（通信与信息系统专业论文）基于linux的代理型防火墙开发研究.pdf

垒堕竺! 一 a b s t r a c t t h i sp r o j e c ti sd e s i g n e df o rt h ec o n t r 0 1a n do p t i m u mo fw v q 、】va c c e s si nc a m p u s n e t w o r k i ti sp r o g r a m m e dw i t hc ，c o m p i l e dw i t hg n ug c ca n di u d _ so v e rl i n u x p l a t f o r m t h ef i m c t i o n so ft h i sp r o j e c tc o n s i s to ft h r e es e c t i o n s ：t h ef i r s ti sf i r e w a l l ， w h i c hc h e c k st c p ，i ph e a d e r sa n dt h ea c c o r d a n c eb e t w e e ni pa d d r e s sa n dm a c a d d r e s s ；t h es e c o n di st h ev ，、v w p r o x yw h i c ht a k e st h ec h a r g eo fv c w wr e q u e s t ；t h e t h i r di sd i s t r i b u t e d c a c h eh a n d l e r t h ef i r e w a l lw o r k si nt r a n s p o r tl a y e r , w h i c hi s l o w e rt h a nt h ep r o x yd o e s t h es y s t e mc a np r o v i d eas a f ef i r e w a l ia n da ne f f e c t i v ed i s t r i b u t e d c a c h ep r o x y m e c h a n i s m w h i c hi su s e di ns m a l lc a m p u sn e t w o r k n l e r eh a v eb e e ns om u c h c o m m e r c i a ls o f t w a r e sp r o v i d i n gs o m es e r v i c e st h a tt h i sp r o j e c ta l s ow a n t st od o f o r e x a m p l e ，t h ea c c e s s 1 i s to fr o u t e rc a nd e n yo rp e r m i ta n yl i n k sa sm u c ha sy o uw a n ti t t od o ，a n dw i n g a t e ，n e t s c a p e 。p r o x ya l ja r ep r o x ys e r v e r sr u l m m go v e rv a r i o u s p l a t f o r m b u ti no r d e rt od e c r e a s et h ep r o c e s sd e l a ya n df u l f i lm o r ef u n c t i o n s t h i s p r o j e c ta m a l g a m a t e st h e s et w os e c t i o n si n t oo n l yo n ee n t i t ya n dd o e ss o m e t h i n g s p e c i a lt oe n h a n c ef u n c t i o n s t h ep r o j e c ts t i l li sn o ta se f f e c t i v ea n ds t a b l ea st h o s e c o m m e r c i a ls o f l w a r e sa r e s o m ea l g o r i t h m sn e e dt ob eo p t i m i z e df u r t h e rm o r e e x c e p tf o ra c c e s s c o n t r o lb a s e do nt c p i ph e a d e r s ，t h ep r o j e c ta l s oc h e c kt h e a c c o r d a n c eb e t w e e ni pa d d r e s sa n dm a ca d d r e s si nf i r e w a l lm o d u l ea n df u l f i ld i g e s t s c h e m ei np r o x ym o d u l e i nc a c h eh a n d l e rm o d u l e ，t h ep r o j e c tp r o v i d e sam u l t i - c a c h e c o o p e r a t i o nf u n c t i o nn a m e dp e e r - g r o u p p e e r g r o u pl e t se v e r yp e e ri nac e r t a i np e e r g r o u pc a ns h a r eo t h e r s c o n t e n tc a c h e di nl o c a ld i s kb yaw a ym o r ee a s yt h a ni c pa n d c a r pd o d u et or e a l t i m e l ，update m e c h a n i s me a r n e df r o mr i pt h ep r o j e c tc a na v o i d l o n gd e l a yt l a ti c pe n c o u n t e r s a ss a i da b o r e t h es y s t e mr u n so v e rl i n u xr e dh a tv e r 6 0b e c a u s eo fi t sg o o d p e r f o r m a n c ei nt h ea s p e c to fn e t w o r kc o m m u n i c a t i o n ，l o wp r i c ea n dp r o g r a ms o u r c e o p e nt oe v e r y o n e k e y w o r d s ：f i r e w a l l ，p r o x y ，d i s t r i b u t e d c a c h e ，l i n u x ，p e e rg r o u p 绪论 绪论 防火墙和代理技术已经应用一段时间了，目前应用较多的产品有c i s c o 公 司的p i x 、l i n u x 的i pm a s q u e r a d i n g 、c h e c k p o i n t 公司的f i r e w a l l i 、m i c r o s o f t 公司的p r o x ys e r v e r 、n e t s c a p e 公司的n e t s c a p ep r o x ys e r v e r 等。这些产品分为 两种类型，一种是基于包过滤的，另一种是基于代理的。基于包过滤的防火墙 工作于传输层，便于硬件实现，但是不能识别应用层的内容，所以对报文的控 制力度较为薄弱；基于代理的防火墙工作于应用层，但是由于需要对报文进行 格式识别和转换，所以执行速度远远低于基于包过滤的防火墙，一般由软件实 现。这些软件大部分价格昂贵，而且不能实现源主机i p 地址与m a c 地址的绑 定，所以客户机可以通过改变i p 地址来逃避访问控制，这正是本课题需要解决 的问题之一；并且基于代理的防火墙目前还没有实现d i g e s t 认证方案【6 1 ，用户 的身份认证信息都以明码形式在链路上传输，容易被窃听【1 3 1 ，这是本课题需要 解决的问题之二；天津大学校园网内部链路速率都已经达到主干线路1 g b p s 、 支路1 0 0 m b p s ，但是校园网到i n t e r n e t 的出口速率依然是5 1 2 k b p s 专线，形成 链路上的瓶颈，校园网对i n t e r e n e t 的访问速度较慢。因此，如何解决临时缓存 是本课题所要解决的问题之三。解决这些问题的意义在于： 1 利用硬件地址来确认主机身份，防止虚假i p 地址欺骗，加强主机访问 控制的力度： 2 用户认证把主机认证扩展到用户个人身份认证，能够真正确定使用者 的身份； 3 d i g e s t 方案提高了用户认证信息在线路上传送的安全性； 4 ， 分布式缓存机制完成w w a n 资源的分布式临时缓存，提高w w w 访问的 速度，减少用户上网的费用。 本文主要介绍专为解决上述问题而提出的新式代理型防火墙，该软件暂命 名为“天达”。第一章主要介绍了课题的开发背景、防火墙系统概况以及相关技 术；第二章介绍了代理型防火墙的整体结构；第三章中详细介绍了系统各模块 原理和实现方法，包括所用的协议、开发语言以及s o c k e t s 接口等；在第四章 中，论文讨论了用户认证机制的实现，并简单介绍i c p 协议( i n t e m e tc a c h e p r o t o c 0 1 ) 1 2 7 l ，然后针对i c p 的缺点提出更简单的解决方案p e e rg r o u p ；最后，论 文在结束语章节中对本课题的开发做了总结，并对天达代理型防火墙以后进一 步完善和功能扩充给出一些建议。 由于作者经验不足，知识不全面，论文中难免会有问题和缺陷，敬请各位 老师和同学批评指正。 兰二兰堡壁笪墨皇至堕塑堕 第一章课题背景与系统概述 i n t e m e t 是最近几年中最热门的事物之一，不仅进入了人们日常生活中，而 且也广泛使用于许多重要的商业、军事领域。因此网络安全和代理缓存越来越 受到人们的关注，天达代理型防火墙( 以下简称为“本课题”或“天达”) 主要 是针对这些问题而提出的。本章简要介绍课题的背景和防火墙体系，并论述系 统平台和开发语言的选择。 1 1 课题背景 信息产业正在以前所未有的速度飞速发展，各种类型的媒体信息纷纷出 现。因特网作为各种媒体传播的综合平台，一方面在各种新硬件技术和软件信 息技术的支持下获得大力发展，另一方面，在大量的多媒体信息发布的压力下， 已经显得力不从一t l , ，捉襟见肘。在8 0 年代，1 0 m 以太网在当时的互连网络环 境里显得游刃有余，而现在，作为园区骨干链路的千兆网同样感到带宽的局促。 w w w 的浏览方式使因特网真正走向了普通用户，它独有的图文并茂的界面使 因特网变得易于理解和使用。同时正是由于这种易使用性和内容丰富、形式多 样的特点，使互连网上的信息发布者愈来愈多，各种媒体信息充斥着因特网的 每一条链路。 天津大学校园网是c e r n e t ( 中国教育科研网) 天津地区主节点，天津地 区其他高校都通过天津大学校园网接入c e r n e t ，并由此接入i n t e m e t 。天津大 学校园网以五台l u c e n t 公司的c a j u np 5 5 0 作为主干线路千兆网第三层交换机，。 构成了校园网的主框架，并与其他小型可堆叠百兆交换机p 1 2 0 、c i s c o 公司的 一些路由器构成了整个校园网。作为c e r n e t 天津地区主节点，天津大学校园 网通过多条6 4 k b p s 的d d n 专线与天津地区其他接入高校互连，同时以5 1 2 k b p s 的d d n 专线与北大网管中心连接。另外，天津大学校园网还通过天津信息交 互网实现了与天津电信、联通、统计局等七家单位的o c 3a t m 连接。天津大 学校园网拓扑结构图如图1 1 所示。 由图1 i 不难看出，目前校园内部主干线路已经升级到千兆以太网，天津 市内部主要线路也实现了1 5 5 m b p s 的速率，所以天津市内部的访问速度已经可 以满足目前用户的需要。但是对天津市外部的站点访问，天津c e r n e t 到北京 的5 1 2 k b p s 出口带宽显得比较紧张，而且对i n t e m e t 的每一次访问都会使用户 的上网费用增加。现在天津大学校园网国际月流量已经超过1 0 g ，网络用户数 目已经超过l 千。而且随着学生宿舍区布线工作的完成，学生在宿舍即可上网， 这必然会促使校园网用户数目激增，出口带宽更加不堪重负。因此，迫切需要 一种方法，使校园网能够在满足用户需求的情况下尽量减少国际流量。由于整 兰二兰堡壁笪墨皇至堕塑堕 第一章课题背景与系统概述 i n t e m e t 是最近几年中最热门的事物之一，不仅进入了人们日常生活中，而 且也广泛使用于许多重要的商业、军事领域。因此网络安全和代理缓存越来越 受到人们的关注，天达代理型防火墙( 以下简称为“本课题”或“天达”) 主要 是针对这些问题而提出的。本章简要介绍课题的背景和防火墙体系，并论述系 统平台和开发语言的选择。 1 1 课题背景 信息产业正在以前所未有的速度飞速发展，各种类型的媒体信息纷纷出 现。因特网作为各种媒体传播的综合平台，一方面在各种新硬件技术和软件信 息技术的支持下获得大力发展，另一方面，在大量的多媒体信息发布的压力下， 已经显得力不从一t l , ，捉襟见肘。在8 0 年代，1 0 m 以太网在当时的互连网络环 境里显得游刃有余，而现在，作为园区骨干链路的千兆网同样感到带宽的局促。 w w w 的浏览方式使因特网真正走向了普通用户，它独有的图文并茂的界面使 因特网变得易于理解和使用。同时正是由于这种易使用性和内容丰富、形式多 样的特点，使互连网上的信息发布者愈来愈多，各种媒体信息充斥着因特网的 每一条链路。 天津大学校园网是c e r n e t ( 中国教育科研网) 天津地区主节点，天津地 区其他高校都通过天津大学校园网接入c e r n e t ，并由此接入i n t e m e t 。天津大 学校园网以五台l u c e n t 公司的c a j u np 5 5 0 作为主干线路千兆网第三层交换机，。 构成了校园网的主框架，并与其他小型可堆叠百兆交换机p 1 2 0 、c i s c o 公司的 一些路由器构成了整个校园网。作为c e r n e t 天津地区主节点，天津大学校园 网通过多条6 4 k b p s 的d d n 专线与天津地区其他接入高校互连，同时以5 1 2 k b p s 的d d n 专线与北大网管中心连接。另外，天津大学校园网还通过天津信息交 互网实现了与天津电信、联通、统计局等七家单位的o c 3a t m 连接。天津大 学校园网拓扑结构图如图1 1 所示。 由图1 i 不难看出，目前校园内部主干线路已经升级到千兆以太网，天津 市内部主要线路也实现了1 5 5 m b p s 的速率，所以天津市内部的访问速度已经可 以满足目前用户的需要。但是对天津市外部的站点访问，天津c e r n e t 到北京 的5 1 2 k b p s 出口带宽显得比较紧张，而且对i n t e m e t 的每一次访问都会使用户 的上网费用增加。现在天津大学校园网国际月流量已经超过1 0 g ，网络用户数 目已经超过l 千。而且随着学生宿舍区布线工作的完成，学生在宿舍即可上网， 这必然会促使校园网用户数目激增，出口带宽更加不堪重负。因此，迫切需要 一种方法，使校园网能够在满足用户需求的情况下尽量减少国际流量。由于整 第一章课题背景与系统概述 个用户群的访问请求有着很大程度的重复性，所以可以在每个局域网上建立一 个缓存机制，将别人访问过的资源临时存入缓存服务器上。等下一个对相同资 源的请求到达时，缓存服务器就可以用缓存中的资源代替目的主机响应用户的 请求，减少在链路瓶颈点的延迟，降低用户访问因特网的费用。本课题建立了 一个有效的临时缓存机制，可以完成w w w 代理服务器的缓存服务。 另外，现在i n t e m e t 上很多服务器和网关受到黑客攻击，造成极大的损失， 因此天达代理型防火墙必须提供一套有效的安全措施。天津大学校园网上有很 多重要的服务器资源，校园网内部还存在着i p 盗用现象，而且出于某种考虑应 该禁止内部用户访问因特网上的某些资源。这些情况都需要有一种机制来处理 访问的权限问题。一般的解决方法是在内部网到因特网的边界点上设立一台堡 垒主机，由堡垒主机对通过它的每个报文进行访问权限验证。通常是由一台单 c c e r n e tc i s c 0 7 2 0 4 接入北大 白兆支干网 图1 1 天津大学校园网拓扑示意图 独的防火墙机器担任堡垒主机，防火墙通过事先设定的访问规则来许可或拒绝 报文的通过。但是过多的访问规则会降低防火墙的性能；而且一般只检查报文 的网络层和传输层的报头，不会考虑报文内部究竟是什么内容，这在当前的丰 畜的资源面前显得控制力度不足。所以这需要一台专职的主机在内部网的边界 第一章课题背景与系统概述 点处负责在应用层进行访问权限审查。天达代理型防火墙可以从t c p i p 层、应 用层和数据链路层完成对访问请求的权限审查。 代理服务器的效率主要有两个参数来表示：一个是缓存内容的命中率；另 一个是服务器响应的速度。针对这两个参数，许多机构提出了新的方案和协议， 如i c p 协议、c a r p 协议和代理服务器动态预取( p r e f e t c h ) 等。这些方案分别实 现了缓存阵列和资源的提前读入，提高了代理服务器的效率。在本课题中，论 文以i c p 为例，分析了它的不足，并提出了较为快捷、简单的p e e r g r o u p 方案。 在本课题中，天达代理型防火墙能够将访问代理与安全审查功能融于一 体，并且完成资源临时缓存的功能，同时还实现了分布式缓存群，有效利用了 多个天达系统的整体优势。 1 2 对相关产品的分析 目前能够完成类似功能的产品有c i s c o 公司的p i x 防火墙、w i n g a t e 、 n e t s c a p ep r o x ys e r v e r 、m i c r o s o f tp r o x ys e r v e r 等，这些软件都是很稳定、很出 色的。其中，p i x 防火墙是基于包过滤的防火墙，基于硬件实现，速度很快； w i n g a t e 、m i c r o s o f tp r o x ys e r v e r 等软件是基于代理的，利用软件实现，能够实 现应用层报文内容检查，访问控制力度很大。但是，这些软件都未能实现源主 机i p 地址和m a c 地址的一致性检查，也未能实现d i g e s t 认证方案，而且利用i c p 和c a r p 实现分布式缓存阵列。这样一来，不但没有完成客户机身份验证，也 没有加强用户认证的安全性，同时i c p 等协议容易造成服务延时过长等问题。 1 3 防火墙技术简介 所谓防火墙，就是在内部网( 如校园网i n t r a n e t ) 和外部网( 如国际互连网 i n t e m e t ) 之间构造一个检查点，所有的连接都必须经过这个检查点，在此进行 检查。只有被授权的连接才能通过这个检查点，从而实现对内部网资源的保护 和有选择地限制用户对外部资源的访问。防火墙已成为实现网络安全策略和访 问控制的有效工具之一，并被广泛应用在i n t e r n e t 上。 防火墙通常分为两种类型，基于包过滤( p a c k e tf i l t e r ) 和基于代理的( p r o x y s e r v e r ) 1 1 4 1 ： 口 包过滤防火墙。i n t e m e t 是个包交换类型的网络，每条信息都包装在一 个或几个报头中，这些报头能够反映出报文的信源和信宿、以及报文 的类型。包过滤防火墙通过检查报文的报头得到报文的源i p 地址和端 口、目的i p 地址和端口以及协议类型，并根据事先设定的访问控制规 则决定对这个报文的许可与否。由于包过滤防火墙需要检查的报头都 有固定的格式，便于硬件实现，所以速度相对较快。但是包过滤防火 第一章课题背景与系统概述 点处负责在应用层进行访问权限审查。天达代理型防火墙可以从t c p i p 层、应 用层和数据链路层完成对访问请求的权限审查。 代理服务器的效率主要有两个参数来表示：一个是缓存内容的命中率；另 一个是服务器响应的速度。针对这两个参数，许多机构提出了新的方案和协议， 如i c p 协议、c a r p 协议和代理服务器动态预取( p r e f e t c h ) 等。这些方案分别实 现了缓存阵列和资源的提前读入，提高了代理服务器的效率。在本课题中，论 文以i c p 为例，分析了它的不足，并提出了较为快捷、简单的p e e r g r o u p 方案。 在本课题中，天达代理型防火墙能够将访问代理与安全审查功能融于一 体，并且完成资源临时缓存的功能，同时还实现了分布式缓存群，有效利用了 多个天达系统的整体优势。 1 2 对相关产品的分析 目前能够完成类似功能的产品有c i s c o 公司的p i x 防火墙、w i n g a t e 、 n e t s c a p ep r o x ys e r v e r 、m i c r o s o f tp r o x ys e r v e r 等，这些软件都是很稳定、很出 色的。其中，p i x 防火墙是基于包过滤的防火墙，基于硬件实现，速度很快； w i n g a t e 、m i c r o s o f tp r o x ys e r v e r 等软件是基于代理的，利用软件实现，能够实 现应用层报文内容检查，访问控制力度很大。但是，这些软件都未能实现源主 机i p 地址和m a c 地址的一致性检查，也未能实现d i g e s t 认证方案，而且利用i c p 和c a r p 实现分布式缓存阵列。这样一来，不但没有完成客户机身份验证，也 没有加强用户认证的安全性，同时i c p 等协议容易造成服务延时过长等问题。 1 3 防火墙技术简介 所谓防火墙，就是在内部网( 如校园网i n t r a n e t ) 和外部网( 如国际互连网 i n t e m e t ) 之间构造一个检查点，所有的连接都必须经过这个检查点，在此进行 检查。只有被授权的连接才能通过这个检查点，从而实现对内部网资源的保护 和有选择地限制用户对外部资源的访问。防火墙已成为实现网络安全策略和访 问控制的有效工具之一，并被广泛应用在i n t e r n e t 上。 防火墙通常分为两种类型，基于包过滤( p a c k e tf i l t e r ) 和基于代理的( p r o x y s e r v e r ) 1 1 4 1 ： 口 包过滤防火墙。i n t e m e t 是个包交换类型的网络，每条信息都包装在一 个或几个报头中，这些报头能够反映出报文的信源和信宿、以及报文 的类型。包过滤防火墙通过检查报文的报头得到报文的源i p 地址和端 口、目的i p 地址和端口以及协议类型，并根据事先设定的访问控制规 则决定对这个报文的许可与否。由于包过滤防火墙需要检查的报头都 有固定的格式，便于硬件实现，所以速度相对较快。但是包过滤防火 第一章课题背景与系统概述 点处负责在应用层进行访问权限审查。天达代理型防火墙可以从t c p i p 层、应 用层和数据链路层完成对访问请求的权限审查。 代理服务器的效率主要有两个参数来表示：一个是缓存内容的命中率；另 一个是服务器响应的速度。针对这两个参数，许多机构提出了新的方案和协议， 如i c p 协议、c a r p 协议和代理服务器动态预取( p r e f e t c h ) 等。这些方案分别实 现了缓存阵列和资源的提前读入，提高了代理服务器的效率。在本课题中，论 文以i c p 为例，分析了它的不足，并提出了较为快捷、简单的p e e r g r o u p 方案。 在本课题中，天达代理型防火墙能够将访问代理与安全审查功能融于一 体，并且完成资源临时缓存的功能，同时还实现了分布式缓存群，有效利用了 多个天达系统的整体优势。 1 2 对相关产品的分析 目前能够完成类似功能的产品有c i s c o 公司的p i x 防火墙、w i n g a t e 、 n e t s c a p ep r o x ys e r v e r 、m i c r o s o f tp r o x ys e r v e r 等，这些软件都是很稳定、很出 色的。其中，p i x 防火墙是基于包过滤的防火墙，基于硬件实现，速度很快； w i n g a t e 、m i c r o s o f tp r o x ys e r v e r 等软件是基于代理的，利用软件实现，能够实 现应用层报文内容检查，访问控制力度很大。但是，这些软件都未能实现源主 机i p 地址和m a c 地址的一致性检查，也未能实现d i g e s t 认证方案，而且利用i c p 和c a r p 实现分布式缓存阵列。这样一来，不但没有完成客户机身份验证，也 没有加强用户认证的安全性，同时i c p 等协议容易造成服务延时过长等问题。 1 3 防火墙技术简介 所谓防火墙，就是在内部网( 如校园网i n t r a n e t ) 和外部网( 如国际互连网 i n t e m e t ) 之间构造一个检查点，所有的连接都必须经过这个检查点，在此进行 检查。只有被授权的连接才能通过这个检查点，从而实现对内部网资源的保护 和有选择地限制用户对外部资源的访问。防火墙已成为实现网络安全策略和访 问控制的有效工具之一，并被广泛应用在i n t e r n e t 上。 防火墙通常分为两种类型，基于包过滤( p a c k e tf i l t e r ) 和基于代理的( p r o x y s e r v e r ) 1 1 4 1 ： 口 包过滤防火墙。i n t e m e t 是个包交换类型的网络，每条信息都包装在一 个或几个报头中，这些报头能够反映出报文的信源和信宿、以及报文 的类型。包过滤防火墙通过检查报文的报头得到报文的源i p 地址和端 口、目的i p 地址和端口以及协议类型，并根据事先设定的访问控制规 则决定对这个报文的许可与否。由于包过滤防火墙需要检查的报头都 有固定的格式，便于硬件实现，所以速度相对较快。但是包过滤防火 堡二兰堡嬖堕墨兰墨竺塑堕 一一一 墙工作于传输层，不能解释报文内部信息，无法针对应用层协议进行 更为详细的访问控制； 口基于代理服务的防火墙。这种防火墙实质上是所谓的代理服务器，它 主要根据应用层协议对报文进行解释、重组和转发，并在此期间完成 访问控制业务。由于代理服务器工作在应用层，所以它能够比较详细 地了解每个报文的意图，并且能够根据应用层协议提供的安全特征对 访问进行控制。但是同样因为这一点，代理服务器必须对报文内容进 行解释重组，而且大部分工作都是字符串操作，所以速度比包过滤防 火墙要慢一些。代理服务器可以利用本地缓存区存储已访问过资源的 临时备份，在下一个对相同资源的访问请求到达时，代理服务器就可 以利用这个备份来代替目的服务器响应这个请求。 由于本系统采用本地缓存机制，减少对i n t e m e t 的w w 访问流量，所以本 课题定位在基于代理的防火墙，并在传输层实现了一个基于包过滤的防火墙模 块，加强了访问控制力度。 1 。4 系统平台与语言的选择 系统平台与语言决定了系统以后的可移植性。由于本课题是针对网络大流 量业务服务的，所以必须有一个良好的网络操作系统平台。目前网络操作系统 有m i c r o s o f t 公司的n t 、n o v e l l 公司的n e t w a r e 、s u n 公司的s o l a f i s 、s g i 公司的i n d y 等等。n t 、n e t w a r e 一般用于中小型企业网等小网段上，而s o l a r i s 等u n i x 操作系统在大型网络上被广泛使用。为了以后系统能够顺利地移植到 u n i x 操作系统平台上，必须在一开始就为系统选择一种u n i x 或类似于 u n i x 、而且价格相对便宜的系统平台，并且选择一种被普遍支持、标准较为统 一的编程语言。因此l i n u x 和c 语言成为本课题的平台和编程语言。 l i n u x 是一个年轻而非常有活力的类u n i x 操作系统i ”。l i n u x 的内核是由 芬兰赫尔辛基大学的大学生l i n u st o r v a l d s 个人完成的。后来，他将自己的源代 码放到了因特网上，向全世界公开了他的成果。此后，大量的软件设计专家共 同对它进行改进，提高它的性能。今天，l i n u x 已经成为具有u n i x 全部特征 并且与p o s i x 相兼容的操作系统。只要遵守自由软件基金会发布的通用公共许 可证条款( g p l ) ，就可以自由使用l i n u x 的源程序。这样做的实际目的是任何 人都可以随心所欲地取得、修改和传播l i n u x 的内核和所有的源程序。 l i n u x 是目前唯一可以免费获得的、为i b mp c 及其兼容机硬件平台上的 多个用户提供多任务、多进程功能的操作系统，这是人们使用它的原因，也是 采用l i n u x 的主要原因之一。l i n u x 不受各种商品化软件提供者的促销手段的影 响，用户不必苦于每过几年就须花费可观的经费去升级其商业化的应用软件。 l i n u x 核心源代码本身可以从i n t e m e t 获得，而且l i n u x 下的许多应用程序的源 堡二兰堡嬖堕墨兰墨竺塑堕 一一一 墙工作于传输层，不能解释报文内部信息，无法针对应用层协议进行 更为详细的访问控制； 口基于代理服务的防火墙。这种防火墙实质上是所谓的代理服务器，它 主要根据应用层协议对报文进行解释、重组和转发，并在此期间完成 访问控制业务。由于代理服务器工作在应用层，所以它能够比较详细 地了解每个报文的意图，并且能够根据应用层协议提供的安全特征对 访问进行控制。但是同样因为这一点，代理服务器必须对报文内容进 行解释重组，而且大部分工作都是字符串操作，所以速度比包过滤防 火墙要慢一些。代理服务器可以利用本地缓存区存储已访问过资源的 临时备份，在下一个对相同资源的访问请求到达时，代理服务器就可 以利用这个备份来代替目的服务器响应这个请求。 由于本系统采用本地缓存机制，减少对i n t e m e t 的w w 访问流量，所以本 课题定位在基于代理的防火墙，并在传输层实现了一个基于包过滤的防火墙模 块，加强了访问控制力度。 1 。4 系统平台与语言的选择 系统平台与语言决定了系统以后的可移植性。由于本课题是针对网络大流 量业务服务的，所以必须有一个良好的网络操作系统平台。目前网络操作系统 有m i c r o s o f t 公司的n t 、n o v e l l 公司的n e t w a r e 、s u n 公司的s o l a f i s 、s g i 公司的i n d y 等等。n t 、n e t w a r e 一般用于中小型企业网等小网段上，而s o l a r i s 等u n i x 操作系统在大型网络上被广泛使用。为了以后系统能够顺利地移植到 u n i x 操作系统平台上，必须在一开始就为系统选择一种u n i x 或类似于 u n i x 、而且价格相对便宜的系统平台，并且选择一种被普遍支持、标准较为统 一的编程语言。因此l i n u x 和c 语言成为本课题的平台和编程语言。 l i n u x 是一个年轻而非常有活力的类u n i x 操作系统i ”。l i n u x 的内核是由 芬兰赫尔辛基大学的大学生l i n u st o r v a l d s 个人完成的。后来，他将自己的源代 码放到了因特网上，向全世界公开了他的成果。此后，大量的软件设计专家共 同对它进行改进，提高它的性能。今天，l i n u x 已经成为具有u n i x 全部特征 并且与p o s i x 相兼容的操作系统。只要遵守自由软件基金会发布的通用公共许 可证条款( g p l ) ，就可以自由使用l i n u x 的源程序。这样做的实际目的是任何 人都可以随心所欲地取得、修改和传播l i n u x 的内核和所有的源程序。 l i n u x 是目前唯一可以免费获得的、为i b mp c 及其兼容机硬件平台上的 多个用户提供多任务、多进程功能的操作系统，这是人们使用它的原因，也是 采用l i n u x 的主要原因之一。l i n u x 不受各种商品化软件提供者的促销手段的影 响，用户不必苦于每过几年就须花费可观的经费去升级其商业化的应用软件。 l i n u x 核心源代码本身可以从i n t e m e t 获得，而且l i n u x 下的许多应用程序的源 第一章课题背景与系统概述 代码也可以从网上免费获得。这样，用户就可以根据需要修改和扩充操作系统。 这一点对于w i n d o w s 、m s d o s 、o s 2 等商品化操作系统来说是无法做到的。 由于源代码的公开性，l i n u x 是相对安全可靠的，因为对操作系统的运行机制， 用户可以从它的源代码上得到清晰的解释，并且用户自己可以用源代码来生成 可执行程序，而不必担心操作系统中的陷阱。这对在安全性方面要求较高的特 殊用户来说犹为重要。 l i n u x 是u n i x 的兼容产品，因而它具备u n i x 的许多优点。l i n u x 的多任 务是彻底的抢占调度多任务，可以同时运行多个程序，每个程序看起来都是在 连续运行。而且l i n u x 是一个真正的多用户操作系统一可以同时有多个用户登 录使用这个系统，多个用户可以通过控制台、终端、远程登录等各种方式来同 时访问l i n u x 。同样象u n i x 一样，l i n u x 为程序开发提供了丰富的工具。l i n u x 带有许多流行的计算机高级设计语言( 如f o r t r a n ，c ，c + + 和s m a l l t a l k ) ，而且l i n u x 还提供了f l e x 和b i x o n 这样一些工具来建立用户自己的计算机语言。它们的商 业化产品每个都价值数百美元，而在l i n u x 中，它们都是免费的。 “开放系统“和“互操作能力”是业界的两个流行的词汇，这两个词汇都 是指多个不同的操作系统之间能够相互进行通信。大多数开放系统的规范都要 求符合p o s i x ( 可移植操作系统接口) 标准，现在u n i x 和l i n u x 都符合这些 标准。事实上，l i n u x 本来就是为源代码可移植而设计的，因此，现行的许多 u n i x 版本上的应用程序都可以方便地移植到l i n u x 环境中。 l i n u x 由许多不同的组织在发行，每一种l i n u x 都带有起独特作用的程序 集。尽管各个不同发行版本的版本标号相去甚远，但它们的核心却相差不大。每 一个内核的版本都使用形式为a b b c c 的一列数字来标识。其中a 为0 或1 或2 等，b b 和c c 是0 到9 9 之间的一个整数。内核版本号在2 0 以上的都比 较稳定。目前在网上常见的发行版本中，r e d h a t 、d e b i a n g n u l i n u x 、c a l d e r a 和s l a c k w a r e 是较为流行的。 r e dh a t 公司发行了l i n u x 的当前最流行的发行版本，并且为l i n u x 提供了 一些商业化的应用程序。r e dh a t 还创建了名为r p m 的l i n u x 软件包管理程序。 这是按g p l 条款为其他发行版本使用提供的。此外，r e dh a t 还提供了名为 a p p l i x w a r e 的应用框架，它包含字处理程序e m a e s 、电子表格、图形演示程序、 邮件工具和各种开发工具。r e dh a t 还提供了m o t i f 的一个商品化版本，用于在 l i n u x 下开发和运行xw i n d o w s 。目前常见的版本是5 2 ，基于2 0 1 8 内核。r e d h a t 系统中的g e e 是满足p o s i x1 0 标准的c 语言编译器，由于p o s i x 中规定 了c 语言语法规范和对u n i x 系统调用的标准，所以在服从p o s i x 标准的u n i x 或类u n i x 平台之间移植c 程序是比较简单的。r e dh a t 中c 语言还提供了网 络编程标准接口之- - - - s o c k e t s ，功能强大，接口简单，易于操作，所以本课题 选择了c 语言作为编程语言，并且尽量采用符合p o s i x 标准的系统调用，增强 了系统的可移植性。 第一章课题背景与系统概述 由于r e dh a t 本身具备友好的配置界面，并且提供g c c 作为c 语言编译器 提供e m a c s 作为c 语言编辑器，开发环境优于其他l i n u x 发行版本，所以本课 题选择了r e d h a t 5 2 作为开发平台，并采用c 语言作为编程语言。 1 5 系统设计的目的 1 1 向内部用户提供代理服务； 2 1 为内部用户提供大容量的缓存服务，提高内部用户访问外部站点的速度和 效率； 3 1 建立一个基于源一目的主机i p 地址、协议号和传输层端口号五元组的访问 控制机制： 4 1为了防止用户的i p 地址被非法盗用，系统必须提供一个检查源主机m a c 地址与i p 地址一致性的主机认证模块； 5 1 鉴于许多实验室的计算机都是共用的现状，系统提供了用户口令认证的模 式； 6 、一般系统用户口令认证时，u s e m a m e - - p a s s w o r d 字符串在传输流中以简单 加密的明码出现。如果非法用户正在线路上窃听，就有可能将u s e m a m e - - p a s s w o r d 字符串析出，并用简单的解码方法把原始的用户帐号和密码还原 出来。为解决这种状况，本系统在h t t p 1 0 中b a s e 6 4 的基础上增加了m d 5 加密方式，使用户的帐号和口令不必在网络上直接传输； 7 1 为了使园区网中的多个代理防火墙之间能够有效的利用彼此的资源，本系 统初步提出构建代理服务器组的构想，并初步实现p e e r p e e r 之间的缓存索 引信息更新。 本章主要介绍了本课题开发的背景、目的以及防火墙体系概况，并论述了 系统平台和开发语言的选择。以后章节将详细论述本课题的实现以及相关技术。 第一章课题背景与系统概述 由于r e dh a t 本身具备友好的配置界面，并且提供g c c 作为c 语言编译器 提供e m a c s 作为c 语言编辑器，开发环境优于其他l i n u x 发行版本，所以本课 题选择了r e d h a t 5 2 作为开发平台，并采用c 语言作为编程语言。 1 5 系统设计的目的 1 1 向内部用户提供代理服务； 2 1 为内部用户提供大容量的缓存服务，提高内部用户访问外部站点的速度和 效率； 3 1 建立一个基于源一目的主机i p 地址、协议号和传输层端口号五元组的访问 控制机制： 4 1为了防止用户的i p 地址被非法盗用，系统必须提供一个检查源主机m a c 地址与i p 地址一致性的主机认证模块； 5 1 鉴于许多实验室的计算机都是共用的现状，系统提供了用户口令认证的模 式； 6 、一般系统用户口令认证时，u s e m a m e - - p a s s w o r d 字符串在传输流中以简单 加密的明码出现。如果非法用户正在线路上窃听，就有可能将u s e m a m e - - p a s s w o r d 字符串析出，并用简单的解码方法把原始的用户帐号和密码还原 出来。为解决这种状况，本系统在h t t p 1 0 中b a s e 6 4 的基础上增加了m d 5 加密方式，使用户的帐号和口令不必在网络上直接传输； 7 1 为了使园区网中的多个代理防火墙之间能够有效的利用彼此的资源，本系 统初步提出构建代理服务器组的构想，并初步实现p e e r p e e r 之间的缓存索 引信息更新。 本章主要介绍了本课题开发的背景、目的以及防火墙体系概况，并论述了 系统平台和开发语言的选择。以后章节将详细论述本课题的实现以及相关技术。 天达代理型防火墙系统结构模型 第二章天达代理型防火墙系统结构模型 作为一个网络服务器端应用软件，天达代理型防火墙可以选择两种结构模 型6 】，这两种模型在目前u n i x 平台上有很多实际应用。 第一种是迭代结构( i t e r a t i v e ) ，基于迭代结构的服务器软件是单进程的。当 接收到客户端的服务请求时，服务器软件不派生服务子进程，而由原先的进程 独立完成对请求的响应。即使同时有多个服务请求到达，服务器软件也是在一 个进程中按照请求到达的顺序对客户端分别作出响应。这种模式的特点是： 口 整个程序只包含一个进程； 口 占用系统资源少，结构简单，但是不能满足负荷大的业务要求； 口 一般只能用作u d p 、i p 、i c m p 等非连接协议软件使用。 典型的例子是d a y t i m e d 服务进程。 第二种是并发结构( c o n c u r r e n t ) ，基于并发结构的软件是多进程的。当服务 器软件收到客户端的请求时，服务器软件父进程会为这个请求单独派生出一个 服务子进程，这个子进程专门为这一个请求服务，子进程的生存期在服务完成 后自动终结。这种结构的特点是： d整个程序包含多个进程，每个子进程为特定的请求服务； 口 比较复杂，占用系统资源较多； 口 可以满足大负荷的业务要求，一般用作综合性的服务守侯程序或基于 连接的协议t c p 使