LINUX環(huán)境下防火墻系統(tǒng)功能模塊研究

董春華

LINUX防火墻系統(tǒng)的設(shè)計(jì)過(guò)程中，采用模塊化設(shè)計(jì)，該設(shè)計(jì)思想相對(duì)來(lái)說(shuō)易于操作、也易于后面的擴(kuò)展。系統(tǒng)由各個(gè)模塊組成，系統(tǒng)運(yùn)行的優(yōu)劣取決于各模塊的性能。因此做好每一個(gè)模塊的功能設(shè)計(jì)是整個(gè)防火墻良好應(yīng)用的基礎(chǔ)。下面主要闡述各模塊的主要功能：

1、包過(guò)濾模塊的功能：包過(guò)濾模塊檢測(cè)數(shù)據(jù)包，每個(gè)包有兩個(gè)部分：數(shù)據(jù)部分和包頭。過(guò)濾規(guī)則以用于工P順行處理的包頭信息為基礎(chǔ)，不理會(huì)包內(nèi)的正文信息內(nèi)容。包頭信息包括：IP源地址、IP目的地址、封裝協(xié)議，TCP/UDP源端口、ICMP包類型、包輸入接口和包輸出接口。如果找到一個(gè)匹配，且規(guī)則允許這包，這一包則根據(jù)路由表中的信息前行。如果找到一個(gè)匹配，且規(guī)則拒絕此包，這一包則被舍棄。如果無(wú)匹配規(guī)則，一個(gè)用戶配置的缺省參數(shù)將決定此包是前行還是被舍棄。

2、狀態(tài)檢測(cè)模塊的功能：防火墻近幾年才應(yīng)用的新技術(shù)模塊。傳統(tǒng)的包過(guò)濾防火墻只是通過(guò)檢測(cè)工P包頭的相關(guān)信息來(lái)決定數(shù)據(jù)流的通過(guò)還是拒絕，而狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過(guò)規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別。這里動(dòng)態(tài)連接狀態(tài)表中的記錄可以是以前的通信信息，也可以是其他相關(guān)應(yīng)用程序的信息，因此，與傳統(tǒng)包過(guò)濾防火墻的靜態(tài)過(guò)濾規(guī)則表相比，它具有更好的靈活性和安全性。先進(jìn)的狀態(tài)檢測(cè)防火墻讀取、分析和利用了全面的網(wǎng)絡(luò)通信信息和通信狀態(tài)。

3、地址轉(zhuǎn)換模塊的功能：主要實(shí)現(xiàn)靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、反向網(wǎng)絡(luò)地址轉(zhuǎn)換、端口重定向的功能?；揪W(wǎng)絡(luò)地址轉(zhuǎn)換（Basic NAT）是一種將一組IP地址映射到另一組工P地址的技術(shù)，這對(duì)終端用戶來(lái)說(shuō)是透明的。網(wǎng)絡(luò)地址端口轉(zhuǎn)換是一種將群體網(wǎng)絡(luò)地址及其對(duì)應(yīng)TCP/UDP端口翻譯成單個(gè)網(wǎng)絡(luò)地址及其對(duì)應(yīng)TCP/UDP端口的方法。這兩種操作，即傳統(tǒng)NAT提供了一種機(jī)制，將只有私有地址的內(nèi)部領(lǐng)域連接到有全球唯一注冊(cè)地址的外部領(lǐng)域。

4、身份驗(yàn)證模塊的功能：是防火墻策略的一個(gè)不可或缺的部分。雖然規(guī)則可以應(yīng)用于IP地址，但是通常僅允許訪問(wèn)已使用專門配置的身份驗(yàn)證機(jī)制對(duì)自身進(jìn)行了身份驗(yàn)證的特定用戶。身份驗(yàn)證對(duì)于傳入請(qǐng)求（即來(lái)自目標(biāo)的請(qǐng)求）和傳出請(qǐng)求都很有意義。如果防火墻客戶端所請(qǐng)求的內(nèi)容不是HTTP，ISA服務(wù)器將確定是否配置了適用于特定用戶或組的相應(yīng)規(guī)則。對(duì)于傳出的Web請(qǐng)求，應(yīng)針對(duì)用戶所在的特定網(wǎng)絡(luò)配置身份驗(yàn)證。對(duì)于防火墻客戶端，ISA服務(wù)器在建立會(huì)話時(shí)要求提供憑據(jù)。然后，當(dāng)防火墻客戶端請(qǐng)求對(duì)象時(shí)，ISA服務(wù)器并不要求客戶端重新進(jìn)行身份驗(yàn)證，因?yàn)闀?huì)話已具有身份。當(dāng)配置適用于用戶（而不是IP地址）的訪問(wèn)規(guī)則時(shí)，必須至少指定一種身份驗(yàn)證機(jī)制，以便發(fā)出請(qǐng)求的用戶可以真正地證明自己的身份。否則，將拒絕所有請(qǐng)求?？梢酝瑫r(shí)在Web偵聽器上使用下列身份驗(yàn)證機(jī)制：基本、摘要、集成以及客戶端證書身份驗(yàn)證。選定后，RADIUS，SecurID或基于窗體的身份驗(yàn)證方法必須是所配置的唯一的身份驗(yàn)證機(jī)制。當(dāng)使用HTTPS時(shí)，客戶端證書身份驗(yàn)證是首選的身份驗(yàn)證機(jī)制，它優(yōu)先于選定的其他任何身份驗(yàn)證機(jī)制。只有在客戶端使用客戶端證書進(jìn)行身份驗(yàn)證失敗時(shí)，才使用其他的身份驗(yàn)證機(jī)制。

LINUX作為一個(gè)開放源代碼的操作系統(tǒng)，其最大的優(yōu)點(diǎn)是可以根據(jù)自己的需要來(lái)定制，從而獲得最好系統(tǒng)性能。因此在我們的設(shè)計(jì)中需要對(duì)LINUX內(nèi)核進(jìn)行改造，充分發(fā)揮系統(tǒng)的潛能，最大限度地提高防火墻的可用性和有效性。

以上就是我們對(duì)于各個(gè)模塊設(shè)計(jì)的設(shè)想，其功能在上述分析中已有所體現(xiàn)。具體的功能將在后續(xù)的設(shè)計(jì)和測(cè)試中體現(xiàn)出來(lái)。

一、系統(tǒng)模塊設(shè)計(jì)的基本思想

模塊化設(shè)計(jì)是目前各種設(shè)計(jì)的主流思想。模塊化設(shè)計(jì)，便于把一項(xiàng)大的復(fù)雜的工作簡(jiǎn)單化。本設(shè)計(jì)也采用這種思想來(lái)對(duì)LINUX防火墻進(jìn)行設(shè)計(jì)。采用這種思想可以在大型設(shè)計(jì)任務(wù)中多人共同合作，保證各人工作的銜接有效性，提高設(shè)計(jì)效率，同時(shí)使整個(gè)系統(tǒng)易于管理和維護(hù)，當(dāng)系統(tǒng)中某一部分出現(xiàn)問(wèn)題時(shí)只需要將該部分進(jìn)行拆卸和修理。

二、防火墻系統(tǒng)的軟件設(shè)計(jì)

本文主要是根據(jù)某單位的實(shí)際情況，把防火墻系統(tǒng)分為Web管理模塊、轉(zhuǎn)換模塊、內(nèi)部處理模塊和內(nèi)核模塊四個(gè)模塊。如圖1所示。

從上圖中可以看出，本防火墻系統(tǒng)的程序有兩個(gè)觸發(fā)入口，分別是防火墻啟動(dòng)或重啟時(shí)觸發(fā)和正在運(yùn)行或進(jìn)行用戶信息管理時(shí)觸發(fā)。

三、防火墻系統(tǒng)的硬件設(shè)計(jì)

從前面的分析中可以看到，我們?cè)谠O(shè)計(jì)LINUX防火墻時(shí)，要考慮到系統(tǒng)的成本，各種環(huán)境因素以及硬件的穩(wěn)定性和安全性，同時(shí)在設(shè)計(jì)的過(guò)程中，還要注意盡量減少設(shè)備的體積，降低功耗。因此在設(shè)計(jì)時(shí)要做到對(duì)防火墻的配置文件的設(shè)計(jì)，磁盤的使用情況問(wèn)題和注意到CPU的負(fù)載問(wèn)題，對(duì)系統(tǒng)的應(yīng)用程序、系統(tǒng)文件及日志進(jìn)行備份和做常規(guī)性的檢查，雖然并不能立刻檢查到硬件防火墻可能遇到的所有問(wèn)題和隱患，但持之以恒地檢查對(duì)硬件防火墻穩(wěn)定可靠地運(yùn)行是非常重要的。同時(shí)可以用數(shù)據(jù)包掃描程序來(lái)確認(rèn)硬件防火墻配置的正確與否，甚至可以更進(jìn)一步地采用漏洞掃描程序來(lái)進(jìn)行模擬攻擊，以考核硬件防火墻的能力。設(shè)計(jì)時(shí)，把軟件系統(tǒng)以及裁減后的LINUX核心、文件系統(tǒng)寫入flash中，這樣可以有效的避免將要執(zhí)行的程序從硬盤上調(diào)入內(nèi)存中再執(zhí)行，從而提高了防火墻的執(zhí)行效率。

參考文獻(xiàn)：

[1]韓東海.入侵檢測(cè)系統(tǒng)實(shí)例剖析[M].清華大學(xué)出版社，2012.

[2]劉正海.基于嵌入式LINUX防火墻的研究與實(shí)現(xiàn)[D].重慶工業(yè)大學(xué)碩士學(xué)位論文，2007.

[3]朱革媚.網(wǎng)絡(luò)安全與新型防火墻技術(shù)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2011（01）.