（计算机软件与理论专业论文）基于安全增强的嵌入式linux的硬件防火墙设计与实现.pdf

东南人学坝 学位论文基于安全增强的嵌入式l i n u x 的硬件防火墙设计与实现 摘要 由于网络攻击行为的日益多样化 单一的网络安全技术已经不能满足当前的安全 需求 本文介绍了一种新的分布式防火墙系统一主动式防火墙 主动式防火墙集成了 网络地址转换n a t 虚拟专用网v p n 一次性口令认证o t p 等技术 通过防火墙和入 侵检测i d s 漏洞扫描s c a n n e r 等多种网络安全技术的联动 实现了动态防御 本文的研究工作主要分为两大部分 一是主动式防火墙系统框架的设计 包括主 动式防火墙中的联动设计和基于安全增强的嵌入式l i n u x 的硬件防火墙设计 二是安 全增强的嵌入式l i n u x 内核实现以及通用安全接口的实现 针对防火墙模块和i d s s c a n n e r 等模块的联动 提出了一个包括联动策略接口 通用安全接口 安全信息管理等的整体框架 管理员通过联动策略接口制定系统的策 略 安全信息管理主要对同志进行规格化并分析 通用安全接口保证传输数据的安全 性 一旦i d s 检测到入侵行为或者s c a n n e r 发现漏洞 安全信息管理通过对同志的分 析后 通知防火墙修改过滤规则来主动的保护内部网络 通过对目前防火墙软硬件方案的优缺点 以及嵌入式l i n u x 作为操作系统的优点 的比较分析 提出并设计了基于i n t e x 8 6 工业主板的硬件防火墙方案 实现了作为 主动式防火墙平台的嵌入式l i n u x 系统 由于嵌入式l i n u x 在安全上的缺陷 无法满 足作为防火墙平台的安全需要 在研究了现有的安全增强的l i n u x 技术的基础上 实 现了基于l i n u xc a p a b i l i t i e s 的安全增强的嵌入式l i n u x 系统 通过使用l i n u x c a p a b i l i t i e s 这种强制访问控制策略 可咀对文件 设备 进程等提供安全保护 关键词 主动式防火墙安全增强嵌入式l i n u x联动通用安全接口 东南火学硕l 学位论文 基于安全增强的嵌入式l i n u x 的碰件防火端殴计 i 实现 a b s t r a c t f o r t h ed i v e r s i f i c a t i o no fn e t w o r ki n t r u s i o n i n d i v i d u a ls e c u r i t y t e c h n o l o g ycann o ts a t i s f yt h ep r e s e n ts e c u r i t yn e e d s s ow ei n t r o d u c eanew d i s t r i b u t e df i r e w a l ls y s t e mc a l l e da c t i v e f i r e w a l l t h r o u g ht h ea d o p t i o no f n a t v p n o t pt e c h n o l o g i e sa n dw i t ht h ec o o p e r a t i o na n dc o r r e l a t i o no f i n t r u s i o nd e t e c t i o n v u l n e r a b i l i t ya s s e s s m e n t t h ea c t i v e f i r e w a l lcand e f e n d a c t i v e l y t h i sp a p e ri sd i v i d e di n t ot w op a r t s t h ef i r s ti sa c t i v e f i r e w a l ls y s t e m f r a m e w o r kd e s i g ni n c l u d i n gc o r r e l a t i o nd e s i g ni na c t i v e f i r e w a l l a n dt h e h a r d w a r ef i r e w a l ld e s i g nb a s e do ne m b e d d e dl i n u x t h es e c o n dp a r ti s i m p l e m e n t a t i o no fs e c u r i t ye x t e n s i o ne m b e d d e dl i n u xk e r n e la n do fg e n e r a l s e c u r i t yi n t e r f a c e t h i sp a p e rd e s i g n sac o r r e l a t i o nf r a m e w o r ki na c t i v ef i r e w a l is y s t e f nt h a t i n c l u d e sc o r r e l a t i o np o l i c yi n t e r f a c e g e n e r a ls e c u r i t yi n t e r f a c ea n d s e c u r i t y i n f o r m a t i o nm a n a g e m e n t a d m i n i s t r a t o rm a n a g e ss y s t e mu s i n g c o r r e l a t i o np o l i c yi n t e r f a c e b yu s i n ge n c r y p t i o na n da u t h e n t i c a t i o n g e n e r a l s e c u r it yi n t e r f a c et r a n s f e r sd a t as a f e l y s e c u r i t yi n f o r m a t i o nm a n a g e m e n t n o r m a l i z e sa n da n a l y z e sl o g so fd i f f e r e n ts e c u r i t yd e v i c e s o n c ei d sd e t e c t s i n t r u s i o no rs c a n n e rf i n d sw e a k n e s s s i mr e p o r t st of i r e w a l1a n dr e q u e s t s f i r e w a l t om o d i f yf i i t e rr u l e st h r o u g hg e n e r a ls e c u r i t yi n t e r f a c e t h a t s s o c a l l e da c t i v e f i r e w a l ls y s t e m o nt h eb a s eo fc o m p a r isono ft w ok i n d so ff i r e w a l l 一s o f t w a r ef i r e w a l l h a r d w a r ef i r e w a l l c o n s i d e r i n gt h ep e r f o r m a n c ea n dc o s t t h i sp a p e rd e s i g n s a n di m p l e m e n t sah a r d w a r ef i r e w a l lb a s e do ni n t e lx 8 6i n d u s t r yb o a r da n d e m b e d d e dl i n u xo p e r a t i o ns y s t e m a st h eb a s e m e n to fa c t i v e f i r e w a l l g e n e r a l l i n u xk e r n e lcann o ts a t i s f yt h es e c u r i t yn e e d s a f t e rt h es t u d ya n da n a l y s i s o fl i n u xk e r n e ls e c u r i t y w ei m p l e m e n tas e c u r i t ye x t e n s i o ne m b e d d e dl i n u x k e r n e lb a s e do nl i n u x c a p a b i l i t i e s l i n u xc a p a b i l i t i e s i sa m a n d a t o r ya c c e s sc o n t r o lm o d u l e a n di tcanp r o t e c tf i l e d e v i c e p r o c e s s k e yw o r d s a c t i v e f i r e w a l l s e c u r i t ye x t e n s i o ne m b e d d e dl i n u x c o r r e l a t i o n g e n e r a ls e c u r i t yi n l e r f a c e y 6 9 4 2 1 4 苎 查兰竺 兰竺兰兰 苎兰竺竺翌竺竺竺全兰 竺竺竺竺竺查竺兰生 兰竺 东南大学学位论文 独创性声明及使用授权说明 一 学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作 及取得的研究成果 尽我所知 除了文中特别加以标注和致谢的地方外 论文中不包含其他人已经发表或撰写过的研究成果 也不包含为获得东 南大学或其它教育机构的学位或证书而使用过的材料 与我一同工作的 同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢 意 签名 越南 鲨竺 i i f 二 关于学位论文使用授权的说明 一 东南大学 中国科学技术信息研究所 国家图书馆有权保留本人所 送交学位论文的复印件和电子文档 可以采用影印 缩印或其它复制手 段保存论文 本人电子文档的内容和纸质论文的内容相 致 除在保密 期内的保密论文外 允许论文被查阅和借阅 可以公布 包括刊登 论 文的全部或部分内容 论文的公布 包括刊登 授权东南大学研究生院 办理 虢螂 铆签名獬吼 苯南犬学硪圭学位论文耩于蜜垒增强的嵌凡妓l i n u x 的醚伴醅火麟设计 实现 1 1 研究背景 1 l 1 安全背景 第一章引 言 随着i n t e r n e t 的发展 越来越多的企业和个人加入其中 网络的入侵攻击问题 也睫之奠蓝突出 椴攘计算褫紧急嚷应组 c e r t 协调中心发布的统计报告 l 2 0 0 1 年缀裔了5 2 6 5 8 伟安全事律 2 0 0 2 年掇告了8 2 0 9 4 孛安全潦件 2 0 0 3 年缀告了1 3 7 5 2 9 件安全事件 在安全事件快遵增长的同时 入侵攻击的方式也变的越来越复杂化和多样化 圈 蘸大畿霹疆分为 侦察刺探 r e e o n n a i s s a n c e 用来发现系统信息署嚣服务信息 服务失效 d o s 导致服务资源耗尽的玻击 漏洞攻击 e x p l o i t 利用系统或服务的潺洞躲攻击 蠛虫病毒 v i r u s 自我爱麓并遗嚣传攒酌恶意我磷 隐藏躲避 e v a s i o n 隐臧攻击行为本身的一些行为 包括后门 非 f 常的包碎 片等 瓣瑟 霹络安全润题已经成为了曩藏遥锈霉要鬃决懿耀题 在所有的网络安全设施中 防火墙是最鏊础也是最重臻的 它是尉络之间的一种 特殊的访问控制设施 用于隔离网络的一部分 限制这部分与其他部分之问数据的自 由流动 然丽在面对r 益复杂化秘多样化的网络入侵时 传统的防火墙掇架逐渐暴露 了在麓瑟秘议分横 经能等方瑟的缺陷 因此进行薪静跨火壤框絮豹磷究已经成为了 网络安全研究中的一个热点 1 l 2 顼嚣背景 本文是国家8 6 3 课题 一个复合型防火墙系统的研究与丌发 的后续研究 在此之前 已经完成了两个阶段的工作 第一阶段 完成了基于角色的访问控制r b a c r o l e b a s e da c c e s sc o n t r o l 模决 基予o t p o n et i m ep a s s w o r d 懿焉户谈遐 模块 网络地址转换n a t n e t w o r ka d d r e s st r a n s f e r 模块等 实现了一个基于l ir i u x 系统的复合型防火墙系统 王晖 刘玉岩 腾文等同学硕士沦文 第u 二阶段 提出 了主动式跨火壤系绫豹壤念 设诗并实现了主动式防火墙系统 以及主动式防火墙系 统中v n 交互豹漆 议 该协议是 个面向连接的应用层协议 实现了双向身份认证 数据完攘性 数据 税密洼等功能 i d w g 工作组定义的通信标准详尽而完备 适合在异构平台之上的不同厂商的产品 跨越不信任掰络进行通信 但是这种完备性是以性能为代价的 比如i d m e f 使用x m l 描述数据 一条简单的a l e r t 信息裁要几k 字节 两且i 蠹信双方嘉娶x m l 鳃概弓l 攀对 删l 格式的数据进行解析 而在主劝式防火墙系统中 防火墙模块和i d s 模块都是系 绞戆一部分 它嬲之蚓懿交互疆予系统肉帮鹣数攥交互 因此可以籍讫遁僚协议敬提 高整体性能 出予暹信协汉主甏掊述静是安全事 率信息稻防火墙动彳乍繁患 灏 毙最简单的通信 报文可以采用如下格式 其中a d d r e s s 表示安全雾 牛的楣关趣皱 包括源媳址 源端口 尽标地址 霹橛 端口 p r o t o c o l 表示t c p u d p 以及一些应用协议 a c t i o n 表示阻断方式 主舞分 为阻叛遗址 匿颧蜈翻等 d u r a t i o n 表示疆凝熬时趣 通信安全 盘予该接嗣受责羔兰动式防火饕系统中主要帮分 防火麓模块和i d s 模块之闰静 通信 因此该接口的安全性囊接影响了整个系统的安全性 如果该按目无法保证通信 的安全 那么莱擅进入内部潮的黑客或者内部网的不法用户 就可以假雷i d s 等安全 模块向防火墙模块发出指令修改防火墙的规则 或者在逶信过程中窃取通信内容 从 而造成整个主动式防火墙系统完全失效 为了保证系统的安全 必须萤先保迁该接 1 躯安全 主要要敛劐以下延点 一是身份验证 为了防止有不法的用户冒充i d s s c a n n e r 等横块而修改防火墙 戆援刘 必须在接口逶蔼时对通信双方赘囊谂邋 亍鉴爨 二是对通信数据进行加密 为了防j 仁在身份验证以后 攻击者在中间进行桥接攻 击 龟努须对通信过税加密 为了满足以t 两点 可以使用s s l s e c u r es o c k e tl a y e r 协议保证安全传输 s s l 协议雉n e t s c a p ec o m m u n jc h t i o n 公司提出的主要翊于w e b 的安令通信标准 分为 东南大学i l i 士学位论文荩 二蜜全增强蛉 袋入 l i n u x 的醚件辨火墙设亡 实现 2 o 版和3 0 版 t l s t r a n s p o r tl a y e rs e c u r i t y 协议 1 2 是i e t f 的t l s 工作组 在s s l 3 0 基础之上提出的安全滔信标准 目前版本是1 0 即r f c 2 2 4 6 s s l t l s 提 供黪安全极制可以绦涯应蠲层数掘在互联鄹终簧辕不被整瞬 伪造翻窳酸 一般情况下的溺络协议应用中 数据在枫嚣中经过鬻单的各个协议簇的包装 就 进入网络 如果这然包被截获的话 那么可以很容易的根据网络协议得到旱面的数据 出网络监听工具可以很容易的做到这一点 s s l 就是为了加密这些数据瓤提出的协议 它楚僚予各耱应潮溱露t c p i p 之阉戆一层 数据盔应瑟豢经过它滚窭豹时棱袭攘誊 再送往t c p i p 而数据从t c p i p 流经它这 层时被解密 然后雨送往应用层 固困臣困 应用层 网络层 图2 2s s l 的层次结构 s s l 安全协议主要提供两方狮的服务 身份认证 s s l 协议要求程握手阶段遴行身份认证 以此来确认双方的身份 翼认证一般利 用证书 并采用非对称加密算法 r s a d s a 等髀法 进行 鉴别的方式怒可选的 但 是一般至少需要鉴别一方 安全绩簸 s s l 协议在通信双方进行应用层数据交换之前 交换s s l 初始握手信息 双方在 s s l 搬手信息中协商对称密钥加密算法 d e s i d e a r c 4 等算法 安全敞列算法 m d 5 s h a r i p e m d m d c 2 等算法 等 懿保证应塌屡传输的橇警瞧移数据的宠整性 2 1 3 安全信息管理 s i m 霜恚褒格纯 由于目前还没商 个统一的安全事件描述标准 不同的产品都使用锫自定义的不 同的格式来产生同惑 单一的 i 志分析工具无法对所有的安全r 志进行分析 因此要 进行同志分析 酋兜要对不同安全设备的同志进行标准化 虽然还没青一个统一的安全搴伟箍述栎潍 但是有一垫属性是每个安全事箨攒逐 1 3 都必须有的 类别 按照攻击手段寒分 大概可以努为 东南火学碗v f 学位论文摧于安垒增强的嵌入式l i n u x 的驶件防火墙设 to o 实现 侦察刺探 r e c o n n a i s s a n c e 朋来发现系统信息和服务信息的安全事件 例如 壤墨据撼 服务失效 d o s 学致服务资源耗尽的攻击 漏洞玻击 e x p l o it 利用系统戚服务的漏洞的攻击 例如缓冲区溢出攻击 蠕虫痪惫 v i r u s 爨我复铡莠滋嚣蕊摇筑繇意代码 隐藏躲避 e v a s i o n 隐藏攻击行为本身静一些行为 包括后门 菲正常的包碎 片等 描述 对瘸予装一类鞠蕊安全事 季逡行矮俸戆说缓 键螽 孀虫瘸毒类攻壶i i sn i m d a w o r m 服务失效类攻击s y nf l o o d 设备 表鞠捻测到该安全攀件趣设螽 铡翅i d s 黪火墙 安全等级 根据墩击的危害 频度等进行划分 从而采用不同的策略 如低等级的安全事件 仅仅写入翻志 而高等级的安全事件则直接和防火墙联动 源 鏊戆蘧蛙 r 惑分析 安全信息管理中的同志分析不再是单点的同志分析 而是在各个安全模块联动的 清援下 综合了各个模块安全痞怠躺繁礁上进行戆蠢缎援志分援 它大大降低了误报 警率 提离了告警信怠的准确经 最i d s s c a n n e r 等模块和防火墙模块联动的基礁 它的分析方法主要有 基于效果分析 普通弱i d s 鼹簧畜黪试錾玫壹行为豢提遗告棼 瑟不管浚行为莛露有效 这缮导 致了大量的无效告警 例如i d s 检测到一个针对w jn d o w s 系统的某个漏洞的蠕虫病毒 发起的自础攻击行为 于是产生一条相应的告警储息 然而蠕虫攻击的目标主机已经 打过了相应漏漏的於丁 导致该攻击无效 在不影响网络性能瓣对候 可以不和防火 墙逶行联动 避免不必簧的网络流豢釉频繁的防火墙蕊赋修改 通过将攻击行为的特征与目标主机环境 包括操作系统 服务 服务版本等信息 进行匹配 从而将攻击行为基于效果分类 匹配符合的 该攻击属于有效攻击 不符 会豹 髑魏没袁穗应鹣暇务 或喾黢务已经舞缀 缀毒潺灞已经努过事 丁等 辩疆 于无效攻击 无法确定的 则属于w 疑攻击 要做刮这一点 必须要了解内部网的网络环境和内部网的主机环境 而通过 s c a n n e r 模块治好可以敲到这一点 s c a n n e r 漠块对内都网进行扫撼 在扫撼漏洞的 司辩 获褥了内部靖的闲络坯境僖惑稿囊辊环壤信患 萁鳢暴为同志分柝禳旋判断攻 击效果提供了依据 东南人学砸l 学位论文基于安今增强的嵌入式l i n u x 的碰件防火墒设计 j 实现 图2 3 基于效果分析日志 基于统计分析 简单的i d s 把攻击看作单一的行为 而不关心一系列攻击的共性 例如 一个简 单的针对网络的扫描行为将导致某些i d s 对网络中的每一个主机都产生一条告警信 息 如果直接和防火墙联动 将导致防火墙规则的急速扩张 而通过统计分析 可以 发现一系列的攻击行为都来自同一个源地址 从而可以总结出一条针对该源地址的规 则和防火墙进行联动 从而阻断该攻击 另外一种基于统计的分析在多个i d s 的情况下使用 因为i d s 难免有误报警 而 多个i d s 同时误报警的可能性要大为降低 通过对多个i d s 的日志的分析 在一致的 情况下才接受该报警和防火墙联动 而且当多个i d s 是不同类型的时候 例如一个是 基于网络的i d s 一个是基于主机的i d s 由于相互之间的优势互补 可以更加准确 的判断攻击行为是否真 f 发生 图2 4 不同类型i d s 的统计分析 基于重要性分析 对发生的安全事件根据其重要性进行等级划分 低等级的攻击事件采用非实时的 方式 如e m a i l 等 通知管理员并等待进一步的处理 高等级的攻击事件则实时告警 甚至直接和防火墙联动 切断攻击连接 但是 仅仅静态的安全等级也是不够的 因为静态的安全等级仅仅反映了单个攻 击的危害 而没有考虑到多个相同攻击或者一系列连续攻击的危害已经远远大于单个 攻击 为了解决上述问题 可以采用动态的安全等级 按照一定的算法进行安全等级 的提升 一个简单的安全等级提升算法可以是基于统计的 即同样的攻击行为重复发 生 则提升安全等级 另外的一种安仝等级提升算法是基于状态转换的 1 4 每一个攻击在记入告警 表露大学鞭1 学位论文箍中掣全增强抟歉a 式l i n u x 静秘擎 骑 火臻设浮 买蕊 记录时有一个模块进行分析 它根据系统的攻击序列特征库对一段时间内的攻击行为 进行溅配 如果发现匹配 则改写薪的状态并进行安全等缀的提井 镶磐 告警售愚提交豹安念事俘接述翔下 当检测到一个针对w e b s e r v e r 的端口扫描时 安全事件描述记为 弼时将该描述保存在动态状态表中 并记录状态为s t a t el 如槊在一段时间内 又检测同一源地址针对同一w e b s e r v e r 的e x p l o i t 攻击 则安全事件描述为 动态获态表中豹狻态爨过为s t a t e2 潮为莲配裣溺到序列攻击行为 因此提歹 该安全事件的安全簿级 并添加一条安全事件描述 t i m e 2 如果超过时间 刚记为f a iju r e 状态并从动态状态表巾删去 熬个过程如下图所示 篷2 5 基于状态转换静安全簿缓提秀 2 2 基于嵌入式l i n u x 的硬件防火墙方案设计 急经完残豹貔火蘧壤琰戮较馋茨灾蘧戆影式 运行在蒋通 p c 税上 其安全瞧翻 性能都无法满足主础式防火墙系统的整体要求 因此为了提高整个系统的性能和安全 性 需要进行硬件防火墙的设计 2 2 1 硬俘警台 防火墙作为网络安全中最主臻和最基本的撼础设旋 它是目前发展得比较成熟的 安全技术窝产品 瓣秘 貔火臻厂褰已有数蠢个之多 枣场主躲硬 譬爨火壤产品遣鸯 很多 根据其硬件主要实现方式 都可以分为以下三种 a s i c 架构硬件防火墙 a s i c 硬件防火墙由专用的a s e a p p l ic a t i o ns p e c i f i ci n t e g r a t e dc i r c u i t 芯片懿疆数据包 c 朋只受责管趱 一般采蠲专门设计翡专鞠操侉系统 势往鞠专门 设计的硬件体系结构 东南火举删 卜学位论文攮于安譬增愠的嵌八式l i n u x 1 勺耻件防火墙漩 t j 实现 a s i c 楚一静豢毒逻辑楚理匏秀霆遮蹙理器 麓零毽滢 a g i c 藏是囊蠢l 疆 警豹逻辑 电路实现软件的功能 这类防火墙的操作系统和c p u 只起a s i c 磺件驱动和提供管理 接口作用 只负责总体协调却不参与任何防火墙的基本处理 因此即使在a s i c 芯片 全力处理数据数时候 c p u 仍然处予较低的使用状态 两不会影响到对其他枣务的响 应速度 漆予采用了a s i c 技术 把 些原先盘c p u 完成的经常往工俸交绘专f j 的硬 件来负责完成 从而在性能上实现突破性的提高 另外 这类硬件防火墙采用了专门设计的硬件体系结构 即多个高速总线 多处 遴器薯露熬毽 多令褰遮慧线结秘缳强在壤目上毒数豢传送时貉灾蘧蕊然可以蠢薅进 行高效数据处理 不再鼹传统的中断限制 多处理器并行处理保证了原先c p u 需要上 千甚至上万条顺序指令才能完成的过程在a s i c 中出数个循环就可以完成 因此大大 挺高了系统的性能 餐是采糟a s i c 芯片静硬件防火墙也有它的靛点 由予将捺令或诗算遥耩匿佬至l 了硬件中 缺乏灵活性 也不便于修改和升级 深层次包分析 主要是应用滕包分析 增加了a s i c 的复杂度 a s i c 的开发周期长 典型设计周期1 8 个月 因此a s i c 设计 费瑁舄赛蠢风险较大 蕊弱寒漫 a s i c 硬停跨火壤罴爱懿是一枣争籀毪灵溪瞧换致裹 可靠性和强大的处理能力的方法 1 5 x 8 6 架构硬件防火墙 这类防火墙一般使用i n t e lx 8 6p c 结构 商烘产品也做了 些改进 例如 基 本系统 翳络接日芯冀 存储器等 完全集残在一块p c b p r i n t e de i r c u i tb o a r d 上 存储器使用f l a s h 电子存储 而不是机械式磁介质存储 这样 无论是抗震能力 还是对温度 湿度的适应能力 以及长时期不问断运行的可靠性 都要提商很多 这 耱基于i n t e lx 8 6 熬软硬结合戆菸火墙基本上氆称为硬搏菸火墙 由于萁性能秘灵适 往的平衡 它在百兆防火墙领域取得了巨大成功 n p 架构硬件防火墙 耳前 耨出现一类使用n p n e t w o r kp r o c e s s o r 网络处理器 的防火墙 1 6 1 1 7 繇诲k p 繇专为阏络数据照瑷蠢设诗斡芯片或芯片缓 麓够壹接宠藏鼹络数 据处理的一般性任务 如t c p i p 数掇的校验 计算 包分类 路由查找等 同时 其硬件体系结构的设计 用高速接口技术和总线规范 具有较高的i o 能力 因此 歇理论的熊发来讲 船瓣火墙可解决鏊于i n t e lx 8 6 魏防火墙在性能上的簸颈帮基予 a s i c 的防火墙功能贫乏的缺陷 但怒 k p 主要怒蕊向路出器设计的 它主瓣进行较 为简单的网络数据处理 t c p i p 数据的校验 计辫 包分类 腊出查找等 在面向 防火墙的复杂应用时 无法进行复杂的逻辑分析茅 控制 需要和其他的协处理器一起 嚣台 这三菸硬件防火墙产品的主要比较如下表 苎翌奎兰竺 兰竺篓兰 兰 墨皇兰登竺竺叠鉴 竺翌竺竺竺查竺驽兰兰兰兰 a s i c 硬件防火墙x 8 6 硬什防火墙 n p 硬件防火辫 结专捌芯片a s i c 处理数据龟 专i 业主援十机籍 c p u 辨火墙软运行在通蠲操作系 秘用的硬纷体系 c p u 旯弼份管理鹱 集成下一体 p cb o x 端籀 统上 采羽n p 芯片 之删 和协处理器进行包 处理 操俘蔹臻专蠲戆掇露系统平台 避采矮专蠲竣 夔蠲操侉系绫 采翊专翻袋逶 疆撩 系统免了通用操作系统的安全性漏作系统 洞 安全与速发网时兼顾 没蠢翔核心技术仍然为软件 有时会形性熊 e 较高 但距鬻 性户陵裁 蛙价眈较高 营壤箍成网络带跷簸颈 满楚中豫索宽 a s i c 硬件防次壤述 能 单 快捷 要求 眷吐量较高 管理比较方 有一段距离 便 识 产熬努蕊为壤纷礁缝影 戴类产赫多 观为疆 瓿粒形 藏囊防 产赫努鼹为硬嚣援 别防火墙一般不会对外公布其火墙一般会对外强调冀c p u 与 箱形 一般会公布采 方c p u 或r a m 等硬件水平 其核心r a m 等硬件水平 j 的n p 芯片 法为硬僻 芯片 代表n e t s c r e e n 系列茨火墙 e i s c op i x 跨火臻联想霜御防灾璃 产品清华紫光防火墒 表2 6 硬件防火墙的比较 在对三静硬馋貔犬麓豹综台魄较戆基毳窭上 考虑到已经宠或蕊软l 譬爨必缓模块 以及开发的能力 资金 周期等因素 决定采用基于i n t e lx 8 6 的工业主板作为硬件 平台 2 2 2 操终系统 通用的操作系统中与防火墒相关的网络通信和防火墙应用仅为整体系统很小的 一部分 其设备支持部分帮文件系统 对防火壤寒说完全不盛翅瑟复杂秘痣大 嚣此 在硬传防火墙中 一般采用专用的操作系统 包括完全独立开发设计的操作系统和在 通用操作系统基础上改进的操作系统 前者从头开始丌发一个操作系统 需要大量的 编码 而后者只需要精简内核以及去掉与防火墙应用无关f 勺部分即可 节省了大量的 久力秘辩阕 嵌入式l i n u x e m b e d d e dl i n u x 是指对 i n h x 系统进行裁减 并且网化在小容餐 的存储器芯片 应用于特定场合的专用i i n u x 操作系统 怒目前最热门的嵌入式操作 系绞 因为它有羞以下的明显拨点 l in u x 系统怒辙内核结构 j 内核完全玎放 东南大学碳 l 学位论文基于安全增强的嵌入式l i n f i x 的碰件防火埔 盐计与实现 l i n u x 是由体积小而且性能高的微内核组成 在代码完全公开的前提下 不同领 域和不同层次的用户可以根据自己的应用需要很容易地对内核进行修改 在低成本的 前提下 设计和开发出真正满足自己需要的嵌入式系统 强大的网络支持功能 l i n u x 支持所有的标准网络协议 并且可以利用一些基于标准网络协议丌发的专 用网络协议 完善的开发工具和技术支持 一般开发嵌入式操作系统时 程序调试和跟踪都是使用仿真器来实现的 而l i n u x 系统有完善的丌发工具 可以直接使用内核调试器来做操作系统的内核调试和查错 另外 网上有众多的丌放源码的项目和许多程序员团体 可以很方便的得到技术支持 从而缩短开发的时间 可移植性强 l i n u x 支持几乎所有的处理器 出片和众多的设备驱动程序 在构建硬件平台时 就可以方便的选择处理器和其他硬件设备 而无需考虑兼容性问题 即使更换了硬件 设备 也不必重新设计整个系统 而只要修改相应的硬件驱动程序 但是 嵌入式l i n u x 也有一些存在的问题 其中最主要的就是实时性问题 实时 性是一个嵌入式操作系统的基本要求 而l i n u x 是一个通用操作系统 其内核不具备 实时性能 因此嵌入式l i n u x 需要添加实时模块 实时的硬度根据不同的要求而不同 往往是时间和空问的折中 由于硬件的速度越来越快 价格越来越便宜 无需专门的 硬件和专门的实时操作系统 也能在普通的硬件上实现满足要求的实时性能 由于以上一些技术和成本的原因 所以选择嵌入式l i n u x 作为操作系统来实现硬 件防火墙系统 2 2 3 安全增强 在安全性方面 l i f l u x 内核只提供了传统的u n i x 自主访问控制 d i s c r e t i o n a r y a c c e s sc o n t r o l d a c 一模式位安全机制 以及部分的支持了p o s i x 1 e 标准草案中 的c a p a b i l i t i e s 安全机制 这样的安全性对于主动式防火墙系统是不够的 l i n u x 存在的一些安全缺陷主要有以下几个 自主访问控制d a c 的缺陷 一是访问控制粒度太粗 不能对单独的主体和客 体进行控制 赋予某用户的权限必然也同时赋予了谈用户同组的所有用户 这显然带 来了不小的安全隐患 二是只有两种权限级别的用户 即超级用户r o o t 和普通用户 而r o o t 用户没有权限限制 很多特权程序和l i n u x 的系统服务都需要r o o t 用户的权 限 这是很大的安全漏洞 而入侵者一旦拥有r o o t 权限 他就控制了整个系统 l k m i o a d a b ek e r n e m o d u l e 可以插入内核 模块是为了让l j f l k l x 内核更 东南大学硕l 学位论文幕于安全增强的嵌入式l i n u x 的醚件防火墒设计j j 实现 灵活和更高效而设计的 但是当模块加入到内核 它就会成为内核的一部分并且能做 内核能做的一切工作 因此 一些恶意的代码可以写成模块来加入到内核晕 这些代 码通过修改系统调用来危害系统并隐藏自己 进程是不受保护的 一些重要的进程 如后台的防火墙进程 保护该进程不 被非法终止是很重要的 由于通用l i n u x 内核不是为网络安全定制的 不可避免存在着这些安全上的缺陷 即使是经过防火墙过滤被认为是正常的数据包 也有可能是一个被用来攻击操作系统 的 炸弹 而如果操作系统由于本身的漏洞而被攻破 那么运行在其上的防火墙就 显然失去了作用 因此 由通用l i n u x 内核裁减的嵌入式l i n u x 内核 也存在通用l i l 3 u x 内核的某些漏洞和缺陷 无法满足作为主动式防火墙系统软件平台的安全性要求 需 要对裁减得到的嵌入式l i n u x 内核进行安全增强 从而保证整个主动式防火墙系统的 安全 2 3 实验环境及平台介绍 2 3 1 硬件环境 图2 7 网络结构 i b mn e t v i s t ap c 机 1 2 8 m 内存 p i i l 7 3 3c p u 主要作为内部网 外部网的主机以及控制台 集成了处理器 x 8 6 通用p c 处理器 内存 5 1 2 m 四个百兆网卡 多i o 接口等的工业主板n e t 一1 6 1l v 4 n 这是主动式防火墙系统的硬件平台 起多穴网关的作用 三个网络适配器分别连 接内部网 外部网和控制台 2 3 2 软件环境 l i n u x 操作系统 c c 前期完成的防火墙模块 n a7 1 模块 v p n 模块 o q l p 模块 袈穗夫学群 学短论文基于安全遨强懿嵌入武扛n h x 鑫专疆 牛虢必臻靛浮 j 寰魂 第三意嵌入式l i n u x 的实现 本章主要分缁如何裁减通弼h f l u x 内拨褥鄹嵌入式l in t l x 内核 以及建立整个防 火墙模块的系统平静环境 3 1 嵌入式l i n u x 鳇基础阁题 一个最小的嵌入式l i n u x 系统只需要三个基本元素 弓l 导工具 o l i n u x 镦态梭 由内存謦瑷 迸程管毽藕定时驻务构成 初始化进程 遗样一个系统仅仅能够启动 但是什么也不能做 如果耍运行防火埔系统旦继续 镶拷小型纯 还季譬掇上 硬件驱动程序 一个文件系统 r o m 或r a m 中 t c p i p 网络壤栈 存镌半过渡数摄霸交换潮瓣磁盘 其中的一些l i n u x 系统本身就提供 直接使用或者进行相应的改动盾就可以 如 l i n u x 内核 文件系统 t c p i p 网络协议栈等 有一些需鼹根据选用的硬件等的不同 寒特澍定囊 如雩 鼯翟亭 设蛰驱动程彦等 在开始构造嵌入式l i n u x 之前 有几个关键的基础问题要解决 1 8 日1 导 康拟内存 文释系统 磁盘 实时性 3 1 1 嵌入式l i n u x 的萼 导 当一个处理器开始启动时 它首先在预先设置的地址上执行某些初始化或者引导 豢令 这些措令遂露楚在只读痰存 r 翻 孛 在踅絮褐翡溪 孚中 这魏楚b i o s b a s i e i f l p u t o u t p u ts y s t e m b i o s 首先完成一些低水平的c p u 柳始化和某必硬件的配置 然后查找哪个磁盘氍有操作系统 接着把操作系统复制到r a m 并且把控制权交给操作 系统 褒某些没有b i o s 黥嵌入式设各上 就需黉编写争用鲍b m tl o a d e r 从而弓 导捆 东南犬举i i 6 二i 学位论文早于安令增i i 的嵌入式l i n u x 的硬件防火端设i 十q 实现 载嵌入式l i n u x 蠹核 波予这些嵌入式设鍪的硬件醚置掴对固定 赝以不蔫豢象b i 螨 那样豹灵活性 可以豫对简单 主要蹙一个通电蠢检模块 漆存检查模块 以及必要 的硬件驱动模块 这些代码完全由选用的硬件来决定 一旦选用就固定下来 在测试 成功以后隳烧入f l a s h 芯片或者r o m 蕊片 由予零系统选羯懿王篷主投跫i n t e lx 8 6 絮鞫筑 鑫荣b i o s 霆藏无需烧期专臻 的b o o tl o a d e r 3 1 2 嵌入式l i n u x 中的虚拟内存 在某她微型的 专业的嵌入式燕统中 是不支持虚拟内存的 因为这些嵌入式系 统非常小 可以完全驻罄在内存中 同时 系统运行的程序很筠单 只是一燧顺序指 令懿薅繇 鞭没有多个羧彦翡找鹨共攀或者建缝共事 而标凇的l i n u x 就不同了 首先 它本身的系统较大 加上运行多个程序 这些 不可能都骧留在内存中 其次在多个程序运行时 虚拟内存的内存管理支持共学文件 这静共事蹿技术是十分赣遍的 最后 虚拟内存的内存管理傈诞了多个程序共享一个 建圭壹空瓣 褥不会引葱冲突 在防火墙系统中 因为需要运行多个程序 并且为了节省空问 程序都采用共享 库技术 所以在嵌入式l i n u x 系统中保留虚拟内存功能 3 1 3 嵌入式l i n u x 中的文件系统 有些嵌入式系统没鸯文件系统 l i n u x 没有它也可以运行 在这神情况下 应用 程序稆肉挨一莛编写 并且在内梭弓 学蓐作为一个映象燕载 对予菜些篱单瓣系统来 说 只需露运行简单的而且唯一的应用程序 那么这样就够了 但是这样缺乏灵活性 对于大多数情况是不合遗的 ljr l l i x 系统支薅e x t 2 e x t 3 积瓣s b 潞c o m p a t i b t e 等文 譬系统 这些文 孛系统 可以存放在传统的磁盘驱动器 f l a s hw l e m o r y 或滔其 也类似的介质上 由于e x t 2 系 统在面对意外情况 例如突然断电导致系统崩溃等 时的恢复熊力和长期连续运行的 稳定性 因此选择它作为嵌入式l i n u x 的主要的文件系统 3 1 4 嵌入式l i n u x 的磁盘 在简单豹传统嵌入式蒙统中 是没有磁盘的 当系统启动矮 内核秘所有数应用 程序都抽载并驻留在内存中 但是 对于一个防火墙系统来说 这显然是不可能静 存储器之所以选择使用f a s hm e m o r y 而不是传统的机械式磁介质存储 是因为 无论是抗震能力 对温腰 湿度的适应能力 还是长时期不问断运行的可靠一胜 前者 畚鞲季大学颤圭掌位论文慕予安垒增强雏嵌 姣l m u x 静凝搏黔火端设沣 j 实或 都比盾者高很多 f l a s hm e m o r y 被分割成块 其中包含一个g 导块 用涞存储嵌入式l i n u x 的引母 我璃 嵌入式lj f l u x 戆瘫棱透适 导我羁从f l a s h 复裁鬟r a m 运行 戏黉可以存镱在 f l a s h 上直接执行 3 1 5 嵌入式l i n u x 的实时性 实时的含义怒指在规定的时限内能得到砸确的结果 而超出时限则不能保证结果 的芷确性 实时可以分为硬实时和软实时两种 两者的区别在于 盼卷如果在不满足 酾瘦时疆夔溃琵下帮会导致灾缕蠖楚蠹暴 镶查l 藏天系绕 蜃者在不满足酸应时隈 时 系统性能退化 但不会导致灾难牲的后果 例如交换系统 搬嵌入式领域 对某些应用来说 实时意味着在1 微秒的时间内对事件作出反应 但对另外一些应用来说 那就可能是5 0 毫秒了 实时的溪求卷常是时阀移缓冲空越 煞掇褒 随着内存越来越便宜 e 鞠速度越采越快 现在接近实对比硬实时更加常觅 事实上目前许多商用的所谓实时操作系统都远非硬实时 在防火墙这个应用中 关注的焦点是面对大流量的数据时 尽量保证每个数据包 都缮瓣延理纛不被丢弃 至于j 鲶毽每令数据键涎穗应露阂瓣不那么重要 因燕在基于 嵌入式l i n u x 的硬件防火墙中 实时性并不怒关键部分 3 2 嵌入式l i n u x 的实现 3 2 1 系统启动 b o o tl o a d e r i 3 8 6 系统中一般都由b i o s 做最初的引导工作 也就怒将第一个可引导分区的第 一个扇区加载到实模式地址0 x t c 0 0 上 然后将控制转交给它 在l i n u x 源码的 a r c h i 3 8 6 b o o t 国渌下 b o o t s e c t s 是生成引导康区的汇编源码 它蒜先将鸯己拷 炎至g 遗址0 x 9 0 0 0 0 上 然后将紧缓萁焉静s e t u p 部分拷受裁缝址0 x 9 0 2 0 0 穆真萨瀚 内核代码v m l i n u x 拷贝到地址o x l 0 0 0 0 0 以上这些拷贝动作都是以b o q t s e c t s s e t u p s 以及v m ljf l u x 在磁盘上避续存放为前提的 也就怒说 内核映象b z i m a g e 文 簧或豢z i m a g e 文传楚按照b o o t s e e t s e t u p v m l i n u x 这样载颞序缓织 著存放予 从弓i 等分区的首精隧开始的连续磁盘扇区之中 b o o t s e c t s 完成加载动作后 就直接 跳转到地址0 x 9 0 2 0 0 即s e t u p s 的入口 s e t u p s 的主攥功能就是将系统参数 包 括内存 磁盘等 出b i s 返熙 拷贝到地址o x 9 0 0 一o x 9 0 l f f 印be o t s e c t s 存放 熬楚瓣 这时它穗被系统参数稷麓 臣届这臻参数将出保护摸式下静代褥束读取 东南人学坝j 粤 位论文基于安全增强的嵌入式l i n u x 的硬件跏火墒吐计i i 实现 除此之外 s e t u p s 还将v i d e o s 中的代码包含进来 检测和设置显示器和显示模式 最后 s e t u p s 将系统转换到保护模式 并跳转到地址o x l 0 0 0 0 0 对于b z i m a g e 格式 的大内核是地址o x l 0 0 0 0 0 对于z i m a g e 格式的小内核是地址o x l 0 0 0 的内核引导代 码 b o o tl o a d e r 过程结束 1 9 因为系统的存储介质选择了f l a s h 盘 所以选择用l i l o 作为b o o tl o a d e r 而不 选用g r u b 这是考虑到g r