（计算机应用技术专业论文）基于嵌入式linux安全网关的实现.pdf

a b s t r a c t a l o n g w i t ht h ei n t e r a c td e v e l o p m e n t ，m o r ea n d m o r ei n t e m e tc o n n e c t i n g r e q u e s t i o nb e c o m ew i d e s p r e a d n o wm a n y u s e r sh a v ea l r e a d yo w n e do n eo rm o r e l o c a la e r an e t w o r k a n di ti saa b r o a da t t e n t i o n a lt o p i cf o r a i s p ( i n t e m e ts e r v i c e p r o v i d e r ) o r c u s t o m e r st om a k ea l ll a n a c c e e s i n gi n t e r a c tq u i c k l y s t a b l ya n d s e c u r e i t y i 乃甜i st h eo r i g i n a li n t e n t i o n o f a u t h e rt od e s i g na n dr e a l i z et h ee m b e d d e d s e c u r i t yg a t w a y t h ea u t h o r b e g i n s t h ep a p e rf r o mt h ei n t r o d u c t i o no f e m b e d e d s y s t e m ，b r i e f l y d e s c r i b e dt h ek i n da n dt h ec o m p r e h e n s i v e a p p l i c a t i o no f t h ee m b e d e ds y s t e m ，t h e h a r d w a r ep l a t f o r ma n dd e v e l o p i n gt o o l ，a n dt h ec h a r a c t e r i s t i e sa n dt h es u p e r i o ro f t h e e m b e d e dl i n u x s y s t e m ；f u r t h e r m o r ec l e a r e dt h e r e a s o no f t h es e l e c to f t h es e c u r i t y g a t e w a y w i t ht h ee m b e d e dl i n u xs y s t e m 1 1 1 ep a p e r p o i n t e d o u tt h es e c u r i t yg a t e w a yd e m a n d a n a l y s i s ，a n dd e s c r i b e d t h r e em a i n r e q u i r e m e n t so f t h es e c u r i t yg a t e w a y s ，c o n n e c t i n g r e q u i r e m e n t ，s e c u r i t y r e q u i r e m e n t a n dt h el a n m a n a g e m e n tr e q u i r e m e n t t h e np a p e ra n a l y s i s e dt h e p r i n c i p l e o f f i l t e r i n gf i r e w a l la n d t h e p r i n c i p l eo f n a t i nt h es y s t e mr e a l i z ep a r t ，t h ep a p e rl i s t e dt h es y s t e md i a g r a ma n d s y s t e ml o g i c d i a g r a m ，i n t r o d u c e d t h em e t h o d o f b u i l d i n gs y s t e m k e r n e la n d b u i l d i n g f i l e s y s t e m ，d e t a i l e da n a l y s i s e dt h en e t w o r k c o d ea n dt h ei p p a c k e t sf i l t e rc o d e a f t e r t h a t ，t h ep a p e rs h o w e dt h er e a l i z eo f t h eg r a p h i c a li n t e r f a c e sa n dg a v eu st h ee x a m p l e a p p l i c a t i o n ；f i n a l l y t h e p a p e rp r e s e n e d t h e p r o c e s sa n d t h er e s u l to f t e s t ，i n c l u d i n g t h ee q u i p m e n t ，r e l a t e ds t a n d a r d ，e n v i r o n m e n ta n dt h em e a s u r e s t h i s p a p e rg i v e ss o m e r e s u l t sa sf o l l o w s ： ( 1 ) ap r a c t i c a ls y s t e md e s i g no f “s e c u r i t yg a t w a y i sp r o v i d e d ； ( 2 ) e m b e d d e d h 1 v r ps e v e ro fl i n u xi s e x p l o r e da n dr e a l i z e dt h eg r a p h i c m a n a g e m e n t i n t e r f a c eb y p r o g r a m m i n g ： ( 3 ) a n a l y s i s t h ei pf i l t e rf i r e w a l la n dr e a l i z e dt h e p r o g r a m m i n g ，s o l v e d t h e p r o b l e m so f s e c u r i t yi nl a n ( 4 ) t h ek e r n e la n dr o o tf i l es y s t e mo fe m b e d d e dl i n u xs e c u r i t yg a t e w a ya r e b u i l t ； ( 5 ) c o n f o r m i t e dt h es o f t w a r e s y s t e m ，u s i n g m o d u l a r i z e d e s i g n ，b u i l d u p e d t h e m i g r a t ec h a r a c t e ro f s o r w a r es y s t e m k e y w o r d s ：e m b e d d e dl i n u x ；s e c u r e i t yg a t e w a y ；i pt i l t i n gf i r e w a u ；e m b e d d e dh t t p s e r v e r ；n a t 一一 堕壹窒望查堂塑主堑塞生兰堡迨壅 苎! 墨 第1 章一绪论 1 1 嵌入式系统简述 嵌入式系统是以应用为中心、以计算机技术为基础、软件硬件可裁剪、适 和应用，系统对功能、可靠性、成本、体积、功耗严格要求的专用计算机系统。 1 2 嵌入式l i n u x 的功能特性及应用范围 1 2 1 嵌入式l i n u x 的功能特性 1 开放原代码、模块化设计 l i n u x 采用g p l 授权，除了把原代码公开以外，任何人都可以自由使用、 修改、散布，而l i n u x 核心本身采模块化设计，让人很容易增减功能。例如一 个平台如果不需要蓝牙的功能，就不把这项功能加入，如果需要就加入。由于 这样的高的弹性，我们可以整合出最适合需求的核心来。相对于l i n u x ，w i n d o w s 是走封闭原代码路线，所以我们完全无法得知或修改它的核心部份。 2 稳定性好 l i n u x 不属于任何一家公司，但是它的开发人员却是全世界最多的，每天 在全球都有无数的人参与l i n u xk e r n e l 的改进、除错、测试，这样严苛的条 件造就了稳定度高的l i n u x 。 就因为如此，l i n u x 虽不是商业的产物但是品 质却不逊于商业产品。 3 网络功能强大 l i n u x 的架构是参照u n i x 系统而来，因此l i n u x 也承袭了u n i x 强大的 网络功能。在这个许多事情都讲求网络的时代下，只能说是l i n u x 大放异彩的 年代。未来可能家里的电冰箱、冷气、电视机都会连上网络，如何增加这些家 电的网络功能，l i n u x 可以替他们办到。 4 跨平台 l i n u x 一开始是基于i n t e l 3 8 6 机器而设计，但是随着网络的散布，各式 各样的需求涌现，因此就有许多工程师致力于各式平台的移植，造成了l i n u x 可以在x 8 6 、m i p s 、a r m s t r o n g a r m 、p o w e r p c 、m o t o r o l a6 8 k 、h i t a c h is h 3 s h 4 、 一一 堕壹窒望查堂塑主堑塞生兰堡迨壅 苎! 墨 第1 章一绪论 1 1 嵌入式系统简述 嵌入式系统是以应用为中心、以计算机技术为基础、软件硬件可裁剪、适 和应用，系统对功能、可靠性、成本、体积、功耗严格要求的专用计算机系统。 1 2 嵌入式l i n u x 的功能特性及应用范围 1 2 1 嵌入式l i n u x 的功能特性 1 开放原代码、模块化设计 l i n u x 采用g p l 授权，除了把原代码公开以外，任何人都可以自由使用、 修改、散布，而l i n u x 核心本身采模块化设计，让人很容易增减功能。例如一 个平台如果不需要蓝牙的功能，就不把这项功能加入，如果需要就加入。由于 这样的高的弹性，我们可以整合出最适合需求的核心来。相对于l i n u x ，w i n d o w s 是走封闭原代码路线，所以我们完全无法得知或修改它的核心部份。 2 稳定性好 l i n u x 不属于任何一家公司，但是它的开发人员却是全世界最多的，每天 在全球都有无数的人参与l i n u xk e r n e l 的改进、除错、测试，这样严苛的条 件造就了稳定度高的l i n u x 。 就因为如此，l i n u x 虽不是商业的产物但是品 质却不逊于商业产品。 3 网络功能强大 l i n u x 的架构是参照u n i x 系统而来，因此l i n u x 也承袭了u n i x 强大的 网络功能。在这个许多事情都讲求网络的时代下，只能说是l i n u x 大放异彩的 年代。未来可能家里的电冰箱、冷气、电视机都会连上网络，如何增加这些家 电的网络功能，l i n u x 可以替他们办到。 4 跨平台 l i n u x 一开始是基于i n t e l 3 8 6 机器而设计，但是随着网络的散布，各式 各样的需求涌现，因此就有许多工程师致力于各式平台的移植，造成了l i n u x 可以在x 8 6 、m i p s 、a r m s t r o n g a r m 、p o w e r p c 、m o t o r o l a6 8 k 、h i t a c h is h 3 s h 4 、 西南茧塑查堂塑主堑窒生兰焦笙塞苎! 墨r t=j荟再军否王莲福丽磊荔i百孬否冗乎涵盖了所有嵌入式系统所rs m e ta na 。等等平台上运作的盛况。这些平台几乎姻最j | j ，皂欺八虱系现，| = j i l 需的c p u ，因此选择l i n u x 就可以把更多的硬件平台纳入选择的范围。 嵌入式环境不如x 8 6p c 那样单纯，嵌入式环境所采用的c p u 架构之多， 使用l i n u x 作开发，就等于有更多硬件的选择，硬件成本是商业公司考虑的一 大重点，选择多自然可以找到最合适的硬件，对于公司的竞争力是有极大的帮 助。 5 应用软件众多 自由软件世界里有个很大的特色就是软件超级多，而且几乎都是符合g p l 标准，换句话说，大家都可以自由取用，因为这些软件多半是由工程师业余空 暇时间所发展。而且不以营利为目的，所以并不能担保这些软件完全没有b u g ， 但是仍旧有许多高水平的软件出现，大家熟知的k d e 与g n o m e 便是很好的证 明，当然与嵌入式系统较为相关如：g c c 编译器、k d e v e l o p 整合式开发环境 等等。这些对开发人员有很大的帮助。 6 选择多样 如果可以自己实践l i n u x 嵌入式系统，因为程序代码全部都开放在那里， 您可以随心所欲的设计出自己想要的e m b e d d e dl i n u x 系统，但是有更多的公 司的业务重点不在于此，这时候您也可以选择购买商业版的e m b e d d e dl i n u x 系统，像是有名的r e d h a t 公司、l i n e o 、m o n t a v i s t a 等等，这些都是商业的 l i n u x 公司，购买他们的产品就可以得到完整的服务。因此商业或非商业的选 择全都在于需求。 1 2 2 嵌入式l i n u x 的应用范围 嵌入式l i n u x 的应用范围相当广泛，一些常见的应用如下表： 常见应用描述 各种与网络相l i n u x 本身具备完整的髓络功能，如d n s 、f i l es e v e r 、m a i ls e v e r 等等。因此许多与 羌的b o x网络相关的服务器。防火墙，v p n ，共享器等都采用l i n u x 系统做开发 目前已经可以看到基于l i n u x 的p d a 。l i n u x 的p d a 跟冒i f 山_ sc e 是比较接近的，都具 有网络、多媒体罅功能，我们一般也称为h a n d h e l dp c 另外虽然目前没有在i p a q 上的 p d a l i n u x 产品，但是由于i p a q 采用的是s t r o n g 蛐构架- 所以报多o p e l ls o u r c e 的p r o j e c t 都是拿i p a q 来当作开发平台，这样的项目有p o c k e tl l n u x 骠e bp a d 其实就是一种大荧幕的p 琳，但是w e bp a d 主要以浏览阿页为主。所以比较适 w e bp a 0 合的场所应属公共区域的电子资讯导航 s e tt o pb o x 就是放在电视机上的盘子目前来说它提供了通过电视机直接上网的功能 s e tt o pb o x 这里所说的上网是以髓臂为主，e m a i l 为鞠，对象是针对一般不是搌了解电脑的入所设 西南茧塑查堂塑主堑窒生兰焦笙塞苎! 墨r t=j荟再军否王莲福丽磊荔i百孬否冗乎涵盖了所有嵌入式系统所rs m e ta na 。等等平台上运作的盛况。这些平台几乎姻最j | j ，皂欺八虱系现，| = j i l 需的c p u ，因此选择l i n u x 就可以把更多的硬件平台纳入选择的范围。 嵌入式环境不如x 8 6p c 那样单纯，嵌入式环境所采用的c p u 架构之多， 使用l i n u x 作开发，就等于有更多硬件的选择，硬件成本是商业公司考虑的一 大重点，选择多自然可以找到最合适的硬件，对于公司的竞争力是有极大的帮 助。 5 应用软件众多 自由软件世界里有个很大的特色就是软件超级多，而且几乎都是符合g p l 标准，换句话说，大家都可以自由取用，因为这些软件多半是由工程师业余空 暇时间所发展。而且不以营利为目的，所以并不能担保这些软件完全没有b u g ， 但是仍旧有许多高水平的软件出现，大家熟知的k d e 与g n o m e 便是很好的证 明，当然与嵌入式系统较为相关如：g c c 编译器、k d e v e l o p 整合式开发环境 等等。这些对开发人员有很大的帮助。 6 选择多样 如果可以自己实践l i n u x 嵌入式系统，因为程序代码全部都开放在那里， 您可以随心所欲的设计出自己想要的e m b e d d e dl i n u x 系统，但是有更多的公 司的业务重点不在于此，这时候您也可以选择购买商业版的e m b e d d e dl i n u x 系统，像是有名的r e d h a t 公司、l i n e o 、m o n t a v i s t a 等等，这些都是商业的 l i n u x 公司，购买他们的产品就可以得到完整的服务。因此商业或非商业的选 择全都在于需求。 1 2 2 嵌入式l i n u x 的应用范围 嵌入式l i n u x 的应用范围相当广泛，一些常见的应用如下表： 常见应用描述 各种与网络相l i n u x 本身具备完整的髓络功能，如d n s 、f i l es e v e r 、m a i ls e v e r 等等。因此许多与 羌的b o x网络相关的服务器。防火墙，v p n ，共享器等都采用l i n u x 系统做开发 目前已经可以看到基于l i n u x 的p d a 。l i n u x 的p d a 跟冒i f 山_ sc e 是比较接近的，都具 有网络、多媒体罅功能，我们一般也称为h a n d h e l dp c 另外虽然目前没有在i p a q 上的 p d a l i n u x 产品，但是由于i p a q 采用的是s t r o n g 蛐构架- 所以报多o p e l ls o u r c e 的p r o j e c t 都是拿i p a q 来当作开发平台，这样的项目有p o c k e tl l n u x 骠e bp a d 其实就是一种大荧幕的p 琳，但是w e bp a d 主要以浏览阿页为主。所以比较适 w e bp a 0 合的场所应属公共区域的电子资讯导航 s e tt o pb o x 就是放在电视机上的盘子目前来说它提供了通过电视机直接上网的功能 s e tt o pb o x 这里所说的上网是以髓臂为主，e m a i l 为鞠，对象是针对一般不是搌了解电脑的入所设 1 3 常见的嵌入式操作系统比较 常见的一些嵌入式操作系统有d o s ，它是1 6 位的单任务操作系统，例如 些l e d 看板；w i n d o w sc e 系统，目前主要应用于p d a ，但是和微软一系列 的w i n d o w s 系统一样，w i n d o w s c e 也承袭了原有的缺点：耗费系统资源太大， 不稳定，效率不佳等等；p a l m 系统，目前主要应用在p d a 上，是市场占有率 最高的p d a 操作系统；还有一些实时的嵌入式操作系统，如w i n d r i v e r 的 v x w o k s 等，但这些专有商业操作系统的费用高昂，像v x w o k s 系统，费用不 会低于6 0 万人民币，如果需要路由等模块，还需另外付费。 由于以上的分析，本系统使用嵌入式l i n u x 是最佳选择。 1 4 常见的嵌入式硬件平台 通常我们谈到的嵌入式系统的硬件平台，都常以c p u 种类来论，这当中当 然包含精简指令集( r i s c ) 与复杂指令集( c i s c ) 的c p u 。 下表既是一些常见的嵌入式硬件平台： 硬件平台 特征 是针对嵌入式系统为主，所以并不是大家每天所接触到的i n t e lp e n t i u m 系列或 m d 公 司的a t h l o nc p u ，而是如美国嗣家半导体( n s ) 公司的g e o d e 系列c p u 相对于一般 x 8 6 构架 p c 而言，嵌入式的x 8 6 构架c p u 并不需要那么强大的运算功能，因为嵌入式系统的硬 件需求较低。 a r m 系列的c p u 最常见的是i n t e l 公司的s t r o n g a t m c p u ，现在被广泛应用在h a n d h e l d a r m 构架 p c ( 功能强大的p d a ) 。 m i p s 系列c p u 中以n e c 公司出产的n e c v r 系列最出名，采用n e c v r 系列c p u 的 m i p s 构架 有c a s l o 的c a s i o c a s e i o p e i ae - i1 5 等等 p o w e r p c 构架 p o w e r p c 系列c p u 中当首推p a l m 所采用的m o t o r o l a 公司的d r a g o n b a l l 系列c p u 1 5 常见的嵌入式开发工具 1 5 ，1 商业公司提供的开发工具 一般如果是购买商业的嵌入式系统都有针对该系统完整的开发工具，开发 1 3 常见的嵌入式操作系统比较 常见的一些嵌入式操作系统有d o s ，它是1 6 位的单任务操作系统，例如 些l e d 看板；w i n d o w sc e 系统，目前主要应用于p d a ，但是和微软一系列 的w i n d o w s 系统一样，w i n d o w s c e 也承袭了原有的缺点：耗费系统资源太大， 不稳定，效率不佳等等；p a l m 系统，目前主要应用在p d a 上，是市场占有率 最高的p d a 操作系统；还有一些实时的嵌入式操作系统，如w i n d r i v e r 的 v x w o k s 等，但这些专有商业操作系统的费用高昂，像v x w o k s 系统，费用不 会低于6 0 万人民币，如果需要路由等模块，还需另外付费。 由于以上的分析，本系统使用嵌入式l i n u x 是最佳选择。 1 4 常见的嵌入式硬件平台 通常我们谈到的嵌入式系统的硬件平台，都常以c p u 种类来论，这当中当 然包含精简指令集( r i s c ) 与复杂指令集( c i s c ) 的c p u 。 下表既是一些常见的嵌入式硬件平台： 硬件平台 特征 是针对嵌入式系统为主，所以并不是大家每天所接触到的i n t e lp e n t i u m 系列或 m d 公 司的a t h l o nc p u ，而是如美国嗣家半导体( n s ) 公司的g e o d e 系列c p u 相对于一般 x 8 6 构架 p c 而言，嵌入式的x 8 6 构架c p u 并不需要那么强大的运算功能，因为嵌入式系统的硬 件需求较低。 a r m 系列的c p u 最常见的是i n t e l 公司的s t r o n g a t m c p u ，现在被广泛应用在h a n d h e l d a r m 构架 p c ( 功能强大的p d a ) 。 m i p s 系列c p u 中以n e c 公司出产的n e c v r 系列最出名，采用n e c v r 系列c p u 的 m i p s 构架 有c a s l o 的c a s i o c a s e i o p e i ae - i1 5 等等 p o w e r p c 构架 p o w e r p c 系列c p u 中当首推p a l m 所采用的m o t o r o l a 公司的d r a g o n b a l l 系列c p u 1 5 常见的嵌入式开发工具 1 5 ，1 商业公司提供的开发工具 一般如果是购买商业的嵌入式系统都有针对该系统完整的开发工具，开发 1 3 常见的嵌入式操作系统比较 常见的一些嵌入式操作系统有d o s ，它是1 6 位的单任务操作系统，例如 些l e d 看板；w i n d o w sc e 系统，目前主要应用于p d a ，但是和微软一系列 的w i n d o w s 系统一样，w i n d o w s c e 也承袭了原有的缺点：耗费系统资源太大， 不稳定，效率不佳等等；p a l m 系统，目前主要应用在p d a 上，是市场占有率 最高的p d a 操作系统；还有一些实时的嵌入式操作系统，如w i n d r i v e r 的 v x w o k s 等，但这些专有商业操作系统的费用高昂，像v x w o k s 系统，费用不 会低于6 0 万人民币，如果需要路由等模块，还需另外付费。 由于以上的分析，本系统使用嵌入式l i n u x 是最佳选择。 1 4 常见的嵌入式硬件平台 通常我们谈到的嵌入式系统的硬件平台，都常以c p u 种类来论，这当中当 然包含精简指令集( r i s c ) 与复杂指令集( c i s c ) 的c p u 。 下表既是一些常见的嵌入式硬件平台： 硬件平台 特征 是针对嵌入式系统为主，所以并不是大家每天所接触到的i n t e lp e n t i u m 系列或 m d 公 司的a t h l o nc p u ，而是如美国嗣家半导体( n s ) 公司的g e o d e 系列c p u 相对于一般 x 8 6 构架 p c 而言，嵌入式的x 8 6 构架c p u 并不需要那么强大的运算功能，因为嵌入式系统的硬 件需求较低。 a r m 系列的c p u 最常见的是i n t e l 公司的s t r o n g a t m c p u ，现在被广泛应用在h a n d h e l d a r m 构架 p c ( 功能强大的p d a ) 。 m i p s 系列c p u 中以n e c 公司出产的n e c v r 系列最出名，采用n e c v r 系列c p u 的 m i p s 构架 有c a s l o 的c a s i o c a s e i o p e i ae - i1 5 等等 p o w e r p c 构架 p o w e r p c 系列c p u 中当首推p a l m 所采用的m o t o r o l a 公司的d r a g o n b a l l 系列c p u 1 5 常见的嵌入式开发工具 1 5 ，1 商业公司提供的开发工具 一般如果是购买商业的嵌入式系统都有针对该系统完整的开发工具，开发 西南交通大学硕士研究生学位论文第4 页 工具大概包含有编译器、纠错工具、测试环境、完整的s d k 文件、整合式开发 环境 d e 。 1 5 2 o p e ns o u r c e 的相关工具 相对于商业公司而言，如果自行开发l i n u x 嵌入式系统，就需要借助一些 o p e ns o u r c e 的工具软件，首先编译器要选择g n u 的g e ec o m p i l e r ，虽然g e e 是o p e ns o u r c e 的工具软件，但它却是号称世界上最佳的编译器，比起商业版 的编译器毫不逊色，就如同l i n u x 一样。纠错器方面g n u 的g d b 也是功能强 大，如果不习惯文字功能的纠错，现在也有基于g d b 发展的视窗界面出错软件， 如d d d 。测试环境需要因目标平台而定。 一一 西南交通大学硕士研究生学位论文第4 页 工具大概包含有编译器、纠错工具、测试环境、完整的s d k 文件、整合式开发 环境 d e 。 1 5 2 o p e ns o u r c e 的相关工具 相对于商业公司而言，如果自行开发l i n u x 嵌入式系统，就需要借助一些 o p e ns o u r c e 的工具软件，首先编译器要选择g n u 的g e ec o m p i l e r ，虽然g e e 是o p e ns o u r c e 的工具软件，但它却是号称世界上最佳的编译器，比起商业版 的编译器毫不逊色，就如同l i n u x 一样。纠错器方面g n u 的g d b 也是功能强 大，如果不习惯文字功能的纠错，现在也有基于g d b 发展的视窗界面出错软件， 如d d d 。测试环境需要因目标平台而定。 一一 西南交塑奎兰塑主塑壅竺兰垡鲨塞 一翌三_ 圣一一一 第2 章需求分析 2 1 整体需求 本文中所论网关设备要求能满足中小型局域网的多台主祝需使用一根宽 局域两内晷主机 臣2 - i 本文中所设计网关鹰用嚣 带线路安全有效共享上网时的使用需求。它的应用图例见图1 。 它应具备三个基本功能，一个是接入需求，即下文中的n a t 地址转换功 能，它可满足多个私有地址的局域网主机访问互联网络的需求；一个是包过 滤安全防护需求，即防火墙功能；最后个是内网管理功能，包括i p - m a c 绑定，d h c p 功能等等。 2 ，2 系统功能 2 2 1 双向地址转换 系统同时支持正向、反向地址转换。能为用户提供完整的地址转换解决方 案。 正向地址转换用于使用保留i p 地址的内部网用户通过网关访问公网中的 地址时对源地址进行转换。支持依据源或目的地址指定转换她址的静态n a t 方 式和从地址缓冲池中随机选取转换地址的动态n a t 方式。 内部网用户对公众网提供访问服务( 如w e b ，f t p 服务等) 等的服务器如 果是保留i p 地址，或者想隐藏服务器的真实i p 地址，都可以使用反向地址转 换来对目的地址进行转换。公网访问网关的反向转换地址，由内部网使用保留 i p 地址的服务器提供服务，同样既可以解决全局i p 地址不足的问题，又能有 凰凰凰 西南交塑奎兰塑主塑壅竺兰垡鲨塞 一翌三_ 圣一一一 第2 章需求分析 2 1 整体需求 本文中所论网关设备要求能满足中小型局域网的多台主祝需使用一根宽 局域两内晷主机 臣2 - i 本文中所设计网关鹰用嚣 带线路安全有效共享上网时的使用需求。它的应用图例见图1 。 它应具备三个基本功能，一个是接入需求，即下文中的n a t 地址转换功 能，它可满足多个私有地址的局域网主机访问互联网络的需求；一个是包过 滤安全防护需求，即防火墙功能；最后个是内网管理功能，包括i p - m a c 绑定，d h c p 功能等等。 2 ，2 系统功能 2 2 1 双向地址转换 系统同时支持正向、反向地址转换。能为用户提供完整的地址转换解决方 案。 正向地址转换用于使用保留i p 地址的内部网用户通过网关访问公网中的 地址时对源地址进行转换。支持依据源或目的地址指定转换她址的静态n a t 方 式和从地址缓冲池中随机选取转换地址的动态n a t 方式。 内部网用户对公众网提供访问服务( 如w e b ，f t p 服务等) 等的服务器如 果是保留i p 地址，或者想隐藏服务器的真实i p 地址，都可以使用反向地址转 换来对目的地址进行转换。公网访问网关的反向转换地址，由内部网使用保留 i p 地址的服务器提供服务，同样既可以解决全局i p 地址不足的问题，又能有 凰凰凰 堕塑窒堕查堂塑主堕窒生兰垡堡皇 苎! 墨 一 - 效的隐藏内部服务器信息，对服务器进行保护。提供端口映射反向地址转换方 式。 2 2 2 采用基于w e b 的管理接口 w e b 融合了w e b 功能和网管技术，从而为网管人员提供了比传统工具更 强有力的能力。网管人员通过任何w e b 浏览器、在任何站点检测和控制内部网 络，所以他们不再只工作在网管工作站上了，而且由此能够解决很多由于多平 台结构产生的互操作性问题。w e b 管理提供比传统的命令驱动远程登陆屏幕更 直接，更易用的图形界面，浏览器操作和w e b 页面对w w w 来讲是非常熟悉 的，所以降低了全体培训的费用有促进更多的用户去利用网络运行状态信息。 2 2 3i p m a c 绑定 i p 地址绑定解决i p 地址盗用，为解决i p 地址盗用问题，网关运用了m a c 地址绑定技术。这样在网关内部就建立了网卡的i p 地址同其m a c 地址一一对 应的关系，既实现了网卡的i p 地址同其硬件m a c 地址的绑定。在这种情况下， 即使某个用户盗用了此网卡的i p 地址，在通过网关时也会因网卡的m a c 地址 不匹配而拒绝通过。在网络管理中i p 地址盗用现象经常发生，不仅对网络的正 常使用造成影响，同时由于被盗用的地址往往具有较高的权限，因而也对用户 造成了大量经济上的损失和潜在的安全隐患。网关中的i p m a c 地址绑定功能 可以很好的解决这一问题。通过与硬件物理地址的绑定，是盗用的i p 地址无法 通过网关系统。 2 2 4 广泛的网络及应用环境 支持众多网络通信协议和应用协议，如d h c p 、v l a n 、a d s l 、i p x 等。 方便用户扩展i p 宽带接入及i p 电话、视频会议、v o d 点播等多媒体应用。 堕塑窒堕查堂塑主堕窒生兰垡堡皇 苎! 墨 一 - 效的隐藏内部服务器信息，对服务器进行保护。提供端口映射反向地址转换方 式。 2 2 2 采用基于w e b 的管理接口 w e b 融合了w e b 功能和网管技术，从而为网管人员提供了比传统工具更 强有力的能力。网管人员通过任何w e b 浏览器、在任何站点检测和控制内部网 络，所以他们不再只工作在网管工作站上了，而且由此能够解决很多由于多平 台结构产生的互操作性问题。w e b 管理提供比传统的命令驱动远程登陆屏幕更 直接，更易用的图形界面，浏览器操作和w e b 页面对w w w 来讲是非常熟悉 的，所以降低了全体培训的费用有促进更多的用户去利用网络运行状态信息。 2 2 3i p m a c 绑定 i p 地址绑定解决i p 地址盗用，为解决i p 地址盗用问题，网关运用了m a c 地址绑定技术。这样在网关内部就建立了网卡的i p 地址同其m a c 地址一一对 应的关系，既实现了网卡的i p 地址同其硬件m a c 地址的绑定。在这种情况下， 即使某个用户盗用了此网卡的i p 地址，在通过网关时也会因网卡的m a c 地址 不匹配而拒绝通过。在网络管理中i p 地址盗用现象经常发生，不仅对网络的正 常使用造成影响，同时由于被盗用的地址往往具有较高的权限，因而也对用户 造成了大量经济上的损失和潜在的安全隐患。网关中的i p m a c 地址绑定功能 可以很好的解决这一问题。通过与硬件物理地址的绑定，是盗用的i p 地址无法 通过网关系统。 2 2 4 广泛的网络及应用环境 支持众多网络通信协议和应用协议，如d h c p 、v l a n 、a d s l 、i p x 等。 方便用户扩展i p 宽带接入及i p 电话、视频会议、v o d 点播等多媒体应用。 一一塑堕窒望查堂堡主塑壅生兰垡笙壅 苎! 墨 - _ ，_ _ _ - _ _ _ - _ _ - _ _ - _ r 。- _ 。_ 。_ 。”。_ 。一一一一 第3 章防火墙技术 3 1 防火墙基本知识 3 1 1 防火墙概述 r t t e m e t 防火墙f a q ( i m e m e tf i r e w a l lf a q ) 1 将防火墙定义为“一个或者一 组能够在两个网络之间执行一种访问控制策略的系统”。有些防火墙的设计着眼 于阻塞什么流量，而有些则着眼于准许什么流量：但是所有防火墙的关键作用 还是实现一种访问控制策略。 不管防火墙的体系结构如何选择，关键要记住防火墙只是整体安全解决方 案中的一部分，而整体安全性的强弱只能与其实现中最薄弱的一个环节相同。 特别的，防火墙不能针对不通过防火墙的攻击提供保护。他不能阻止一位雇员 带着装有重要数据的软盘走出大楼，也不能保户外出的经理被偷走的膝上计算 机中硬盘上的数据，更不能阻挡通过未加管理的调制解调器拨入访问来进行的 攻击。 防火墙只是实现一种切实且富有意义的安全策略的整个机构安全体系中有 效的一环。形成适当的安全策略所带来的挑战并不是微不足道的，因为任何安 全策略必须认识到在安全实现上有如下关键性的限制： 完美无缺的安全是不可能的。我们只能增加未经授权的访问代价，从 而使得这种访问比受到保护的资产价值还要高。 安全是有代价的。实现安全机制会让合法用户的访问更困难，代价更 高。 3 1 2 防火墙的基本原理 一一塑堕窒望查堂堡主塑壅生兰垡笙壅 苎! 墨 - _ ，_ _ _ - _ _ _ - _ _ - _ _ - _ r 。- _ 。_ 。_ 。”。_ 。一一一一 第3 章防火墙技术 3 1 防火墙基本知识 3 1 1 防火墙概述 r t t e m e t 防火墙f a q ( i m e m e tf i r e w a l lf a q ) 1 将防火墙定义为“一个或者一 组能够在两个网络之间执行一种访问控制策略的系统”。有些防火墙的设计着眼 于阻塞什么流量，而有些则着眼于准许什么流量：但是所有防火墙的关键作用 还是实现一种访问控制策略。 不管防火墙的体系结构如何选择，关键要记住防火墙只是整体安全解决方 案中的一部分，而整体安全性的强弱只能与其实现中最薄弱的一个环节相同。 特别的，防火墙不能针对不通过防火墙的攻击提供保护。他不能阻止一位雇员 带着装有重要数据的软盘走出大楼，也不能保户外出的经理被偷走的膝上计算 机中硬盘上的数据，更不能阻挡通过未加管理的调制解调器拨入访问来进行的 攻击。 防火墙只是实现一种切实且富有意义的安全策略的整个机构安全体系中有 效的一环。形成适当的安全策略所带来的挑战并不是微不足道的，因为任何安 全策略必须认识到在安全实现上有如下关键性的限制： 完美无缺的安全是不可能的。我们只能增加未经授权的访问代价，从 而使得这种访问比受到保护的资产价值还要高。 安全是有代价的。实现安全机制会让合法用户的访问更困难，代价更 高。 3 1 2 防火墙的基本原理 堕童奎望查兰塑主婴窒兰兰垡迨窒苎! 里 鬲夏磊磊磊磊葫不面磊爵_ 戛而在磊鬲吾再i = 不丙孬吾赢是可信颡的网络， 防火墙在隔离两个网络时。我们往往将其中一个f 回络看成是可信赖的网鍪舀， 一般是指内部网络，我们认为它是安全的；而防火墙另一侧的网络我们认为它 防火墙 图3 - i 防火墙原理 是不可信赖的网络，一般是指外部网络，可能存在许多不可预知的状况，我们 不能认为它是安全的。 防火墙既然是在两个网络之间，如图2 所示，我们逻辑上将防火墙功能划 分为路由转发和分组过滤两萤功能，这就是从原理上说明防火墙是如何保障两 个网络之间的安全通信的。 3 。2 数据包过滤 数据包过滤器能提供有用的网关安全等级。数据包过滤器的工作方法是通 过基于数据包的源地址、目的地址或端口来进行的。过滤根据当前数据包的包 头内容来做。包过滤可以在输入方向。输出方向，或者两者兼而有之的方向进 行。管理员可做一个接受的主机和服务的列表，以及一个不接受的主机和服务 的列表。利用数据包过滤器很容易实现网络对象的允许或禁止访问。例如，允 许主机a 和b 之间的任何i p 访河，或禁止除a 以外的任何机器访问b 。 配置一个数据包过滤器分三个步骤。首先，了解什么是应该允许的，什么 是不应该允许的，即必须有套安全策略；其次，可允许的数据包类型必须以 数据包字段中的逻辑表达式正规地说明；最后，表达式必须使用客户支持要 求的语法来编写。 这里有一个配置数据包过滤器的范例。假设在个系统中的某部分安全策 略是仅允许进入的电子邮件( s m t p ，端口2 5 ) 访问网关机器( 名称：o u r - g w ) ， 并且，还必须阻断来自某个特别站点( 名称：s p i g o t ) 的邮件，因为它总是发 来大量的垃圾邮件。根据这样一个策略，配置过滤器如下； 堕童奎望查兰塑主婴窒兰兰垡迨窒苎! 里 鬲夏磊磊磊磊葫不面磊爵_ 戛而在磊鬲吾再i = 不丙孬吾赢是可信颡的网络， 防火墙在隔离两个网络时。我们往往将其中一个f 回络看成是可信赖的网鍪舀， 一般是指内部网络，我们认为它是安全的；而防火墙另一侧的网络我们认为它 防火墙 图3 - i 防火墙原理 是不可信赖的网络，一般是指外部网络，可能存在许多不可预知的状况，我们 不能认为它是安全的。 防火墙既然是在两个网络之间，如图2 所示，我们逻辑上将防火墙功能划 分为路由转发和分组过滤两萤功能，这就是从原理上说明防火墙是如何保障两 个网络之间的安全通信的。 3 。2 数据包过滤 数据包过滤器能提供有用的网关安全等级。数据包过滤器的工作方法是通 过基于数据包的源地址、目的地址或端口来进行的。过滤根据当前数据包的包 头内容来做。包过滤可以在输入方向。输出方向，或者两者兼而有之的方向进 行。管理员可做一个接受的主机和服务的列表，以及一个不接受的主机和服务 的列表。利用数据包过滤