基于透明模式的Linux防火墻設(shè)計

摘要：隨著計算機(jī)技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)已經(jīng)逐漸應(yīng)用到比如辦公網(wǎng)絡(luò)化、網(wǎng)上資源共享等人們工作生活的各個方面。隨著網(wǎng)絡(luò)的大規(guī)模的應(yīng)用，網(wǎng)絡(luò)資源共享性提高，其安全性成為目前人們研究的重點課題。本文詳細(xì)的介紹了linux系統(tǒng)中防火墻設(shè)計技術(shù)——透明模式技術(shù)。基于透明模式的防火墻可以進(jìn)行轉(zhuǎn)換內(nèi)外網(wǎng)地址，以便屏蔽內(nèi)部網(wǎng)段的訪問細(xì)節(jié)，同時還可以使防火墻的服務(wù)器端口進(jìn)行隱藏，使其無法被探測到，這樣就極大的提高了防火墻的坑攻擊性，加強(qiáng)了網(wǎng)絡(luò)的安全性。

關(guān)鍵詞：linux系統(tǒng)；網(wǎng)絡(luò)安全；透明模式；防火墻設(shè)計

中圖分類號：TP311.52文獻(xiàn)標(biāo)識碼：A文章編號：1007-9599 (2012) 07-0000-02

一、引言

隨著計算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和現(xiàn)代通信技術(shù)的發(fā)展，信息安全成為眾多科學(xué)工作者的研究重點。Linux系統(tǒng)作為一個開放的網(wǎng)絡(luò)網(wǎng)絡(luò)操作系統(tǒng)，被廣泛的應(yīng)用于教育、金融和政府企業(yè)網(wǎng)中，在應(yīng)用過程中，防火墻技術(shù)越來越多的被應(yīng)用于專用網(wǎng)絡(luò)，和公用網(wǎng)絡(luò)的互聯(lián)環(huán)境中，因此，linux系統(tǒng)的防火墻設(shè)計大大的影響人們辦公的利于弊。防火墻集成了計算機(jī)的硬件和軟件，位于兩個或者多個網(wǎng)段之間，能夠?qū)嵤W(wǎng)絡(luò)資源的訪問控制，在任何兩個或者多個網(wǎng)絡(luò)之間，按照一定的安全策略實施數(shù)據(jù)包的安全檢測，判斷各個網(wǎng)絡(luò)之間的通信能否被許可，時刻監(jiān)視網(wǎng)絡(luò)的運(yùn)行現(xiàn)狀。

本文基于作者多年的研究和實踐經(jīng)驗，詳細(xì)的描述了linux2.4系統(tǒng)內(nèi)核中，防火墻設(shè)計的相關(guān)技術(shù)，比如數(shù)據(jù)包過濾、Netfilter/Iptables架構(gòu)、透明模式等，并基于這些技術(shù)針對linux防火墻進(jìn)行了設(shè)計[1]，詳細(xì)的探討了防火墻控制系統(tǒng)的設(shè)計，以便為人們在使用linux系統(tǒng)時，設(shè)計防火墻提供參考。

二、背景技術(shù)

（一）Linux系統(tǒng)簡介

Linux是一種自由的和開放源碼的類Unix操作系統(tǒng)，其得名于計算機(jī)業(yè)余愛好者Linus Torvalds。當(dāng)前存在著許多不同的linux系統(tǒng)版本，比如大家眾所周知的linux2.2和linux2.4系列。雖然他們的產(chǎn)生時間和版本不同，但是它們都使用了linux內(nèi)核，嚴(yán)格來講，Linux這個詞本身只表示Linux內(nèi)核，但實際上人們已經(jīng)習(xí)慣了用Linux來形容整個基于Linux內(nèi)核，并且使用GNU 工程各種工具和數(shù)據(jù)庫的操作系統(tǒng)。Linux可以安裝在各種計算機(jī)硬件設(shè)備中，比如從平板電腦、手機(jī)、路由器和視頻游戲控制臺，到臺式計算機(jī)、大型機(jī)和超級計算機(jī)。Linux是一個領(lǐng)先的操作系統(tǒng)，世界上運(yùn)算最快的10臺超級計算機(jī)運(yùn)行的都是Linux操作系統(tǒng)。

（二）Linux系統(tǒng)的數(shù)據(jù)包過濾

對于Linux系統(tǒng)的防火墻設(shè)計與實現(xiàn)[2]來講，為了能夠判定網(wǎng)中的流通的數(shù)據(jù)包等是否合法，需要有網(wǎng)絡(luò)安全人員或者是系統(tǒng)管理員制定一組詳細(xì)的網(wǎng)絡(luò)通信規(guī)則，這組規(guī)則具有一個中心控制點，使用該組規(guī)則能夠檢測網(wǎng)絡(luò)中的數(shù)據(jù)包并且能夠流出合法的數(shù)據(jù)包信息，使系統(tǒng)不受損害。包過濾是防火墻設(shè)計過程中使用的一種必備技術(shù)，因為網(wǎng)絡(luò)流量是是由網(wǎng)絡(luò)中的IP數(shù)據(jù)包有機(jī)形成，網(wǎng)絡(luò)流量憑靠流的形式展現(xiàn)在網(wǎng)絡(luò)中，并且從系統(tǒng)的發(fā)送端經(jīng)過網(wǎng)絡(luò)留到接收端。形成網(wǎng)絡(luò)流量的IP數(shù)據(jù)包包括兩個部分，其分別是包頭和數(shù)據(jù)，其中包頭里含有接收數(shù)據(jù)的目的地址、數(shù)據(jù)來源的源地址以及數(shù)據(jù)包傳輸過程中采用的某種傳輸協(xié)議類型等信息，因此Linux防火墻系統(tǒng)就可以根據(jù)防火墻設(shè)置的相應(yīng)的安全檢查規(guī)則嚴(yán)格的檢查這些數(shù)據(jù)包中的包頭和數(shù)據(jù)，這樣就能夠確定網(wǎng)絡(luò)中流通的數(shù)據(jù)包是否合法，接收端是否接授被檢測到的IP數(shù)據(jù)包，還是拒絕流過的IP數(shù)據(jù)包，這個過程我們就稱之為IP數(shù)據(jù)包過濾[3]。

（三）Netfilter/Iptables架構(gòu)分析

在Linux2.4系統(tǒng)的內(nèi)核中，其提供了一個非常強(qiáng)大的防火墻工具——Netfilter/Iptables組件，該工具使用起來非常靈活，并且功能十分強(qiáng)大，其使用控制規(guī)則對網(wǎng)絡(luò)中流入和流出的數(shù)據(jù)包信息進(jìn)行非常細(xì)化的控制。Netfilter/Iptables組件基于信息包過濾表(tables)有機(jī)組成，該過濾表包含了控制網(wǎng)段中數(shù)據(jù)包處理的一些規(guī)則集(rules)。IP數(shù)據(jù)包根據(jù)規(guī)則集中包含的包過濾類型，將這些規(guī)則放入鏈(chains)中，同時規(guī)定Linux系統(tǒng)2.4內(nèi)核對來網(wǎng)絡(luò)中流入流出的數(shù)據(jù)包進(jìn)行處置。Netfilter/Iptables組件的工作原理以及其結(jié)構(gòu)組成如下所述[4]。

1. Netfilter/Iptables的工作原理簡述。在Linux2.4系統(tǒng)內(nèi)核中，Netfilter/Iptables是Linux系統(tǒng)發(fā)展過程中的第4代包過濾防火墻系統(tǒng)[5]，該系統(tǒng)僅僅可以用來擴(kuò)展網(wǎng)絡(luò)服務(wù)，并沒有具體實現(xiàn)包過濾的程序，是一個包過濾系統(tǒng)的結(jié)構(gòu)化底層開發(fā)框架。Netfilter/Iptables框架共包含三個組成部分：一是為各種網(wǎng)絡(luò)協(xié)議定義的一些相關(guān)的鉤子函數(shù)，比如為IPV4定義了五個鉤子函數(shù)，這些函數(shù)可以在網(wǎng)絡(luò)中數(shù)據(jù)包經(jīng)過某些協(xié)議棧的關(guān)鍵點時被用來調(diào)用；二是linux2.4內(nèi)核的每一個模塊都可以針對各種協(xié)議一個或者是很多個鉤子進(jìn)行注冊，以便實現(xiàn)掛接；三是用來傳遞給用戶的數(shù)據(jù)包，其在排隊的數(shù)據(jù)包中使用異步處理的方法。

2. IPv4中Netfilter/Iptables的結(jié)構(gòu)簡述。Netfilter/Iptables提供了三個基本的功能表[6]：網(wǎng)絡(luò)地址轉(zhuǎn)換表(NAT) 、數(shù)據(jù)包過濾表(filter)和數(shù)據(jù)包處理表(mangle)。其中每個表又通常由若干鏈構(gòu)成，一個鏈既是許多規(guī)則中的一個過濾清單，根據(jù)過濾規(guī)則能夠處理的數(shù)據(jù)包的類型，將其分組到各個鏈中。其工作過程是如果一個網(wǎng)絡(luò)中流通的IP數(shù)據(jù)包與某一規(guī)則相匹配，防火墻就允許該包通過，既是接受該數(shù)據(jù)包；否則，就丟球或者拒絕接受該數(shù)據(jù)包，通過這些功能就可以防止非法數(shù)據(jù)流通，以便保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全。

3. Netfilter/Iptables的內(nèi)置規(guī)則。Netfilter/Iptables可以通過讀取在網(wǎng)絡(luò)中流入和流出的IP數(shù)據(jù)包的頭部，分析其具體信息，然后就和規(guī)則集相比較，這樣就可以確定IP數(shù)據(jù)包是接受轉(zhuǎn)發(fā)還是拒絕接受，對于被拒絕的IP數(shù)據(jù)包，Netfilter/Iptables內(nèi)置規(guī)則集默認(rèn)丟棄或者按照某種定義的動作來處理數(shù)據(jù)包。在linux2.4內(nèi)核中，其建立了三個Iptables，其中Filter包含input、output以及forward鏈，該Iptable的主要作用是用來過濾一般的IP數(shù)據(jù)包，；Nat包含prerouting、output和postrouting鏈，其作用是用來轉(zhuǎn)發(fā)IP數(shù)據(jù)包；Mangle包括prerouting和output鏈，其可以使用一些規(guī)則記錄用于高級路由的IP數(shù)據(jù)包。

三、Linux透明模式防火墻實現(xiàn)

（一）透明模式的結(jié)構(gòu)和優(yōu)點

在人們上網(wǎng)等過程中，由于計算機(jī)系統(tǒng)中安裝了防火墻，導(dǎo)致網(wǎng)速變慢，給人們帶來了各種不方便，比如無法登錄某些被限制的有用網(wǎng)站，網(wǎng)速變慢等問題，為了解決防火墻帶來的這種弊端，在本文中l(wèi)inux系統(tǒng)防火墻的實現(xiàn)過程中，我們采用了新穎的Iptables+Squid透明模式，用于設(shè)計和實現(xiàn)防火墻[7]的功能。在基于透明模式防火墻網(wǎng)絡(luò)系統(tǒng)中，數(shù)據(jù)訪問流程如下：用戶與代理服務(wù)器進(jìn)行對話，然后接受客戶的請求，與真實的服務(wù)器相連接，然后請求得到響應(yīng)數(shù)據(jù)并將其反饋給用戶。使用透明模式的防火墻可以解決很多問題，比如網(wǎng)絡(luò)速度慢和IP地址緊缺等。在防火墻的實現(xiàn)規(guī)則設(shè)置中，基于透明模式的防火墻系統(tǒng)采用了比包過濾較深層次的數(shù)據(jù)包檢查策略，網(wǎng)絡(luò)的內(nèi)部用戶如果在訪問外網(wǎng)數(shù)據(jù)時，基于透明模式的訪問方式無需進(jìn)行服務(wù)器代理設(shè)置，就能夠使用戶與外界資源直接進(jìn)行高速的通信，大大的減少了用戶上網(wǎng)的時間，加快了網(wǎng)絡(luò)訪問的速度。另外，采用透明模式的防火墻系統(tǒng)，可以很方便的進(jìn)行內(nèi)網(wǎng)和外網(wǎng)地址轉(zhuǎn)換，屏蔽內(nèi)部網(wǎng)絡(luò)的訪問細(xì)節(jié)信息，使得防火墻的服務(wù)器端口被系統(tǒng)隱藏，使其無法潛在的攻擊者所探測到，就能夠大大的提高網(wǎng)絡(luò)的安全性，減少被黑客攻擊的幾率。

（二）基于Iptables+Squid實現(xiàn)透明模式

Squid是一個代理服務(wù)器軟件[8]，其通常在Unix/Linux系統(tǒng)下工作并且能夠支持許多種協(xié)議，該軟件能夠緩存我們網(wǎng)絡(luò)上使用的數(shù)據(jù)，也即是當(dāng)服務(wù)器軟件使用Squid之后，服務(wù)器內(nèi)存中就會建立一個哈希表，也稱為散列表，該哈希表用來保存在硬盤中的緩存目錄的配置狀態(tài)。如果網(wǎng)絡(luò)上用戶發(fā)出代理請求時，Squid接收用戶的請求并且下載申請，然后自動的處理其所下載的請求數(shù)據(jù)信息。Squid可以構(gòu)造非常復(fù)雜的代理訪問控制結(jié)構(gòu)，能夠提供多種訪問控制策略，并且能夠節(jié)省很多網(wǎng)絡(luò)帶寬，其具有系統(tǒng)運(yùn)行穩(wěn)定，運(yùn)行效率高，響應(yīng)及時等十分強(qiáng)大的功能。

四、 Linux防火墻訪問控制系統(tǒng)設(shè)計與實現(xiàn)

在linux系統(tǒng)防火墻設(shè)計與實現(xiàn)過程中，訪問控制系統(tǒng)的設(shè)計是非常關(guān)鍵的，訪問控制系統(tǒng)設(shè)計的好壞，直接影響防火墻的功能是否健全，性能是否優(yōu)越，以及其他非功能性約束。

（一）訪問控制系統(tǒng)的設(shè)計思想和功能

本文所設(shè)計的訪問控制系統(tǒng)基于透明模式技術(shù)。該模式與普通模式相比較，具有配置簡單靈活、適用范圍廣等許多優(yōu)點。在linux系統(tǒng)內(nèi)核下，基于iptables+squid實現(xiàn)透明模式技術(shù)[9]，因此該防火墻具有一定的包過濾功能。由于Linux系統(tǒng)內(nèi)核防火墻設(shè)計過程中，其包過濾機(jī)制存在一定的局限性，存在著缺陷，比如過濾能力非常有限。如果網(wǎng)絡(luò)內(nèi)部的用戶向代理服務(wù)器發(fā)出訪問請求時，使用某些具有隱蔽性的技術(shù)和手段，這樣就可以使得數(shù)據(jù)包無需通過iptables+Squid就能夠訪問外部的網(wǎng)絡(luò)，防火墻系統(tǒng)的檢測機(jī)制的作用就會被降低，為了解決上面的問題，在本文中，筆者基于多年的實踐經(jīng)驗，基于透明模式，設(shè)計并提出了一種新穎的內(nèi)部用戶訪問控制系統(tǒng)，這種系統(tǒng)的設(shè)計和實現(xiàn)思想如下：系統(tǒng)根據(jù)網(wǎng)絡(luò)內(nèi)部的用戶發(fā)出的數(shù)據(jù)信息，讓防火墻系統(tǒng)的服務(wù)器抓取該數(shù)據(jù)信息中的IP數(shù)據(jù)包的頭部，詳細(xì)的按照訪問控制規(guī)則對其進(jìn)行分析，根據(jù)iptables定義的防火墻規(guī)則鏈檢測數(shù)據(jù)包是否合法；另外在服務(wù)器的另一個端口時刻偵聽已經(jīng)流出去的數(shù)據(jù)信息，通過反饋信息對其進(jìn)行檢測過濾，與此同時，服務(wù)器還要對已經(jīng)流出去的相應(yīng)請求數(shù)據(jù)包進(jìn)行日志登記，在防火墻系統(tǒng)的控制管理過程中，我們可以查看過長的數(shù)據(jù)信息或者是過快的一連串的異常數(shù)據(jù)請求行為，以便從中發(fā)現(xiàn)可疑現(xiàn)象。

因此，綜上所述，本文中所設(shè)計和實現(xiàn)的防火墻訪問控制系統(tǒng)的主要功能主要由以下幾個方面共同組成：

1.適用范圍廣泛，可用于各種網(wǎng)絡(luò)應(yīng)用協(xié)議；2.禁止內(nèi)部用戶越過防火墻非法訪問；3.根據(jù)對數(shù)據(jù)包頭部的分析，實現(xiàn)動態(tài)包過濾功能，加強(qiáng)了系統(tǒng)的性能和安全性；4.系統(tǒng)提供日志審計，以便記錄系統(tǒng)訪問、系統(tǒng)管理及針對安全策略的網(wǎng)絡(luò)訪問情況。

（二）訪問控制系統(tǒng)的實現(xiàn)

1.防火墻規(guī)則初始化：啟動forward功能；配置缺省原則；設(shè)置nat規(guī)則；設(shè)置內(nèi)外網(wǎng)連接規(guī)則；設(shè)置icmp規(guī)則；設(shè)置透明模式。

2.偵聽數(shù)據(jù)包：訪問控制系統(tǒng)能夠在任何時刻監(jiān)聽是否有發(fā)往Squid的數(shù)據(jù)包信息的訪問請求，使用的偵聽數(shù)據(jù)包技術(shù)主要可以采用基于客戶機(jī)與服務(wù)器分布式通信技術(shù)來實現(xiàn)。在客戶機(jī)與服務(wù)器分布式的通信過程中，訪問控制系統(tǒng)就可以通過Socket截獲或者抓卻客戶機(jī)發(fā)送給服務(wù)器的數(shù)據(jù)包，另外基于該種技術(shù)，訪問控制系統(tǒng)可以同時將多個Socket連入同一個端口，這樣就可以使得所有的客戶機(jī)均可以用統(tǒng)一的通信前端與服務(wù)器進(jìn)行通信。

3.數(shù)據(jù)包截獲和分析：該模塊從接收到的數(shù)據(jù)包中提取出來IP數(shù)據(jù)包的頭部信息，對其進(jìn)行分析，并從數(shù)據(jù)包提取所需要的信息。

4.訪問控制管理：訪問控制管理是該控制系統(tǒng)設(shè)計過程中最為關(guān)鍵的一個部分，當(dāng)經(jīng)過數(shù)據(jù)包分析之后，可以認(rèn)證用戶身份，然后通過對內(nèi)核防火墻過濾規(guī)則的操作來實現(xiàn)對用戶的訪問控制。訪問控制管理模塊生成一個shell腳本的start文件，該文件可以用來創(chuàng)建一個基礎(chǔ)的iptables規(guī)則，并且初始化input、output及forward鏈，同時為每一個服務(wù)創(chuàng)建一個對應(yīng)的防火鏈，并在forward鏈中添加規(guī)則，將相應(yīng)服務(wù)端口的請求轉(zhuǎn)發(fā)給服務(wù)鏈。訪問控制管理模塊同時定義了所有服務(wù)對應(yīng)的TCP/UDP端口及服務(wù)種類。

五、結(jié)束語

總而言之，隨著網(wǎng)絡(luò)資源使用的方便程度越來越多，使用網(wǎng)絡(luò)的人必將迅速增加，如何保證網(wǎng)絡(luò)信息安全成為許多研究者的工作重點。本文利用Linux內(nèi)核防火墻中的包過濾機(jī)制iptables和代理服務(wù)器軟件squid實現(xiàn)了透明模式的防火墻，其具有置簡單靈活、適用范圍廣等許多優(yōu)點，并且提出了解決系統(tǒng)內(nèi)部用戶訪問的安全性問題，為linux系統(tǒng)防火墻設(shè)計引入了新的理念。隨著信息安全技術(shù)的發(fā)展，linux防火墻設(shè)計也必將產(chǎn)生更多的有效設(shè)計原理和方法，以保證網(wǎng)絡(luò)應(yīng)用環(huán)境的安全。

參考文獻(xiàn)：

[1]周曉梅.Linux內(nèi)核防火墻及其應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007(06)

[2]鄭超，高學(xué)全，張建勛.基于Linux防火墻的局域網(wǎng)安全環(huán)境設(shè)計與實現(xiàn)[J].科學(xué)技術(shù)與工程，2008(11)

[3]秦濤.在LINUX下使用Iptables作為防火墻研究[J].內(nèi)蒙古電大學(xué)刊，2009(01)

[4]鄭超，張建勛.Linux防火墻Netfilter-iptables擴(kuò)展機(jī)制及應(yīng)用研究[J].計算機(jī)與數(shù)字工程，2009(06)

[5]朱萍.基于透明代理的Linux防火墻的設(shè)計與實現(xiàn)[J].合肥工業(yè)大學(xué)學(xué)報(自然科學(xué)版)，2007(05)

[6]劉軍，鄭傳波，張凱.基于數(shù)據(jù)包過濾和透明代理相結(jié)合的防網(wǎng)絡(luò)攻擊[J].計算機(jī)工程與設(shè)計，2005(05)

[7]宛鉞.基于iptables的Linux防火墻的配置和實現(xiàn)[J].沈陽航空工業(yè)學(xué)院學(xué)報，2008(02)

[8]潘賢.Linux內(nèi)核中Netfilter/Iptables防火墻的技術(shù)分析[J].計算機(jī)安全，2008(08)

[9]劉建峰，潘軍，李祥和.Linux防火墻內(nèi)核中Netfilter和Iptables的分析[J].微計算機(jī)信息，2006(03)