（通信与信息系统专业论文）构建在嵌入式linux上的linux防火墙的研究与实现.pdf

摘要 摘要 随着 i n t e r n e t的应用越来越广， 人们面临的网络安全问题也越来越严重， 防火墙通常被作为第一道安全防线，正在受到越来越多用户的关注。 新一代的l i n u x防火墙 n e t f i l t e r除了有包过滤功能外， 还有 n a t 、状态 检查功能和字符匹配功能， 使该防火墙比传统包过滤防火墙更安全，性能更优 越，同时它不需要涉及应用层的结构就能过滤-些应用层的内容，而又避免了应 用代理在性能上的限制。 由于 l i u n x源代码的开放性，l i n u x成为研究防火墙技术的一个很好的平 台。l i n u x性能稳定， 裁剪性好， 和拥有很好网络功能， 使 l i n u x在嵌入式系统中 应用很有优势。 本文首先概述了防火墙技术，然后对 l i n u x防火墙 n e t f i l t e r技术，功能 及其应用作了深入的研究，对常见的攻击提出了基于该防火墙的对策:本文还概 述了嵌入式系统的概念和其发展，指出了 l i n u x在嵌入式系统中应用的优势， 而且还对嵌入式 l i n u x系统的构造实现作深入的研究。本文主要实现适用于大 中型企业，建立在嵌入式 l i n u x平台上的基于 l i n u x 防火墙 n e t f i l t e r的防火 墙产品。其拥有友好用户管理界面，便于使用和维护。 防火墙的嵌入式l i n u x 平台是在 r e d h a t 基础上构建的，对其它的网络产品 有一定的适用性。用户管理界面采用了 c g i规范作为服务器和客户端之间的接 口，用c语育、 j a v a s c r i p t , j a v a a p p l e t e作为开发语言，具有高效和体积小 巧的特点，比较适合在嵌入式平台上使用。 关键词l i n u x ; n e t f i l t e r :防火墙:嵌入式 华南理工大学工学硕士学位论文 ab s t r a c t t h e s e c u r i t y p r o b l e ms o f n e t w o r k a r e b e c o mi n g m o r e a n d m o r e s e r i o u s l y a s t h e a p p l i c a t i o n o f i n t e r n e t i s b e c o m i n g m o r e a n d m o r e w i d e l y . mo r e a t t e n t i o n i s p a i d t o f i r e w a l l a s i t i s t h e f i r s t s a f e l i n e o f n e t w o r k . t h e n e w g e n e r a t i o n f i r e w a l l n e t f i l t e r i s m o r e s a f e a n d h a s b e t t e r p e r f o r m a n c e t h a n t r a d i t i o n a l p a c k a g e f i l t e r i n g f i r e w a l l ，a s i t h a s n o t o n l y p a c k a g e f i l t e r i n g f u n c t i o n b u t a l s o n a t , s t a t e i n s p e c t i n g a n d s t r i n g ma t c h f u n c t i o n s . i t c a n f i l t e r t h e c o n t e n t o f a p p l i c a t i o n l a y e r o f n e t w o r k w i t h n o n e e d t o w o r k w i t h t h e s t r u c t u r e o f a p p l i c a t i o n l a y e r , a n d i t c a n a v o i d t h e p e r f o r m a n c e l i m i t a t i o n o f a p p l i c a t i o n p r o x y f i r e w a l l . b e c a u s e l i n u x i s a n o p e n s o u r c e o p e r a t i n g s y s t e m , i t i s b e c o m i n g a v e r y g o o d p l a t f o r m f o r r e s e a r c h i n g t h e f i r e w a l l t e c h n o l o g y . a s l i n u x h a s s t e a d y p e r f o r ma n c e , g o o d n e t w o r k i n g p e r f o r ma n c e， i t h a s m a n y a d v a n t a g e s u s i n g i n e mb e d d e d s y s t e m. f i r s t , t h i s t h e s i s s u m m a r i z e f i r e w a l l t e c h n o l o g y , t h e n i t s t u d i e s t h e t e c h n o l o g y , p e r f o r m a n c e a n d a p p l i c a t i o n o f l i n u x f i r e w a l l n e t f i l t e r , a n d p u t s f o r wa r d t h e r e s o l u t i o n o f h o w t h i s k i n d o f f i r e wa l l r e s i s t s n o r ma l a t t a c k s o f i n t e r n e t . i t a l s o i n t r o d u c e s t h e c o n c e p t a n d t h e d e v e l o p m e n t o f t h e e m b e d d e d s y s t e m , a n d p o i n t s o u t t h e a d v a n t a g e s o f t h e l i n u x a p p l i c a t i o n i n e m b e d d e d s y s t e m. t h e n i t r e s e a r c h e s t h e s t r u c t u r e a n d i m p l e m e n t o f l i n u x e m b e d d e d s y s t e m. i n t h i s t h e s i s , a f i r e w a l l b a s e d o n l i n u x f i r e w a l l n e t f i l t e r i s i m p l e m e n t e d o n t h e e m b e d d e d l i n u x p l a t f o r m . t h e f i r e w a l l h a s f r i e n d l y c u s t o m e r ma n a g e m e n t i n t e r f a c e a n d i t i s e a s y t o u s e a n d ma i n t a i n . t h e e mb e d d e d l i n u x p l a t f o r m i s b u i l t o n t h e b a s e o f t h e r e d h a t l i n u x , i t i s a p p l i c a b i l i t y t o o t h e r n e t w o r k p r o d u c t s . t h e u s e r i n t e r f a c e o f t h e f i r e w a l l a d o p t s t h e c g i c r i t e r i o n f o r t h e i n t e r f a c e b e t w e e n t h e s e r v e r a n d t h e c u s t o m e r , 11 ab s 臼 ，a c 宜 a n d i t u s e s c , j a v a s c r i p t a n d j a v a a p p l e t e f o r i t s p r o g r a m m i n g l a n g u a g e , a n d i t i s e f f i c i e n t a n d s m a l l w h i c h i s s u i t a b l e f o r t h e e m b e d d e d s y s t e m k e y w o r d s : l i n u x ; n e t f i l t e r ; f i r e w a l l ; e mb e d d e d m 华南理工大学 学位论文原创性声明 本人郑重声明:所呈交的论文是本人在导师的指导一下独立进 行研究所取得的研究成果。 除了文中特别加以标注引用的内容外， 本论文不包含任何其他个人或集体己经发表或撰写的成果作品。 对本文的研究做出重要贡献的个人和集体，均已在文中以明确方 式标明。本人完全意识到本声明的法律后果由本人承担 。 作 者 签 名 : 苦 莺 日期:分 加 了 年 月 / o日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规 定，同意学校保留并向国家有关部门或机构送交论文的复印件和 电子版，允许论文被查阅和借阅。本人授权华南理工大学可以将 本学位论文的全部或部分内容编入有关数据库进行检索，可以采 用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密0，在_年解密后适用本授权书。 本学位论文属于 不保密叼。 ( 请在以上相应方框内打 “护” ) 作 者 签 名 : 4爹 导师签名: 日期: 沁 广 年 月/ 。日 日 期 ， 乡y 年月! c) 日 砂传、 第一章 绪论 第一章 绪论 1 , 1引言 随着计算机技术的快速发展，网络应用己经在全球得以推广，人类己经进入 了网络时代。网络己经成为人们日常生活中不可缺少的一部分，并在国民经济中 发挥着日益重要的作用。信息网络涉及到国家的政府、军事、文教等堵多领域， 其中存贮、传输和处理的信息有许多是重要的政府宏观调控决策、商业经济信 息、银行资金转帐、股票证券、能源数据、科研数据等重要信息，有很多是敏感 信息，甚至是国家机密。所以难免会吸引来自 世界各地的各种人为攻击“ ， 。 近年来，计算机犯罪案件急剧上升，计算机犯罪己经成为普遍的国际性问 题。据美国a b联合会调查和专家估计，美国每年计算机犯罪造成的经济损失高 达 1 5 0亿美元。因此，网络的安全问题越来越受到人们的重视，成为了人们日 益关注且必须解决的问题。防火墙作为一种网络或系统之间强制实行的访问控制 机制，是确保网络安全的重要手段。防火墙技术是实现计算机安全的一种非常重 要的技术，同时它也是目前最为流行也是使用最为广泛的一种网络安全技术1 2 7 防火墙是一个系统，主要用来执行两个网络之间的访问控制策略。它可为各 类企业网络提供必要的访问控制，又不至成为网络的瓶颈，并通过安全策略控制 进出系统的数据，保护企业的关键资源。安全策略建立了全方位的防御体系来保 护机构的信息资源。为了保护内部网络不受到 i n t e r n e t 网络的非法入侵，防火墙 常常被放到了内部网和外部网之间，所有来自 和去往i n t e r n e t 的信息都必须经过 防火墙并接受检查。防火墙必须只允许授权的合法数据 ( 即防火墙系统安全策略 允许的数据) 通过，并且防火墙本身必须不受各种攻击和能够免于渗透。因此， 构建一个自 身安全稳定而且有效抵制外部网络的侵入的高性能的防火墙变得日益 重要起来川 。 华南理工大学工学硕士学位i 文 1 . 2立论依据 近年来，随着网络的迅速发展，如何提供一个安全的网络是人们及待解决的 fol 题。随着宽带网络逐渐进入企业和个人的家庭，因此构建一个安全、稳定和低 成本的适用于中小防火墙具有很大的市场前景和实用价值。 综观防火墙技术和产品的发展，防火墙从最初的简单的包过滤防火墙，在网 络层对 i f数据包进行选择，过滤一般是依据一个 i f数据包的下列各域进行: i f源地址，计 目的地址，协议类型，t g p / u d p源端口和月的端口等，为了增强 安全性尤其是对应用内容的过滤而发展到代理服务型防火墙、 ，由于工作于应用 层，一方面它可以对各种协议数据进行全面细致检查，提供更强的过滤功能和身 份认证功能，因而能提供更好的安全保障，但另一方面它的工作效率明显比不上 包过滤防火墙，而且对每种服务都必须制定相应代理，加重服务器的- h 作量，应 用起来不方便且容易成为网络的瓶颈。im此为了解决代理服务型坊火墙的效率问 题而发展到状态检测防火墙，状态检测防火墙除了 对 i f数据包进行过滤外，i l 根据数据的流的状态进行包的选择， ， 。因此它比简单包过滤更安全00又比代理服 务型防火墙高效。 l i n u x内核所内嵌防火墙 n e t f i l t e r为用户提供一个开放的、扩展性好内 核防火墙，它采用更好的框架结构( f r a m e w o r k ) 重新构造，它拥有状态检测过滤 功能“ ， ，还可实现完整的动态n a t ，它拥有基于用户及m a c 地址的过滤、包速率 限制等功能。,l 采用了开放的结构，用户可以直接扩展功能和实现，一 些高级功能 ” 。 更值得提出的是， n e t f i l t e r 可以 对数据包魔用层的一 些内容进行过滤， 基 于k，可以实现对 f i t t p的 u r 王 、f t p的目 录名等等应用层ir i 内容进行过滤，兼 顾了性能和安全性。n e t f i l t e r的模块化设计，使 n e t f i l t e r更容易进行功能 扩展，根据需要加入新的功能。l p t a b l e s 是n e t f i l t e r 上的包选择系统，用来 完成对数据包的处理，工 p t a b l e s的工具有多种如:a g t , k n e t f i l t e r , g s s h i d l d等等，但经实验表明， 还是 i p t a b l e s自 身的配置工具 扣t a b l e s是 最为配置灵活和好用豹“ 。但是 i p t a b l e s是命令行的，因此配置起来还不是很 第一章绪论 方便。基于此，本论文的一个重要豹工作是要设计一个灵活，设置简便的用户界 面。 防火墙的稳定性还取决于其操作系统的稳健，为了增强防火墙产品的可靠 性，防火墙不能只是建立在桌面系统上的，这样就要求构建一个嵌入式系统环 境。嵌 入式系统( e m b e d d e d s y s t e m ) 被定义为:以应用为中心，以计算机技术为 基础，软释硬件可裁剪，适应对功能、可靠性、成本、体积、功耗严格要求o 3 专 用计算机系统。理想的嵌入式操作系统的特点是:适应于多种 c p u和多种硬件 平台:性能稳定，裁剪性很好;开发和使用都很容易，生成的代码质量高，可靠 性好;有一定的实时处理能力，并且能接入 i n t e r n e t 0 l 这些钩子函数在数据报流过协议栈的几个关键点被调用。在这几个点 中， 协议栈将把数据报及钩子函数标号作为参数调用n e t f i l t e r 框架。 ( 2 )内 核的任何模块可以 对每种协议的一个或多个钩子进行注册，实现挂接， 这 样当某个数据包被传递给 n e t f i l t e r 框架时，内核能检测是否有任何模块对该 协议和钩子函数进行了注册。若注册了，则调用该模块的注册时使用的回调 函数，这样这些模块就有机会检查( 可能还会修改) 该数据包、丢弃该数据包 及指示n e t fi l t e r 将该数据包传入用户空间的队列。 ( 3 ) 那y e t: 排队的数据包是被传递给用户空间的异步地进行处理。一个用户进程能 检查数据包，修改数据包，甚至可以重新将该数据包通过离开内核的同一个 钩子函数中注入到内 核中。 所有的包过滤/ n a t等等都基于该框架。内核网络代码中不再有到处都是的、混乱 的 修改数据包的代码了 。当 前n e t f t l t e r 框架在i p v 4 , wv 6 及d e c n e t 网络栈中被实现。 针对现有网络的实际应用，网络上基本都是使用的 i p v 4 因此，下文只对 i p v 4在 n e t fi l te r 中的应用进行介绍。 i p v 4数据包在 n e t f i l t e r 的框架中的流程如图 2 - 1 所示，图中小圈所在位置即为 n e t fi l t e r中的几个钩子函数。数据包从左边进来，首先就到了钩子函数 1 n f _ i p _ p r e _ r o u t i n g ，然后经过路由 选择，有三种可能， 一种是要从另一个网络接 口出去的，另一种是到本机的，还有一种是没有路由而被丢弃的。如果是到本机的， 那么进到钩子函数 2 n f _ i p _ l o c a l _ i n .如果是要从另一个网 络接口的，那么数据包 就到了钩子函数 3 n f we i p f o r wa r d，随后 ，数据包就到了钩子函数 4 n f _ i p - p o s t es r o u t i n g ， 然后发送出去。对与本机产生的数据包，则会经过钩子函数 5 n f i p _ l o c a l ou t 然后再后再通过钩子函数5 后再发送f本机t3 3 a 第二章相关技术的研究 三曰口巴巴巴巴曰巴曰巴巴翻口脚曰 要一t .城 乡 .一下 一气 乡 一 一 今 嘲，令 本地进程 选介八岁 白书.11!，j义勺冷11. 路 图 2 . 1 i p v 4 包经过i3 e t f i l t e r 框架 f i g u r e 争t p a c k a g e t r a v e r 加g决t 八i t e r s y s t e m 由 于内 核模块可以 在任何一个钩子上 注册和 侦听，因 此模块的 注册必须要定义其 注册的函数的 优先级别。当 任何一个钩子被核心网络代码调用时，各个模块在其上注 册的函数就会按优先级的先后被调用。这样就可以对包进行各种各样的处理了。模块 可以要求n e t f i l te r 作以下的处理: n f - a c c e p t . 继 续传 送 n f - d r o p : 丢 弃该包， 不 再继 续传送 n f - s t o l e n : 接管该 包， 不继续 传 送 n f qu e u e : 将 包 放 到队 列中 ， 一 般是 转发 到 用 户空 间 n f _ r e p e a t :再次调用钩子 那些 被转 发到 用 户空 间的 包的 排队 的 处 理 是由内 核模 块i p q u e u e ,o 来 处 理的 ， 然 后用户进程就可以对数据报进行任何处理。处理结束以后，用户进程可以调用 n f _ r e in j e c t ( ) 将该数据 报重新注入n 核 或者设置一个对数据 报的h 标动作 ( 如丢弃等 ) 。 n e t f i lt e r 的 这个技术可以 im户进程进行复杂m数据报操作， 从而m轻了内核空#i 的复 杂度。 2 . 3 . 2 l p t a b l e s 二具 i p t a b l e s 是一个建 立在n e t f i l t e r 框架上的数据包选择系统。 i p t a b l e s 分为 两部分: 内 核空 间 模 块ipta b le ， 和 用 户 空fa d _i : 具i p ta b le s e 华南理工大学工学硕士学位论文 内 核空间模块是和主内 核一起发布， 在内核编译时和其它模块同 样被编译。 ip _ t a b l e s 模 块包 括 主i p _ t a b le s 模 块以 及 其它 专门 为n a t 、日 志 和 连 接 跟 踪 等功能 的 模 块。这些模块对数据包按照规则 表或链 ( c h a i n ) 进行处理。 i p _ t a b l e s 模块可以 注册新表， 并要求数据包从表中“ 流进” 。 它 根据不 用的 应用 包 含三 个 表: f i l t e r 表( 用 于 包 过 滤) 、 n a t 表 ( 用 于网 络 地址 变 换) 和m a n g l e 表 ( 用 于 一般的 路由 前 包伪装) o i p _ t a b l e s 模块在n e 目te r 上注 册的各 个钩子及 其上的汤 数 状 况如图2 - 2 所示，在各个钩子上的函数的调用顺序是按照图中所示的次序来的。 - - ， - 7 r p r e - - - - - c o n n t r a c k m a n g l e n a t ( u s t ) 路由 选择 卜 . 一 )f w d 二 ，一 m a n g l e f i l t e r - - - - - . p o s t - - 一 ) m a n g l e n a t ( s r o - - - i c o n n t r a c k 茉，!1， f i l t e r c o n n t r a c k 翻 山 飞 g l e 本地进程 路由选择 一一未 一 o u t c o n n t r a c k m a n g l e n a t扣s t ) f i l t e r 木!， ，!卜-，ivin;1!丫 图 2 - 2 i p t a b l e s 注册的 钩子函数 f i g u r e 2 - 2 r e g i s t e r h o o k o f i f t a b l e s f i l t e r 数据包通过 川 t e r 表时，其内容并不会被修改，只是会对其进行过滤，它只在 n p _ i p - l o c a l _ i n, n f - w _ f o r wa r d和 n f _ i p _ l o c a l _ o u t这儿个钩子注册函 数。 这意味着任何一 个包只有在 一个 钩子处 被过滤， 这 就比以 前的 防火墙 版本i p c h a i n s 配置简单。 nat 在 n a t 表中，对于非本地数据 包 ，钩子 n p - i f - p r e - r o u t i n g 和 n f tp p o s t _ r o u t i n g分别被用来作为目 的地址的 转换和源地址的转换。 ma n g l e 表 m a n g le 表 注册n e t f i lt e r 的 全 部五 个 钩子。 经过该 表可以 对 数 据 包中 的 信息 进 行修 改，比如t o s 和t c p ms s 信息。 第二章相关技术的 研究 c o n n t r a c k c o n n t r a c k是连线跟踪 ( c o n n e c t i o n t r a c k i n g )， 它是 n a t的基础，但它又作为一 个独立的模块存在，这就有利于扩展包过滤的功能使其能实现基于状态过滤。 用户空间 工具i p t a b l e s 是一 个可 执行的 二 进制 程序。 它只是 在内 存中 提供一 个规则 的集合，这些规则能够决定数据包在经过各个钩子时的命运。它是和内核发布分开 的。 用 i p t a b l e s 可以 增加、 删除和编译模块的规则。 i p t a b l e : 使用链 ( c h a i n ) 来罗列在 n e t fi l t e r 上不同 接入点 所定义的 规则。 i p t a b l e s 的内 建链有 p r e r o u t ing , i n p u t . o u t p u t , f o r wa r d和 p o s t r o u t ing ，这几个内建链所在位置正好是 n e t fi l t e r 中 n f es i p se p r e es r o u t ing、n f es i p es l o c a l es in、n f i p es l o c a l es o u t n f we i p we f o r wa r d和 n f - i f - p o s t - r o u t i n g这五个钩子所在的 位置n 表示包对其次;e o s 必须具有个性化，而 wi n d o w s c e是非开放 的，第三方无法实现产品的定制;最后，wi n d o w s c e的版权费用也是厂家不得不考虑 的因素。 wi n d o w s c e 的这些问 题， 恰恰都是l i n u x 的 优势。 l i n u x 作为嵌入式系统有如 下优势11 01 . ( 1 ) l i n u x 的内核小却功能强大、而且效率高、稳定、名仟各: 华南理工大学工学硕士学位论文 ( 2 ) l i n u x的源代码是完全开放的，注释清晰并且文档齐全，非常有利于个性化 定制;而且有丰富的软件资源。 l i n u x有非常多的文档支持，从为初学者准备的各种教程到非常详细的 联机帮助文档。l i n u x是互联网充分发展的产物，许多关于 l i n u x的文档都 可以 在i n t e r n e t 上找到 和下 载。 l i n u x d o c u m e n t p r 可 e c t 是为l i n u x 提 供系统 化的文档支持的项目，在世界上许多程序员和用户的帮助下，它己 经收集了 非常详细的系统文档和使用文档。而且，各种关于 l i n u x的书籍和杂志正如 雨后春笋般地出 现，大量的英文资料也正在翻译成中文，方便中文使用者。 在 l i n u x平台上的应用软件也不断得到扩充。许多著名的商业软件都有 了l i n u x 下的 版本: a p p l i x 公司 和s t a r 公司 提供了 多种字处理、电 子 表格、 图形处理的应用软件; c o r e l wo r d p e r f e c t 8 , a d a b a s d和o r a c l e 8 数据库、 n e t s c a p e n a v i g a t o r 6 .0网络浏览器、a p a c h e 1 . 3 . 1 2网络服务器、a d o b e a c r o b a t r e a d e r 4 .0 等等l i n u x 下的应用程序都己经纷纷推出。 ( 3 ) l i n u x 是完全免费的o s ， 使用成本低。 几乎所有的商业用操作系统如 mi c r o s o ft公司的 wi n d o w s 9 8 / n t s e r v e r / n t w o r k s t a t io n系列，都需要为每一个拷贝支付相当数量的费用。 在 其下的应用软件每一个都需要大量的支出来获得。商用操作系统下建立一个 开发工具链，除了要为操作系统本身付费之外，还要为组成工具链的应用软 件工具包支付大量的费用。但是 l i n u x是免费软件，只要遵守 g p l ( g n u g e n e r a l p u b l i c l i c e n s e ) 的 规定， 就可以 免费 获得拷贝。 l i n u x 下 有同 样 遵循 g p l规定的c , c + + , j a v a 等等一系列的软件工具开发包， 从功能角度上看 并不亚于商用开发包，同时可以极大的降低开发成本。这点优势是其他商用 操作系统无法比拟的。 ( 4 ) l in u x 具有跨平台的优势。 支持包括 x 8 6 , a l p h a , m o t o r o l a , s p a r c , m i p s , p p c , n e c和 r m 等众多芯片很多 c p u ，包括家电业的芯片，都开始做 l i n u x的平台移植工 作。 ( 5 ) l i n u x 有强大的网络功能 内核的结构在网络方面是非常完整的，提供了包括十兆、百兆、千兆的 以 太网 络，以 及无线网络、 t o k e n r in g 、 光纤甚至卫星的支持。 l i n u x 操作系 第二章相关技术的 研究 统最突出的是网络部分，基本上所有的网络协议和网络接日都可以在 l i n u x 上找到，系统的网络吞吐性能非常好。 ( 6 ) l i n u x支持大量的周边设备，驱动丰富。而且还有大量的开发工具，有完善 的图形和文件管理机制。 ( 7 ) l i n u x的内核和用户界面是完全独立的。各部分可定制性都很强，能适合多 种需求。 显然，这些优势使得l i n u x 非常适合作为嵌入式操作系统。 2 a . 4 嵌入式l i n u x 的发展和应用前景 目前，嵌入式 l i n u x系统开发正在蓬勃兴起，并且己经开辟了很大的市场，除了 一些传统的l i n u x 公司，像r e cl h a t , v a l i n u x 等正在从事嵌入式 l i n u x的研究之外， 一批新公司 ( 如 l i n e o , t i m e s y s 等)和一些传统的大公司 ( 如 i b m , s g i , m o t o r o l a , i n te l 等) 以 及 一 些 开 发 专 有嵌 入 式 操 作 系统 的公 司( 如 l y n x ) 也正 在 进行 嵌入式l i n u x 的研究和开发。但就目前的技术面言，嵌入式l i n u x 的研究成果与市场的 真正需求还有一段差距。因此，要开发出真正成熟的嵌入式l i n u x ,还需要努力。 根 据一 家 专门 进行 嵌 入 式l i n u x 系 统 信 息 发 布的 网 站h t t p :/ / w w w .l i n u x d e v ic e s .c o m 的调查，有 5 2 %的用户决定在未来 2 4 个月内使用l i n u x 作为嵌入式系统的开发原型， 而只有 2 1 %的人仍然使用专有操作系统，1 9 %的人仍然使用 wi n d o w s 系列操作系统做 嵌入式系统开发。这充分说明了利用以n u x 开发嵌入式系统的生命力。由于l i n u x 嵌入 式系统的强大的生命力和利用价值，越来越多的公司和大学都不同程度地表现出对它 的研究兴趣。 2 .5本章小结 本章对网络安全概念、安全特征、安全的关键技术作了简单扼要的介绍，比较详 细罗列和描述了现有网络所用的 t c p / i p协议本身先天性的安全缺陷，从而指出由于 t c p / i p 的这种缺陷导致了网络不安全性，我们应该采取措施来解决这个问题。 华南理工大学工学硕士学位论文 本章对防火墙的概念、技术和分类作了介绍，尤其是着重描述了防火墙中使用中 的主要技术。 本章详细叙述了n e t fl l t e r 框架及其包处理系统 i p c a b l e s 的结构和原理， 并对其状 态检查技术进行了深入的研究，提出了利用状态检查技术对防火墙在性能和安全性上 的优势。最后还介绍了另一个功能模块一 字符匹配功能的优点以及其在对提高 n e t fi l t e r 防火墙的安全性方面的优势，并对其的一些很好的用途进行了描述。在此基础上本文 对网络上常见的几种攻击 ( i f 欺骗，d o s 攻击等) 给出了 相应的解决方法。 本章对嵌入式系统的发展历程、 产品分类进行了简单的 介绍，然后再着重分析了 l i n u x 在嵌入式系统中应用的优势，最后阐述了l i n u x 嵌入式系统在国内外的发展和预 示了其将会得到更广泛的前景。 第三章系统整体设计 第三章系统整体设计 3 . 1 系统设计目标 本防火墙设计主要设计目 标是开发一个基于新一代l i n u x 内 核防火墙n e t f i l t e r 的 适 用于中小型网络的防火墙产品。具体的设计目标为: i 在产品化方面，为了实现防火墙系统的高效、安全和零维护目 标，要构建适用 于防火墙这个应用的嵌入式l i n u x 平台。 2 .设计一套缺省的规则的集合，这个集合可以透应大多数防火墙用户的一般的对 本企业网络安全的基本的需要。 3 实现用管理界面来实现对防火墙系统的网络和用户管理的配置的。 4 .实现用管理界面来实 现对防火墙系统的 规则的 配置。 5 .实现用管理界面来实现对防火墙日 志的查看、查询和处理。 3 . 2 设计原则 系统有以下设计原则: t 系统的平台 要求是能达到本防火墙各功能的最小集合。 作为防火墙这种安 全产品，其自 身的系统的安全性是设计中最重要的也是最为优 先考虑的因素。系统中包括的多余，不必要的部分每多一分，实际上就会给系统留下 多 一分的安全隐患。因此，在l i n u x 平台的构建的时候，要去除系统应用中所有不必 要的部分。 2 嵌入式l i n u x 平台的安全性，稳定性和零维护目 标。 用f l a s h这种电子存储器来代替硬盘，可以提高产品的可靠性，同时采用r a m 盘等技术以 减少对产品的维护从而尽量达到零维护的目 标。 华南理工大学工学硕士学位论文 3 . 基于w e b 的 用 户管理配置 界b ff 应用程序小巧并避免其运行对 肪火墙系 统的性能的 影响a 基于w e b 的用户管理配置界(f的好处是:客户端不需要另装客户端程序， 只需要 一般的w e b 浏览器 ( 如i e 等)， 方便管理。 4 独立的用户管理配置端口。 将用户管理配置端口和其它端口分开，同时在规则配置的时候加以限制，这样能 增强系统整体的安全性。只有通过指定的端口;才能进入防火墙的配置管理界面，而 且进入配置瞥理界面还需要身份的认证， 这样双重的安全措施以 提高防火墙自 身的安 全性。 3 .3 系统整体设计 系统的 整体结 构 如图3 . 1 所示: 本防火主 蠢 产品共设计了西块网卡， 其中一块是接到内 部m l a n上的，另一块是 接 到外部网i n t e r n e t 上的，对于那些需要在网 络内部提供对外的w w w. d a is 或e m a i l 服务的应用，为此专门开辟d mz 区，接到专用于d m z区的网卡上。d mz 区为非军事 区，其安全性介于i n t e rn e t 和内网之间。开辟了d m 7,区后，可以 将内部网络更彻底地 与外部网络分开，外nm络不需要防问内部m络，通过规刻配置，可以彻底拒绝外部 网防问内部网，增加系统对内部网络的安全保护的能力。 还有一块网卡专p 7 用于配置 管理的， 传统土通常我们会通过接内 部网的网 卡接入进行配置， 之所以 把配置管理和 内 部网 使用的网 卡分开，一来配置管理和内 部网的流撇上不会造成相互影响，另外一 方面， 可以针对配置管理的应用来时配置管理通道的网卡对其作特殊的权限限制，以 增强防火 墙整体的安全性。 系 统的 嵌 入 式l in e 二 平台 部 分 包 括l in u x 内 核、 根 文 件 系 统。内 核中 有珍 ta b le s 包 选 择 系 统， 其 对 数 据 包 进 行包 过 滤 和 转 换 等 动 作。 用 户 应 用 程序 部 分 包 括i p t a b le : 用 户 空间工具和用户管理界面。 第三章系统整体设计 l i n u x内核 下 n e t f i l t e r 框架 i p t a b l e s 包 选择系 统模块 i p t a b l e s 命 令行规则管理工具 友好用户管理界面 落 网卡 e t ho 接b忱 即e t 网卡 dhl 接 l a n 网卡 e 山 2 接 d mz区 网卡 e t h 3 配置管理通道 图3 , 1 防火墙系统内部结构 f i g u r e 3 . 1 s t r u c t u r e o f f i r e w a l l 3 . 4 系统管理界面介绍 系统管理界面用来接收用户输入的信息，并对其进行处理并显示， 进行系统配置 和规则 配置并处理日 志。管理界面包括了四个功能模块，网 络参数的配置模块、 用户 管理和认证模块、日 志处理模块和规则显示和配置模块。在服务器端采用c g f 来进行 控制。考虑到系统的高效和体积小的要求，采用了c语言来实现。 网络参数配置模块主要完成对系统四个网卡的地址的配置。 用户管理和认证管 理模块主要完成增加、 删除用户和修改密码，用户权限的管理 这几个功能。其中用户权艰有三级，从低到高有浏览规则和日 志、修改规则和用户管 理。其中高一级的用户权限包含了低一级的用户权限。 日 志处理模块包括对日 志的浏览、查询、导出和删除的功能。 华南理工大学工学硕士学位论文 规则显示和配置包括系统的 基本规则 ( 输入、 输出 和转发规则三种规则) 显示和配置 和特殊功能( 包括n a t , h ttp , f t p , s m t p 、 地址映射) 进行配置。 3 . 5 本章小结 本章介绍了系统设计的目 标和原则，给出了在设计目 标和原则下系统的整体结 构。并介绍了系统的各个组成部份，还概要介绍了系统管理界面的设计。各部分具体 设计和实现将在下面的章节中详细介绍。 第四章 嵌入式l i n u x 平台的构建 第四章嵌入式l i n u x 平台的构建 l in u x 本身是一个多用户的分时系统， 要将它用于嵌入式系统，必须解决好实时化 和压缩系统规模两大问题。但是针对防火墙产品开发中所应用到的嵌入式 l i n u x可以 不用做实时化这个步骤，因此下文介绍的是压缩系统规模的方法及技术荃础。 压缩系统规模需做以下几个步骤: ( 1 ) 系统的引导。 ( 2 )跟据实际应用而裁剪的内 核。 ( 3 ) 小的定制的文件系统。 4 . 1 系统的引导 首先看一下d o s的启动过程，在说明这个过程前，必须先说明一般i b m p c开机 时的动作( 此处的开机是指11 打开p c的电 源) o 打开电源时，p c一般是由内存中的地址 f f f f :0 0 0 0开始执行，这个地址一定在 r o m b i o s中， r o m b i o s一般是在f e o o o h到f f f f f h中。而此处的内容则是 一个 j ump 指令， 跳转到另一个位于r o m b i o s 中的位置，开始执行一系列的动作。 包括了 检查r a m, k e y b o a r d ， 显 示器， 软 硬 磁 盘 等等， 这些 动作是由 系 统测试 代码 ( s y s te m t e s t c o d e ) 来执行的，随着制作b i o s 厂商的不同 而会有些许差异， 但都是大同小异。 紧接 着系统测试代 码之后， 控制权 会转 移给 r o m中 的启 动程序 ( r o m b o o t s t r a p r o u t i n e )。这个程序会将磁盘上的第零轨第零扇区读入到内 存中的绝对位置 0 7 0 0 :4 0 0 0 即0 7 c o h 处，这是i b m系统p c的特性。这个扇区就是引导扇区 ( b o o t s e c t o r ) ， 引导 扇 区的 大小 为5 1 2 b y t e ， 它小 而 且简 单， 唯 一的 功能 是 从 硬 盘 装 载 其 它更 高 级的 程 序 装 载器到内存中来，由这个装载器来将操作系统导入内存。图4 - 1 为引导扇区的内容，其 中j m p x x 用来将控制权转移给引导d o s 核心的程序。 从软盘上启动是很简单的，因为它只有一个引导扇区，而从硬盘启动时就相对复 杂一些，因为硬盘有可能有好几个分区，b i o s只知道读硬盘的第一个扇区，这个扇区 也可以被称为主引导扇区 ( m b r )，它记录着其它硬盘分区的必要信息。在主引导扇 华南理工大学工学硕士学位论文 区的尾部是分区表如图4 - 2 所示， 每个分区表有 l b b y t e s 大小， 包含了分区是否活动、 分 区的 开 始 和 结 尾、 分 区 的 类型 号 ( 如8 3 为l i n u x ,8 2 为l i n u x s w a p , 06为d o s , o c 为 wi n 9 5等等)。在图 4 - 1和图 4 - 2中的程序指令部分通常被称为引导器 ( b o o t l o a d e r )。不管是用什么操作系统，引导器会引导操作系统或找到活动分区，并且导入 实际的引导分区。 , 1 . p x x 磁盘参数 用来装载d o s