d e ds y s t e m ，a n a l y z e d t h et e n d e n c yo ft h ed e v e l o p m e n ti nt h ee m b e d d e ds y s t e ma n dt h ec h a r a c t e r i s t i co f m a n yo fi n t e m e tp r o t o c o l sn o w a d a y s ，i n t r o d u c et h eb r o a da p p l i c a t i o na n dd e v e l o p i n g t e n d e n c yo f t h ee m b e d d e ds y s t e m ，e x p l a i nt h ei m p o r t a n tf u n c t i o no ft h ef i r e w a l li nt h e e m b e d d e ds y s t e ma n dt h et e n d e n c yo ft h ef i r e w a l lb yi p v 6p r o t o c o l ，d e s i g n e da n d c o m p l e t e dt h i sf i r e w a l ls y s t e mf i n a l l y , r e s e a r c h e dt h ed e s i g n i n g 、c o m p l e t i o na n d t r a n s p l a n t i n go ft h en e t f i l t e rf r a m e w o r kf i r e w a l l c o m p l e t i n gas i m p l e 、s t a b l e 、 i i e f f i c i e n t 、f l e x i b l ef i r e w a l li ne r n b e d d e ds y s t e mb yp r e s e n t i n gag e n e r a ld e s i g ns c h e m e o f 口v 6n 舐o r kf i r e w a l l k e yw o r d s ：i p v 6 ；f i r e w a l l ；e m b e d d e d ；l i n u x i i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得或其他教育机构的学位或证书而使用过的材料。与我一同工作 的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表 示谢意。 学位论文作者签名：签字e l 期：年月 日 学位论文版权使用授权书 本学位论文作者完全了解江西师范大学研究生院有关保留、使用 学位论文的规定，有权保留并向国家有关部门或机构送交论文的复印 件和磁盘，允许论文被查阅和借阅。本人授权江西师范大学研究生院 可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采 用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名： 签字e t 期：年月 日 导师签名： 签字日期：年 月 日 i p v 6 下嵌入式l i n u x 防火墙的设计与实现 第一章绪论 1 1 研究课题背景 1 1 1 嵌入式系统及其发展趋势 微电子技术、计算机技术的迅猛发展使得嵌入式系统广泛地融入人类的生 活。嵌入式系统是以应用为中心，以计算机技术为基础，并且软硬件可裁减，适 用于应用系统对功能、可靠性、成本、体积、功耗等有严格要求的专用计算机系 统。嵌入式系统主要由嵌入式处理器、相关支撑硬件、嵌入式操作系统及应用软 件系统等组成，是集软硬件于一体的可独立工作的专用计算机系统，它具有系统 小，指令精简，调用速度快，稳定性好的优点。 嵌入式硬件系统主要由嵌入式处理器及相关支撑硬件和外围电路等组成。其 中，嵌入式处理器在嵌入式硬件系统中处于核心地位，按照功能和用途划分，它 可以进一步细分为以下几种类型：嵌入式微控制器m c u ( e m b e d d e d m i c r o c o n t r o l l e ru n i t ) 、嵌入式微处理器m p u ( e m b e d d e dm i c r o p r o c e s s o ru n i t ) 、 嵌入式数字信号处理器d s p ( e m b e d d e dd i g i t a ls i g n a lp r o c e s s o r ) 和片上系统s o c ( s y s t e mo nc h i p ) 【1 1 。 嵌入式系统发展至今已经有3 0 多年的历史，其大致经历了四个发展阶段： ( 1 ) 以单芯片为核心的可编程控制器系统，同时具有检测、伺服、指示设备相配 合的功能；( 2 ) 以嵌入式中央处理器( c p u ) 为基础，以简单操作系统为核心的 嵌入式系统；( 3 ) 以嵌入式操作系统为标志的嵌入式系统：( 4 ) 以基于网络操作为 标志的嵌入式系统。 嵌入式技术已成为新世纪最有生命力的技术之一，得到了飞速的发展和广泛 应用。它通过在各个行业的具体应用渗透到社会的各个角落，从日常用品到工业 生产、军事国防、医疗卫生、科学教育及至商业服务等方方面面，小到个人身上 的手机、m p 3 、p d a ，大到汽车、飞机、导弹等，嵌入式系统的身影已经无处不 在。 随着技术的发展，嵌入式技术也出现一些新的发展趋势，主要体现在以下几 个方面【z 】： 1 嵌入式应用软件的开发需要强大的开发工具和操作系统的支持 2 联网成为必然趋势 3 支持小型电子设备实现小尺寸、微功耗和低成本 4 提供精巧的多媒体人机界面 硕士学1 _ 奇：论文 目前大多数嵌入式系统还孤立于i n t e r n e t 之外，但随着i n t e m e t 的发展以及 i n t e m e t 技术与信息家电、工业控制技术等结合日益密切，嵌入式技术与i n t e m e t 技术的结合正推动嵌入式技术的快速发展。工业计算机发展到今天已经出现了多 元化应用的发展趋势，尤其是随着网络技术和应用的发展，使网络设备已经成为 计算机平台的标准配置，对网络应用的需求同时也促进了嵌入式应用的发展，这 种发展趋势甚至拓展了传统工控技术的应用范围。嵌入式产品本身自有的体积 小、可靠稳定、长期连续工作等特点也正是网络安全服务内在的要求，这使得两 者有先天的密切联系。嵌入式技术与网络和通信的融合必将帮助人类进一步跨越 时间与空间的障碍。随着各种各样新型嵌入式设备的涌现，人们获得了摆脱p c 机访问互联网的能力，不仅可以使用p c 机上网，同时也可以使用手机、p d a 和 机顶盒等嵌入式设备上网访问与处理信息。嵌入式设备与通信( 尤其是无线通信) 的结合对嵌入式系统的发展产生了深远的影响。随着网络、通信和多媒体技术与 嵌入式技术的相互融合、互相促进与发展，种类繁多的新型嵌入式设备必将给人 类带来各种各样新的体验。 1 1 2ip v 6 技术 i p v 6 协议是i n t e m e t 协议族中关于网络层的一个最新的版本，它的设计被认 为是对l p v 4 革命性的一步。i p v 6 的出现没有推翻现有口v 4 的思路和结构，而是 继承、保留、修改、完善和扩充了口v 4 协议。口协议的变化也使t c p i p 协议 堆栈中的许多协议也做了相应的修改，到目前为止，t c p i p 中已经有5 8 个以上 的标准为符合i p v 6 而做了修改【3 1 。 世界各国对i p v 6 技术的研究十分重视。目前对i p v 6 的研究范围主要涉及用 于主机的单独i p v 6 协议栈软件、用于主机的支持i p v 6 的操作系统、独立的路由 协议软件、用于路由器的支持i p v 6 的操作系统、应用程序实现以及硬件支持i p v 6 的路由器产品。中国教育和科研计算机网( c e r n e t ) 于1 9 9 8 年建立了我国第一个 i p v 6 实验床，并与国际6 b o n e 连接，同年1 1 月成为6 b o n e 的骨干成员。2 0 0 3 年8 月，c e r n e t z 计划被纳入由国家发改委等八部委联合领导的中国下一代互 联网示范工程( c n g i ) 。2 0 0 4 年3 月，c e r n e t z 试验网正式向用户提供i p v 6 下 一代互联网服务。2 0 0 7 年1 月“中国下一代互联网示范工程( c n g i ) “ 被5 6 5 名 中国科学院院士、中国工程院院士投票评选为2 0 0 6 年中国十大科技进展新闻第 一位。 随着计算机技术的发展，价格低廉、体积小巧的各种嵌入式设备得到广泛应 用，这些应用对网络连接的需求也日益增长。大量嵌入式设备接入网络使得i p v 4 地址不足的问题愈加突出。i p v 6 协议不但很好的解决了地址短缺问题，而且具 备无状态地址自动配置、服务质量、安全性等多方面的优点，成为嵌入式设备进 行网络互连的首选。 2 i p v 6 下嵌入式l i n u x 防火墙的设计与实现 i p v 6 取代口v 4 是必然的趋势，在嵌入式系统中实现i p v 6 具有重要的意义， 嵌入式系统可以跟外部网络直接通信，而且i p v 6 的海量地址也为嵌入式系统的 全球唯一化标识成为可能【4 】。 1 1 3 嵌入式防火墙 随着计算机网络在政治、经济、文化等诸多方面的飞速发展，网络已经逐渐 成为我们日常生活中不可少的重要组成部分。与此同时，网络安全问题也随之凸 现出来，并逐渐成为企业网络应用所面临的主要问题，网络安全技术也越来越受 到前所未有的广泛重视。防火墙技术作为实现网络安全的重要方法之一，渐渐成 为研究网络安全技术的一个重要的研究方向。防火墙是指在两个网络之间执行的 一个系统，它按照事先约定的协议，控制着网络间相互访问的级别，从而保证系 统及数据的安全。 近几年对计算机通讯网络的攻击屡见不鲜，这些攻击大都可分为以下三类【5 】： ( 1 ) 利用系统管理配置不当或用户本身的误操作等造成的漏洞对系统进行攻击。( 2 ) 另一类更复杂的攻击是利用目前采用的计算机通讯网络协议中的内在漏洞或者 应用程序的漏洞对系统进行攻击。( 3 ) 利用恶意代码或者计算机病毒等手段进行 基于内容的攻击。对于这些安全问题，网络防火墙是一个很好的解决方法。 防火墙作为最早发展起来的安全技术，目前仍然是防御网络入侵者最有效的 机制，也是最成熟、最早产品化的技术。由于防火墙技术的针对性很强，它已成 为实现i n t e m e t 网络安全最重要的保障之一。而目前绝大部分防火墙还是基于 i p v 4 网络创建的，随着i p v 6 协议的日渐完善，i p v 6 网络已经从实验阶段走向应 用，其安全问题也随即提上日程。传统安全设备如防火墙等都需要重新设计以适 应新的网络环境【6 】。 随着网络应用的不断发展，市场对于防火墙产品的需求不断增加，现有x 8 6 架构的防火墙产品已经无法很好的满足不同用户的需求，诸多的厂商已经将开始 尝试采用基于嵌入式技术进行防火墙产品【7 】开发。嵌入式防火墙产品在性能、成 本、功耗、体积、稳定性等各方面较之p c b a s e d 的防火墙产品都有较大的优势。 1 2 防火墙国内外研究现状 自从1 9 8 6 年美国d i g i t a l 公司在i n t e m e t 上安装了全球第一个商用防火墙系 统后，提出了防火墙的概念，防火墙技术得到了飞速的发展。根据防火墙的发展 过程，目前主要可以将防火墙的发展分为4 代： ( 1 ) 第一代防火墙：包过滤防火墙 包过滤技术是在网络层中对数据包检查并有选择的通过。依据系统内事先设 定的过滤规则，检查数据流中每个数据包，根据数据包的源地址、目的地址、源 端口号、目的端口号以及数据包头中的各种标志位等来确定是否允许数据包通 3 硕十学位论文 过。 ( 2 ) 第二代防火墙：代理服务器防火墙 代理服务器也叫应用层网关防火墙。这种防火墙通过一种代理技术参与到一 个t c p 连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像 是源于防火墙外网卡一样，从而可以达到隐藏内部网络的作用。这种类型的防火 墙被网络安全专家认为是最安全的防火墙。它的核心技术就是代理服务器技术， 并在外部网络向内部网络申请服务时发挥中间转接的作用。代理服务防火墙最突 出的优点就是安全，而最大缺点就是速度相对比较慢。 ( 3 ) 第三代防火墙：监控功能防火墙 监控功能防火墙有效地提高了防火墙的安全性，它可以对每一层的数据包进 行检测和监控。采用这种技术的防火墙通过建立并维护一张连接表来跟踪每一个 连接，数据包在匹配规则表之前，先检查连接状态表，如果连接存在并且合法则 直接通过防火墙而不必匹配规则表；如果是个新连接请求，则需要匹配规则表， 合法后才能建立该连接。 ( 4 ) 第四代防火墙：基于专用操作系统的防火墙 防火墙本身作为一种网络软件，一般都运行在一个网络操作系统之上，如果 操作系统本身无法提供对防火墙的安全保护，则防火墙无法解决各种针对操作系 统平台的攻击行为和针对防火墙本身的网络攻击行为。这种防火墙设计原则正好 符合了硬件专用防火墙的设想，主要是加强操作系统的强制访问机制，从防火墙 本身的安全性上进行改进和提高。这个阶段的防火墙已超出了原来传统意义上防 火墙的范畴，已经演变成一个全方位的安全技术集成系统，它可以抵御目前常见 的网络攻击手段，如口地址欺骗、特洛伊木马攻击、i n t e m e t 蠕虫、口令探寻攻 击、邮件攻击等等。 随着嵌入式设备和网络的迅猛发展，在嵌入式设备中实现防火墙功能也成了 一种趋势，并有加速发展的趋势。目前国内外很多厂商都在研究嵌入式防火墙。 像思科的c i s c op i x5 1 5 防火墙、3 c o m 的3 c r 0 1 0 s t r p s 1 9 7 b 防火墙、华恒科 技的h h a r m 9 f i r e w a l l r 1 防火墙。 4 p 埔卜l 捉入式li n u x 防火墙的设计与实现 图1 1 华恒a r _ m 9 系列中端防火墙h h a r m 9 一f i r e w a l l r 1 3 研究意义 131 网络安全在嵌入式系统中的重要性和必要性 随着计算机科学技术和微电予技术的发展，嵌入式在近几年获得了长足的进 步。嵌入式联网作为嵌入式发展的个趋势正在蓬勃发展。如今，在嵌入式设备 中添加网络通信功能成为一种勿容置疑的趋势。嵌入式系统已经成为i n t e m e t 终 端的一个重要组成部分。然而在通信技术发展的同时，嵌入式系统不可避免地会 遇到网络安全问题。 以带有网络控制功能的家用空调系统来说明嵌入式系统很可能引起的安全 事故。当你下班前，从办公室电脑可以启动家中空调，设定其达到的温度。然而， 这种接入冈特网的空调也可能遭受潜在的攻击。入侵者可以控制家中的空调。冬 天让市内温度持续下降使水管冻裂。夏天让室内温度持续升高使宠物中暑而死。 如果安全问题没有基本的保障，它们就可能会失去其在市场发展中的动力。再把 问题扩太一步，假如城市里每家的空调都联网并和电力调度公司的调度程序发生 关联，用电高峰时，电力公司可以强制设定空调上调或下调温度，这样可以避免 高峰拉闸。这是空调上网的好处，但被人恶意利用就会变成坏事。如电力公司为 赢利，在用电非高峰时集体调节点空调的设定温度使电力消费增加用户就 增加了开销。再看隐私方面，如果入侵者设法从网上查到你家的室内温度，就可 以判断家里有投有人。 由于嵌入系统安全问题的复杂性，决定了必须采用软件工程方法来分析。对 系统防御也必须综合实施，没有一个万全之策。目前嵌入式方面的安全研究工作 国内还做得不多，因此还需要投入大量的研究e 8 i 。 硕十学位论文 1 3 2ip v 6 协议的应用前景 目前计算机网络的主干网是基于p v 4 协议的i n t e r n e t ，在i n t e m e t 的发展过 程中，i p v 4 的局限逐渐暴露出来，像地址资源日益稀缺，路由表迅速膨胀等等， 这些局限性严重制约了p 技术的应用和未来网络的发展。为解决这些问题，i e t f 工作组于1 9 9 5 年1 2 月公布了r f c 2 4 6 0 标准协议规范，即我们现在所说的v 6 ， 它是下一代互联网的核心通信协议。随着i p v 6 的发展，基于i p v 6 的网络已经在 一定范围内存在，从i p v 4 向i p v 6 过度成为不争的事实。 i p v 6 协议作为下一代网络的基础以其鲜明的技术优势得到广泛的认可，世 界各国都投入大量资金对其进行研究，以领先占领该技术，并且i p v 6 技术也已 经在一些国家开始进行推广应用。在这样的背景下，对基于i p v 6 技术的应用进 行研究有着十分重要的理论和实用价值。这也是本论文选择将防火墙在i p v 6 协 议中实现的原因。 1 3 3 基于i p v 6 网络协议的嵌入式防火墙 防火墙( f i r e w a l l ) 是指企业内部网( i n t r a n e t ) 与外部网( i n t e m e t ) 之间所设立的一 种由计算机软硬件所组成的安全系统。从本质上讲是一种保护装置，它既可以阻 止外界对内部资源非法访问，也可以阻止内部网对外部网的不安全访问p j 。防火 墙技术作为实现网络安全的重要方法之一，渐渐成为研究网络安全技术的一个重 要的研究方向。 一方面，随着i n t e m e t 的发展，p v 4 的局限越来越暴露出来，这些局限性严 重制约了口技术的应用和未来网络的发展。i p v 6 作为下一代网络的基础以其鲜 明的技术优势得到广泛的认可。i p v 6 所实现的是网络层的安全性。网络层安全 性的主要优点是它的透明性，也就是说，安全服务的提供不需要应用程序。其通 信层次和网络部件不用做任何改动。i p s c c 1 0 】在传输层之下，对于应用程序来说 是透明的。当在路由器或防火墙上安装i p s c c 时无需更改用户或服务器系统中 的软件设置。各种应用程序可以享用口层提供的安全服务和密钥管理而不 必设计和实现自己的安全机制。因此减少了密钥协商的开销，也降低了产生安全 漏洞的可能性。然而，这种安全并不是绝对的。由于i p v 6 的安全机制，给当前 的网络安全体系带来了新的挑战，致使许多在现有的网络中对保护网络安全中起 着重要作用的工具受到巨大的冲击。虽然i p v 6 有很好的安全功能，但它替代不 了防火墙，原因在于【1 1 】：( 1 ) 防火墙仅允许服务器接入到认为安全的站点上。它 是用来保护服务器程序上的漏洞的而i p v 6 不具备这样的保护。( 2 ) 防火墙可以 保护管理员工作的疏忽或错误，但i p v 6 不能做到这一点。( 3 ) i p v 6 不能控制用户 的行为，用户可能把密码告诉自己的朋友，或将自己知道的数据、信息泄露出去。 由此可见，虽然i p v 6 有很好的安全功能，但它不能代替防火墙，防火墙还是必 6 i p v 6 下嵌入式l i n u x 防火墙的设计与实现 需的。 另一方面，嵌入式联网作为嵌入式发展的一个趋势正在蓬勃发展，难免会碰 到网络安全问题。然而由于嵌入系统安全问题的复杂性，决定了必须采用相关有 效的软件工程方法来分析。对系统防御也必须综合考虑，没有一个万全之策。目 前嵌入式方面的安全研究工作国内还做得不多，因此还需要投入大量的研究。防 火墙技术是实现网络安全的重要方法之一，将它加入到嵌入式系统中来保护系统 的安全也成了今后发展的趋势。 从以上两方面分析得出：对设计一个支持i p v 6 协议的防火墙在嵌入式系统 中的实现进行研究是很有必要的。 1 4 本文研究主要内容及组织结构 由于网络安全技术在嵌入式系统中的重要性和i p v 6 在未来i n t o n e t 发展中的 广泛前景，因此本文将“在嵌入式系统中实现一个基于i p v 6 协议的防火墙”作为 主要研究内容。本文首先研究了防火墙的载体嵌入式硬软件相关基础。由于 l i n u x 的开源、免费、安全等特性，本文选择了l i n u x 作为嵌入式操作系统。接 下来研究了l i n u x 中防火墙的存在的软件相关基础：i p v 6 技术和l i n u x 中的 n e t f i l t o “ 防火墙框架。然后在嵌入式l i n u x 中设计一个防火墙以达到安全和可实 用的平衡，并利用d o s 攻击等功能对它进行了测试，经测试达到了预期的效果。 总后总结了此防火墙的优缺点并展望了它下一步的研究方向。论文的主要内容包 括以下几个部分：- 。第一章绪论，阐明了嵌入式网络化的发展趋势及i p v 6 协议的发展前景，同 时说明了课题的背景、意义。 第二章嵌入式系统与嵌入式l i n u x ，介绍了嵌入式系统的相关概念、发展 趋势和嵌入式l i n u x ，并介绍了如何将l i n u x 移植到嵌入式系统中。 第三章i p v 6 网络，介绍了p v 4 的不足和i p v 6 的优点，同时介绍了i p v 6 的 安全机制。 第四章l i n u x 中n e t f i l t c l “ 防火墙，详细描述了防火墙的概念、功能，重点介 绍了l i n u x 中的n e t f i l t c r 防火墙的工作原理。 第五章在嵌入式l i n u x 上实现基于i p v 6 的防火墙，介绍了课题中防火墙的 软、硬件环境。在防火墙普遍设计原则的基础上，提出了一个设计方案，使得防 火墙简单、稳定、灵活、高效。并介绍了实现此防火墙的具体方法：包括i p t a b l e s 的移植、防火墙过滤脚步的编写、设置从u 盘自动启动防火墙等等。 第六章防火墙测试，介绍了测试目的、方案和结果。 第七章总结与展望，在总结全文的基础上展望了嵌入式i p v 6 防火墙下一步 的研究方向。 7 硕十学位论文 第二章嵌入式系统与嵌入式l if l u x 本章主要介绍嵌入式系统和嵌入式l i n u x 的相关概念和技术。从嵌入式系统 开始，分别介绍了嵌入式系统的相关概念、嵌入式l i n u x 以及如何将l i n u x 操作 系统移植到嵌入式中。 2 1 嵌入式系统 2 1 1 嵌入式系统的定义 随着现计算机技术的迅猛发展，逐渐形成了计算机系统的两大分支：通用计 算机系统和嵌入式计算机系统。通用计算机系统的硬件以标准化形态出现，它通 过安装不同的软件满足各种不同的要求。而嵌入式计算机系统则是根据具体应用 对象，软硬件采用量体裁衣方法定制的，不以一般计算机形态出现的专用计算机 系统。嵌入式系统是以微处理器为核心的，嵌入在其他设备中的专用计算机系统。 它被定义为以应用为中心和以计算机技术为基础的，并且软硬件是可裁剪，能够 满足应用系统对功能、可靠性、成本、体积、功耗等指标严格要求的专用计算机 系统【1 2 1 。 随着信息技术的发展和数字化产品的普及，嵌入式系统得到了广泛深入的应 用，从消费电器到工业设备，从民用产品到军用器材，嵌入式系统被应用到网络、 手持通信设备、国防军事、消费电子和自动化控制等各个领域。嵌入式系统的广 泛应用前景和发展潜力使其成为2 1 世纪的应用热点之一。 j 2 1 2 嵌入式系统的特点 嵌入式计算机技术面临的挑战源于基础技术的迅速发展及用户需求的不断 提高。嵌入式技术要求将计算机内装于专用设备或系统中，它的反应速度快，自 动化程度高。而且，大多数嵌入式系统是实时系统，该系统要求能在指定的时间 内对各种事件，尤其是异步事件，做出正确响应。与通用台式计算机系统相比， 嵌入式系统有以下特点： ( 1 ) 嵌入式系统通常是面向特定应用的。嵌入式系统的专用性很强，其中的 软件系统和硬件的结合非常紧密，一般需要针对硬件进行系统的移植。同时针对 不同的任务，往往需要对系统进行较大更改，程序的编译下载要和系统相结合， 这种修改和通用软件的“升级”是完全不同的概念。 ( 2 ) 系统精简。嵌入式系统一般没有系统软件和应用软件的明显区分，不要 8 i p v 6 下嵌入式l i n u x 防火墙的设计与实现 求其功能设计及实现上过于复杂，这样一方面利于控制系统成本，同时也利于实 现系统安全。 ( 3 ) 高实时性嵌入式操作系统。这是嵌入式软件的基本要求，而且软件要求 固态存储，以提高速度。软件代码要求高质量和高可靠性、实时性。 ( 4 ) 为了提高执行速度和系统可靠性，嵌入式系统中的软件一般都固化在存 储器芯片或单片机本身中，而不是存贮于磁盘等载体中。 ( 5 ) 嵌入式软件开发走向标准化。为了合理地调度多任务、利用系统资源、 系统函数以及和专家库函数接口，用户必须自行选配r t o s ( r e a lt i m e o p e r a t i n g s y s t e m ) 开发平台，这样才能保证程序执行的实时性、可靠性，并减少 开发时间，保障软件质量。 ( 6 ) 嵌入式系统本身不具备自举开发能力，即使设计完成以后用户通常也是 不能对其中的程序功能进行修改的，必须有一套开发工具和环境才能进行开发。 开发时往往有主机和目标机的概念，主机用于程序的开发，目标机作为最后的执 行机，开发时需要交替结合进行。 2 1 3 嵌入式系统的组成 嵌入式系统是量身定做的专用计算机应用系统，实际应用的嵌入式系统硬件 配置非常精简，除了微处理器和基本的外围电路以外，其余的电路都可根据需要 和成本进行裁剪、定制，非常经济、可靠【l3 1 。作为计算机系统，嵌入式系统也 分软件和硬件两部分。 嵌入式系统的硬件部分是以嵌入式处理器为中心，由存储器、i o 设备、通 信模块以及电源等必要的辅助模块组成，其中嵌入式处理器在嵌入式硬件系统中 处于核心地位，按照功能和用途划分，它可以进一步细分为以下几种类型：嵌入 式微控制器( e m b e d d e dm i c r o c o n t r o l l e r ) 、嵌入式微处理器( e m b e d d e d m i c r o p r o c e s s o r ) 和嵌入式数字信号处理器( e m b e d d e dd i g i t a ls i g n a lp r o c e s s o r ) t 1 4 1 。 嵌入式软件系统主要是指控制和操作硬件实现系统功能的指令集合。它是实 现嵌入式系统功能的关键。嵌入式软件进一步划分为操作系统和应用程序。操作 系统处于上层软件与嵌入式硬件系统的中间，在整个嵌入式系统中处于重要的地 位，起着至关重要的作用。它负责控制与管理嵌入式硬件系统，将硬件的复杂性 隐藏起来，为上层软件设计提供一个统一易用的应用程序编程接口，以降低应用 软件开发的负责性。同时，作为嵌入式系统软硬件资源的管理者，它负责系统软 硬件资源的调度与分配，保证系统资源被有效合理地使用。 本论所设计的系统的硬件采用的是尤龙公司生产的f s 2 4 1 0 开发板，其c p u 是a r m 9 处理器，软件采用的l i n u x 操作系统。具体的将在后面的章节中介绍。 9 硕士学位论文 2 1 4 嵌入式系统的应用 2 1 世纪是嵌入式计算系统的时代，人们日常生活和工作中所接触的仪器与 设备中，都将嵌入具有强大计算能力的微处理器。据统计，目前每年只有 1 0 - - 2 0 的微处理器芯片用于台式计算机或笔记本电脑，8 0 左右的微处理器芯 片是为嵌入式计算系统设计和制作的。嵌入式计算系统已广泛应用到工业控制系 统、信息家电、通信设备、医疗仪器、军事设备等众多领域中。尤其是最近几年， 嵌入式计算系统不断进入到新的应用领域，如p d a 、手持设备、智能家庭设备、 智能电话等【1 5 】。 2 2 嵌入式lin u x 2 2 1 嵌入式操作系统 嵌入式操作系统是一种支持嵌入式系统应用的操作系统，它是嵌入式系统 ( 包括软、硬件系统) 极为重要的组成部分。嵌入式操作系统具有通用操作系统 的基本特点，例如，能够有效管理越来越复杂的系统资源；能够把硬件虚拟化， 使得开发人员从繁忙的驱动程序移植和维护中解脱出来；能够提供库函数、驱动 程序、工具集等。与通用操作系统相比较，嵌入式操作系统在系统实时高效性、 硬件的相互依赖性、软件固态化以及应用的专一性等方面具有较为突出的特点。 嵌入式操作系统有很多，像m i c r o s o f tw i n d o w sc e 、p s o s 、v x w o r k s 、q n x 、 t h r e a d x 、u c o s i i 、p a l mo s 、s y m b i a n 、l i n u x 等等。其中v x w o r k s 是目前嵌 入式系统领域中使用最广泛，市场占有率最高的系统，但是由于其昂贵的费用， 很多中小企业只能对它望而止步。相反l i n u x 由于其开源、开发、可裁剪、免费 等特点使得它越来越受到人们的称赞。 2 2 2 目前主流嵌入式操作系统介绍 嵌入式操作系统非常之多，目前世界主流的嵌入式操作系统主要有以下几 种，下面分别介绍： 1 、v x w o r k s 。v x w o r k s 是目前嵌入式系统领域中使用最广泛、市场占有率 最高的操作系统。它支持多种处理器，如x 8 6 ，i 9 6 0 ，s u ns p a r e ，m o t o r o l a m c 5 8 x x x ，m i p s ，p o w e rp c 等等。大多数的v x w o r k sa p i 是专有的。采用g n u 的编译和调试器。v x w o r k s 的实时性和稳定性在嵌入式操作系统中是第一流的。 已经十多年没有发现b u g 。被广泛的用于航空航天，武器，通讯等实时性稳定性 要求高的领域。缺点是价格贵，一般一套正版的v x w o r k s 需要几十万美金。另 外它不提供内核源码。如果选用的芯片不支持v x w o r k s ，用户一般无能为力。 2 、p s o s 。i s i 公司己经被w i n r i v e r 公司兼并，现在p s o s 属于w i n d r i v e r 1 0 i p v 6 下嵌入式l i n u x 防火墙的设计与实现 公司的产品。这个系统是一个模块化、高性能的实时操作系统，专为嵌入式微处 理器设计，提供一个完全多任务环境，在定制的或是商业化的硬件上提供高性能 和高可靠性。可以让开发者根据操作系统的功能和内存需求定制成每一个应用所 需的系统。开发者可以利用它来实现从简单的单个独立设备到复杂的、网络化的 多处理器系统。它提供的模块很多，如文件系统，网络系统，分布式管理等等。 可以按照不同的需求裁减，编译。北京华为的路由器，u t 的小灵通手机里面选 用的就是p s o s 。它的缺点也是价格贵，且内核不公开【1 6 】。 3 、i ic o s i i 。i ic o s i i 适合小型控制系统，具有执行效率高、占用空间小、 实时性能优良和可扩展性强等特点，最小内核可编译至2 k b ( 这样的内核没有 太大实用性) 。uc o s i i 是一种免费公开源代码、结构小巧、具有可剥夺实时调 度的实时操作系统。其内核提供任务调度与管理、时间管理、任务间同步与通信、 内存管理和中断服务等功能。作为实时操作系统，| lc o s i i 采用可剥夺型实时 多任务内核。可剥夺型的实时内核在任何时候都运行就绪了的最高优先级的任 务。uc o s i i 内核是针对实时系统得要求来设计实现的，相对简单，可以满足 较高的实时性要求。 4 、w i nc e 。m i c r o s o f t 公司的w i n d o w sc e 嵌入式操作系统是支持多线程的 嵌入式操作系统，主要用于p d a 、s m a r t p h o n e 等个人手持终端上。w i n d o w sc e 是有优先级的多任务操作系统，但它不是一个硬实时操作系统。w i n d o w sc e 操 作系统的基本核心需要至少2 0 0 k b 的r o m ，支持w i n 3 2a p i 子集，支持多种的 用户界面硬件，包括可以达到3 2 位像素颜色深度的彩色显示器，支持多种的串 行和网络通信技术，支持c o m o l e 和其他的进程间通信的先进方法。m i c r o s o f t 公司同时提供了方便的e m b e d d e dv i s u a ls t u d i o 开发工具。它最大的特点是能提 供与p c 机类似的图形界面和主要的应用程序。w i n d o w sc e 嵌入式操作系统的 界面显示大多数在w i n d o