（计算机科学与技术专业论文）基于hicuts算法的linux+ipv6防火墙研究.pdf

中文摘要 摘要 在网络时代迅猛发展的今天，人们享受网络带来的方面快捷的同时，也面临着 层出不穷的网络攻击的考验。因此，如何改进和完善防火墙系统正成为许多专家 学者们研究的重点。i p v 6 是网络技术史上最重要的一次升级，它在现有的i p v 4 基 础上对其基础设施发展做了进一步的改进和升级，对网络安全的发展产生了很大 的推动作用。因此，人们对i p v 6 的安全问题进行了大量的研究，i p v 6 防火墙既是 其中成果之一。 防火墙是一种特殊编制的路由器，l i n u x 中的i p v 6 防火墙是一种典型的包过 滤防火墙，它采用的包过滤算法是顺序查找算法，是基于n e t f i l t e r 的防火墙框架。 l i n u xl p v 6 防火墙在处理小规则集时，非常高效，但是当面对大规则集时，它的效 率下降明显。通过对l i n u xi p v 6 防火墙的性能测试实验，可以推出，l i n u xi p v 6 防 火墙的顺序查找算法是l i n u xi p v 6 防火墙的性能瓶颈。 基于以上分析，本文提出了基于h i c u t s 的i p v 6 包分类算法。i p v 6 包分类算法 能够很好的解决顺序查找算法在处理大规则集时的效率问题。然而在性能方面却 没有明显的提高，根据这种情况，本文对基于h i c u t s 的i p v 6 包分类算法进行了改 进，从而提出了对新的基于h i c u t s 的i p v 6 包分类算法的改进方法，即数位提取法。 通过对算法的改进，防火墙的性能得到了很大的提高。利用数位提取法来过滤防 火墙，不仅解决了在处理大规则集时的效率问题，更进一步解决了防火墙的性能 问题。本文不但在理论上对防火墙的算法和性能进行分析，并且实现了基于h i c u t s 的i p v 6 包分类算法及其改进算法并最终写入l i n u x2 4 内核中。进而在实践应用 中提高和改进了l i n u x 中i p v 6 防火墙的效率和性能。 本文设计了一种基于改进后的h i c u t s 算法的l i n u xi p v 6 包过滤防火墙，并 最终在m n u x2 4 内核中给予实现，实际使用证明该防火墙系统运行效率较高， 性能较稳定，并且费用低廉，为i p v 6 网络提供了一种高效的网络安全工具。 关键宇：i p v 6 ；l l n u x 防火墙；n e t f ii t e r 框架；h i o u t s 算法；数位提取法 英文摘要 a b s t r a c t w i t ht h er o c k e t i n gd e v e l o p m e n to ft h ei n t e r a c te p o c h ，p e o p l ea r e ，w h i l ee n j o y i n g t h ec o m f o r ta n dc o n v e n i e n c eo ft h ei n t e r n e t ，f a c i n gw i t ht h ee m e r g i n gc h a l l e n g e sf r o m t h ei n t e r a c ta t t a c k t h e r e f o r e ，h o wt om a k ei m p r o v e m e n ta n dp e r f e c t i o no ft h ef i r e w a l l s y s t e mh a sb e c o m eam a i nf o c u sw i t h i nt h ei n t e r n e ta c a d e m i cc i r c l e a m o n gt h e r e s e a r c h e so fi n t e r n e ts a f e t yp r o t e c t i o n , t h eu p d a t eo fi p v 6h a sb e e nc a r v e dw i t hg r e a t s i g n i f i c a n c eb o t hi nt h ei n t e r n e tt e c h n i c a lp r o g r e s sa n d i nt h ec o n t r i b u t i o nt ot h ei n t e r n e t s a f e t yd e v e l o p m e n t w i t h i nt h ev a r i o u si n v e s t i g a t i o n so fi p v 6s a f e t y , i p v 6f i r e w a l lh a s b e e nb r o u g h tf o r w a r da so n eo fi t sm a j o rr e s e a r c ha c h i e v e m e n t s t h ef i r e w a l li sas p e c i a l l yp r o g r a m m e dr o u t e r t h el p v 6f i r e w a l li nl i n u xi sa t y p i c a lp a c k e tf i l t e rf i r e w a l l ，w h i c ha c q u i r e st h es e q u e n t i a ll o o k u pa l g o r i t h ma n da d o p t s t h en e t f i l t e ra si t sf i r e w a l lf r a m e w o r k l i n u xi p v 6c o u l db ev e r ye f f i c i e n tw h e nd e a l i n g w i t hs m a l ls e t so fr u l e s h o w e v e lf a c i n gw i t hl a r g es e t s ，t h er a p i d i t yi sq u i c k l yd e c l i n e d a c c o r d i n gt ot h ec a r e f u la n a l y s i so ft h ei p v 6p r o t o c o ls t a c ka n dt e s t so ft h ep e r f o r m a n c e o ff i r e w a l li nl a r g es e to fr u l e s ，t h ea u t h o rf o u n dt h a tt h es e q u e n t i a ll o o k u pa l g o r i t h mi s t h ee f f i c i e n c yc h o k e p o i n to fl i n u xi p v 6f i r e w a l lp e r f o r m a n c e b a s e do nt h ea n a l y s i sa b o v e ，d a t ae x t r a c t i o nm e t h o d ，ab r a n dn e w a l g o r i t h mw h i c h i sb a s e do nt h eh i c u t sa l g o r i t h mh a sb e e nb r o u g h tf o r w a r di nt h i si n v e s t i g a t i o n t h i s a l g o r i t h m ，t h o u g hi sc o n d u c t e da sa ne f f e c t i v es e t t l e m e n tf o rp r o b l e m si ns e q u e n t i a l l o o k u pa l g o r i t h mo fl a r g es e t so fr u l e s ，i ss t i l ls h o r tf o ri t si m p r o v e m e n to fc a p a c i t y t h u st h i st h e s i sm a i n l yd r a w si t sf o c u so nt h ei m p r o v e m e n to fh i c u t si p v 6a l g o r i t h m , a n db r i n g sf o r w a r dat o t a l l yn e wa l g o r i t h mm e t h o d ，t h a ti sd a t ae x t r a c t i o nm e t h o d ， w h i c hw i l lh e l pe n h a n c et h ep e r f o r m a n c eo ft h ef i r e w a l ls y s t e ma sw e l la st h es o l v i n g t h ep r o b l e m si nt h el a r g es e t so fr u l e s t h i si n v e s t i g a t i o ni so fb o t ht h e o r e t i c a la n d p r a c t i c a ls i g n i f i c a n c ei nt h a ti tn o to n l y m a k e saf u r t h e ri m p r o v e m e n to fh i c u t si p v 6a l g o r i t h ma n dg i v e san e wb i te x t r a c t i o n m e t h o d ，b u ta l s op r o g r a m san e wd e s i g no fi p v 6p a c k e tf i l t e r i n gf i r e w a l ls y s t e mw h i c h i sa c t u a l i z e di nt h el i n u x2 4k e r n e l t h i si n v e s t i g a t i o nh a sb e e nv e r i f i e da sam o r e e f f e c t i v e ，s t a b l ea n de c o n o m i c a ld e s i g na n di tw i l lh o p e f u l l yb eo fc o n t r i b u t i o nt ot h e 英文摘要 i n t e m e ts a f e t yp r o t e c t i o n k e yw o r d s ：i p v 6 ；l i n u xf i r e w a l i ；n e t f i l t e rf r a m e w o r k ：h i c u t sa l g o r i t h m l b i te x t r a c t i o nm e t h o d 大连海事大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：本论文是在导师的指导下，独立进行研究工作所取得的成果， 撰写成硕士学位论文 = = 基王h i 坠堡箕洼的些塾坠蚤! ! 鱼随么擅硒塞= = 一。除论文中 已经注明引用的内容外，对论文的研究做出重要贡献的个人和集体，均已在文中 以明确方式标明。本论文中不包含任何未加明确注明的其他个人或集体已经公开 发表或未公开发表的成果。本声明的法律责任由本人承担。 学位论文作者签名： 学位论文版权使用授权书 本学位论文作者及指导教师完全了解“大连海事大学研究生学位论文提交、 版权使用管理办法 ，同意大连海事大学保留并向国家有关部门或机构送交学位 论文的复印件和电子版，允许论文被查阅和借阅。本人授权大连海事大学可以将 本学位论文的全部或部分内容编入有关数据库进行检索，也可采用影印、缩印或 扫描等复制手段保存和汇编学位论文。 本学位论文属于： 保密口在年解密后适用本授权书。 不保密i ( 请在以上方框内打“”) 论文作者签名粒秀 导师签名： 醐吵绎7 月日 基于h i c u t s 算法的l i n u xi p v 6 防火墙研究 第1 章绪论 1 1 研究背景 防火墙( f i r e w a l l ) 是一种特殊编程的路由器，安装在一个网点和网络的其 余部分之间，目的是实施访问控制策略。这个访问控制策略是由使用防火墙的单 位自行制定的。这种安全策略应当最适合本单位的需要。防火墙位于因特网和内 部网络之间，因特网这边是防火墙的外面，而内部网络这边是防火墙的里面。一 般把防火墙里面的网络称为“可信的网络 ( t r u s t e dn e t w o r k ) ，而把防火墙外面 的网络称为“不可信的网络 ( u n t r u s t e dn e t w o r k ) 。 防火墙的功能有两个：一个是阻止，另一个是允许。“阻止就是阻止某种类 型的流量通过防火墙( 从外部网络到内部网络，或反过来) 。“允许 的功能与“阻 止”恰好相反。可见防火墙必须能够识别流量的各种类型。不过大多数情况下防 火墙的主要功能是“阻止。但是，和绝对阻止信息泄露一样，绝对阻止所不希望 的通信也是很难做到的。而简单地购买一个商用的防火墙往往不能得到所需要的 保护。然而正确地使用防火墙则可以将风险降低到可接受的水平。 防火墙种类繁多，从技术的角度划分为包过滤型防火墙和应用网关型防 火墙。在传输效率方面，包过滤型防火墙比应用网关型防火墙更具优势。在 i p v 4 网络环境中，已经有了很多种基于不同包过滤算法的防火墙。在一定程 度上满足了i n t e r n e t 网络的需要。但随着i n t e m e t 的迅速发展，现有的互联网 协议i p v 4 ，所具有的不足极大地限制了i p 网络的进一步发展，新的i p 协议 版本i p v 6 在地址空间、端到端的i p 连接、服务质量、网络安全和移动性等 方面对i p v 4 做出了针对性的改进，从而使其在下一代网络发展中具有十分重 要的战略地位。目前的防火墙大部分是基于i p v 4 协议的防火墙，随着i p v 6 协议的日渐完善，i p v 6 已经从试验阶段走向应用，其安全问题也随即提上日 程。传统安全设备如防火墙等都需要重新设计以适应新的网络环境。 国外对l p v 6 防火墙技术的研究起步较早，产品的系列化程度较高，更新较快。 2 0 0 3 年i p v 6 过滤在c i s c o 的路由器中已经有提供，一些日本厂商如日立，也将目 第1 章绪论 光投向i p v 6 防火墙市场。c h e c k p o i n t 在2 0 0 4 年9 月宣布已经提供i p v 6 防火墙。 c i s c o 在2 0 0 5 年的1 1 月提供延伸的a c l 在他们的i o s 当中，且展开i p v 6 c b a c ( c o n t e x tb a s e a c c e s sc o n t r 0 1 ) 与c i s c op i x 防火墙的开发工作。2 0 0 6 年6 w i n d 公司提供了一个完整的防火墙与过渡到l p v 6 的解决方案。n e t s c r e e n 也致力于把 i p v 6 放进他的防火墙产品中。 国内对i p v 6 防火墙技术的研究起步相对较晚，产品的系列化程度很低，更新 较慢。2 0 0 5 年e x t r e m en e t w o r k 开发的i p v 6 硬件防火墙已在上海交通大学应用。 2 0 0 2 年到2 0 0 7 年国内的清华大学和北京邮电大学对i p v 6 防火墙做了不少理论的 研究，也自主开发了部分的软、硬件，但都还没有形成商业的应用。总的来说， 中国还处于i p v 6 发展的初期，尽管i p v 6 试验工作已在国内开展，i p v 6 的设备也在 试制中，部分设备已可以商用，但大多数产品还不成熟，还没有形成i p v 6 网络设 备规范和网络设备测试规范的标准化，还有大量工作要做，特别是防火墙软、硬 件设备的开发，在某种程度上制约了i p v 6 网络的推广，因此从保障网络安全、促 进口v 6 网络进一步发展的角度来说，更有必要加大这方面理论与实践的研究。 1 2 研究内容 本文正是基于目前网络的发展趋势，分析了i p v 6 和口v 4 防火墙的差异，并以 l i n u x 防火墙为研究课题，分析了l i n u xi p v 6 防火墙性能上的瓶颈，由于l i n u xi p v 6 防火墙在包分类处理上用的是顺序查找算法，在面对大的口v 4 规则集时，性能会 下降的很快，处理i p v 6 规则集时下降得更快。本文在详细研究了l i n u xi p v 6 防火 墙工作原理的基础上，把适应于i p v 6 网络状况的包分类算法应用于l i n u x 防火墙 并写入l i n u x 内核，实现了一个比较高效的i p v 6 防火墙系统，但其功能还比较简 单，有待于完善。在随后的几个章节里，本文将从包分类算法原理，l i n u x 防火墙 结构以及防火墙的性能检测原理方面进行详细的分析论证，并详细论述了改进的 防火墙的工作原理。 - 2 - 基于h i c u t s 算法的l i n u xi p v 6 防火墙研究 1 3 论文概述 本文研究的是l i n u xi p v 6 防火墙，它是一种包过滤防火墙，它的包分类算法 很简单：是通过线性链表把规则连接起来进行顺序查找( 第3 章会有详细讨论) 。 因此，在处理大规模规则集时效率比较低，这也正是本论文的研究点所在，要提 高l i n u x 中肌6 防火墙的性能必须改变包分类算法。相关算法会在第4 章有详尽 介绍，这里就不再阐述了。 论文的章节安排如下： 第1 章阐述了i p v 6 防火墙的研究背景以及本论文的研究内容； 第2 章介绍了防火墙的定义、分类以及各类防火墙的优缺点，还介绍了 防火墙的性能指标； 第3 章回顾了l i n u x 操作系统的特点、n e t f i l t c r 框架和i p t a b l e s 相关技术， 并在此基础上分析了l i n u x 顺序包过滤查找算法防火墙的性能瓶 颈； 第4 章对经典的包分类算法和各自的优缺点进行了简单的分析，选择 h i c u t s 算法应用于l i n u x 下i p v 6 防火墙中，并对h i c u t s 算法进行 改进，使其应用于i p v 6 环境； 第5 章在l i n u x2 4 内核中实现基于改进后的h i c u t s 算法的l i n u xi p v 6 防火墙，给出部分主要代码； 第6 章搭建测试平台，对l i n u x 顺序包过滤查找算法防火墙和基于改进后 的h i c u t s 算法的l i n u xi p v 6 防火墙的性能进行测试分析； 第7 章总结了现有工作的缺点和不足，提出了未来进一步的研究方向和 方法。 基于h i c u t s 算法的l i n u xi p v 6 防火墙研究 第2 章防火墙分析 2 1 防火墙定义 防火墙是所有被特殊网络和一组网络用作网络级访问控制机制的设备。 在大多数情况下，防火墙被用来阻止外来人员访问内部网络。防火墙通常是 单独的计算机、路由器或防火墙“设备 。防火墙设备通常是运行定制或专用 操作系统的专用硬件设备。c i s c op i x 系列就是防火墙设备中的一个例子。 2 2 防火墙类型 防火墙技术通常属于下面三类中的一类： 基于包过滤的防火墙( 通常的路由器、c i s c oi s o 等) ； 可陈述的基于包过滤的防火墙( c h e c k p o i n t 公司的f w 1 、p i x 等等) ； 基于代理的防火墙( n a i 公司的g a u n t l e t 、a x e n t 公司的r a p t o r ) 。 下面对它们进行逐一的研究。 ( 1 ) 基于包过滤的防火墙 包过滤防火墙通常是具有包过滤功能的路由器。使用一台基本的包过滤 路由器，你可以根据一些变量来授权或拒绝对你站点的访问，使用的变量包 括源i p 地址、目的i p 地址、协议和端口号。 ( 2 ) 基于代理的防火墙 可陈述的包过滤建立在包过滤概念之上并对它进行了发展。由于建立在 该模型之上的防火墙对内部状态表中的会话和连接进行跟踪，因此它能做出 相应的反应。因此，可陈述的基于包过滤的防火墙比它们普通的包过滤同伙 更灵活。而且，大部分可陈述的基于包过滤的防火墙设计能防御某些类型的 d o s 攻击，并增加了对给予s m t p 的邮件的保护和其他特殊安全功能的分类。 c h e c k p o i n t 公司发明了被称为“状态检测( s i ) 的技术，它使可陈述的 基于包过滤的防火墙又高一等。s i 使得管理员能创建防火墙规则来测试真实 的数据有效负载，而不只是地址和端口。 ( 3 ) 基于代理的防火墙 第2 章防火墙分析 包过滤和可陈述的包过滤处理在网络和会话级上的检测出入包，它们检 测i p 源地址和目的地址以及端口和状态标记，并把它们与它们的规则集和表 信息进行比较，然后再决定是否对该包进行转发。相反，基于代理的防火墙 在应用级而不是较低级上检测通信。包进入防火墙后被提交给一个特殊的应 用代理，它检测该包的有效性和自身的应用级请求。例如，如果一个w e b 请 求( h t t p ) 进入了基于代理的防火墙，含有h t t p 请求的数据有效负载将被 交给h t t p 代理进程。一个f t p 请求将被交给f t p 代理进程，t e l n e t 将为t e l n e t 代理进程等。由于防火墙本身能理解应用协议，因此这种协议对协议的方法 的概念比可陈述的或普通的包过滤更安全，但是基于代理的防火墙比可陈述 的包过滤防火墙慢i 2 3 防火墙构架 构架防火墙一般需要五个基本步骤【1 】： ( 1 ) 明确网络拓扑、应用和协议需求； ( 2 ) 分析局域网内的信任关系和通信路径； ( 3 ) 评估并选择防火墙； ( 4 ) 正确规划与配置防火墙 ( 5 ) 严格测试防火墙。 2 4 防火墙特性 典型的防火墙具有以下三个方面的基本特性2 】： ( 1 ) 内部网络和外部网络之间的所有网络数据流都必须经过防火墙 这是防火墙所处网络位置特性，同时也是一个前提。因为只有当防火墙是内、 外部网络之间通信的唯一通道，才可以全面、有效地保护企业网内部网络不受侵 害。根据美国国家安全局制定的信息保障技术框架，防火墙适用于用户网络系 统的边界，属于用户网络边界的安全保护设备。所谓网络边界即采用不同安全策 略的两个网络连接处，比如用户网络和互联网之间连接、其它业务往来单位的网 络连接和用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之 基于h i c u b 算法的l i n t i p v 6 防火墙研究 间建立一个安全控制点，通过允许、拒绝或重新定向经过防火培的数据流，实现 对进出内部网络的服务和访问的审计和控制。 典型的防火墙体系网络结构如下图所示。从图中可以丌出，防火墙的一端连 接企事业单位内部的局域网而另一端则连接着互联网。所有的内、外部网络之 间的通信都要经过防火墙。如图21 。 c 二二亚匦三二 图21 防火墙体系网络结构 f i 9 2 1 n e t w o r ks t r u c t u r e o f f i r e w a l ls y s t e m ( 2 ) 只有符合安全策略的数据流才能通过防火墙 防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量 快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起，原始 的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。 防火墙将网络上的流量通过相应的网络接口接收上来，按照o s i 协议栈的七层结 构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的 数据从相应的网络接口送出，而对于那些不符合通过条件的数据则予以阻断。因 此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的( 网络 8 & 第2 章防火墙分析 接口大于等于两个) 转发设备，它跨接于多个分离的物理网段之间，并在报文转 发过程之中完成对报文的审查工作，如下图2 2 。 黔：焉甭吾 酾融龇掣* 曹：搏t 嘞缸确苷谚灞 表示层 黔套素凄。翟 麟妇妒妒。： i 出j2 髓“皿嘲 ； 传输层 。； 妙网络层谚罐 7r o 一“7 、，7 i w 嘲 链路层 j 眵砀囊蘑嗯彩嚣*皇0；j “。荭：蒯麒 - 应用层 舻p#”t7“脚嘶岛许q蚪擀啷销4月，表示层一 黼会话层锶： 彬7 * p m 嗍 传输层， 璐嘲耐娩皴键黼罄黝瓣褊醴自鞠网络层“ 一7 链略廛“一 霹强目群瓣。瓣删嬲_ a _ 嘲“物理层3 图2 2 报文流经防火墙 f i g 2 2m e s s a g et h r o u g ht h ef i r e w a u ( 3 ) 防火墙自身应具有非常强的抗攻击免疫力 这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处 于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就 要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领，防 火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系 统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌 入系统外，再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相 对的。 基于h i c u t s 算法的l i n u xi p v 6 防火墙研究 第3 章l in u x 中n e f filt e r 防火墙分析 3 1ip v 4 到lp v 6 地址的转换 i p v 4 版本是很久以前开发的，尽管这个版本表现出了巨大的潜力和生命力， 但已远远不能适应我们今天所要求的各种i n t 锄e t 服务。i p v 4 版本的局限性表现在： ( 1 ) l p v 4 的寻址能力有限 由于i n t e m e t 爆炸式发展，可用的p 地址已经越来越少。随着i n t e m e t 的持续 发展和接入i n t e m e t 设备的多样性的增加，人们期待着更多可用m 地址的出现。 ( 2 ) i p v 4 没有优先级的划分 目前尚没有一种方法能够对i n t e m e t 上传输的数据包进行优先级划分。 ( 3 ) i p v 4 的安全性差 目前版本的口协议对传输的数据并没有提供任何认证或者隐私保护。 庆幸的是，多年来人们一直在计划开发下一代的i n t e m e t 协议h l t 锄e t 协 议6 ( p v 6 ) 。i p v 6 是i e t f 中讨论比较热烈的领域，在i n t e m e t 和各种服务发展的 下一阶段等问题上，近年来产生了很多r f c 注释。从m v 4 到i p v 6 的主要变化概 括如下： ( 1 ) 扩展编址功能和自动配置机制 i p v 6 的地址大小增加到1 2 8 位。这解决了口v 4 地址空间有限的问题，并提供 了一个更深层次的编址层级以及更简单的配置。 ( 2 ) 报头格式的简化 口v 6 的报头固定为4 0 字节。这刚好容下8 字节的报头和两个1 6 字节的口地 址( 源地址和目的地址) 。 ( 3 ) 改进的扩展和选项支持 对于v 4 ，选项集成于基本的i p v 4 报头中。而对于i p v 6 ，这些选项将被作为 扩展报头( e x t e n t i o nh e a d e r ) 处理。 ( 4 ) 身份验证和私密性的扩展 i p v 6 指定了固有的对身份验证的支持，以及对数据完整性和数据机密性的支 第3 章l i n u x 中n e t f i l t e r 防火墙分析 持。 ( 5 ) 流标签功能 属于同一传输流，且需要特别处理或需要服务质量的数据包，可以由发送者 进行标记。 1 2 8 位地址空间是新协议的最显著的特色，但不是惟一重要的改变。i p v 6 数据 包中包括了一些重要的特点，比如更高的扩展性。更好的数据完整性、q o s 、自动 配置机制( 使得即使有大量动态连接设备也同样易于管理) ，以及改进的骨干网中 的路由集群和改进的多播路由。长远看来，i p v 6 固有的、安全的、端到端连通性 是不可取代的。多媒体和交互、面向事务的网络应用程序都需要高水平的连通性， 而这只有i p v 6 才能提供。 3 2lin u x 操作系统 l i n u x 是目前十分流行的种计算机操作系统，也可以认为是u n i x 在p c 机上 新的变种，但它并不是u n i x 。虽然从操作及结构上看起来非常像u n i x ，但它的所 有代码都是重新编写的。这一切都要归功于芬兰人l i n u sb t o r v o l d s 的一个想法， 当他还是芬兰赫尔辛基大学的一个大学生时，为了演示操作系统中的一些简单科 学概念，就一直梦想将它们集成到一种类似u n i x 的单机系统上。后来，他在网络 中实现了这个梦想，就是l i n u x ，一个由成千上万程序员自由修改，l i n u s 进行统 一发布的类似u n i x 的操作系统。从表面上看，l i n u x 和u n i x 几乎一模一样。现在， 网上有很多关于l i n u x 的各种技术精华文章，数万程序员和专家在这个操作系统努 力工作，使其成为有史以来发展最快、最神奇的计算机操作系统。常见的l i n u x 方r e dh a t ，s l a c k w a r e ，d e b i a n ，s u s e ，o p e n l i n u x ，t u r b o l i n u x ，r e df l a g ，m a n d a r k e ， b l u e p o i n t 。l i n u x 操作系统有以下优点【3 】： ( 1 ) 代码公开 l i n u x 遵循世界标准规范，特别是遵循开放系统互连( i s 0 ) 国际标准。凡遵 循国际标准所开发的硬件和软件，都能彼此兼容，可方便地实现互联。 ( 2 ) 多用户 多用户是指系统资源可以被不同用户各自拥有使用，即每个用户对自己的资 基y - h i c u t s 算法的l i n u xi p v 6 防火墙研究 源( 例如文件、设备) 有特定的权限，互不影响。 ( 3 ) 多任务 多用户是现代计算机的最主要的一个特点。它是指计算机同时执行多个程序， 而且各个程序的运行相互独立。l i n u x 系统调度每一个进程平等地访问微处理器， 由于c p u 的处理速度非常快，其结果是，启动的应用程序看起来好像在并行运行。 事实上，从处理器执行一个应用程序中的一组指令到l i n u x 调度微处理器再次运行 这个程序之间只有很短的时间延迟，用户是感觉不出来的。 ( 4 ) 良好的界面 l i n u x 向用户提供了两种界面：用户界面和系统调用。l i n u x 的传统用户界面 是基于文本的命令行界面，即s h e l l ，它既可以联机使用，又可以在文件上脱机使 用。s h e l l 有很强的程序设计能力，用户可方便地用它编制程序，从而为用户扩充 系统功能提供了更高级的手段。可编程s h e l l 是指将多条命令组合在一起，形成一 个s h e l l 程序，这个程序可以单独运行，也可以与其他程序同时运行。系统调用给 用户提供编程时使用的界面。用户可以在编程时直接使用系统提供的系统调用命 令。系统通过这个晃面为用户程序提供低级、高效率的服务。l i n u x 还为用户提供 了图形用户界面。 ( 5 ) 具有丰富的网络功能 这是l i n u x 走向成功的一个因素。l i n u x 在通信和网络功能方面优于其他操作 系统。其他操作系统不包括如此紧密地和内核结合在一起的连接网络的能力，也 没有内置这些联网特性的灵活性。而l i n u x 为用户提供了完善而强大的网络功能。 l i n u x 免费提供了大量支持i n t e m e t 的软件，i n t e m e t 是在u n i x 领域中建立并繁荣 起来的，在这方面使用l i n u x 是非常方便的，用户能用l i n u x 与世界上的其他人通 过i n t e m e t 网络进行通信。 ( 6 ) 系统可靠性强 l i n u x 采取了许多安全技术措施，包括对读、写进行权限控制，带保护的子系 统，审计跟踪，核心授权等，这为网络多用户环境中的用户提供了必要的安全保 障。 第3 章l i n u x 中n e t f i l t e r 防火墙分析 ( 7 ) 具有良好的可移植性 l i n u x 是一种可移植的操作系统，能够在i 3 8 6 、a r m 、m i p s 、p p c 等多种硬件平 台下运行。可移植为运行l i n u x 的不同计算机平台与其他任何机器进行准确而有 效的沟通提供了手段，不需要另外增加特殊和昂贵的通信接口。 3 3lin u x 网络协议栈 3 3 1l i n u x 网络协议栈层次结构 与o s i 模型相似，t c p i p 也是以协议栈( p r o t o c o ls t a c k ) 的方式运作。该协 议栈是在两计算机之间传送数据所必须的协议总和。参考模型将网络体系结构划 分为网络接口层、互联网层、传输层、应用层。l i n u x 协议栈的实现也是采用层次 结构，将网络系统划分为：网络设备层、网络协议层、s o c k e t 层，应用层 4 1 ，如图 3 1 所示： 图3 1l i n u x 协议栈层次结构图 f i g 3 1l e v e ls t r u c t u r eo fl i n u xp r o t o c o ls t a c k 基于h i c u t s 算法的l i n u xi p v 6 防火墙研究 3 3 2 数据包在l i n u x 协议栈中的表示 s o c k e t 缓冲区由两部分构成：网络数据缓冲区和s t r u e ts i cb u f f 结构。一般情 况下，一个数据缓冲区对应一个s k b u f f 结构，数据缓冲区用于存储真正要传输的 网络数据【5 1 。s i cb u f 缓冲区的任务是管理单独的交流数据包。 s t r u c ts kb u f r s t r u c ts k b u f f n e x t ，p r e v ； s t r u c ts k b u f f h e a d 宰l i s t ； 木循环列表和其他列表中需要这个指针进行连接水 s t r u c ts o c k s k ； * s k 指向这个缓冲区所述的套接字水 s t r u c tt i m e v a l s t a m p ； * s t a m p 提示什么时候最后一次传输这个数据包木 s t r u c tn e t d e v i c e 幸d e v ； 时旨向网络设备的一个指针被输入d e v * u n i o n j h ； u n i o n ) i l l l ； u n i o n m a c ； a 用作指向这个数据包中的各种题头结构的一个指针，i c s t r u c td s t _ e n t r y d s t ； 木d s t e n t r y 在处理网络实现方式中的数据包的过程发挥着重要作用j i c c h a r c b 4 8 ； u n s i g n e d i n t l e n ，c s u m ； al e n 给出数据包的长度，并且如果一个校验和被计算出来，则c s u m 就 包含这个校验和衫 v o l a t i l ec h a r u s e d ； u n s i g n e d c h a r c l o n e d ，p k t _ t y o e ，i p _ s u m m e d ； 第3 章l i n u x 中n e t f i l t e r 防火墒分析 u 3 2p r i o r i t y ； a t o m i c tu s e r s ； u n s i g n e d s h o r t p r o t o c o l ，s e c u r i t y ； u n s i g n e d i n tt r u e s i z e ； u n s i g n e d c h a r 曩h e a d ，牛d a t a ，幸t a i l ，e n d ； v o i d ( 木d e s t r u c t o r ) ( s t r u c ts k b u f f 木) ； 木这些元素属于这个结构哦的内存管理中木 ) s t r u c t s k b u f f h e a d s t r u c ts k b u f f n e x t , * p r e v ； u 3 2q l e n ； s p i n l o c k _ tl o c k ； ) ； s kb u f f ) 和数据缓冲区的示意图3 2 如下： - 1 4 - 基于h i c u t s 算法的l i n u xi p v 6 防火墙研究 ，s kb u f rh e a d n e x t l i一一一 p r e v l i s t s t a m p d e v l l h n e t d e v i c e p a c k e tg a l a n h m a c d s t l e n m a c h e a d e r i p 二h e a d e r h e a d u d p _ - h e a d e r d a t a u d p d a t e n t a i l e n d d a t a r e f p ：l 图3 2s k _ b u f f 结构及其对应的数据缓冲区 f i g 3 2s t r u c t u r eo fs k _ b u f f a n di t sd a t ab u f f e r 3 3 3 数据包在l i n u x 协议栈中的发送和接受 “n 1 1 ) 【协议栈中网络数据的发送与接受过程是相当复杂的，用一个章节很难描 述清楚【5 1 。下面以图3 3 为例，仅对网络数据包在协议栈网络层中的处理流程进行 简单的描述： 第3 章l i n u x 中n e t f i l t e r 防火墙分析 图3 3 网络层中的数据包 f i g 3 3d a t ap a c k e t si nn e t w o r kl a y e r 3 4ip t a bie s 工作原理 3 4 1ip t a ble s 简介 i p t a b l e s 是建立在n e t f i l t e r 框架之上的用户空间管理工具，主要用于设置防火 墙的访问控制规则，它是i p c h a i n s 的改进版本，具有比i p c h a i n s 更强大灵活的功能， 如增加了基于连接状态、t c p 标记、m a c 地址的过滤功能等。i p t a b l e s 提供了三 种数据包处理功能 6 1 ： ( 1 ) 过滤( f i l t e r ) ：只根据数据包内容进行过滤，不对数据包进行修改； 基于h i c u t s 算法的l i n u xi p v 6 防火墙研究 ( 2 ) 网络地址转换( n a t ) ：修改数据包的地址或端口字段，实现地址共享或负 载均衡等功能； ( 3 ) 操纵( m a n g l e ) ：修改数据包某些域或附加外带数据( 如设置m a r k 值) 。 这三种功能的实现都基于n e t f i l t e r 框架中的钩子函数和i p t a b l e s 过滤规则表， 它们被整合成为功能强大的l i n u x 防火墙。 3 4 2i p t a b l e s 规则和规则表 i p t a b l e s 对数据包的处理是通过规则表驱动的，当数据包流经访问控制规则表 时，由表中的规则决定对数据包的处理动作。l i n u x 防火墙默认自带了三个规则表： f i l t e r 表、n a t 表、m a n g l e 表，分别对应上述过滤、n a t 、操纵三个功能【佣。 i p t a b l e s 防火墙规则组织结构可以分为三个层次：第一层是t a b l e 层，l i n u x 防 火墙有多个t a b l e ，每个t a b l e 对应一种特定的功能；第二层是h 0 0 k 层，每一个t a b l e 都有一个h o o k 集合，每个h o o k 都有一个防火墙规则链，并对应于n e t f i l t e r 框架中 一个钩子点；第三层是基本防火墙规则层。 i p t a b l e s 防火墙规则由三个部分构成1 7 ，如图3 4 所示。 ( 1 ) i p t _ e n t r y 结构：该结构是规则的必备结构，用以描述规则的基本信息，其 中成员变量i p 用于存放与数据包i p 地址有关的匹配信息，t a r g e t _ f f s e t 和n e x t o f f s e t 分别存放目标项( 即处理动作) 和下一条规则的地址。具体的结构如下： s t r u c ti p t e n t r y s t r u c t i p t i pi p ；木与i p 地址有关的规则信息木 u n s i g n e d