（计算机应用技术专业论文）基于linux平台高性能安全网关的研究与实现.pdf

摘要 随着i n t e r n e t 的发展，i n t e m e t 已经成为人们获取信息的重要手段之一。i n t e m e t 正不断增强着人类社会 的生产力，改变着人类社会的生产方式，也因此i n t e m e t 成为上个世纪最伟大的人类发明之一。 然而，由于i n t e r n e t 最初的设计初衷并未全面考虑到今天i n t e r n e t 发展的现状，因此在最初设计时，设 计人员并没有清楚地意识到网络安全对于今天人们进行网络通信的重要性。目前，随着电子商务和电子政 务的提出，网络安全问题已经成为i n t e r n e t 发展的巨大障碍，各国政府、公司和科研机构都加大了对网络 安全技术的研究和对网络安全产品的开发。与安全网关相关的技术研究成为各公司和科研单位所热衷的课 题之一。国外安全网关的相关技术和产品市场已经相当成熟，而国内在这方面还处于起步阶段，虽然有一 些公司提出了一些解决方案，但总体上还处在技术探索阶段，没有成熟的产品。自从国家颁布了一系列有 关安全的法律法规以来，网络安全逐渐受到人们的重视，其相关市场也逐渐发展起来。 本文在研究高性能安全网关技术的基础上，实现了一种基于x 8 6 平台的高性能安全网关。该高性能安 全网关对l i n u x 操作系统进行了实时性改进，并在l i n u x 内核中集成了数据包加密及认证模块。本文针对 高性能安全网关的实时性需求，阐述了l i n u x 作为高性能安全网关操作系统在实时性方面的不足，并从抢 占式内核调度、实时任务的调度策略、任务的响应时间三个方面对l i n u x 内核进行改进；通过修改l i n u x 内核的标准i p 层处理程序，将数据包的加密和认证模块与i p 数据包处理程序捆绑在一起，形成新的i p 层 处理程序；采用了在网络层使用i p s e c 协议实现该系统的加密、认证等安全机制。经过测试，高性能安全 网关能够很好地完成数据的安全通信、密钥协商等功能，并较好地提高了高性能安全网关的数据转发速度。 关键词：高性能安全网关，l i n u x 实时性，加密认证 a b s t r a c t i t sw e l lk n o w nt h a tw i t ht h er a p i dd e v e l o p m e n to fi n t e m e t , i n t e r n e ti st u r n i n gt ob eo n eo ft h em o s t i m p o r t a n ti n s t r u m e n t so fg e t t i n gi n f o r m a t i o n 。m o r ea n dm o r eo f f i c i a ln e t w o r k s ，p e r s o n a lc o m p u t e r sa n dp o r t a b l e e q u i p m e n t sh a v em o t i v a t e dt h es o c i e t ya n dc h a n g e dt h el i f es t y l eo fp e o p l e i th a st u r n e do u tt ob eo n eo ft h e g r e a t e s ti n v e n t i o n si nt h el a s tc e n t u r y h o w e v e r , t h eo r i g i n a ld e s i g no fi n t e r n e th a s n tc o n s i d e r e dt h ei s s u eo fs e c u r i t y a tp r e s e n tw i t ht h e a p p e a r a n c eo fe - c o m m e r c ea n de g o v e r n m e n t , t h es e c u r i t yo fi n t e m e th a sb e c o m eag r e a tb a r r i e ri nt h e d e v e l o p m e n to fi n t e m e t g o v e r n m e n t s ，c o m p a n i e s a n dr e s e a r c hi n s t i t u t i o n si nv a r i o u sc o u n t r i e sh a v es t r e n g t h e n e d t h er e s e a r c ha n dt h ed e v e l o p m e n to ft h ei n t e m e ts e c u r i t yp r o d u c t s b o t ht h er e s e a r c ha n dt h ep r o d u c tm a r k e to n s e c u r i t yi nf o r e i g nc o u n t r i e sa l eq u i t em a t u r e ，w h i l ei no b rc o u n t r yt h er e l a t e dw o r k sa r eo n l yi nt h ef u n d a m e n t a l p h a s e a l t h o u g hs o m es o l u t i o n sa r ep r o v i d e db ys o m ec o m p a n i e s ，i ng e n e r a l ，al o to fp r o b l e m so fs e c u r i t ya r es t i l l u n s o l v e da n df u r t h e rn om a t u r ep r o d u c te x i s t s s i n c et h el e g i s l a t u r eh a sb e e ne n a c t e d ，p e o p l ep a ym u c hm o r e a t t e n t i o nt ot h ei n t e r n e ts e c u r i t ya n dt h eh o m es e c u r i t ym a r k e tg r a d u a l l yd e v e l o p e s t h i st h e s i si m p l e m e n t sah i i g hp e r f o r m a n c es e c u r eg a t e w a yo nt h eb a s i so ft h es t u d yo fh i g hp e r f o r m a n c e s e c u r eg a t e w a yt e c h n o l o g y t h i sh i g hp e r f o r m a n c es e c u r eg a t e w a yi sd e v e l o p e do nx 8 6p l a t f o r m i ti m p r o v e st h e r e a l t i m ep e r f o r m a n c eo fl i n u xb yi n t e g r a t i n gd a t ap a c k e t se n c r y p t i o na n da u t h e n t i c a t i o n i no r d e rt os a t i s f yt h e r e a l - t i m er e q u i r e m e n t so fh i 【g hp e r f o r m a n c es e c u r eg a t e w a y s ，t h et h e s i sa n a l y z e st h ed e f e c t so fl i n u xo nt h e r e a l - t i m ea s p e c ta sa l lo p e r a t i n gs y s t e mf o rah i g hp e r f o r m a n c es e c u r eg a t e w a y , a n di m p r o v e st h ec o r eo fl i n u x b ym o d i f y i n gt h es t a n d a r d i pp r o c e s s i n gi nt h ec o r eo fl i n u xa n dc o m b i n i n gd a t ae n c r y p t i o na n d a u t h e n t i c a t i o n , an e wi pp r o c e s s i n gi sg e n e r a t e d i p s e ci sa p p l i e dt oi m p l e m e n te n c r y p t i o na n da u t h e n t i c a t i o ni n t h en e t w o r kl a y e r t h er e s u l t ss h o wt h a tt h es e c u r eg a t e w a yp r o v i d e st h ef u n c t i o n so fs e c u r ec o m m u n i c a t i o na n d k e yn e g o t i a t i o n ，a n de n h a n c e sd a t at r a n s m i s s i o ns p e e d k e y w o r d s ：h i g hp e r f o r m a n c es e c u r i t yg a t e w a y ，l i n u xr e a l t i m ep r o p e r t y ，e n c r y p t i o na u t h e n t i c a t i o n 东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。 尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过 的研究成果，也不包含为获得东南大学或其它教育机构的学位或证书而使用过的材料。与我 一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 研究生签名：砀使e l 期：川；知 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的复印 件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸质 论文的内容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布( 包括刊 登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权东南大学研究生院办理。 研究生筝名：葡可融导师签名： 日期：砷歹儿 第一章绪论 1 1 研究背景 1 1 1i n t e r n e t 的发展 第一章绪论 i n t e m e t 的起源可以追溯至2 0 世纪6 0 年代末期，它源于美国的分组交换网a r p a n e t ( a d v a n c e d r e s e a r c h p r o j e c t s a g e n c y n e t w o r k ) 计划，其目的是建立分布式的全国性的计算机信息网络。以a r p a n e t 作为骨干网的i n t e m e t 产生于1 9 8 3 年，随着t c p i p 协议的逐步完整化，i n t e m e t 已经成为全世界最大的计 算机互联网络。 1 9 8 7 年中国科学院高能物理研究所首先通过拨号x 2 5 实现了国际远程互联，并于1 9 8 8 年实现与欧洲 及北美地区的e m a i l 通信。1 9 9 0 年，由电子部十五所、上海复旦大学、上海交大等单位和德国合作，实施 了基于x 4 0 0 的m h s ( m e s s a g eh a n d l i n gs y s t e m ) 系统一r n ( c h i n e s er e s e a r c hn e t w o r k ) 项目，通过 拨号x 2 5 ，连通了i n t e m e t 电子邮件系统u 1 。 虽然我国的i n t e m e t 从科研教育部门开始起步，但随着全球i n t e m e t 的商业化，中国的i n t e m e t 也己从 科研教育部门走向社会的各个部门，许多政府部门、企业、商业等部门都已经进入了i n t e r a c t 。但是随着计 算机技术的迅速发展，人们不再满足于只在i n t e m e t 上进行文本传输，希望能够传输语音、图像、视频等 多媒体数据，而随着i n t e m e t 传输速率和带宽的不断提高，这一愿望已经成为了现实h 。 i n t e m e t 网络传输速率的变化飞速，目前骨干网已经实现了以光纤为传输介质的网络。我国i n t e m e t 的 国际出入口总带宽也由原来的几百m b p s 增加至几千m b p s ，国内各个i n t e m e t 运营商间互连的带宽也增至 几百m b p s 的速率。用户接入i n t e m e t 有多种方法：局域网接入、拨号接入、专线接入或无线接入等。无论 采用哪种接入方式，网络访问速度都在逐步的提高，局域网接入的网络访问速率可以达到1 0 0 0 m 甚至是 1 0 g ，家庭用户拨号接入速率可达到5 6 k b p s 甚至更高，a d s l 宽带接入可以达到5 1 2 k b p s ，单位用户采用 专线接入速率可达到1 0 0 m b p s ，网络访问速度及带宽的飞速提高使得在i n t e m e t 上传输多媒体数据成为可 甜3 1 。， 1 1 2 网关的国内发展现状 网关是将两个使用不同协议的网络段连接在一起的设备。它的作用是对两个网络段中使用不同传输协 议的数据进行互相的翻译转换【1 4 j 。 网关概念来源于路由器的访问控制列表( a c l ，a c c e s sc o n t r o ll i s t ) ，a c l 主要工作在第三层，即网 络层，根据源和目的地址对通过的数据包进行控制。在早期的因特网中，网关就指路由器。现在，路由器 变成了多功能的网络设备，它能将局域网分割成若干网段、互连广域网中相关的局域网以及将各广域网互 连而形成了因特网，这样路由器就失去了原有的网关概念f 1 5 j 。然而术语网关仍然沿用下来，应用到多种不 同的功能中，定义网关已经不再是件容易的事。唯一保留的通用意义是作为两个不同的域或系统间中介的 第一章绪论 网关，要克服的差异本质决定了需要的网关类型。 目前，主要有三种网关：协议网关、应用网关、安全网关【l 州。 ( 1 ) 协议网关 协议网关通常在使用不同协议的网络区域间进行协议转换。这一转换过程可以发生在o s i 参考模型的 第2 层、第3 层或2 、3 层之间。但是有两种协议网关不提供转换的功能，即安全网关和管道。由于两个 互连的网络区域的逻辑差异，安全网关是两个技术上相似的网络区域间的必要中介，如私有广域网和公有 的因特网【17 1 。 ( 2 ) 应用网关 应用网关是一种翻译转换不同格式数据的系统。典型的应用网关接收一种格式的输入，进行翻译解析， 然后再以新的格式发送。输入和输出接口可以分立，也可以使用同种类网络连接。 ( 3 ) 安全网关 安全网关就是一种专用的部署在网络边界或网络域间的网络安全防御设备，主要功能是对进出网络的 信息进行过滤、认证和加密，常与其他安全设备结合，共同组成安全系统。 安全网关是应用最为广泛的网络安全解决方案。常见的具有安全网关功能的网络设备有：防火墙、 v p n 、i d s i p s 、防垃圾邮件网关、防病毒网关等等【1 8 l 。一些安全路由器、基于高层网络协议的交换机和 信息隔离交换设备等也都在一定程度上扮演着安全网关的角色【1 9 】。 网关产品很多，现有国内网关产品研发情况总结如下： ( 1 ) 国内市场目前需求量最大的是百兆和百兆以下的中低端产品 因为国内网关产品研发起步相对较晚，a s i c ( a p p l i c a t i o ns p e c i f i ci n t e r g r a t e dc i r c u i t s ，专用集成电路) 研发能力又相对较弱，所以多数产品基于p c 硬件平台和l i n u x 软件平台开发，而这恰好与低端网关产品 回归通用c p u 加l i n u x 体系的潮流相符合【4 】。这使得国内网关厂商在以l i n u x 为基础的中低端网关产品研 发上，特别是防火墙和n i d s 以及网关集中管理平台等方面，积累了相当的经验和人才，占有一定优势p l 。 ( 2 ) 国内市场对千兆产品的需求增长相对较快 同样因为国内复杂a s i c 的研发能力较弱，国外以s e r v g a t e 等公司为代表的基于n p u ( n e t w o r k p r o c e s s u n i t ，网络处理器) 而不是a s i c 的千兆网关产品较早，使得国内很多厂家都选择了基于n p u 开发千兆产 品的技术路线，形成了一定的群体优势，造成了著名国际n p u 厂商对中国n p u 市场的高度重视和大量投 入。这使得国内网络设备厂家有可能在整体上形成基于n p u 的系统研发优势，率先形成基于通用n p u 的 软硬件平台，在特定意义上领导国际上开放网络设备平台的潮流。n p u 作为用于网络处理的可编程通用芯 片，相对于a s i c 明显具有研发周期短、成本低，软件共享性和系统扩展性好等突出优点【6 】。 目前国内市场上的国产千兆网关，多数只有千兆接口，并没有千兆能力，无法适应高流量需求。只有 推出性价比高、实用性好、市场竞争力强、技术先进、具有自主知识产权的千兆的高性能安全网关系统， 并达到规模化生产要求，才能在高端市场上逐步占据主导地位，满足国内迅速增长的网络安全产品市场需 求，为建设我国信息安全框架提供基础产品，更好地保障我国网络信息安全【7 l 。 2 第一章绪论 1 1 3 网关的发展趋势 目前安全建设更加注重实效性和可持续性，这不仅要求安全产品能满足客户目前的需要，而且还能够 适应新的安全需求。因此，高性能安全网关的未来发展的特点有： ( 1 ) 国际厂家一般都有专用的操作系统 为了产品的持续发展和充分发挥公司长期的知识积累，国际上大的安全厂商一般都有专业的操作系统 捧j 。如c i s c o 拥有i o s ：j u n i p e r 防火墙系列产品使用操作系统s c r e e no s ；n o k i a 公司的i p 系列产品使用自 己的i p o s 。设计使用专用操作系统，目的是能为客户提供更专业、更安全的系统，并能逐步发展一些核 心的技术，从而拥有知识产权上的优势。采用自己专用的操作系统可以适应定制化的需要。 ( 2 ) 硬件化和芯片化成为趋势 从产品形态上网关也有软件网关和硬件网关之分。最初的网关多以软件为主，而当前硬件形态的网关 是最常见的，软件形态的网关也逐步被硬件形态的产品代替。一些提供软件网关产品的公司，自己也在向 硬件化的方向发展，如传统的c h e c k p o i n t 公司通过与n o k i a 的合作，提供了软硬一体的防火墙产品，新兴 防垃圾邮件和防病毒的网关也大都以硬件的方式出现 9 1 。从数据转发处理上，传统基于c p u 的软件处理方 式也在向由芯片处理或网络处理器进行处理的方向发展，从而获得更高的性能。 ( 3 ) 硬件平台多样化 为适应各种安全需要，以及产品定位的不同，各厂家网关产品的硬件平台出现了多样发展的趋势。有 基于x 8 6 架构的、a s i c 架构的，以及目前比较热门的基于网络处理器的架构，还有一些直接使用嵌入式 芯片作为主处理器的架构，如基于p o w e rp c 、m i p s 、a r m 等嵌入式c p u 架构，以及采用各种技术进行 组合的架构m i 。不同的体系结构各有各的特色。国际上少数公司采用基于a s i c 架构的设计，成为高性能 安全网关中的亮点。该种架构产品性能高，稳定性好，规模生产后价格比较低，但开发基于a s i c 的产品 要求的投资非常大，技术门槛高，没有一定实力的厂家很难开发这样的产品。 近几年来基于n p u 架构设计安全产品也成为热门话题，i n t e i 、a m c c 、b r o a d a o m 、i b m 、a g e r e 等芯 片厂商都推出了网络处理器芯片。采用n p u 架构设计安全网关，投资要比开发a s i c 低很多，同时也可以 设计出性能比较高的产品。相对于a s i c 架构，n p u 一般采用多个微引擎或多核并行处理，微引擎执行的 是微码，微码具有可编程性，所以n p u 架构要比a s i c 架构灵活，但在稳定性上则不如主要功能由a s i c 芯片实现稳定【1 1 】。 还有一种新形式的架构，就是采用组合式架构。除常见的c p u 与n p u 结合、c p u 与a s i c 结合外， 还可以根据需要将a s i c 与n p u 组合，甚至将c p u 、n p u 和a s i c 结合在一起形成组合型架构【1 2 l 。采用 此种架构，可以根据产品需要选择不同技术进行组合，充分发挥各种技术的优点，扬长避短，从而获得高 性能和高灵活性，并且在安全的各个方面处理得都比较好，但该种架构设计难度很高，投资也比较大，软 件开发难度高，可能需要操作系统和软件支持不同的指令集。 ( 4 ) 功能的专业化和多功能化 针对不同的网络应用，高性能安全网关产品在功能上出现了专业化和多功能集成化的两种发展方向。 专业化的网关功能比较单一、专注；而多功能网关集成多种安全功能，成为多合一的产品。其中，专业化 的安全产品，如单独的防火墙、v p n 、i p s 、防垃圾邮件、防病毒网关等，功能专注于某一方向，可以充 3 第一章绪论 分发挥系统的性能，因此维护管理也比较简单。而多功能的集成化网关，可以根据需要将防火墙、v p n 、 i p s 、防病毒、防垃圾邮件等安全功能组合在一起，在一个平台上完成多个安全控制功能，甚至还集成了 路由器、交换机等传统数据通信产品要求的功能；同时，传统的数据通信产品如路由器、交换机也越来越 倾向于集成一些安全特性，比较大的网络厂家在自己的中低端的路由器和交换机中加入了丰富的安全功能 0 3 1 。在中低端环境中，多功能集成化网关能提供更多的客户价值。 总之，随着网络带宽的迅速增加和网络应用的日益丰富，高性能安全网关的竞争面临着更高更快的挑 战，市场呼唤着功能更高更强、性能更快更稳的高性能安全网关产品。所以，高性能安全网关的相关研发 是业界的热点之一。 1 2l i n u x 操作系统及相关技术 本节介绍l i n u x 开源操作系统，并就与高性能安全网关相关的关键技术包过滤系统、n e t f i i t e r 框架、 n e t l i n k 通信方法进行分析。 1 2 1l i n u x 操作系统及应用 l i n u x 是目前应用十分广泛的操作系统，由芬兰赫尔辛基大学的一个大学生l i n u sb t o r v o l d s 在1 9 9 1 年首次编写。l i n u x 是一种类u n i x 系统，l i n u s 当时编写它的目的是为了替代一种名叫m i n i x 的操作系统1 2 1 1 ， m i n i x 由一名计算机教授a n d r e wt a n n e b a u m 编写。由于当时u n i x 是一个商业软件，其源代码不能拿来进 行教学，t a n n e b a u m 教授就自己编写了一个系统用于教学。最初的m i n i x 用一张软盘就能装下，具有一般 操作系统的特征，它同时兼容u n i x 系统f 2 2 1 。 l i n u x 是一个免费的操作系统，用户可以免费获得其源代码，并能够随意修改。它是在共用许可证g p l ( g e n e r a lp u b l i cl i c e n s e ) 保护下的自由软件【2 3 1 。l i n u x 具有许多u n i x 系统的功能和特点，能够兼容u n i x ， 但无需支付u n i x 高额的费用【2 4 1 。比如一个u n i x 程序员在单位可以在u n i x 系统上进行工作，回到家里在 l i n u x 系统上也能完成同样的工作【2 5 l 。 目前，l i n u x 在各个领域都取得了很大进展，并得到了各国政府的全力支持。基于l i n u x 平台的路由 器能够跟许多中小型企业路由器竞争。高频率服务器c p u ，充足的内存和快速的磁盘现在都能够被相对便 宜的得到，在多数普通应用任务上，基于l i n u x 的路由器比那些为特定目的制造的路由器越来越有性能上 的优势。在l i n u xw o r l d 大会上，常常展示许多基于l i n u x 的路由应用。专门的路由器生产厂商已经认识 到这种威胁。 国内l i n u x 的网络应用面不太广泛。随着近几年的开源项目计划的推动，以及l i n u x 系统本身的优越 性使得更多的人认识到了l i n u x 系统，并在各种领域都得到了一定的应用。l i n u x 网关路由器的应用也随 之推广开来。但是随着各种网络应用的迅速发展，以及当前的网络安全因素，l i n u x 网关路由器的压力不 得不越来越大。主要体现在： ( 1 ) 网内的各种新的网络应用对网关造成很大的压力，容易形成网络瓶颈； ( 2 ) 各种新的病毒和木马对内网的威胁很大； ( 3 ) 各种网络攻击对其也是一个很大的挑战。 4 第一章绪论 总之，随着用户对计算机网络带宽的要求不断提高，对网关路由器的性能和安全要求也越来越高。这 样，配置一台高效廉价的、安全的网关路由器也变得越来越有价值。 1 2 2 与高性能网关相关的关键技术 l i n u x 具有许多内置的能力，使开发人员可以根据自己的需要定制其工具、行为和外观，而无需昂贵 的第三方工具。l i n u x 实现网关路由器的功能，完全可以由l i n u x 系统的内置功能来实现。其所要用到的 一种内置能力就是由n e t t i l t e r i p t a b l e s 信息包过滤系统( 它集成在2 4 x 版本及以上版本的l i n u x 内核中) 来实现这种能力。在如i p f w a d m 和i p c h a i n s 这样的l i n u x 信息包过滤解决方案中，n e t f i l t e r i p t a b l e s 信 息包过滤系统是最新的解决方案，而且也是第一个集成到l i n u x 内核的解决方案。对于l i n u x 系统管理员、 网络管理员以及许多企业用户来说，n e t f i l t e r i p t a b l e s 系统十分理想。除了此信息包过滤系统以外，i p r o u t e 工具也为用户提供了非常强大的网络配置功能。 ( 1 ) 包过滤系统( i p t a b l e s ) 包过滤可以实现很广范围的网络安全策略及对数据包的路由策略，安全策略主要集中在拦截入侵者， 而路由策略主要在于对数据包进行路由选择，以使其根据一定的规则转发到相应的目的网络中【2 6 l 。包过滤 技术是在网络层对数据包进行选择、过滤和转发，具有很好的透明性，选择的依据是系统内设置的过滤规 则。当数据链路层截取到数据分组时，将根据所收到的每个数据包的源地址、目的地址、t c p i p 源端口号、 t c p i p 目的端口号等与用户预先定义的规则进行匹配。如果满足规则要求，则接受并转发数据分组，否则 抛弃分组【2 7 1 。 在l i n u x 操作系统中，仅仅有n e t f l i t e r 框架不能成为防火墙系统，l i n u x 2 4 内核中一个被称为i p t a b l e s 的数据包选择系统已经实现，它要求用户制定一系列的规则，根据这些规则去处理数据。数据包选择系统 包含三张表：过滤( f i l t e r ) 表用来实现包过滤；网络地址转换( n 盯) 表用来实现网络地址转换功能；处 理( m a n g l e ) 表用来实现对数据包的修改【2 8 1 。i p l a b l e s 的实现十分灵活，可以通过自行定义新表，让数据 包与所定义的表进行匹配。包过滤系统结构图如图1 1 所示： 图1 1i p t a b l e s 包过滤系统 ( 2 ) n e f f l i t e r 框架 n e t i i l t e r 是一种内核中用于扩展各种网络服务的结构化底层框架。n e t - f i l t e r 的设计思维是生成一个模块 5 第一章绪论 结构使之能够比较容易地扩展，新的特性加入到内核中并不需要重新启动内核。这样，可以通过简单的构 造一个内核模块来实现网络新特性的扩展，给底层的网络特性扩展带来极大的便利，使新的网络特性能在 l i n u x 内核中更容易被实现【2 9 】。 n e t f i l t e r 作为最新版本的l i n u x 网络包过滤机制，比以前有了很大的改进。n e t f i l t e r 提供了一个抽象、 通用化的框架，该框架定义的一个子功能的实现就是对各个层次的网络协议包进行过滤【3 0 1 。n e t f i l t e r o 框架 包含：为每种网络协议( i p v 4 、i p v 6 等) 定义一套钩子( h o o k ) 函数( 1 p v 4 定义了5 个钩子函数) ，这些 钩子函数在数据报流过协议栈的几个关键点被调用；内核的任何模块可以对每种协议的一个或多个钩子进 行注册，实现挂接，这样当某个数据包被传递给n e t f i l t e r 框架时，内核能检测是否有任何模块对该协议和 钩子函数进行了注册。若注册了，则调用该模块的注册时使用的回调函数，这些模块就有机会检查( 可能 还会修改) 该数据包、丢弃该数据包及指示n e t f i l t e r 将该数据包传入用户空间的队列；需要被缓冲接收的 数据包可以传递给用户空间进行异步处理。一个用户进程能检查数据包、修改数据包，甚至可以重新将修 改过的数据包通过注入内核里的某个钩子函数，重新进入网络的协议栈。 所有的包过滤和n a t 等技术都基于该框架。内核网络代码中不再有到处都是的、混乱的修改数据包 的代码t 。当前n e t f i l t e r 构架在i p v 4 、i p v 6 等网络协议栈中都已实现。 i p v 4 数据包在n e t f i l t e r 框架中的流程如图1 2 所示，图中椭圆所在的位置印为n e t f i l t e r 中的几个钩子 函数。数据包从左边进入，首先就到了钩子函数l ( n f i p _ i 妒e _ r o u t i n g ) ，然后经过路由选择，有三种 可能，一种是要从另一个网络接口出去的，第二种是到本机的，第三种是没有路由而被丢弃的。如果是到 本机的，那么进入钩子函数2 ( n f i pl o c a li n ) ；如果是要从另一个网络接口出去的，那么数据包就进 入钩子函数3 ( n fi pp o s tr o u t i n g ) ，然后数据包再进入钩子函数4 ( n f i p - p o s tr o u t i n g ) ，然后 发送出去。对本机产生的数据包，则会经过钩子函数5 ( n fi pl o c a lo u t ) ，再从本机发送至网络【3 1 1 1 3 2 1 。 图1 2i p v 4 网络数据包经过n e t f i l t e r 框架 ( 3 ) n e t l i n k 通信方法 在l i n u x2 4 版以后的内核中，几乎全部的中断过程与用户态进程的通信都是使用n e t l i n ks o c k e t 套接 字实现，同时还使用n e t l i n k 实现了i p _ q u e u e 工具3 3 1 。无阻塞地接收用户空间的数据，这对于实现高性能 网关极为重要，因此在实现本系统的原型时，使用了n e t l n i ks o c k e t 套接字技术。 内核的帮助文档和其它一些l i n u x 相关的资料，都没有对n e t l i n k 在中断过程和用户空间通信的应用上 作详细的说明，但通过阅读内核的源代码，同时参考了k e v i nk a i c h u a nh e 等人对n e t l i n k 的研究心得，可 以获得对n e t l i n k 的感性认识【3 4 】。虽然系统无法直接使用传统的进程问通信的方法去实现内核空间与用户 6 第一章绪论 空间之间的通信，但硬、软中断中也有一套同步机制一自旋锁( s p i n l o c k ) ，可以通过自旋锁，来实现中断 环境之间，中断环境与内核线程之间的同步，而内核线程是运行在有上下文环境中的，这样便可以在内核 线程中，使用套接字或消息队列来取得用户空间的数据，然后将数据通过临界区传递给中断过程，基本思 路如图1 3 。 用户态进程 软中断 中断过程 图1 3n e t l i n k 的工作原理 n e t l i n k 的通信依据是一个对应于进程的标识号，一般定为该进程的i d 号。当通信的一端处于中断过 程时，该标识为0 。当使用n e t l i n k 套接字进行通信时，通信双方都是用户态进程，则使用方法类似于消息 队列。但若通信双方有一端是中断过程，使用方法则有所不同。n e t l i n k 套接字的最大特点，是对中断过程 的支持，它在内核空间接收用户空间数据时，不再需要用户自行启动一个内核线程，而是通过另一个软中 断调用用户事先指定的接收函数p 5 1 。 很明显，这里使用了软件中断而不是内核线程来接收数据，这样就可以保证数据接收的实时性。当 n e t l i n k 套接字用于内核空间与用户空间的通信时，在用户空间的创建方法和一般套接字使用方法类似，但 内核空间的创建方法则不同，图l - 4 是n e t l i n k 套接字实现此类通信时创建的过程【3 6 1 。 内核态 i i 1 3 论文研究目的 图l - 4n e t l i n k 套接字的创建过程 目前，我国各级政府、企业为了适应信息化进程的需要，都在建设自己的内部网络以便提高自身的工 作效率和竞争力。随着工作业务范围的不断扩大，网络规模也在不断扩大，有些甚至超过了城域网而真正 成为了广域网【2 们。为了保护通信安全，在建设网络环境中，按照传统的方式就要建造自己的专用广域网或 7 第一章绪论 城域网，费用昂贵，任何一个单位无法承受。能否借助公众信息网来实现专用网络的功能，成为人们研究 的重点。由于公众信息网是对整个社会开放的公众基础网络，具有覆盖范围广、速度快、费用低、使用方 便等特点，但存在着安全性能较差的问题。用户通过公众信息网传输的信息，在传输过程中随时可能被偷 看、修改和伪造，信息的安全性和可靠性就降低了。 因此，通过公众信息网进行内部网络互连尽管能够大幅度降低网络架设成本，但也带来了重大的安全 隐患。解决这一矛盾的方法之一就是采用高性能安全网关技术。 基于l i n u x 系统平台，构建和研究具备路由、网络地址转换以及防火墙功能的高性能网关。随着对网 络性能和安全性要求的不断提高，本课题提出了对l i n u x 网关路由器的安全性能优化和测试研究的观点。 本论文研究的目的包括： ( 1 ) 改进l i n u x 内核，提高系统的性能； ( 2 ) 通过对各种安全技术的分析，构建高性能安全网关； ( 3 ) 实现网络层和应用层安全网关。 1 4 本文研究内容 本论文完成的主要工作： ( 1 ) 分析网关的过虑机制。 ( 2 ) 分析高性能网关的安全技术。 ( 3 ) 应用数据的获取与分析。 ( 4 ) 内核系统改进以及完全网关的实现。 本论文包括六章：第一章绪论部分介绍了本文的研究背景，研究目的和研究内容，并对l i n u x 操作系 统及相关技术进行深入分析；第二章深入分析了高性能安全网关技术。第三章是针对高性能安全网关的设 计思想进行系统总体设计：第四章对应用数据进行了截取和分析；第五章详细介绍了网络层安全网关的软 件实现，并进行了系统测试和分析测试结果；第六章总结了所做的工作以及需要改进的方面。 8 第二章高性能安全网关技术 第二章高性能安全网关技术 2 1 网关的过滤机制 高性能安全网关按照其采用的过滤机制主要分为：包过滤器、链路网关和应用网关。这三种机制通常 结合使用，组合过滤网关就是一种结合了以上三种技术的过滤机制的高性能安全网判3 7 】。 ( 1 ) 包过滤器 包过滤器采用一种映射机制，以区分合法数据包和欺骗数据包。包过滤是安全映射最基本的形式，路 由软件可根据包的源地址、目的地址或端口建立许可权，对众所周知的端口号的过滤可以阻止或允许网际 协议，如f t p 、r l o g i n 等。过滤器可对进入和流出的数据操作，在网络层实现过滤意味着路由器可以为所 有应用提供安全映射功能。 包过滤作为逻辑意义上路由器的常驻部分，可在任何可路由的网络中自由使用，但它仍有很多弱点。 比如，包过滤很容易被攻破。包过滤比较每个数据包，基于包头信息与路由器的访问列表的比较来做出通 过或不通过的决定，这种技术存在许多潜在的弱点。首先，它直接依赖路由器管理员正确地编制权限集， 这种情况下，拼写错误是致命的；即使管理员准确地设计了权限，其逻辑也必须毫无破绽才行。虽然设计 路由似乎很简单，但开发和维护一套复杂的权限很麻烦，必须根据防火墙的权限集来理解和评估每天的变 化，新添加的服务器如果没有明确地被保护，可能就会成为突破点【3 8 j 。 随着时间的推移，访问权限的查找会降低路由器的转发速度。每当路由器收到一个分组，它必须识别 该分组要到达目的地需经由的下一跳地址，检查访问列表以确定其是否被允许到达该目的地。访问列表越 长，此过程要花的时间就越多。 包过滤的第二个缺陷是它认为包头信息有效，无法验证该包的源头。头信息很容易被精通网络的人篡 改，这种篡改通常称为“欺骗”。包过滤的种种弱点使它不足以保护你的网络资源，最好与其他更复杂的 过滤机制联合使用，而不要单独使用【3 引。 而赢而 、1 、。_ _ _ _ - 一 一 ， 路ej 器 ， d 以c 网， ： 铰翼款j、 图2 - i 链路网关 9 第二章高性能安全网关技术 ( 2 ) 链路网关 链路级网关对于保护源自私有、安全的网络环境的请求很理想。这种网关拦截t c p 请求，甚至某些 u d p 请求，然后代表数据源来获取所请求的信息。该代理服务器接收对i n t e m e t 上的信息的请求，并代表 数据源完成请求，如图2 1 所示。实际上，此网关就像一条将源与目的连在一起的线，但使数据源避免了 穿过不安全的网络区域所带来的风险。 这种方式的请求代理简化了边界网关的安全管理，如果做好了访问控制，除了代理服务器外所有传出 的数据流都被阻塞。理想情况下，此服务器有唯一的地址，但该地址不属于任何内部使用的网段。这使无 意中暴露给不安全区域的信息量最小化。因为此时只有代理服务器的网络地址可被外部得到，而安全区域 中每个联网的计算机的网络地址是不能被外部得到的f 3 9 】。 o ) 应用网关 包过滤实现的是对所有穿过网络层包过滤设备的数据的通用保护，而应用网关在每个需要保护的主机 上放置高度专用的应用软件，它防止了包过滤的陷阱，实现了每个主机的安全。 应用网关的一个例子是病毒扫描器，这种专用软件已经成了桌面计算的主要产品之一。它在启动时调 入内存并驻留在后台，持续地监视文件不受已知病毒的感染，甚至是系统文件的改变。病毒扫描器被设计 用于在危害可能产生前，保护用户不受到病毒的潜在损害。 这种保护级别需要检查每个分组的内容，验证其来源，确定其正确的网络路径，并确定其内容是有意 义的还是欺骗性的。不可能在网络层实现，否则将严重影响网络性能【3 9 1 。 ( 4 ) 前三种过滤机制的结合一组合过滤网关 使用组合过滤方案的网关通过冗余、重叠的过滤器提供相当坚固的访问控制，可以包括包、链路和应 用级的过滤机制。这样的网关最普通的实现是像岗哨一样保护私有网络边界的出入点，通常称为边界网关 或防火墙。这一重要的责任通常需要多种过滤技术以提供有力的防护。图2 - 2 所示为由两个组件构成的网 关：一个路由器和一个处理机。结合在一起后，它们可以提供协议、链路和应用级保护。 安 、 ，鑫妒一世 m e 画r n e t j 、一彤：磐：x 9 一 。 、 、 、 图2 - 2 组合过滤网关 这种专用的网关不像其他种类的网关一样，需要提供转换功能。作为网络边界的网关，它们的责任是 控制输入输出的数据流。显然，由这种网关联接的内网与外网都使用i p 协议，因此不需要进行协议转换， 过滤是关键。 1 0 第二章高性能安全网关技术 保护内网不被非授权的外部网络访问的原因显而易见，而控制内网对外部网络访问的原因就不那么明 显了。但在某些情况下，网关需要过滤发向外部网络的数据。如用户基于浏览的增值业务可能产生大量的 w a n 流量，如果不加控制，容易影响网络运载其他应用的能力，有必要全部或部分地阻塞此类数据【4 0 】。 互联网的i p 协议是个开放的协议，用于实现网段间的通信。这既是其主要的力量，同时也是其最大的 弱点。为两个i p 网提供互连，在本质上创建了一个大的i p 网，保卫网络边界的网关的任务就是在合法的 数据和欺骗性数据之间进行分辨。 现实中实现一个网关并不是个简单的任务，其成功与否依靠准确的需求定义、仔细的设计过滤策略来 实现。首要任务是建立全面的规则，在深入理解安全和开销的基础上定义可接受的折衷方案，这些规则建 立了安全策略。 安全策略可以是宽松的、严格的或介于二者之间。在一个极端情况下，