【正文】 網(wǎng)絡(luò)數(shù)據(jù)包的控制。 NF_ACCEPT 這個(gè)返回值告訴 Netfilter：到目前為止，該數(shù)據(jù)包還是被接受的并且該數(shù)據(jù)包應(yīng)當(dāng)被遞交到網(wǎng)絡(luò)堆棧的下一個(gè)階段。這個(gè)數(shù)據(jù)包以及它的 sk_buff 數(shù)據(jù)結(jié)構(gòu)仍然有效，只是 hook 函數(shù)從 Netfilter 獲取了該數(shù)據(jù)包的所有權(quán)。如圖 32 所示，數(shù)據(jù)包從左邊（HOOK 點(diǎn) NF_IP_PRE_ROUTING 之前）進(jìn)入系統(tǒng)，進(jìn)行 IP 校驗(yàn)以后，數(shù)據(jù)包經(jīng)過(guò)第一個(gè)鉤子函數(shù) NF_IP_PRE_ROUTING 處理，然后就進(jìn)入路由代碼，其決定該數(shù)據(jù)包是要轉(zhuǎn)發(fā)還是發(fā)給本機(jī)；若該數(shù)據(jù)包是發(fā)給本機(jī)的，則該數(shù)據(jù)經(jīng)過(guò)鉤子函數(shù) NF_IP_LOCAL_IN 處理以后然后傳遞給上層協(xié)議；若數(shù)據(jù)包應(yīng)該被轉(zhuǎn)發(fā)則被 NF_IP_FORWAD 處理；經(jīng)過(guò)轉(zhuǎn)發(fā)的數(shù)據(jù)包經(jīng)過(guò)最后一個(gè)鉤子函數(shù) NF_IP_POST_ROUTING 處理以后在傳輸?shù)骄W(wǎng)上。這個(gè)分組由 ip_rcv()函數(shù)接收，該函數(shù)最后一個(gè)宏將控制權(quán)交給 PREROUTING 規(guī)則鏈處理。處理完成后交給傳輸層，直至應(yīng)用程序中的應(yīng)用進(jìn)程。還有一個(gè) HOOK 點(diǎn)是 OUTPUT，當(dāng)本地進(jìn)程要發(fā)送分組時(shí)，會(huì)在 POSTROUTING 之前先處理 OUTPUT 規(guī)則鏈。如果在編譯內(nèi)核的時(shí)候沒(méi)有配置 Netfilter 時(shí)，就相當(dāng)于調(diào)用最后一個(gè)參數(shù)，即執(zhí)行 ip_forward_finish()函數(shù)；否則進(jìn)入 HOOK 點(diǎn)，執(zhí)行通過(guò) nf_register_hook()登記功能（實(shí)際上是進(jìn)入 nf_hook_slow()函數(shù)，再由它執(zhí)行的登記的函數(shù)）。5．。3．skb: Linux 網(wǎng)絡(luò)層緩沖區(qū)結(jié)構(gòu) sk_buff(include/)。鉤子函數(shù)的定義為：（文件 Linux/）define NF_HOOK(pf， hook， skb， indev， outdev， okfn) \(list_empty(amp。最后 ip_forward_finish()負(fù)責(zé)調(diào)用 ip_send()將分組發(fā)出。如果是發(fā)送給本機(jī)，則調(diào)用函數(shù) ip_local_deliver()。當(dāng)內(nèi)核模塊不需要參與 IP 層的數(shù)據(jù)包的處理時(shí)，調(diào)用 Netfilter 鉤子函數(shù)的注銷(xiāo)函數(shù)，Netfilter 從鉤子函數(shù)鏈表中去掉此鉤子函數(shù)指針，這樣 IP 層就檢測(cè)不到鉤子函數(shù)的存在，會(huì)繼續(xù)操作 [10]。這個(gè)返回值應(yīng)當(dāng)謹(jǐn)慎使用，否則容易形成死循環(huán) [12]。這里告訴 Netfilter的是：該 hook 函數(shù)將從此開(kāi)始對(duì)數(shù)據(jù)包的處理，并且 Netfilter 應(yīng)當(dāng)放棄對(duì)該數(shù)據(jù)包西南交通大學(xué)本科畢業(yè)設(shè)計(jì)(論文) 第 19 頁(yè)做任何的處理。這些動(dòng)作定義在內(nèi)核的 中，這些值也是向內(nèi)核提供接口函數(shù)的返回值，就是 ， 所調(diào)用宏處理函數(shù)的返回值。Netfilter 中定義了五個(gè)關(guān)于 IPv4 的 hook，對(duì)這些符號(hào)的聲明可以在Linux/ 中找到。 Linux 可以支持不同的協(xié)議，如 TCP/IP，APPLETALK ， 等，這些協(xié)議分別對(duì)應(yīng)著一個(gè)唯一的協(xié)議號(hào)碼，如IPv4 的協(xié)議號(hào)定義： define AF_INET 2 /*Inter IP Protocol*/每種協(xié)議都可以有自己的防火墻。所有的包過(guò)濾/NAT 等等都基于該框架。第二部分內(nèi)核的任何模塊可以對(duì)每種協(xié)議的一個(gè)或多個(gè)鉤子進(jìn)行注冊(cè)，實(shí)現(xiàn)掛接，這樣當(dāng)某個(gè)數(shù)據(jù)包被傳遞給 Netfilter 框架時(shí)，內(nèi)核能檢測(cè)是否有任何模塊對(duì)該協(xié)議和鉤子函數(shù)進(jìn)行了注冊(cè)。因此不要在 中期望討論諸如“如何在 中架設(shè)一個(gè)防火墻或者偽裝網(wǎng)關(guān)”這樣的話(huà)題，這些只是 Netfilter 功能的一部分。如果 kernel 當(dāng)前狀態(tài)一個(gè) module 都沒(méi)有加載，那么 module_list的值就是 kernel_module。 /*用戶(hù)實(shí)現(xiàn)的 init_module 函數(shù)的入口*/void (*cleanup)(void)。/*module 結(jié)構(gòu)的大小*/struct module *next。4．模塊的目標(biāo)代碼一旦被鏈接到內(nèi)核，它的作用和靜態(tài)鏈接的內(nèi)核目標(biāo)代碼完全等價(jià)。 模塊的優(yōu)點(diǎn)1．模塊使得內(nèi)核更加緊湊和靈活。為了彌補(bǔ)單一體系結(jié)構(gòu)的這種缺陷，Linux 操作系統(tǒng)使用了一種全新的機(jī)制——模塊設(shè)計(jì)，用戶(hù)可以根據(jù)需要，在不需要對(duì)內(nèi)核重新編譯的情況下，模塊能動(dòng)態(tài)地載入內(nèi)核或從內(nèi)核卸載出來(lái)以擴(kuò)展內(nèi)核的功能 [7]。后來(lái)經(jīng)歷了 ipchains，再經(jīng)由 Paul Russell 在 Linux kernel 系列的開(kāi)發(fā)過(guò)程中發(fā)展了 Netfilter 這個(gè)架構(gòu)。Linux 在網(wǎng)絡(luò)協(xié)議棧的實(shí)現(xiàn)方面西南交通大學(xué)本科畢業(yè)設(shè)計(jì)(論文) 第 15 頁(yè)處于領(lǐng)先地位。另外，Linux 將包含對(duì)其它硬件的支持，這些硬件經(jīng)常出現(xiàn)在更新的芯片上，包括非 Intel 的各種 MTRR(Memory Type Range Registers)，這些 MTRR 將在一些高帶寬的設(shè)備上改進(jìn)性能。關(guān)于 Perl 語(yǔ)言的資料，本論文不再詳述。 源程序的編譯在 Linux 下面， 使用 GNU gcc 編譯器編譯 C 語(yǔ)言源程序。方便開(kāi)發(fā)測(cè)試使用。它支持的客戶(hù)操作系統(tǒng)涵蓋絕大多數(shù)主流操作系統(tǒng)，包括 Microsoft 全系列的操作系統(tǒng)以及大多數(shù)版本的 Linux。性能不斷的提升，硬件的平臺(tái)適應(yīng)性越加廣泛。它還包括帶有多個(gè)窗口管理器的 XWindows 圖形用戶(hù)界面，如同我們使用 Windows NT 一樣，允許我們使用窗口、圖標(biāo)和菜單對(duì)系統(tǒng)進(jìn)行操作。GNU/Linux 以它的高效性和靈活性著稱(chēng)。GNU/Linux 繼承了 Unix 以網(wǎng)絡(luò)為核心的設(shè)計(jì)思想，是一個(gè)性能穩(wěn)定的多用戶(hù)網(wǎng)絡(luò)操作系統(tǒng)。為了使每一個(gè)需要此系統(tǒng)的人都能夠容易的得到它，Linus Torvalds 把它變成了自由軟件——GNU/Linux。所以，支持二進(jìn)制格式和日志數(shù)據(jù)庫(kù)，是未來(lái)防火墻日志和日志服務(wù)器軟件的一個(gè)基本要求。 這里還要提到日志問(wèn)題，根據(jù)國(guó)家有關(guān)標(biāo)準(zhǔn)和要求，防火墻日志要求記錄的內(nèi)容相當(dāng)多。 西南交通大學(xué)本科畢業(yè)設(shè)計(jì)(論文) 第 12 頁(yè)受現(xiàn)有技術(shù)的限制，目前還沒(méi)有有效的對(duì)應(yīng)用層進(jìn)行高速檢測(cè)的方法，也沒(méi)有哪款芯片能做到這一點(diǎn)。應(yīng)用 ASIC（ApplicationSpecific Integrated Circuit）、FPGA（Field Programmable Gates Array）和網(wǎng)絡(luò)處理器是實(shí)現(xiàn)高速防火墻的主要方法，其中以采用網(wǎng)絡(luò)處理器最優(yōu)，因?yàn)榫W(wǎng)絡(luò)處理器采用微碼編程，可以根據(jù)需要隨時(shí)升級(jí)，甚至可以支持 IPV6，而采用其它方法就不那么靈活。 防火墻技術(shù)的發(fā)展方向 未來(lái)防火墻的操作系統(tǒng)會(huì)更安全。然而，Linux 內(nèi)核中 Netfilter/Iptables 的出現(xiàn)，所帶來(lái)的最重要變化就是引入了模塊化的架構(gòu)方式。自從 1995 年ipfwadm 開(kāi)始進(jìn)入 Linux 核心，Linux 的防火墻實(shí)現(xiàn)有很長(zhǎng)的時(shí)間了。網(wǎng)絡(luò)結(jié)構(gòu)如圖 25。一個(gè)連接可以用協(xié)議，源地址，目的地址，源端口，目的端口的五元組來(lái)唯一確定 [12]。下面用面向連接的 TCP 協(xié)議來(lái)作具體說(shuō)明： TCP 協(xié)議是一個(gè)標(biāo)準(zhǔn)的面向連接協(xié)議，在真正的通信前，必須按一定協(xié)議先建立連接，連接建立好后才能通信，通信結(jié)束后釋放連接。西南交通大學(xué)本科畢業(yè)設(shè)計(jì)(論文) 第 9 頁(yè)狀態(tài)檢測(cè)是由 CheckPoint 公司最先提出的，可算是防火墻技術(shù)的一項(xiàng)突破性變革，把包過(guò)濾的快速性和代理的安全性很好地結(jié)合在一起，目前已經(jīng)是防火墻最流行的檢測(cè)方式。但使用代理服務(wù)器后，只需代理服務(wù)器上有一個(gè)合法的 IP 地址， LAN 內(nèi)其他用戶(hù)可以使用 10.*.*.*這樣的私有 IP 地址，這樣可以節(jié)約大量的 IP，降低網(wǎng)絡(luò)的維護(hù)成本 [12]。(Cache)，提高訪(fǎng)問(wèn)速度 對(duì)經(jīng)常訪(fǎng)問(wèn)的地址創(chuàng)建緩沖區(qū)，大大提高熱門(mén)站點(diǎn)的訪(fǎng)問(wèn)效率。應(yīng)用代理網(wǎng)關(guān)的優(yōu)點(diǎn)是可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對(duì)數(shù)據(jù)包的檢測(cè)能力比較強(qiáng)。雖然，包過(guò)濾防火墻有如上所述的缺點(diǎn)，但是在管理良好的小規(guī)模網(wǎng)絡(luò)上，它能夠正常的發(fā)揮其作用。這種防火墻最大的缺陷是它依賴(lài)一個(gè)單一的部件來(lái)保護(hù)系統(tǒng)。過(guò)濾路由器在價(jià)格上一般比代理服務(wù)器便宜。因?yàn)檫^(guò)濾路由器工作在 IP 層和 TCP 層，所以處理包的速度比代理服務(wù)器快。，則此包便不被允許。，對(duì)包報(bào)頭進(jìn)行語(yǔ)法分析。如果沒(méi)有一條規(guī)則能符合，防火墻就會(huì)使用默認(rèn)規(guī)則，一般情況下，默認(rèn)規(guī)則就是要求防火墻丟棄該包。通過(guò)使用周邊網(wǎng)絡(luò)隔離壁壘主機(jī)能夠削弱外部網(wǎng)絡(luò)對(duì)壁壘主機(jī)的攻擊 [10]。這種體系結(jié)構(gòu)通過(guò)數(shù)據(jù)包過(guò)濾來(lái)提供安全，而保衛(wèi)路由器比保衛(wèi)主機(jī)較易實(shí)現(xiàn)，因?yàn)樗峁┝朔浅Ｓ邢薜姆?wù)組，因此這種體系結(jié)構(gòu)提供了比雙重宿主主機(jī)體系結(jié)構(gòu)更好的安全性和可用性。圖 22 雙重宿主主機(jī)體系結(jié)構(gòu) 屏蔽主機(jī)體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)中提供安全保護(hù)的主機(jī)僅僅與內(nèi)部網(wǎng)絡(luò)相連，另外有一臺(tái)單獨(dú)的過(guò)濾路由器連接內(nèi)外網(wǎng)，這臺(tái)路由器的意義就在于強(qiáng)迫所有到達(dá)路由器的數(shù)據(jù)包都被發(fā)送到壁壘主機(jī)。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機(jī)通信，同時(shí)防火墻外部的系統(tǒng)能與雙重宿主主機(jī)通信，但是這些系統(tǒng)不能直接互相通信。下面就依次介紹這三種結(jié)構(gòu)：西南交通大學(xué)本科畢業(yè)設(shè)計(jì)(論文) 第 4 頁(yè) 雙重宿主主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主機(jī)計(jì)算機(jī)而構(gòu)筑的，該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。防火墻可以對(duì)正常網(wǎng)絡(luò)使用情況做出統(tǒng)計(jì)，通過(guò)對(duì)統(tǒng)計(jì)節(jié)點(diǎn)分析，可以使網(wǎng)絡(luò)資源得到最好的利用 [12]。因此防火墻可以用來(lái)緩解 IP 地址短缺的問(wèn)題，更可以隱藏內(nèi)部網(wǎng)絡(luò)的細(xì)節(jié)。 在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報(bào)警。這對(duì)于路由器來(lái)說(shuō)，就要不僅分析 IP 層的信息，而且還要進(jìn)一步了解 TCP 傳輸層西南交通大學(xué)本科畢業(yè)設(shè)計(jì)(論文) 第 3 頁(yè)甚至應(yīng)用層的信息以進(jìn)行取舍。企業(yè)信息系統(tǒng)對(duì)于來(lái)自 Inter 的訪(fǎng)問(wèn)，采取有選擇的接收方式。防火墻是一種被動(dòng)防衛(wèi)技術(shù)，由于它假設(shè)了網(wǎng)絡(luò)的邊界和服務(wù)，因此對(duì)內(nèi)部的非法訪(fǎng)問(wèn)難以有效地控制。為安全起見(jiàn)，可以在該網(wǎng)絡(luò)和 Inter 之間插入一個(gè)中介系統(tǒng)，豎起一道安全屏障。西南交通大學(xué)本科畢業(yè)設(shè)計(jì)(論文) 第 2 頁(yè)第 2 章 防火墻知識(shí)與相關(guān)技術(shù)介紹 防火墻原理古時(shí)候，人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢(shì)蔓延到別的寓所。這是一種開(kāi)源的，免費(fèi)的操作系統(tǒng)，非常便于學(xué)習(xí)。防火墻提供了一種重要的記錄和審計(jì)功能，它們經(jīng)常可以向管理員提供一些情況概要，提供有關(guān)通過(guò)防火墻的傳流輸?shù)念?lèi)型和數(shù)量以及有多少次試圖闖入防火墻的企圖等等信息。一些設(shè)計(jì)更為精巧的防火墻可以防止來(lái)自外部的傳輸流進(jìn)入內(nèi)部，但又允許內(nèi)部的用戶(hù)可以自西南交通大學(xué)本科畢業(yè)設(shè)計(jì)(論文) 第 1 頁(yè)由地與外部通信。 防火墻可以防范什么一些防火墻只允許電子郵件通過(guò)，因而保護(hù)了網(wǎng)絡(luò)免受除對(duì)電子郵件服務(wù)攻擊之外的任何攻擊。 許多傳統(tǒng)風(fēng)格的企業(yè)和數(shù)據(jù)中心都制定了計(jì)算安全策略和必須遵守的慣例。 Linux 以其開(kāi)放源碼的特性，開(kāi)放的網(wǎng)絡(luò)特性使越來(lái)越多的用戶(hù)選擇 Linux 作為防火墻的操作平臺(tái)。 hook function西南交通大學(xué)本科畢業(yè)設(shè)計(jì)(論文) 第 V 頁(yè)目 錄摘 要 ..............................................................IVABSTRACT ............................................................V第 1 章 緒論 ...........................................................1 課題研究的背景 ....................................................1 選題意義與目的 ....................................................1 為什么要使用防火墻 ............................................1 防火墻可以防范什么 ............................................1 選擇本課題的目的 ..............................................2 本人工作 ..........................................................2第 2 章 防火墻知識(shí)與相關(guān)技術(shù)介紹 .......................................3 防火墻原理 ........................................................3 防火墻功能 ........................................................4 防火墻的體系結(jié)構(gòu) ..................................................4 雙重宿主主機(jī)體系結(jié)構(gòu) ..........................................5 屏蔽主機(jī)體系結(jié)構(gòu) ..............................................5 屏蔽子網(wǎng)體系結(jié)構(gòu) .....