【正文】 網(wǎng)絡(luò)數(shù)據(jù)包的控制。 NF_ACCEPT 這個返回值告訴 Netfilter：到目前為止，該數(shù)據(jù)包還是被接受的并且該數(shù)據(jù)包應(yīng)當(dāng)被遞交到網(wǎng)絡(luò)堆棧的下一個階段。這個數(shù)據(jù)包以及它的 sk_buff 數(shù)據(jù)結(jié)構(gòu)仍然有效，只是 hook 函數(shù)從 Netfilter 獲取了該數(shù)據(jù)包的所有權(quán)。如圖 32 所示，數(shù)據(jù)包從左邊（HOOK 點 NF_IP_PRE_ROUTING 之前）進(jìn)入系統(tǒng)，進(jìn)行 IP 校驗以后，數(shù)據(jù)包經(jīng)過第一個鉤子函數(shù) NF_IP_PRE_ROUTING 處理，然后就進(jìn)入路由代碼，其決定該數(shù)據(jù)包是要轉(zhuǎn)發(fā)還是發(fā)給本機；若該數(shù)據(jù)包是發(fā)給本機的，則該數(shù)據(jù)經(jīng)過鉤子函數(shù) NF_IP_LOCAL_IN 處理以后然后傳遞給上層協(xié)議；若數(shù)據(jù)包應(yīng)該被轉(zhuǎn)發(fā)則被 NF_IP_FORWAD 處理；經(jīng)過轉(zhuǎn)發(fā)的數(shù)據(jù)包經(jīng)過最后一個鉤子函數(shù) NF_IP_POST_ROUTING 處理以后在傳輸?shù)骄W(wǎng)上。這個分組由 ip_rcv()函數(shù)接收，該函數(shù)最后一個宏將控制權(quán)交給 PREROUTING 規(guī)則鏈處理。處理完成后交給傳輸層，直至應(yīng)用程序中的應(yīng)用進(jìn)程。還有一個 HOOK 點是 OUTPUT，當(dāng)本地進(jìn)程要發(fā)送分組時，會在 POSTROUTING 之前先處理 OUTPUT 規(guī)則鏈。如果在編譯內(nèi)核的時候沒有配置 Netfilter 時，就相當(dāng)于調(diào)用最后一個參數(shù)，即執(zhí)行 ip_forward_finish()函數(shù)；否則進(jìn)入 HOOK 點，執(zhí)行通過 nf_register_hook()登記功能（實際上是進(jìn)入 nf_hook_slow()函數(shù)，再由它執(zhí)行的登記的函數(shù)）。5．。3．skb: Linux 網(wǎng)絡(luò)層緩沖區(qū)結(jié)構(gòu) sk_buff(include/)。鉤子函數(shù)的定義為：（文件 Linux/）define NF_HOOK(pf， hook， skb， indev， outdev， okfn) \(list_empty(amp。最后 ip_forward_finish()負(fù)責(zé)調(diào)用 ip_send()將分組發(fā)出。如果是發(fā)送給本機，則調(diào)用函數(shù) ip_local_deliver()。當(dāng)內(nèi)核模塊不需要參與 IP 層的數(shù)據(jù)包的處理時，調(diào)用 Netfilter 鉤子函數(shù)的注銷函數(shù)，Netfilter 從鉤子函數(shù)鏈表中去掉此鉤子函數(shù)指針，這樣 IP 層就檢測不到鉤子函數(shù)的存在，會繼續(xù)操作 [10]。這個返回值應(yīng)當(dāng)謹(jǐn)慎使用，否則容易形成死循環(huán) [12]。這里告訴 Netfilter的是：該 hook 函數(shù)將從此開始對數(shù)據(jù)包的處理，并且 Netfilter 應(yīng)當(dāng)放棄對該數(shù)據(jù)包西南交通大學(xué)本科畢業(yè)設(shè)計(論文) 第 19 頁做任何的處理。這些動作定義在內(nèi)核的 中，這些值也是向內(nèi)核提供接口函數(shù)的返回值，就是 ， 所調(diào)用宏處理函數(shù)的返回值。Netfilter 中定義了五個關(guān)于 IPv4 的 hook，對這些符號的聲明可以在Linux/ 中找到。 Linux 可以支持不同的協(xié)議，如 TCP/IP，APPLETALK ， 等，這些協(xié)議分別對應(yīng)著一個唯一的協(xié)議號碼，如IPv4 的協(xié)議號定義： define AF_INET 2 /*Inter IP Protocol*/每種協(xié)議都可以有自己的防火墻。所有的包過濾/NAT 等等都基于該框架。第二部分內(nèi)核的任何模塊可以對每種協(xié)議的一個或多個鉤子進(jìn)行注冊，實現(xiàn)掛接，這樣當(dāng)某個數(shù)據(jù)包被傳遞給 Netfilter 框架時，內(nèi)核能檢測是否有任何模塊對該協(xié)議和鉤子函數(shù)進(jìn)行了注冊。因此不要在 中期望討論諸如“如何在 中架設(shè)一個防火墻或者偽裝網(wǎng)關(guān)”這樣的話題，這些只是 Netfilter 功能的一部分。如果 kernel 當(dāng)前狀態(tài)一個 module 都沒有加載，那么 module_list的值就是 kernel_module。 /*用戶實現(xiàn)的 init_module 函數(shù)的入口*/void (*cleanup)(void)。/*module 結(jié)構(gòu)的大小*/struct module *next。4．模塊的目標(biāo)代碼一旦被鏈接到內(nèi)核，它的作用和靜態(tài)鏈接的內(nèi)核目標(biāo)代碼完全等價。 模塊的優(yōu)點1．模塊使得內(nèi)核更加緊湊和靈活。為了彌補單一體系結(jié)構(gòu)的這種缺陷，Linux 操作系統(tǒng)使用了一種全新的機制——模塊設(shè)計，用戶可以根據(jù)需要，在不需要對內(nèi)核重新編譯的情況下，模塊能動態(tài)地載入內(nèi)核或從內(nèi)核卸載出來以擴展內(nèi)核的功能 [7]。后來經(jīng)歷了 ipchains，再經(jīng)由 Paul Russell 在 Linux kernel 系列的開發(fā)過程中發(fā)展了 Netfilter 這個架構(gòu)。Linux 在網(wǎng)絡(luò)協(xié)議棧的實現(xiàn)方面西南交通大學(xué)本科畢業(yè)設(shè)計(論文) 第 15 頁處于領(lǐng)先地位。另外，Linux 將包含對其它硬件的支持，這些硬件經(jīng)常出現(xiàn)在更新的芯片上，包括非 Intel 的各種 MTRR(Memory Type Range Registers)，這些 MTRR 將在一些高帶寬的設(shè)備上改進(jìn)性能。關(guān)于 Perl 語言的資料，本論文不再詳述。 源程序的編譯在 Linux 下面， 使用 GNU gcc 編譯器編譯 C 語言源程序。方便開發(fā)測試使用。它支持的客戶操作系統(tǒng)涵蓋絕大多數(shù)主流操作系統(tǒng)，包括 Microsoft 全系列的操作系統(tǒng)以及大多數(shù)版本的 Linux。性能不斷的提升，硬件的平臺適應(yīng)性越加廣泛。它還包括帶有多個窗口管理器的 XWindows 圖形用戶界面，如同我們使用 Windows NT 一樣，允許我們使用窗口、圖標(biāo)和菜單對系統(tǒng)進(jìn)行操作。GNU/Linux 以它的高效性和靈活性著稱。GNU/Linux 繼承了 Unix 以網(wǎng)絡(luò)為核心的設(shè)計思想，是一個性能穩(wěn)定的多用戶網(wǎng)絡(luò)操作系統(tǒng)。為了使每一個需要此系統(tǒng)的人都能夠容易的得到它，Linus Torvalds 把它變成了自由軟件——GNU/Linux。所以，支持二進(jìn)制格式和日志數(shù)據(jù)庫，是未來防火墻日志和日志服務(wù)器軟件的一個基本要求。 這里還要提到日志問題，根據(jù)國家有關(guān)標(biāo)準(zhǔn)和要求，防火墻日志要求記錄的內(nèi)容相當(dāng)多。 西南交通大學(xué)本科畢業(yè)設(shè)計(論文) 第 12 頁受現(xiàn)有技術(shù)的限制，目前還沒有有效的對應(yīng)用層進(jìn)行高速檢測的方法，也沒有哪款芯片能做到這一點。應(yīng)用 ASIC（ApplicationSpecific Integrated Circuit）、FPGA（Field Programmable Gates Array）和網(wǎng)絡(luò)處理器是實現(xiàn)高速防火墻的主要方法，其中以采用網(wǎng)絡(luò)處理器最優(yōu)，因為網(wǎng)絡(luò)處理器采用微碼編程，可以根據(jù)需要隨時升級，甚至可以支持 IPV6，而采用其它方法就不那么靈活。 防火墻技術(shù)的發(fā)展方向 未來防火墻的操作系統(tǒng)會更安全。然而，Linux 內(nèi)核中 Netfilter/Iptables 的出現(xiàn)，所帶來的最重要變化就是引入了模塊化的架構(gòu)方式。自從 1995 年ipfwadm 開始進(jìn)入 Linux 核心，Linux 的防火墻實現(xiàn)有很長的時間了。網(wǎng)絡(luò)結(jié)構(gòu)如圖 25。一個連接可以用協(xié)議，源地址，目的地址，源端口，目的端口的五元組來唯一確定 [12]。下面用面向連接的 TCP 協(xié)議來作具體說明： TCP 協(xié)議是一個標(biāo)準(zhǔn)的面向連接協(xié)議，在真正的通信前，必須按一定協(xié)議先建立連接，連接建立好后才能通信，通信結(jié)束后釋放連接。西南交通大學(xué)本科畢業(yè)設(shè)計(論文) 第 9 頁狀態(tài)檢測是由 CheckPoint 公司最先提出的，可算是防火墻技術(shù)的一項突破性變革，把包過濾的快速性和代理的安全性很好地結(jié)合在一起，目前已經(jīng)是防火墻最流行的檢測方式。但使用代理服務(wù)器后，只需代理服務(wù)器上有一個合法的 IP 地址， LAN 內(nèi)其他用戶可以使用 10.*.*.*這樣的私有 IP 地址，這樣可以節(jié)約大量的 IP，降低網(wǎng)絡(luò)的維護(hù)成本 [12]。(Cache)，提高訪問速度 對經(jīng)常訪問的地址創(chuàng)建緩沖區(qū)，大大提高熱門站點的訪問效率。應(yīng)用代理網(wǎng)關(guān)的優(yōu)點是可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對數(shù)據(jù)包的檢測能力比較強。雖然，包過濾防火墻有如上所述的缺點，但是在管理良好的小規(guī)模網(wǎng)絡(luò)上，它能夠正常的發(fā)揮其作用。這種防火墻最大的缺陷是它依賴一個單一的部件來保護(hù)系統(tǒng)。過濾路由器在價格上一般比代理服務(wù)器便宜。因為過濾路由器工作在 IP 層和 TCP 層，所以處理包的速度比代理服務(wù)器快。，則此包便不被允許。，對包報頭進(jìn)行語法分析。如果沒有一條規(guī)則能符合，防火墻就會使用默認(rèn)規(guī)則，一般情況下，默認(rèn)規(guī)則就是要求防火墻丟棄該包。通過使用周邊網(wǎng)絡(luò)隔離壁壘主機能夠削弱外部網(wǎng)絡(luò)對壁壘主機的攻擊 [10]。這種體系結(jié)構(gòu)通過數(shù)據(jù)包過濾來提供安全，而保衛(wèi)路由器比保衛(wèi)主機較易實現(xiàn)，因為它提供了非常有限的服務(wù)組，因此這種體系結(jié)構(gòu)提供了比雙重宿主主機體系結(jié)構(gòu)更好的安全性和可用性。圖 22 雙重宿主主機體系結(jié)構(gòu) 屏蔽主機體系結(jié)構(gòu)屏蔽主機體系結(jié)構(gòu)中提供安全保護(hù)的主機僅僅與內(nèi)部網(wǎng)絡(luò)相連，另外有一臺單獨的過濾路由器連接內(nèi)外網(wǎng)，這臺路由器的意義就在于強迫所有到達(dá)路由器的數(shù)據(jù)包都被發(fā)送到壁壘主機。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機通信，同時防火墻外部的系統(tǒng)能與雙重宿主主機通信，但是這些系統(tǒng)不能直接互相通信。下面就依次介紹這三種結(jié)構(gòu)：西南交通大學(xué)本科畢業(yè)設(shè)計(論文) 第 4 頁 雙重宿主主機體系結(jié)構(gòu)雙重宿主主機體系結(jié)構(gòu)是圍繞具有雙重宿主的主機計算機而構(gòu)筑的，該計算機至少有兩個網(wǎng)絡(luò)接口。防火墻可以對正常網(wǎng)絡(luò)使用情況做出統(tǒng)計，通過對統(tǒng)計節(jié)點分析，可以使網(wǎng)絡(luò)資源得到最好的利用 [12]。因此防火墻可以用來緩解 IP 地址短缺的問題，更可以隱藏內(nèi)部網(wǎng)絡(luò)的細(xì)節(jié)。 在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報警。這對于路由器來說，就要不僅分析 IP 層的信息，而且還要進(jìn)一步了解 TCP 傳輸層西南交通大學(xué)本科畢業(yè)設(shè)計(論文) 第 3 頁甚至應(yīng)用層的信息以進(jìn)行取舍。企業(yè)信息系統(tǒng)對于來自 Inter 的訪問，采取有選擇的接收方式。防火墻是一種被動防衛(wèi)技術(shù)，由于它假設(shè)了網(wǎng)絡(luò)的邊界和服務(wù)，因此對內(nèi)部的非法訪問難以有效地控制。為安全起見，可以在該網(wǎng)絡(luò)和 Inter 之間插入一個中介系統(tǒng)，豎起一道安全屏障。西南交通大學(xué)本科畢業(yè)設(shè)計(論文) 第 2 頁第 2 章 防火墻知識與相關(guān)技術(shù)介紹 防火墻原理古時候，人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢蔓延到別的寓所。這是一種開源的，免費的操作系統(tǒng)，非常便于學(xué)習(xí)。防火墻提供了一種重要的記錄和審計功能，它們經(jīng)?？梢韵蚬芾韱T提供一些情況概要，提供有關(guān)通過防火墻的傳流輸?shù)念愋秃蛿?shù)量以及有多少次試圖闖入防火墻的企圖等等信息。一些設(shè)計更為精巧的防火墻可以防止來自外部的傳輸流進(jìn)入內(nèi)部，但又允許內(nèi)部的用戶可以自西南交通大學(xué)本科畢業(yè)設(shè)計(論文) 第 1 頁由地與外部通信。 防火墻可以防范什么一些防火墻只允許電子郵件通過，因而保護(hù)了網(wǎng)絡(luò)免受除對電子郵件服務(wù)攻擊之外的任何攻擊。 許多傳統(tǒng)風(fēng)格的企業(yè)和數(shù)據(jù)中心都制定了計算安全策略和必須遵守的慣例。 Linux 以其開放源碼的特性，開放的網(wǎng)絡(luò)特性使越來越多的用戶選擇 Linux 作為防火墻的操作平臺。 hook function西南交通大學(xué)本科畢業(yè)設(shè)計(論文) 第 V 頁目 錄摘 要 ..............................................................IVABSTRACT ............................................................V第 1 章 緒論 ...........................................................1 課題研究的背景 ....................................................1 選題意義與目的 ....................................................1 為什么要使用防火墻 ............................................1 防火墻可以防范什么 ............................................1 選擇本課題的目的 ..............................................2 本人工作 ..........................................................2第 2 章 防火墻知識與相關(guān)技術(shù)介紹 .......................................3 防火墻原理 ........................................................3 防火墻功能 ........................................................4 防火墻的體系結(jié)構(gòu) ..................................................4 雙重宿主主機體系結(jié)構(gòu) ..........................................5 屏蔽主機體系結(jié)構(gòu) ..............................................5 屏蔽子網(wǎng)體系結(jié)構(gòu) .....