（计算机应用技术专业论文）基于linux的混合增强型防火墙设计与实现.pdf

摹十l i n u x 的混台增强型防火_ i ； ；设计1 ，实现 摘要 本文对基于l i n u x 2 4 内核的混合增强型嵌入式防火墙的设计与 实现进行了分析和讨论。论文介绍了防火墙在网络应用中的重要地位 及应用情况，概述了当今实际应用中的防火墙类型及关键技术，分析 了l i n u x 2 4 内核的n e t f i l t e r i p t a b l e s 防火墙框架，提出了在l i n u x 2 4 的基础上开发实用的混合增强型嵌入式防火墙的总体设计构想。混合 增强型嵌入式防火墙的设计包括系统硬件结构设计、l i n u x 操作系统 的安全优化、防火墙用户管理界面设计、流量统计与日志功能设计和 防火墙安全策略等几个方面。论文着重论述了u r l 与关键字过滤模 块、基于w e b 的远程管理与配置模块和日志与流量统计模块的设计 与实现。最后，论文提出了在当前完成内容的基础上作进一步开发的 设想。 关键字：历火掰，n e o q l t e r ，i p t a b l e s ，l i n u x 作者：刘传亮( 计算机应用技术) 指导老师：陆建德 a b s t r a c tt h ed e s i g na n di m p l e m e n t a t i o no f t h eh y b r i de n h a n c e df i r e w a l lb a s e do nl i n u xk e r n e l a b s t r a c t t h i s p a p e r h a s a n a l y z e d a n dd i s c u s s e dt h e d e s i g n a n d i m p l e m e n t a t i o no ft h eh y b r i de n h a n c e df i r e w a l lb a s e do nl i n u x2 4 k e r n e l t h ef i r e w a l l p l a y s t h e i m p o r t a n t r o l ei n t o d a y s n e t w o r k a p p l i c a t i o n t h ep a p e r h a ss u m m a r i z e dt h et y p e so ff i r e w a l la n dt h ek e y t e c h n o l o g yi nc u r r e n tp r a c t i c a la p p l i c a t i o n t h ep a p e rh a sa l s oa n a l y z e d t h en e t f i l t e r i p t a b l e sf i r e w a l lf r a m e w o r ko nt h el i n u x2 4k e r n e l b a s e d o nt h i sf r a m e w o r k , t h i s p a p e rp r e s e n t e d t h eg e n e r a l d e s i g nt h o u g h t so f t h e h y b r i de n h a n c e df i r e w a l l ，w h i c h i n c l u d e ：h a r d w a r e s y s t e md e s i g n ， e n h a n c e ds e c u r i t y p e r f o r m a n c ed e s i g n ，t h e f i r e w a l lu s e r m a n a g e m e n t i n t e r f a c ed e s i g n 1 0 9a n dt r a f f i cs t a t i s t i cd e s i g na n dt h es e c u r i t ys t r a t e g y d e s i g n t h i sp a p e rh a sm a d ed e t a i l e de x p l a n a t i o n s t ot h e d e s i g n a n d i m p l e m e n t a t i o n o ft h eu r la n d k e y w o r df i l t e r i n gm o d u l e ，t h ew e b b a s e d r e m o t em a n a g e m e n ta n dc o n f i g u r a t i o nm o d u l e ，a n dt h el o ga n dt r a f f i c s t a t i s t i cm o d u l e i nt h ee n d ，t h ep a p e rh a sg i v e no u ts o m e s u g g e s t i o n sf o r t h ef u r t h e rd e v e l o p m e n ti nt h ef u t u r e k e y w o r d s ：f i r e w a 髓n e t f i l t e r , i p t a b e l s ，l h u x w r i t t e n b y l i u c h u a n l i a n g ( c o m p u t e ra p p l i c a t i o n ) s u p e r v i s e db y l uj i a n d e y6 45 7 48 苏州大学学位论文独创性声明及使用授权声明 学位论文独创性声明 本人郑重声明：所提交的学位论文是本人在导师的指导下，独立进行 研究工作所取得的成果除文中已经注明引用的内容外，本论文不含其他个 人或集体已经发表或撰写过的研究成果，也不含为获得苏州大学或其它教 育机构的学位证书而使用过的材料对本文的研究作出重要贡献的个人和 集体，均已在文中以明确方式标明本人承担本声明的法律责任 研究生签名：皇塑耋垒日期：! 丝：1 2 学位论文使用授权声明 苏州大学、中国科学技术信息研究所、国家图书馆、清华大学论文合 作部、中国社科院文献信息情报中心有权保留本人所送交学位论文的复印 件和电子文档，可以采用影印、缩印或其他复制手段保存论文本人电子文 档的内容和纸质论文的内容相一致除在保密期内的保密论文外，允许论文 波查阅和借阅，可以公布( 包括刊登) 论文的全部或部分内容论文的公布 ( 包括刊登) 授权苏州大学学位办办理 研究生签名：型! 遮丝日期：! ! ：! ：! z 导师签名：2 刍! 碰日期，塑堡兰乡 基于l i n u x 的混合增强型胁火端垃计1 ，实现 序言 自从互连网问世以来，它就以爆炸式的速度发展着。各种网络新 技术、新概念层出不穷。网络技术的发展给人们生活带来了极大的便 利，i n t e m e t 用户数量连年翻番；网络技术也大大促进了生产效率的 提高，它早已成为现代化企业的必备的办公与生产工具。总之人们在 各个方面已经变得越来越依赖网络。 随着网络的开放性、共享性和互连程度扩大，特别是i n t e m e t 的 发展，网络的重要性和对社会的影响也越来越大。随着网络上各种新 兴业务的兴起，比如电子商务、电子现金、数字货币网络银行等，以 及各种专用网的建设，比如金融网等，使得安全问题显得越来越重要。 因此网络安全成了数据通信领域研究和发展的一个重要方向，对网络 安全技术的研究成了现在计算机和通信领域的一个热点，并且成为信 息科学的一个研究领域，正日益受到人们的关注。 网络安全从本质上讲就是网络上的信息安全，它涉及的领域相当 广泛。从广义上说，凡是涉及到网络上信息的保密性、完整性、可用 性、可控性的相关技术和理论都是网络安全所要研究的领域【| 9 1 。 网络安全技术所要面对的是来自于网络上各种形式的威胁，如： 黑客入侵、内部攻击、不良信息传播、秘密信息泄漏、修改网络配置、 造成网络瘫痪等。可归纳为以下几个方面圳： 夺利用系统缺陷或后门进行攻击 令防火墙的安全隐患 夺内部用户的窃密、泄密和破坏 夺网络监督和系统安全评估性手段的缺乏 令口令攻击和拒绝服务 夺电子邮件所携带的病毒及有恶意代码的网页所造成的安全隐 患 夺网络嗅探等安全工具的非法使用 接卜l i n u x 的混合增强型聃火墙垃计0 实珧 基于网络上存在的安全威胁和用户对网络安全方面的要求，相应 的网络安全技术也不断发展，出现了各种各样的网络安全技术，综合 起来有以下几种： 夺v p n 与i p s e c 技术 夺网络加密技术 夺操作系统安全内核技术 令数字签名与认证技术 夺入侵检测技术( i d s ) 令网络防病毒技术 夺防火墙技术 防火墙是综合了多种技术的一种极其重要的网络安全设备。由于 其处在网络的边缘，直接面对来自于网络上的各种威胁，因此对防火 墙的研究也成为当前网络安全研究的一个重要组成部分。 防火墙是近年来发展非常快的一项安全技术，在网络安全体系中 起到了安全门的作用。它能提供身份认证和访问控制，是网络的第一 道安全防线，与防毒、i d s 、v p n 及其他身份认证产品相比，防火墙 是各类网络安全产品中最受人瞩目的，也是最早成熟、最早产品化和 最多被大家使用的。目前，由于防火墙产品的逐渐普及，防火墙已成 为企业网络建设是否采取网络安全措施的标志。 目前国外知名的防火墙品牌有c h e c kp o i n t 公司的f i r e w a l l 1 、 c y b e r g u a r d 公司的c y b e r g u a r df i r e w a t l 、w a t c h g u a r dt e c h n o l o g y 公司 的w a t c h g u a r ds e c u r i t ys y s t e m 、c i s c o 的p i x 等。国内防火墙生产厂 商众多，比较著名的有北京天融信、上广电、上海华依、广州天网、 清华得实、东大阿尔派等。 下面就国内外两种有代表性的防火墙产品的性能特点做一概括 性的比较。 ( 1 ) c h e c kp o i n t 公司的f i r e w a l l 1 ：c h e c kp o i n t 公司是最早将状 态检测技术应用到防火墙产品的公司，其f i r e w a l l 1 系列防火墙也在 全世界的市场占有率最高。f i r e w a l l 1 防火墙具有支持多种认证手段、 举十l i n u x 的混合增强型防火端砹计l 实帆 提供n a t 地址转换、内容的安全管理( h t t p 、f t p 、s m t p ) 、病毒 扫描以及详尽而灵活的网络审计等功能。f i r e w a l l l 防火墙的价格在 几十到上百万元，属于高档次的防火墙类型l ”】。 ( 2 ) 广州天网公司的s k y n e tf i r e w a l l 系列防火墙：天网系列防火 墙分为工作组级、企业级及电信级等多种应用等级，分别适于小型、 中型与大型的网络应用。天网防火墙采用硬件集成设计，采用专用的 网络操作系统s n o s ( s k y n e to s ) ，防火墙与系统内核融为一体。它 采用了w b m ( w e bb a s em a n a g e m e n t ) 管理界面，具有通用直观的特 点。系统采用中国化的设计，不单是界面全中文化，还提供了符合中 国国情的全文过滤系统。系统还具有透明代理、u r l 统计拦截、双 机热备份及可选的v p n 虚拟专网等功能。天网防火墙的价格在几万 到十几万之间，属于中档防火墙产品1 2 ”。 可以看出，这些防火墙产品功能都十分强大，但是对于数十人以 下的小型应用来说价格都很高，而在这一应用规模上可以选择的防火 墙产品并不多。因此，在确立本课题目标时，把开发方向定为：面向 企事业中小型部门或办公室与家庭用户，开发具有包过滤、状态检测、 h 盯p 过滤等混合功能的防火墙产品，使其具有可靠的安全性、完备 的防火墙功能、较短的开发周期及性价比高等特点。 根据问题的提出，我们确立了以下的设计思路： 夺采用兼容x 8 6 架构的嵌入式平台 夺以标准版l i n u x 为基础，通过裁减配置生成适合嵌入式防火 墙要求的安全内核，重点去除不必要及不安全的服务 夺根据防火墙自身的安全要求对l i n u x 内核加以改进，重点是 根据防火墙具体设计要求增加相应的功能模块 夺设计适合于嵌入式硬件防火墙的用户接口模块，开发流量统 计与日志模块等防火墙的必备功能 本课题对基于l i n u x 的混合增强型防火墙进行开发的意义在于： ( 1 ) 防火墙研究具有较高的实用价值，虽然现在市场上早已出现 了多种成熟的防火墙产品，但是对于中低端的应用来说，提供性能可 皋十l i n u x 的摁台增强型防火端设计与实现 靠、价格低廉的防火墙选择还不多。开发基于l i n u x 的混合增强型防 火墙具有开发速度快、成本低廉的优点，可以很好地满足这类需求。 ( 2 ) 防火墙技术综合了多种网络安全技术，分析、研究、跟踪目 前国际、国内最新的网络安全技术与防火墙技术，对于自身网络及网 络安全知识是一次系统而深入的学习，本课题的研究与开发也是在网 络安全领域安全产品设计的一次有益探索。 ( 3 ) l i n u x 操作系统为防火墙的研究提供了一个很好的切入点。它 是开放源码，没有如人们对微软w i n d o w s 系统那样的安全隐忧，本 身具有较高的安全性，且便于学习与进一步开发，通过在其上进行防 火墙项目的开发，对l i n u x 内核与t c p i p 协议栈的分析与认识可以 更加彻底与深化，对于国外系统软件的研究也会更加深入，这对今后 设计我们自己的具有知识产权的系统软件产品也不无借鉴意义。 本论文体系分为七章，各章内容安排如下： 第一章概括地对防火墙技术做介绍，主要包括防火墙的分类、防 火墙拓扑结构及防火墙设计策略；第二章介绍基于l i n u x 的混合增强 型防火墙的总体设计；第三章介绍n e t f i l t e r i p t a b l e s 的实现机制，对它 的架构进行细致地分析，这一章也是下面进一步开发的基础；第四章 介绍u r l 过滤与拦截模块的设计与实现：第五章介绍基于w e b 的 远程管理模块的设计与实现；第六章介绍日志与流量统计模块的设计 与实现：最后，在第七章对全文作出总结并提出进一步开发的构想。 捧十l i n u x 的混合增强型防火_ i j 6 设计，实现 1 1 防火墙工作原理 第1 章防火墙概述 防火墙技术是目前各种网络安全解决方案中常用的技术，它通过 控制和检测网络之间的信息交换和访问行为来实现对网络的安全管 理。防火墙技术作为目前用来实现网络安全措施的一种主要手段，它 主要是用来拒绝未经授权的用户访问，阻止未经授权的用户存取敏感 数据，同时允许合法用户不受阻碍地访问网络资源，从总体上看，防 火墙应具有以下五大基本功能i l 9 j ： 过滤进出网络的数据包。 管理进出网络的访问行为。 封堵某些禁止的访问行为。 记录透过防火墙的信息内容和活动。 对网络攻击进行检测和告警。 为实现以上功能，在防火墙产品的开发中，人们要应用网络拓扑 技术、计算机操作系统技术、路由技术、加密技术、访问控制技术、 安全审计技术等成熟或先进的技术手段。其工作原理是：按照事先规 定好的配置与规则，监测并过滤通过防火墙的数据流，只允许授权的 或者符合规则的数据通过。防火墙应该能够记录有关连接的信息、服 务器或主机间的数据流量以及任何试图通过防火墙的非法访问记录。 同时，防火墙自身也应具备较高的抗攻击性能。 1 2 防火墙的分类及其关键技术 1 2 1 静态包过滤防火墙 较早期的防火墙是基于路由器配置而成，它们根据数据报的源地 址、目的地址、t c p 或u d p 的源或目的端口、i c m p 信息类型等， 过滤进出网络的数据包。这种在包过滤防火墙中使用的路由器称为过 第1 章舫火端概述 摧十l i n u x 的混合增强型防火端设计j 实观 滤路由器。与普通路由器的区别是除了决定该数据包能否被它路由到 目的地址之外，过滤路由器还要决定是否应该对这个包进行路由。比 如通常的c i s c o 路由器都有对数据包过滤的支持。如图1 1 所剥2 7 1 ， 包过滤防火墙主要工作在网络层。 图1 ，1 静态包过滤l ：作方式 静态包过滤技术的优点是：速度快、效率高，对应用程序透明， 可方便隔离内外网络； 缺点是：安全性低，不能支持更高层的协议，无法进行身份验证， 维护不直观。 1 2 2 应用代理防火墙 应用代理防火墙也就是通常所说的代理服务器。它适用于特定的 互联网服务，如超文本传输( h t t p ) 、远程文件传输( f t p ) 等。代 理服务器通常运行在两个网络之间，它对于客户来说像是一台服务 器，而对于外界的服务器来说，它又是一台客户机。当代理服务器接 收到用户对某站点的访问请求后会检查该请求是否符合规定，如果规 则允许用户访问该站点的话，代理服务器会象一个客户一样去哪个站 点取回所需信息再转发给客户。如图1 2 所示1 2 n ，应用代理防火墙主 要工作在应用层，代理服务器在接到用户请求后，首先把信包送到应 璀十l i n u x 的泥台增强型防火埔搜计j 实现 用层进行分析处理，然后代理服务器代替客户端向外部地址发出请 求。 幽12 庸州代理的1 仃方式 应用代理技术的优点是易于配置、界面友好，不允许内外网主机 的直接连接；可以提供比包过滤更详细的日志记录；可以隐藏内部i p 地址；提供应用层的安全；提供用户级的控制：可以为用户提供透明 的加密机制。代理技术的缺点是：处理速度比包过滤技术慢；只支持 有限的应用层服务；对用户不透明，不方便使用；安全性更依赖于操 作系统的支持：将其作为防火墙使用有限制，一般用于代理内部网到 外部网的访问。 1 2 3 状态检测防火墙 在静态包过滤技术基础上引入状态检测机制的防火墙称为状态 检测防火墙。这种防火墙具有非常好的安全特性，它使用了一个在网 关上执行安全策略的软件模块，称之为检测引擎。检测引擎在不影响 网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层 实施检测，抽取状态信息、并动态地保存起来作为以后执行安全策略 的参考。检测引擎支持多种协议和应用程序，并可以很容易地实现应 早十l i n u x 的混台增强型防火墙砹计，实现 用和服务的扩充。如图1 _ 3 所示m 】，状态检测防火墙检测网络层到应 用层各层连接状态。 图1 3 状态检测的l 作方式 1 2 4 基于安全内核的新一代防火墙 新一代的防火墙建立在安全的操作系统之上，安全的操作系统来 自于对专用操作系统的安全加固和改造，从现有的诸多产品看，对安 全操作系统内核的固化与改造主要从以下几方面进行：取消危险的系 统调用；限制命令的执行权限；取消i p 的转发功能；采用随机连接 序号；驻留分组过滤模块；取消动态路由功能：采用多个安全内核， 等等【2 0 1 。随着l i n u x 操作系统的广泛流行，国内在安全操作系统的研 究与开发中也推出了一批开发成果。如中科院计算所开发的基于 l i n u x 的安全操作系统l i d s ，具有通过权能( c a p a b i l i t y ) 机制实现对 整个系统的控制，提供访问的控制表支持，具有入侵检测和响应功能； 南京大学开发的基于l i n u x 的安全操作系统s o f t o s ，提供了强制的访 问控制、审计、禁止客体重用、入侵检测和扩展的系统资源访问控制 等功能模块；以及中科院信息安全技术工程研究中心开发的基于 肇十l i n u x 的混台增强型防火端设计1 j 实耻 l i n u x 的安全操作系统s e c l i n u x ，提供了身份表识与鉴别、自主访问 控制、强制访问控制、最小特权管理、安全审计、可信通路、密码服 务和网络安全服务等方面的支圳2 8 1 。 1 3 防火墙拓扑结构及其应用 防火墙的拓扑结构与防火墙系统的性能密切相关，一般采用以下 三种结构：双宿主主机结构、屏蔽主机结构和屏蔽子网结构2 0 1 。 1 3 1 双宿主主机结构 双宿主主机是指具有至少两个网络接口的通用计算机系统。这种 主机可以配置成两个网络之间的路由器，即它能将一个网络的i p 包 在无安全控制下传递给另一个网络。但是，当一台双宿主主机被配置 成防火墙的时候，它的路由功能将首先被禁止。内外网络均可以与双 宿主主机通信，但内外网络之间不可以直接通信。因此，这种结构的 防火墙通常使用应用代理功能。其结构如图1 4 所示： 幽1 4 取宿主主机结构 双宿主主机结构的优点是防火墙结构简单，能有效隔离内部与外 部网络的连接。缺点是只有用代理服务的方式或者让用户直接注册到 双宿主主机上才能提供安全控制服务，而用户帐户本身就会产生很大 皋十l ir t u x 的混合增强型叻火端设计，实现 的安全问题。如果用户非法获得双宿主主机的管理权限，则可以改变 防火墙的配置，使防火墙失效。例如开通路由功能将使内外部网络直 接连通。 1 3 2 屏蔽主机结构 与双宿主主机结构不同，在屏蔽主机结构中，提供安全保护的堡 垒主机完全放在了内部网络。此外，还需一台单独的路由器作为内外 部网络的过滤路由器。屏蔽主机结构如图1 5 所示。这种结构中的堡 垒主机位于内部网络，而过滤路由器按如下规则过滤数据包：任何外 部网的主机都只能与内部网的堡垒主机建立连接，任何外部系统对内 部网络的操作都必须经过堡垒主机；同时，禁止内部主机对外部网络 的直接访问。 幽1 5 主机过滤结构 主机过滤结构与双宿主主机结构最大的不同是把提供安全服务 的堡垒主机移到了内网上，但是主机过滤结构能够提供比双宿主主机 结构更高的安全性。因为一般来说，在一台路由器上施加保护，比在 一台主机上施加保护要容易得多。在这种情况下，对路由器配置的正 确与否成为防火墙是否安全的关键，如果路由表被修改，则堡垒主机 可能被超越，使内部网完全暴露。 基十l i n u x 的混合增强型防火埔设计。，实现 1 3 3 屏蔽子网结构 屏蔽子网结构就是在主机过滤结构中再增加一层隔离措施，使得 内部网与外部网之间有两层隔断。这两层之间被称为非军事区 ( d m z ) 。在这种结构中，有两台都与d m z 相连的过滤路由器，分 别位于内部和外部网的边缘。路由器的配置规则使内、外部网络都能 访问d m z ，但禁止内、外部网络直接通信。非军事区放置堡垒主机， 以提供内、外部网络的安全服务。另外，允许外部直接访问的服务器 如h t t p 服务器、邮件服务器等也放在非军事区。如图1 6 所示。 幽1 6 屏蔽子网结构 屏蔽子网防火墙能提供较高的安全保护。即使入侵者攻克了堡垒 主机，他还必须通过内部路由器才能到达内部网络。这样，整个网络 安全机制就不会因为一点被攻破而全部瘫痪。 1 4 防火墙的设计策略 防火墙的基本设计策略有以下两种侣】： 拒绝访问除明确许可以外的任何种服务， 予特许的东西。 允许访问除明确拒绝以外的任何种服务， 特别拒绝的东西。 即拒绝一切未赋 即允许一切未被 皋十l i n u x 的混台增强型防火片籀设计0 实现 如果防火墙采取第一种安全策略，那么，需要确定所有可以被提 供的服务以及他们的安全特性，然后开放这些服务，并将其他服务排 斥在外，禁止访问。这种策略比较保守，因此提供比较高的安全性。 如果采用第二种安全策略，则需要确定哪些认为是不安全的服务，并 禁止对其访问；其他服务则被认为是安全的，允许访问。这种策略好 处是较灵活，能提供较多的服务，但是缺点也很明显，当网络规模扩 大或网络提供的服务较复杂的时候难以周全考虑禁止的范围，以至产 生安全漏洞。 采用哪种安全策略要看具体应用。在本课题设计中，对l i n u x 防 火墙的包过滤规则采用了缺省拒绝的策略；对w e b 过滤则采用了缺 省允许的策略。 举十l i n u x 的混合增强型酣火冀：；设计1 j 实现第2 币h e f w 防火端总体跌计 第2 章h e f w 防火墙总体设计 2 1h e f w 防火墙各模块的组成 通常，防火墙从功能上划分，可以分为以下几个组成部分，如图 2 1 所示： 图2 1 防火墙系统结构 本课题设计的混合增强型嵌入式防火墙( h y b r i de n h a n c e d f i r e w a l l ，下文简称既f w ) ，其目标系统基于l i n u x2 4 x 内核，采 用一体化的硬、软件设计，去除对标准输入输出设备的支持，仅提供 多个以太网口及通用串口作为接入与控制台配置手段，目标系统在功 能和使用上已与桌面型的l i n u x 系统有很大的不同，对于上述防火墙 的功能组成，除l i n u x 本身提供的包过滤手段和有限的日志功能，其 他多个功能部件都需要进行有针对性的专门软件设计。 2 。2h e f w 防火墙系统硬件结构设计 此类防火墙的硬件设计通常有两种途径，一种是基于专用嵌入式 处理器( 如m o t o r o l a ，a r m 等专用嵌入式处理器) 开发专用的硬件 设备，一种是基于传统x 8 6 架构的硬件设计。其各自优缺点的比较 如下表所示： 表2 1 ：不同硬什平台的比较 专州处理器结构x 8 6 结构 硬件开发周期k ，需要专门设计短有较多通用部什供选州 调式手段调式困难，需要专| - j 辅助r 贝调试容易，可以在普通p c 上开发 硬件成本人规模生产时成本低采川x 8 6 架构士扳芹 芯片，价格较高 综合以上特点，本次设计采用以x 8 6 架构为基础的硬件平台，这 第2 章h e f w 防火埔总体殴计早十l i n u x 的混含增强型防火墙垃计j 实现 样的优点是可以省去硬件设计的麻烦，从而可以把主要精力放在防火 墙软件和功能模块的设计上。防火墙的硬件配置如下： 主板：采用专为网络应用设计的工控板，集成三个1 0 1 0 0 m 以太 网口和一个串行口； c p u ：p e n t i u m l i i 8 0 0 m h z ； r a m ：2 5 6 兆s d r a m r o m ：3 2 兆i d e 接口f l a s h 硬盘 2 3l i n u x 操作系统的配置与安全优化 l i n u x 操作系统本身具有较高的安全性能，国内一些防火墙厂商 就是在l i n u x 基础上开发自己的防火墙产品。为了使操作系统适合于 防火墙的安全要求，应尽可能地裁减内核中不必要的功能，仅保留对 p e n t i u mi i ic p u 、i d e 设备、网络接口设备、串口设备及网络功能等 的支持，同时对l i n u x 内核的安全性能进行增强。 本次设计重点在于防火墙高级功能的实现，硬件及精简与安全增 强l i n u x 内核的开发由本课题组其他同学负责，因此在开发阶段暂时 采用标准版2 4 2 0 内核，待防火墙专用硬件及精简与安全增强l i n u x 操作系统开发成功再移植过去。 2 4 防火墙安全管理与用户界面的设计 本课题设计的h e f w 防火墙提供三种管理方式，如图2 2 所示： 舭墙， 安个s h e l lw e b 抖血管理谈块 幽2 2 防火墒管理模块与川户界面 i f i ：i 理模块 苹十l i n u x 的混台增强型防火墙设计o 实现第2 章h e f w 防火端总体、世计 通过w e b 浏览器在内部网的其他机器上远程管理。这是 h e f w 防火墙的主要配置方式，它方便直观，可以进行防火 墙的全部功能设置。为保证安全，缺省情况下设置只允许特 定i p 地址的内网主机通过s s l 访问此服务，并引入身份认证 与分级管理机制，由管理员在初次登录的时候设置允许管理 防火墙的主机i p 及管理员密码。 通过s s h 远程登录防火墙。s s h 服务是用来替代t e l n e t 的安 全远程登录服务，它对传输过程中的数据进行加密，可以有 效防止网络嗅探等手段截取管理员登录帐号。对s s h 服务的 访问策略为只允许内部网段的i p 登录。为防止用户使用其他 无关的l i n u x 命令，应去除系统中原有的s h e l l ，另设计防火 墙专用s h e l l 以便只运行特定的命令。 通过串行口直接对防火墙进行控制与配置。在这种方式下， 通过串行线将防火墙与另一台计算机相连，控制端计算机通 过超级终端进入安全s h e l l ，通过控制台界面管理防火墙。这 种方式给用户提供了一个在其他方式都失效的情况下管理防 火墙的最后手段。 防火墙专用s h e l l 与串行口的配置与调试由其他同学完成，本次 设计重点完成基于w e b 的防火墙远程管理，实现过程将在第五章中 详细论述。 2 5 增强的包过滤设计 l i n u x2 4 内核的n e t f i l t e r i p t a b l e s 防火墙框架具有比较完整的包 过滤功能，本课题设计的h e f w 防火墙的包过滤模块就是以 n e t f i l t e r i p t a b l e s 的包过滤功能为基础，通过w e b 远程管理模块等对 i p t a b l e s 命令进行调用，以配置防火墙的包过滤。n e t f i l t e r i p t a b l e s 框 架还提供了方便的二次开发的手段，本次设计中通过n e t f i l t e r i p t a b l e s 框架实现了u r l 与关键字过滤功能，这是在原有包过滤功能上的增 锖2 币h e f w 防火端总体吐计皋十l i n u x 的棍台增强坐防火墙砹计1 ，实j 见 强设计，它的作用是对经过防火墙的h t t p 请求进行处理、过滤掉对 非法域名的访问和对含有特殊关键字的u r l 的访问。具体实现将在 第四章详细论述。 2 6 流量统计与日志模块的设计 日志功能是防火墙必备的重要功能。l i n u x 防火墙本身提供了一 定的日志功能，主要是把防火墙模块的包过滤记录通过s y s l o g d 服务 输出到系统日志，这样会造成使用与维护的不便。尤其是在硬、软件 一体化防火墙设计中，用户不可以直接接触系统文件，更无法将防火 墙的记录同其他系统信息区分开来。解决的办法是设计一个单独的系 统日志处理模块。作用是对系统日志信息进行再处理，将防火墙记录 与系统记录区分开来，然后以方便的形式呈现给用户。 流量统计功能是在l i n u x 防火墙的基础上开发的一项新功能。作 用是按照i p 地址对流经防火墙的数据流量进行统计。目的是对网络 使用情况做进一步的分析，在此基础上还可以方便地实现按流量收费 的功能。具体设计与实现过程在第六章详细论述。 2 7h e f w 防火墙的安全策略 防火墙的安全策略是防火墙系统的重要组成部分。一个具有完善 的软硬件功能的防火墙系统，如果设置了不完善的过滤规则，将严重 影响它的安全效能。h e f w 防火墙的安全策略主要包括以下几个方 面： 1 防火墙硬件的安全：这方面的安全主要由防火墙的使用者 具体实施，主要原则是尽量避免无关人员的接触，务必保证 物理上的安全。 2 防止针对防火墙操作系统的攻击主要采用以下手段 使用s s h 登录取代t e l n e t 方式对防火墙进行远程管理，同 时限制只能从内部网段登录防火墙的s s h 服务； 皋十l i n u x 的混合增强型防火端垃汁，实现第2 常h e f w 聃火墙总体啦计 对基于w e b 的防火墙管理加入s s l 的支持，同时限制只 能从特定的i p 以w e b 方式登录防火墙； 至少设置两个级别的管理员帐户，根据最小特权原则对用 户的权限和功能进行限制； 将管理员登录防火墙后的操作写入日志以备查询。管理员 操作的日志由防火墙定期自动整理，不能被直接修改或删 除。 3 防火墙的包过滤策略：根据在第一章中关于防火墙的安全策 略的讨论，在本次设计中，对l i n u x 防火墙的包过滤规则采 用了缺省拒绝的策略；对w e b 过滤采用了缺省允许的策略。 2 8 实验环境 硬件： p e n t i u m l i i4 5 0 2 5 6 mr a m 三块以太网卡 软件： r e d h a t9 0 | l i n u xk e r n e l2 4 2 0 | a p a c h ev 2 0 m y s q lv i1 1 8l n t o p - 2 1 h e f w 实验网络的结构如图2 _ 3 所示： 第2 章h e f w 防火端总体设计燎十l i n u x 的混台增强型防火墙议计，实现 图2 3h e f w 网络配置 8 捧十l i n u x 的混台增强型防火端设计，实现 第3 章n e l f i l t e r i p t a b l e s 实现机制分析 第3 章n e t f ii t e r i p t a b l e s 实现机制分析 3 1n e t f i l t e r i p t a b l e s 概述 l i n u x 最初从2 0 内核的i p f w a d m 开始具备了基本的包过滤功能。 在l i n u x 2 2 内核中的防火墙i p c h a i n s 已经提供了完整的防火墙功能( 包 过滤，地址伪装，透明代理) 。国内较旱以l i n u x 为基础开发防火墙 产品大多数实际上运行了i p c h a i n s 作为防火墙的基础，有的甚至使用 更早的i p f w a d m 。 在l i n u x 2 4 内核中，被称为n e t f i l t e r 的防火墙以更好的结构重新 构造，并实现了许多新功能，如完整的动态n a t ( 2 2 内核实际是多对 一的”地址伪装”) 、基于m a c 的过滤、真正的基于状态的过滤( 不再 是简单的查看t c p 的标志位等) 、包速率限制等。 h e f w 防火墙的包过滤模块直接利用了l i n u x 2 4 内核的防火墙 框架。n e t f i l t e r 框架不仅功能强大，而且提供了方便的二次开发的手 段。h e f w 防火墙的u r l 与关键字过滤模块就是在n e t f i l t e r 的基础 上新设计出来的扩展功能。本章详细分析了2 4 内核n e t f i l t e r 框架的 实现机制，为防火墙功能的增强与改进打下基础。n e t f i l t e r 在 l i n u x 2 4 内核的i p v 4 、i p v 6 网络协议栈中都有相应的实现。h e f w 防火墙设计现使用环境为i p v 4 网络，因此本次设计主要分析n e t f i l t e r 在i p v 4 协议栈中的实现。 3 2n e t f i l t e r 在i p 协议栈中的总体框架 i p v 4 协议栈为了实现对n e t f i l t e r 架构的支持，在i pp a c k e t 在 i p v 4 协议栈上的游历路线之中，仔细选择了五个参考点2 4 1 。在这五 个参考点上，各引入了一行对n f h o o k ( ) 宏函数的个相应的调 用。这五个参考点被分别命名为p r e r o u t i n g ，l o c a l i n ， f o r w a r d ，l o c a l o u t 和p o s t r o u t i n g 。l i n u x 内置的防火墙 第3 章n e t f i l t e r i p t a b l e s 实现甘【制分析 疑十l i n u x 的混台增强型驸火墙设计1 7 实现 模块都是以这五个点( 以下称为钩子点或h o o k 点) 作为调用的入 口 在这五个点都有对n fh o o k 宏的调用，例如在i p 接收函数 i p r c v 中有： n f _ h o o k ( p f _ i n e t , n f i p p r e r o u t i n g , s k b ，s k b d e v , n u l l ，i pm v _ f i n i s h ) ； 这是在钩子点n fi pp r er o u t i n g 定义的防火墙模块函数， 其中n fh o o k 宏的定义提炼如下： # i f d e f c o n f i gn e t f i u e r _ d e b u g # d e f i n en f _ h o o k n f _ h o o k _ s l o w # e l s e # d e f i n en f _ h o o k ( p f , h o o k 。s k b ，i n d e v , o u t d e v , o k f n ) ( 1 i s t _ e m p t y ( & n f h o o k s ( p f ) ( h o o k ) ) ? ( o k f n x s k b ) ：n f _ h o o k _ s l o w ( ( p f ) ，( h o o k ) ，( s k b ) ，( i n d e v ) ，( o u t d e v ) ，( o k f n ) ) ) # e n d i f n fh o o k 宏的参数分别为： 1 ：p f 协议族名，n e t f i l t e r 架构同样可以用于i p 层之外，这个 变量还可以有诸如p fi n e t 6 ，p fd e c n e t 等名字。 2 ：h o o k ：h o o k 点的名字，对于i p 层，就是取下面介绍的五 个i d ； 3 ：s k b ：套接字缓冲区指针 4 ： i n d e v ：接收信包的设备，以s t r u c t n e td e v i c e 结构表示： 5 ：o u t d e v ：送出信包的设备，以s t r u c tn e td e v i c e 结构表示； 6 -o k f n ：是个函数指针，当所有在该h o o k 点注册函数调用完 后，运行此流程。 当c o n f i gn e t f i l t e r 被定义的时候，就转去调用 n fh o o k _ s l o w o i 甬数；如果c o n f i g n e t f i l t e r 没有被定义，则从 n e t f i l t e r 模块转回到i p v 4 协议栈，继续往下处理。这样就给了用户在 编译k e r n e l 的时候一个选项，可以通过定义c o n f i gn e t f i l t e r 与 否来决定是否把n e t f i t t e r 支持代码编译迸内核。n fh o o k 宏的h o o k 参数代表当前防火墙插入点的i d ，其定义如下： 基十l i n u x 的混台增强型防火墙设计1 j 实现第3 章a e f f i l t e r i p t a h l e s 实现机制分析 # d e f i n en fi pp r er o u t i n g # d e f i n en fi pl o c a li n # d e f i n en fl pf o r w a r d # d e f i n en fl pl o c a lo u t # d e f i n en fi pp o s tr o u t l n g 经过m a c 校验送到1 p 层的包 ，送往本地的包 ，转发的包 从本地送出的包 ，处理完毕即将发送的包 在这五个点上，分别在以下几个函数里调用n 1 7 h o o k 宏： n fi pp r er o u t i n g n fl pl o c a li n ： n fi pf o r w a r d ： n fi pl o c a l0 u t ： n f _ i p p o s t _ r o u t i n g i p _ r e v 0 i p _ l o e a l _ d e l i v e r o i p _ f o r w a r d 0 i p _ b u i l d _ a n d _ s e n d _ p k t o i p _ q u e u e _ x m i t 0 i p _ f i n i s ho u t p u t 0 i p _ m e , o u t f i u t 0 图3 1 说明了n e t f i l t e r 在i p 协议栈中所处的位置。 幽3 1n e t f i l t e r 在i p 协议栈的插入点 数据包从左边进入i p 协议栈，先进行i p 校验处理，经过第一个 钩子函数在n fi pp r er o u t i n g 点进行处理：然后进入路由代码， 决定该数据包是需要转发还是发给本机：若该数据包是发给本机的， 则该数据包经过钩子函数在n fi pl o c a li n 点的处理后传给上层 协议；若该数据包应该被转发则它被n fi pf o r w a r d 点的钩子函 数处理；经过转发的数据包经过最后一个钩子函数在 n fi pp o s tr o u t i n g 点的处理后被传到网络上。本地产生的数据 包经过钩子函数n fi pl o c a lo u t 处理后，进行路由选择。然后 经过n fi pp o s tr o u t i n g 处理再发送到网络上。 第3 章n e t f i l t e r l i p l a b l c s 实现机制分析 果十l i n u x 的混合增强型防火墙设计。j 实现 3 3 在各插入点注册钩子函数 n e t f i l t e r 防火墙各个内置功能模块由系统初始化配置脚本加载到 内核，再由内核自动来调用。各模块功能相互独立，如i p _ e o n n t r a c k 模块在需要进行状态检测时加载、i p t a b l en a t 模块在需要网络