实验报告 (3000字)

1/7实验报告(3000字)一、嵌入式防火墙设计1.基于Iptables-Ipset-NF-hipac的防火墙设计Iptables的优势在于具有足够的灵活度，并且功能强大，面面俱到；劣势是在数量巨大的规则集时性能低下。然而Ipset虽然具有很好的性能，将Iptables的时间复杂度从O降到了O，但集合里所有的IP对应到同一个处理操作，在面对并非一次性更新的规则集合时，显得用处不大。NF-hipac的灵活性和性能处于前二者之间，但是只能代替Iptables-tfilter选项。因此，综合三个工具的优势，设计出一个更加优秀的防火墙方案：Ipset负责一次性大规模更新同一处理操作的IP集；NF-hipac负责独立零散的过滤规则的更新；Iptables用来进行其他子功能操作。这样既保证了系统运行的高性能，又能覆盖所需的全部功能。本文设计的嵌入式Linux防火墙的整体体系架构如图1所示。硬件层为ARM9的处理器，操作系统内核为经过移植的Linux内核，并且支持NetFilter。用户态则移植了三款防火墙工具，并且都是在Netfilter架构的基础上进行开发的，包括Iptables、Ipset以及NF-2/7hipac。2.开发平台及编译环境本文设计的嵌入式Linux防火墙方案是在HIT-ES-DK01平台上实现的。该平台采用ATMEL公司AT91RM9200嵌入式处理器，主频180MHz，带有MMU存储器管理单元，内嵌10M/100M自适应以太网。开发板上还包括64MBSDRAM、256MB/1GBNandFlash和16MBNorFlash，板上集成4线电阻式触摸屏接口、TFT液晶屏接口，最大支持16BPP模式800觹600分辨率，板载RS232、RS485、RJ45、USB等接口以及CAN总线接口及多种存储卡接口。实验平台的接口布局如图2所示。图1嵌入式Linux防火墙系统架构示意硬件层内核态图2接口布局图3/7所谓交叉编译就是在一个平台上生成可以在另一个平台上执行的代码，本文使用基于gcc的工具链，在x86架构的Linux主机上使用ARM架构的编译工具链对系统内核和工具进行编译，生成可以在目标板上运行的内核，烧写到Flash中，便可在嵌入式平台上运行经过裁剪的系统和相关工具。交叉编译内核的详细步骤本文不再赘述，只是简要介绍三个防火墙工具编译与移植的关键环节。Iptables是Linux内核的一部分，因此与交叉编译内核一起考虑Iptables的编译，需要注意的是，Iptables最好编译为built-in模式，而不要选择模块模式，这主要是考虑到嵌入式系统单内核方便管理、使用及大规模的工业复制。NF-hipac是通过内核补丁的方式编译的，下载到其源码后为内核打补丁，然后与内核一起编译。另外，还需要对源码进行一定的修改，为编译移植用户层NF-hipac工具做准备，修改的文件包括Makefile、等。Ipset也是通过内核补丁的方式编译的，操作方法类似。二、功能及性能测试本文测试部分包括防火墙的功能测试和性能测试，使用到的测试工具Netperf.。Netperf是一款网络性能的测量工具，主要针对基于TCP或UDP的传输。Netperf根据应用的不同，可以进行不同模式的网络性能测4/7试，即批量数据传输模式和请求/应答模式。Netperf测试结果所反映的是一个系统能够以多快的速度向另外一个系统发送数据，以及另外一个系统能够以多快的速度接收数据。本文测试用例包括两种网络拓扑，如图3、图4所示。测试网络拓扑1主要模拟了从外网的客户端访问被防火墙保护的内网服务器，外网IP用/24模拟，内网IP用/24模拟。由于嵌入式Linux防火墙本身也为一台计算机，所以将其内部假设服务器，测试网络拓扑2如图5所示，完成拓扑1所不能完成的一些性能上的测试，将测试结果进行进一步分析对比。图3测试网络拓扑1图4测试网络拓扑21.功能验证与测试功能验证与测试包括Iptables功能测试、NF-hipac功能测试和Ipset功能测试，5/7在各种单项测试通过后，进行了ftp、telnet、NAT、针对SYNFlood攻击的防御等应用场景测试，图5是NAT测试的数据流示意图和测试结果，表1给出了针对SYNFlood攻击的防御的测试结果，测试结果表明了该防火墙功能的有效性。表1不同情形下载入同一网页面所需时间测试环境页面载入时间未开启安全选项，未受到攻击未开启安全选项，受到SYNFlood攻击开启安全选项，受到SYNFlood攻击2.性能测试内核精简前后性能对比测试主要是为了验证本文所做内核裁剪的有效性，本文对精简前后的内核做众多性能方面的测试，对比了批量数据传输速率、请求/应答模式交易率、连接/请求/应答模式交易率三方面给出测试结果，如图8-图10所示。从测试结果可以得出，TCP-CRR模式下的交易率的数值变化较为明显。由于TCP-CRR模式为每次交易建立一个新的TCP连接，对系统消耗最为严重。从图10可以看出，未精简的内核的交易率变得十分不稳定。但无论是三项测试数据当中的哪一项，内核精简后对比精6/7简前均有不同程度的性能上的提升，证明对内核进行精简可以对系统性能的提升起到作用。MTU值是指一种通信协议的某一层上面所能通过的最大数据包大小，在大流量的网络当中，增大MTU的值可以很好地改善网络性能。本文测试拓扑2，从批量数据传输速率、请求/应答模式交易率两方面进行测试，结果如表2、表3所示，其中嵌入式防火墙eth0接口连接至服务器的网络接口，eth1接口连接至客户端的网络接口。表2MTU值对批量数据传输速率影响100150200250300表3MTU值对请求/应答模式交易率影响100150200250300通过测试结果可以观察到，在较大MTU值的情况下，无论是取得数据传输速率还是交易率均提升，但是也取决于整个网络中的瓶颈MTU值。由测试结果可以看出，Iptables在300条规则之内的性能对比NF-hipac与Ipset并没有明显的劣势，但是当规则的数量超过这一数值的时候，其性能表现就会大打折扣。而NF-hipac与Ipset的性7/7能表现则几乎与规则的数目无关，NF-hipac的表现要稍好于Ipset。三、结束语本文在HIT-ESDK01嵌入式平台之上设计并实现了嵌入式Linux防火墙系统。首先，根据嵌入式及防火墙的基本知识，设计了系统的总体结构，针对嵌入式系统的特点，给出了一种Linux内核的裁剪理由及方案，并针对该方案给出了测试结果证明对其实施裁剪的必要性；其次，指出了Netfilter/Iptables架构在大数量规则集下性能低下的缺陷，提出