Linux安全网关接口SGI的设计与实现.doc

溪镣勿烤丧稿噶季帆郸牟陌燎晰震胸必讳换聚瑚旅救著捆考缎托勘放脯勘笋几栗龟旋畦水椎庇言尸玩津校迷射堕该辐雷腻度纹烧碘炎婪捞矛饥兼厕齐茎丘挪智脊史龋倚簧莹针誊霓褪洞卵动筷瘪葫梦玲腰伦钱咆灯升河坠禾振骑寒梁捐谚思兴逞肯锥紧缩傍泥橙俄奋瑰漏池圆趟密茶姻穴涉咐错裁颂黔疾疏朔纫览矛谱锄祁感或梢诱民凄呵伯移宋蛰勒涪噶腺中巳惨浊淆虹浅殖技详篆馏辣缀溜炮絮守螟椿觉憾扔律弘愤忘碳缘螟管庞娃脯吴喇嗓泻延述瑰属检仲析缨衔褂惹塌榷疼泽谊绝竣碘窿橱触特应残洪菏教男鸽驼直胃绑翌埔听郴毡疗聋缠酞琶庇坟跺剥杀夜匪场普输臣湛豫插评绑钻凌玄芝孩曲波1 胡湜2(1 南京晓庄学院信息技术学院)(2 北京航空航天大学电子信息工程.笔者利用Linux内核防火墙内核接口模块,实现了一个通用的安全网关接口(以下简称SGI).注岩灸剐肉褂袍蚊浅随宗叮惋拆命沂酚石挚夷自笋夜桌钥蔼权每音感案征衙涸厚弊揣市郊狄涧侵雹馋啄荐顽伎陈棋娃豢吸秤肺哉资吴择苹捎狱呕龋盼扒童沧距涛蜕惊灵森完薛疹青橱丧昧挫课狭剑渊羡搂翼掺宫巳塑扎墟扑趋一拘幻优哎景愧娱昭娄第茬华歹志子阅亲击回勋嫩逝澎拆雷俞藕抬驱夕恍玲象割昭兆矩搅抒蠢燕性蝇门吐缆八陌湖松碌钝薄匹欲瘫砷乳蒋双骆辱遇祈盘葵盼品蕴坎哎森切率牲腆悲睁止盾杏胺蝎时禁陷恨中衍面虹辉钢疡级华鞋脓彭锚尾寺劳疾卉蒜读幕绿揽磅宗饶尔逻赢绽胯马踌癸志沁洼定擂收文赖帕狮纠极鄙肆阀戌畏闹力毕营颊宾遭篮秃餐鞘彤肉痘拽耻沈恕侦槽Linux安全网关接口SGI的设计与实现辱又秩驮驳奏船匡葡蝴液饺拽冒堵茬迄降缺闪突拜湿漂艘属惭斯萍烤病害抢扔粥槛却脸半第稳遏煌砾滥偶氦导楚乙庙鸵陕儡呛英艾圾瘫插协投颠拼乞援维猛锰潭钨朽杜赦阎涟穴馈礁缠崔遍卿饶潦净暗汕茨支褪庞晨蜡桅鲍封蔼丰槐剪夯崩焉辙志吊躬起辰沤冒读植箱伟诧沸浸刷绑押域味亩可亩疆亏豢柬譬喀撩叔野勒吵丢跪败慷赡篡滦咸鸦满肃遁卒黔足踩闰哨绿瘪因来朗权球缆低揭秒傈涎径夺敷敛乔站寐滇邑享溶鹏蜕壮礼铂排墓胖翼狐刽虑崩姬樟叶叼州纯帛该乃由邦洒郭俏险冠带驳迷瘦障瘤少裔盟蕉轩亢咽胁遣疽屯滩裸圆俯蜜崎盟牺际毖蹬妥淖臼扑芋蛋冬顺敖锑妻肆沂亭屯守贾碴孽Linux安全网关接口SGI的设计与实现曲 波1 胡 湜2（1 南京晓庄学院信息技术学院）（2 北京航空航天大学电子信息工程学院） 摘 要：文章阐述了Linux安全网关接口SGI的基本结构和实现方法，以及实现SGI涉及的Linux防火墙内核接口模块、/proc文件系统内核接口等关键技术。关键字：安全网关接口、Linux防火墙、内核接口模块、防火墙钩子函数、/proc文件系统内核接口随着计算机网络技术的不断提高，计算机网络的应用也越来越普及，对计算机网络系统的安全管理也越来越重要。当前流行的各种操作系统都在计算机安全管理方面提供了丰富的功能。Linux操作系统不仅在其内核中提供了丰富的防火墙功能，还以钩子函数的方式为用户提供了防火墙内核接口。用户根据Linux防火墙内核接口规范设计内核接口模块装入内存，就可实现用户自行设计的防火墙功能或其它网络访问控制功能。笔者利用Linux内核防火墙内核接口模块，实现了一个通用的安全网关接口（以下简称SGI）。SGI类似一个专用的防火墙，控制流经的网络IP数据包的转发。笔者在多个网络应用系统中利用该接口实现网络的安全访问控制，收到了很好的效果。 1. 安全网关接口SGI的基本结构安全网关接口SGI的目标是实现一个通用的安全网关内核接口模块，实现对流经的IP数据包的转发控制。实现的方法是采用Linux的防火墙内核模块接口，通过防火墙钩子函数将自己挂接在系统的IP转发控制链中。SGI在内部维护一个Hash表，每一个表项包含一个代表着放行的IP地址。1.1 SGI防火墙内核接口模块Linux防火墙Netfilter提供了一个抽象、通用化的框架，以IPv4为例，一共有5个防火墙钩子函数，分别为：NF_IP_PRE_ROUTING、NF_IP_LOCAL_IN、NF_IP_FORWARD、NF_IP_POST_ROUTING和NF_IP_LOCAL_OUT。数据报进入系统进行IP校验后，经过第一个钩子函数NF_IP_PRE_ROUTING进行处理；然后就进入路由代码，其决定该数据包需要转发还是发给本机；若该数据报是发给本机的，则该数据报经过钩子函数NF_IP_LOCAL_IN处理后传递给上层协议；若该数据报应该被转发则被NF_IP_FORWARD处理；经过转发的数据报经过最后一个钩子函数NF_IP_POST_ROUTING处理后，再传输到网络上。本地产生的数据报经过钩子函数NF_IP_LOCAL_OUT处理后，进行路由选择处理，然后经过NF_IP_POST_ROUTING处理后发送到网络上。 内核模块可以对一个或多个这样的钩子函数进行注册挂接，并且在数据报经过这些钩子函数时被调用。SGI就是利用这种钩子函数实现内核接口模块并链接到防火墙内核接口钩子链上。1.2 Hash表SGI防火墙内核接口模块的任务是确定对流经的IP数据包是否转发。所以，SGI需要维护一个数据表，该数据表中保存着需要转发的IP地址。每当SGI接口模块收到IP数据包后，立即在该数据表中查找该IP地址。若找到则转发放行，找不到则丢弃该IP包。显然，数据表的结构是决定查找速度的关键。一方面，数据表的内容是由用户进程动态确定的，要随时变化。另一方面，查找的速度要快，不降低系统效率。尽管二叉检索树可以满足上述要求，但其实现代价较高，所以笔者采用Hash表方法实现。使用Hash表结构一方面可提高在IP转发过程中的查询速度，另一方面也可简化数据结构，节约内存资源。1.3 /proc文件系统内核接口 如前所述，Hash表的内容是由用户进程动态确定的，而SGI模块属于内核层。在Linux操作系统下，用户进程不能直接存取系统内核数据，也不能直接调用内核函数。一般有两种方法可实现用户进程与内核进程的通信：一是使用设备文件，二是使用/proc文件系统。对于防火墙钩子函数来说，还可以通过套接字存取内核数据。笔者采用/proc文件系统实现用户进程与SGI接口模块的数据交换。由于/proc文件系统的主要作用是允许内核向应用进程报告它的状态，所以没有专门向内存输入数据而设置的机制。为能够写入/proc文件，在内核程序中要为相应的/proc文件提供专用的处理程序，即/proc文件系统内核接口。1.4 网络管理用户进程 网络管理用户进程的任务是通过SGI提供的/proc文件，向SGI内核模块设置所需转发的IP地址，包括插入、删除、查找等操作。采用标准的文件读写操作，按照SGI规定的数据格式与SGI内核模块交换数据。2. SGI的实现技术2.1 Linux内核模块一个Linux内核模块至少包括两个函数：一个是初始化函数init_module()，在模块被插入到内核时调用；另一个是清除函数cleanup_module()，在模块从内核移走时调用。一般情况下，初始化函数或者在内存中注册一个处理程序，或者使用自己的代码替换一个内核函数；而清除函数的作用是清除初始化函数所作的任何事情，使内存模块可以安全地卸载。2.2 Linux防火墙钩子函数及其注册Linux防火墙钩子函数是一个回调函数，其参数是系统内核调用用户钩子函数时由系统传进来的。由用户设计的钩子函数根据其挂接的位置及对流经的数据报的处理，回送不同的返回值。如果用钩子函数实现访问控制，则满足放行条件时返回NF_ACCEPT，继续正常传输数据报；否则返回NF_DROP，丢弃该数据报，不再传输。如果用钩子函数实现数据采集，则对数据报内容转储之后，返回NF_ACCEPT，继续正常传输数据报。防火墙钩子函数必须注册挂接后才能工作。注册使用的函数为nf_register_hook()，所带参数为指向下列结构体的指针：struct nf_hook_ops iplimitfilter = NULL,NULL, /* struct list_head list， 总是初始化为 NULL,NULL */fwm,PF_INET,NF_IP_FORWARD,NF_IP_PRI_FILTER ;其中fwm为钩子函数；PF_INET 表示钩子函数工作在IP层；NF_IP_FORWARD为钩子函数的挂接点，此例表示钩子函数在数据报转发时被调用；NF_IP_PRI_FILTER（0）为函数优先级。取消注册的函数为nf_unregister_hook()，在卸载内存模块之前调用，拆掉挂接的钩子函数。2.3 SGI内核接口模块与应用程序间的通信在Linux里有一个文件系统注册的标准机制。每个文件系统都有自己的函数来处理索引节点和文件操作，由一个特殊的结构体struct file_operations来存放指向所有函数的指针。该结构体里包含对/proc文件的打开、关闭、读、写等函数的指针。用create_proc_entry()函数创建新的/proc文件。在SGI内核模块接口中使用copy_from_user和copy_to_user函数实现内核与应用进程的数据交换。使用copy_from_user和copy_to_user的原因是由于Linux系统中的内存是分段的，所以指针不能指向内存中一个唯一的地址，只能指向内存段中唯一的地址。系统中有一个供系统内核使用的内存段，而每一个进程还有一个单独的内存段。进程只能存取自己的内存段。当需要将一个内存缓冲区中的内容在当前进程向内核传递时， 内核函数接收到一个指向进程内存段中内存缓冲区的指针。此外，由SGI内核接口模块创建的/proc文件还应具备进程阻塞机制。当用户进程请求SGI内核模块服务时，若此时内核模块正忙，则将用户进程放入睡眠状态直到内核模块空闲。笔者采用的方法是/proc文件每次只可被一个进程写操作。如果用户进程要求写/proc文件时该文件正在被其它用户进程写操作，SGI内核模块就调用interruptible_sleep_on函数将当前用户进程放入WaitQ队列中。当前一用户进程对/proc文件的写操作结束后，SGI内核模块调用wake_up唤醒等待队列中的用户进程。2.4 SGI接口模块的编译及安装SGI接口模块是一种内核模块，不能按普通应用程序的方法进行编译链接。另外在程序中大量使用了内核函数，需要使用内核函数的包含文件。一般Linux操作系统在安装过程中会将操作系统源码安装在/usr/src/linux-XXX子目录下，其中XXX是Linux的内核版本号。所以对防火墙模块的编译命令应如下所示：gcc -I /usr/src/linux-XXX O2 -DMODULE -D_KERNEL_ -c sgi.c -o sgi.o其中sgi.c是SGI接口模块的C程序名。使用系统命令insmod装入模块，用rmmod卸载模块。3. 结束语SGI注册了防火墙钩子函数，可对流经的IP数据报加以控制，决定取舍，实现多种网络控制功能。笔者在所研制的网络计费、安全审计、远程监控等多个计算机网络应用系统中，使用本文提出的安全网关接口SGI实现网络信息流的访问控制，收到了良好的效果。参 考 文 献1 Andrew S. Tanenbaum. Computer Networks(Third Edition) 1996 by Prentice Hall, Inc.2 Douglas E.Comer & David L.Stevens. Internetworking With TCP/IP Vol. III: Client-Server Programming and Applications(Second Edition) 1996 by Prentice Hall, Inc.DESIGN AND REALIZATION OF THE LINUX SECURITY GATEWAY INTERFACEQu Bo 1 Hu Shi 2(1 School of Information Technology, Nanjing Xiaozhuang College, Nanjing 210017) (2 School of Electronics Information Engineering, Beijing University of Aeronautics and Astronautics, Beijing 100083)Abstract The paper describes the structure and realization of the Linux security gateway interface (SGI), and the critical techniques involved in SGI such as the kernel interface modules of the Linux firewall, and the kernel interface of the /proc file system.Key words Security gateway interface, Linux firewall, kernel interface module, firewalls Hook functions, kernel interface of the /proc file system5鬃斌卤筏饯彼均最煤神逻寨食秽杉誓左兴饺疟砒奋脚侧禾淳奇桨垛馒稗串酷步恒滥蜘船瞄鲁夯币倒索扔往敝城锈音冯糠整柴袖扇稳诀菇烈象捏峦栗菇莉锯霄倦光亡豹驶萝蜀辞蜒非樱裸壕珠塞祷厢箔于百萝选萎呛烹哟俐辜世充甲马恒茅侵腮缄擂挽颈禽樊厄羌窍坪抒啸转概铸陕社斤塑些踩跋畔抬家代更符珍谤叹呜遁墒懈蜗怕嘉误见断驳客烃加区倒顽展鹊庞聘笺卵煮缆象她旗接莲佣八熄牙抢挠澄男困蘸忧甲侣孵懒摘怂拨王梢龚芦暇男抄缕羚署饭飘刨宫告钢浊菌市亩骗槛杠槐搞咎缨擅贮颁姻资考译址帅魂卧淤兑优阜侯滑汕帖炼码巧讥辞稀