【導(dǎo)讀】的安全，避免可能的損失。Netfilter是Linux和版本內(nèi)核中實(shí)現(xiàn)的包過濾框架。大量地避免了在內(nèi)核空間和用戶空間之間數(shù)據(jù)交換，速度快，高效，而功能強(qiáng)大。課題中基于Linux平臺實(shí)現(xiàn)了一個(gè)簡單的防火墻系統(tǒng)。它主要分為兩個(gè)部分：用戶界。面和防火墻后臺。用戶界面是與用戶交流的接口，它主要由GTK+編寫而成，另外為。了對用戶更加友好也使用了一些GNOME庫?？刂疲柚共环弦?guī)則的包進(jìn)出本防火墻。Keywords:firewall；packetfilter；Linux；filter；iptables

　　

【正文】 ISHED 的了。一個(gè)連接要從 NEW 變?yōu)?ESTABLISHED，只需要接到應(yīng)答包即可，不管這個(gè)包是發(fā)往防火墻的，還是要由防火墻轉(zhuǎn)發(fā)的。 ICMP 的錯(cuò)誤和重定向等信息包也被看作是 ESTABLISHED，只要它們是我們所發(fā)出的信息的應(yīng)答。 RELATED RELATED 是個(gè)比較麻煩的狀態(tài)。當(dāng)一個(gè)連接和某個(gè)已處于 ESTABLISHED 狀態(tài)的連接有關(guān)系時(shí)，就被認(rèn)為是 RELATED 的了。換句話說，一個(gè)連接要想是 RELATED 的，首先要有一個(gè) ESTABLISHED 的連接。這個(gè) ESTABLISHED 連接再產(chǎn)生一個(gè)主連接之外的連接，這個(gè)新的連接就是 RELATED 的了，當(dāng)然前提是 conntrack 模塊要能理解RELATED。 ftp 是個(gè)很好的例子， FTPdata 連接就是和 FTPcontrol 有 RELATED 的。 INVALID INVALID 說明數(shù)據(jù)包不能被識別屬于哪個(gè)連 接或沒有任何狀態(tài)。有幾個(gè)原因可以產(chǎn)生這種情況，比如，內(nèi)存溢出，收到不知屬于哪個(gè)連接的 ICMP 錯(cuò)誤信息。一般地，我們 DROP 這個(gè)狀態(tài)的任何東西。 這些狀態(tài)可以一起使用，以便匹配數(shù)據(jù)包。這可以使我們的防火墻非常強(qiáng)壯和有效。以前，我們經(jīng)常打開 1024 以上的所有端口來放行應(yīng)答的數(shù)據(jù)。 但是自從 有了狀態(tài)機(jī)制，就不需再這樣了。因?yàn)槲覀兛梢灾婚_放那些有應(yīng)答數(shù)據(jù)的端口，其他的都可以關(guān)閉。這樣就安全多了。 4. 防火墻系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn) . 防火墻系統(tǒng) 的 設(shè)計(jì)方案 在本課題中 設(shè)計(jì)的 防火墻 系統(tǒng)被 命名為 smfirewall，它由本人 網(wǎng)名縮寫 加 firewall 構(gòu)成，它是一個(gè)基于 Linux 系統(tǒng)上的 filter/iptables 設(shè)計(jì)實(shí)現(xiàn) 的 防火墻 。 在設(shè)計(jì)方案中它 主要分為 兩部分： 用戶界面和防火墻 后臺 。 . 用戶界面 它是一個(gè) 界面友好，使用簡單的圖形程序，對用戶隱藏了防火墻的各個(gè)細(xì)節(jié)， 即便一個(gè) 對 Linux 系統(tǒng)或防火墻不是非常了解 的普通用戶 也能完成防火墻的設(shè)置和正常使用防火墻 。它主要有三個(gè)功能 ： 1. 能 顯示 和控制 當(dāng)前的防火墻狀態(tài)， 防火墻的事件數(shù)目， 當(dāng)前系統(tǒng)的 TCP 連接等 。 給用戶對防火墻和網(wǎng)絡(luò)狀態(tài)一個(gè)直觀的了解。 2. 顯示防火墻的事件日志，在程 序中它列表 當(dāng)前的防火墻日志 ，用戶可以使方便的查看，也可以將日志另外保存。 3. 可以方便查看，添加，編輯和刪除防火墻的規(guī)則。 . 防火墻 后臺 它是一 個(gè)在后臺運(yùn)行的 程序， 它不依賴于用戶界面，即使沒有運(yùn)行圖形界面它依然可以獨(dú)立的運(yùn)行，一般對用戶來說它是不可見。 它 會 是用戶界面 根據(jù)用戶指定的規(guī)則 和內(nèi)部的自定義 規(guī)則 利用內(nèi)核的包過濾功能 對內(nèi)核進(jìn)行設(shè)置組合形成完備的防火墻系統(tǒng)，實(shí)現(xiàn)防火墻 系統(tǒng)的 功能。 . 防火墻系統(tǒng)的實(shí)現(xiàn) 根據(jù)在 前一 節(jié) 中 的設(shè)計(jì)方案 和要求 ，我分別實(shí)現(xiàn)了防火墻系統(tǒng)的兩個(gè)部分 ： 用戶界面和防火墻后臺。 . 用戶界面 的 實(shí)現(xiàn) 在 Linux 系統(tǒng) 中可以用來編寫圖形程序的工具集主要有兩種： GTK＋ 注１ 和 QT 注２ 。 其中 GTK+ 全部由 C 編寫而成， QT 則是由 C++ 編寫的。在 Linux 中系統(tǒng)大多數(shù)由 GTK+ 編寫而成，由于本人相對來說對 C 比 C++ 要熟悉一些， GTK＋ 要熟悉 QT 一些，最后選擇了使用 GTK+ 來 編寫用戶 界面。 然后通過查看 GTK+ 的開發(fā)手冊和 GTK+ 程序代碼發(fā)現(xiàn)使用 GTK+ 進(jìn)行界面編程相當(dāng)繁瑣， 要完成本防火墻的界面可能 需要編寫大量的代碼。 然后通過網(wǎng)上學(xué)習(xí)發(fā)現(xiàn) 可以使用 Glade 注４ 繪制界面，而不需要使用手工編碼構(gòu)建整個(gè)界面了。 Glade 它使用 XML 來描述界面，并可以使用 程序來繪制軟件界面大大減輕 編碼的工作量，配合 libglade 注５ 即可以 通過載入 .glade 界面描述文件來生成整個(gè)界面，并且獨(dú)立于程序易于修改。 另外為了方便，簡化編程和與桌面系統(tǒng)集成， 用戶界面也被設(shè)計(jì)成為了一個(gè) 基于 GNOME 注６ 應(yīng)用程序， GNOME 是以 GTK＋ 為基礎(chǔ)實(shí)現(xiàn)的在 Unix 系統(tǒng)中運(yùn)行的桌面環(huán)境，它包括桌面系統(tǒng)所具體的特性，界面 簡單，易于使用。 根據(jù)設(shè)計(jì)方案的三個(gè)主要要求 ，下面 對各個(gè)部分的實(shí)現(xiàn)進(jìn)行簡要的描述： 1. 如圖１ 這是程序的主界面， 也是 主要根據(jù)方案中的第一個(gè)要求實(shí)現(xiàn)的。 從上至下依次顯示了 防火墻的事件 狀態(tài) 信息 ， 網(wǎng)絡(luò)設(shè)置狀態(tài)信息和 活動(dòng)的連接信息。 在這一部分的程序設(shè)計(jì)中主要的難點(diǎn)有，獲取系統(tǒng)的的 活動(dòng) 網(wǎng)絡(luò) 設(shè)備 ，獲取系統(tǒng)中活動(dòng)的 TCP 連接 和根據(jù) TCP 連接查找 程序 名稱 。 在 Linux 系統(tǒng)中在一個(gè) proc 的文件系統(tǒng)， 內(nèi)核 的各種信息 通過 這個(gè)文件系統(tǒng) 傳遞 到 用戶 態(tài) 。 /proc//dev 這個(gè)文件顯示著系統(tǒng)中各個(gè)網(wǎng)絡(luò)設(shè)備的狀態(tài)信息。 程序中即通過讀取分析該文件 ，得到網(wǎng)絡(luò)設(shè)備的狀態(tài)信 息并顯示在中間一欄。 而/proc//ip_conntrack 保存著 iptables 跟蹤到的網(wǎng)絡(luò)連接，讀取這個(gè)文件并用規(guī)則 “ * ESTABLISHED src=* dst=* dport=*” 來匹配，已經(jīng)連接連接的 行，即可得 到當(dāng)前的活動(dòng)連接 ，再通過文件 /proc//tcp 獲得建立連接的 socket inode 號，最后通過遍遞 /proc 目錄查看 該 inode 對應(yīng)的進(jìn)程 pid 目錄下的 cmdline 文件獲取程序的名稱 。 圖 1 本防火墻的主界面 2. 查看 防火墻事件信息的界 面 如圖所示 ， 本功能實(shí)現(xiàn)較為簡單 通過 讀取系統(tǒng) 日志 信息 ，然后再 使用與防火墻輸出信息相關(guān)的規(guī)則 即可實(shí)現(xiàn)。 3. 實(shí)現(xiàn)較為簡單，根據(jù)規(guī)則的類型，將規(guī)則 歸類分開保存，讀取 即可。 在防火墻后臺中將按這種保存的規(guī)則 ，設(shè)置相應(yīng)的策略和規(guī)則。 圖 ２ 查看 事件信息 界面 圖 策略編輯界面 圖 規(guī)則添加界面 . 防火墻后臺 實(shí)現(xiàn) 本防火墻 后臺的實(shí)現(xiàn) 由一組 bash 腳本程序與一組配置文件構(gòu)成， 其中由一個(gè)主 控程序 （名稱為 ） 它 能夠控制 防火墻的狀態(tài) 如啟動(dòng)防火墻， 停止防火墻，鎖定防火墻 ，顯示防火墻狀態(tài)停息如防火墻是否已經(jīng)運(yùn)行，當(dāng)前的狀態(tài)是什么 ，而配置文件和用戶規(guī)則則由用戶界面程序生成， 防火墻內(nèi)建固定于 腳本程序內(nèi)部無部，用戶無法更改 。 在整個(gè)后臺的實(shí)現(xiàn)當(dāng) 中 ， 啟動(dòng) 和設(shè)置 防火墻的部分最為復(fù)雜，這是整個(gè)防火墻系統(tǒng)的關(guān)鍵。 它一部分由一個(gè) 單獨(dú)的 腳本實(shí)現(xiàn)（名稱為 firewall） , 這個(gè)腳本會完成防火墻的 最關(guān)鍵部分的 設(shè)置 和用戶 自定義 規(guī)則的 應(yīng)用。 由于腳本 內(nèi)容繁雜 ， 在這里不再詳細(xì)說明 。 5. 結(jié) 論 防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng) 用性安全技術(shù) , 近年來成為安全技術(shù)中的一個(gè)熱門 。在本課題中通過在 Linux 系統(tǒng)中設(shè)計(jì)實(shí)現(xiàn)一個(gè)系統(tǒng) ， 對防火墻 的相關(guān)技術(shù)進(jìn)行深入了解 如 防火墻基本概念、運(yùn)轉(zhuǎn)機(jī)制、包過濾過程等技術(shù)。 此次畢業(yè)設(shè)計(jì) 對自己對說這也是一個(gè)大的挑戰(zhàn) ：要在如此短的時(shí)間里要完成一個(gè)防火墻系統(tǒng)。 雖然平時(shí)也接觸到不少 Linux， 可并從未接觸過 filter/iptables 對防火墻的機(jī)制了解也甚少 ，網(wǎng)絡(luò)了解也相當(dāng)?shù)纳伲狈?知識 和開發(fā) 經(jīng)驗(yàn) 嚴(yán)重缺乏 。 對自己設(shè)計(jì)的 實(shí)現(xiàn) 感覺主要的不足是， 用戶界面需要 root 權(quán)限執(zhí)行， 這樣不太安全 ，另外由于 受條件所限對 設(shè)計(jì)中的 NAT 功能的測試也不夠。 本次畢業(yè)設(shè)計(jì) 給自己的 最大的感受就是時(shí)間不夠，要學(xué)習(xí)和要掌握的內(nèi)容太多。 不過在完成課題的過程中自己也學(xué)到了不少知識 ， 掌握了 更多的工具 ， 對自己 來說 也是 不小的提高。 在以后的工作學(xué)習(xí)過程中有待進(jìn)一步加強(qiáng)。 6. 致 謝 感謝四年來辛勤培育我的老師們，他們不僅教會我書本上的知識，還傳授了我做人的道理，這些都將是我未來人生道路上的寶貴財(cái)富。 還要感謝一起做畢業(yè)設(shè)計(jì)的同學(xué)們，與他們一起討論設(shè)計(jì)過程中遇到的問題，定期交流設(shè)計(jì)過程中的心得體會，也使自己受益匪淺，大家互相幫助， 共同進(jìn)步，并結(jié)下了深厚的友誼，感謝他們給予我的關(guān)心和幫助。 最后，要感謝我的父母，他們不僅在物質(zhì)上給予我莫大的支持，還在精神上給予我極大的鼓勵(lì)。我唯有通過更加努力地學(xué)習(xí)和工作來報(bào)答他們對我的關(guān)懷。 7. 參 考 文 獻(xiàn) [1] 袁津生 ,吳硯農(nóng) .計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)（修訂版） .北京：人民郵電出版社， 2020 [2] [3] [4] Iptables manual [5] 劉文濤 .網(wǎng)絡(luò)安全開發(fā)包詳解 .北京：電子工業(yè)出版社 , 2020