Linux下防火墻透明模式的原理及實(shí)現(xiàn)探討

謝 輝

（福建省閩北職業(yè)技術(shù)學(xué)院，福建 南平 353000）

1 互聯(lián)網(wǎng)通信原則

在構(gòu)建Linux下透明模式防火墻之前，需要了解網(wǎng)頁(yè)信息傳輸?shù)幕玖鞒毯途W(wǎng)頁(yè)代碼解析的過(guò)程。目前常見(jiàn)的B/S結(jié)構(gòu)主要以客戶(hù)端瀏覽器為主進(jìn)行分析，用戶(hù)使用瀏覽器登錄網(wǎng)頁(yè)界面時(shí)，需要從瀏覽器的端口錄入網(wǎng)址，完成對(duì)url的請(qǐng)求，然后借助DNS服務(wù)器的幫助來(lái)解析服務(wù)器的域名，根據(jù)解析的結(jié)構(gòu)有針對(duì)性的設(shè)計(jì)訪問(wèn)頁(yè)面。對(duì)于不同的瀏覽器要選擇合適的服務(wù)器來(lái)進(jìn)行HTTP指令的傳輸，服務(wù)器集合收到的HTTP相關(guān)信息結(jié)合瀏覽器的url指令實(shí)現(xiàn)打開(kāi)對(duì)應(yīng)目標(biāo)文件。目標(biāo)文件一般會(huì)用網(wǎng)頁(yè)地址的表現(xiàn)形式出現(xiàn)，Web服務(wù)器可以根據(jù)實(shí)際情況來(lái)提供相應(yīng)的參數(shù)，然后完成數(shù)據(jù)庫(kù)文件資源的調(diào)動(dòng)工作，最終完成HTML的任務(wù)。在收到任務(wù)的時(shí)候服務(wù)器會(huì)在第一時(shí)間根據(jù)客戶(hù)端閱覽器的協(xié)議內(nèi)容把HTML內(nèi)的文件傳輸?shù)綖g覽器中，瀏覽器收到文件之后就會(huì)馬上進(jìn)行處理，根據(jù)處理分析的情況對(duì)服務(wù)器中的鏈接資源文件（內(nèi)嵌網(wǎng)頁(yè)，CSS，多媒體資源，JavaScript等）進(jìn)行請(qǐng)求指令輸送。服務(wù)器可以根據(jù)HTTP請(qǐng)求的結(jié)果配對(duì)相關(guān)的資源文件，然后利用網(wǎng)絡(luò)配送的方式傳輸?shù)娇蛻?hù)端的瀏覽器上。瀏覽器在收到資源文件之后，會(huì)對(duì)其進(jìn)行分類(lèi)，結(jié)合規(guī)則將其展示在Web界面之中，并會(huì)根據(jù)資源文件的所屬媒體形式進(jìn)行便于展示的重新排版，HTML的文檔會(huì)根據(jù)對(duì)應(yīng)的頁(yè)面腳本進(jìn)行一定的分析處理，結(jié)合解釋說(shuō)明的腳本代碼，在執(zhí)行腳本期間做好阻塞鏈接文件的加載工作，在此基礎(chǔ)之上利用地址轉(zhuǎn)換協(xié)議才能使得Linux下防火墻透明模式的構(gòu)建生效。

2 數(shù)據(jù)收發(fā)原則

網(wǎng)絡(luò)數(shù)據(jù)接口收發(fā)數(shù)據(jù)信息需要遵循的相關(guān)規(guī)則主要有兩點(diǎn)，分別是只接受MAC地址的數(shù)據(jù)鏈路層傳輸方式和接收IP地址信息的網(wǎng)絡(luò)層傳輸方式。

2.1 MAC

MAC地址包括本網(wǎng)絡(luò)接口MAC地址、廣播地址的以太網(wǎng)幀等。在防火墻的透明模式下，只能接收目的MAC地址信息，對(duì)于未知目的MAC地址的IP報(bào)文，防火墻直接丟棄不予處理。

2.2 IP

IP地址主要負(fù)責(zé)處理和IP數(shù)據(jù)有關(guān)的信息，在處理的過(guò)程中需要先收集Internet層上的數(shù)據(jù)信息，將本地留存的IP地址信息上傳于本地上的應(yīng)用程序，以實(shí)現(xiàn)信息數(shù)據(jù)的分析處理工作。在處理的過(guò)程中先了解本機(jī)路由器的信息，以便當(dāng)對(duì)應(yīng)的IP信息數(shù)據(jù)地址不是本地信息傳輸?shù)刂返睦馇闆r，然后根據(jù)網(wǎng)絡(luò)端口的類(lèi)型，選擇最符合實(shí)際情況的路由信息和IP信息，將其合理轉(zhuǎn)換為能夠使用的網(wǎng)絡(luò)信息發(fā)送至特定的網(wǎng)絡(luò)端口，順利實(shí)現(xiàn)IP數(shù)據(jù)信息情報(bào)的可接受性。當(dāng)IP數(shù)據(jù)信息情報(bào)無(wú)法滿(mǎn)足現(xiàn)有的條件時(shí)，該信息數(shù)據(jù)會(huì)被舍棄。

3 ARP協(xié)議

首先，根據(jù)目標(biāo)IP與本機(jī)IP進(jìn)行與運(yùn)算，判斷是否為同一網(wǎng)段，如果是同一網(wǎng)段，則發(fā)起ARP廣播請(qǐng)求信息，網(wǎng)段內(nèi)某臺(tái)主機(jī)通過(guò)這個(gè)ARP請(qǐng)求，發(fā)現(xiàn)自己IP對(duì)應(yīng)MAC地址符合請(qǐng)求信息，則在自己ARP表中添加請(qǐng)求方的源IP和MAC地址信息，同時(shí)將自己MAC地址附加在應(yīng)答幀發(fā)回給請(qǐng)求方主機(jī)，其他主機(jī)則忽略ARP請(qǐng)求。請(qǐng)求方主機(jī)收到應(yīng)答信息后，會(huì)更新ARP表，此時(shí)目標(biāo)主機(jī)的IP和MAC信息成功添加到ARP表項(xiàng)，實(shí)現(xiàn)正常收發(fā)信息。如果此時(shí)經(jīng)過(guò)判斷，雙方主機(jī)并不在同一網(wǎng)段，不能使用直接傳輸?shù)姆绞酵瓿蓴?shù)據(jù)信息的網(wǎng)絡(luò)端傳送，這個(gè)時(shí)候還可以借助網(wǎng)關(guān)轉(zhuǎn)發(fā)，把接收方的信息轉(zhuǎn)交給同接收方相匹配的端口，然后根據(jù)實(shí)際情況在ARP Cache中搜索發(fā)送方的數(shù)據(jù)信息，再將主機(jī)系統(tǒng)（局域網(wǎng)網(wǎng)關(guān)）的IP信息地址和MAC地址綁定在一起，把包含MAC地址的IP數(shù)據(jù)信息傳送到情報(bào)幀中。當(dāng)ARP Cache內(nèi)部不存在能同主機(jī)系統(tǒng)（局域網(wǎng)網(wǎng)關(guān)）的IP 信息地址綁定的內(nèi)容，這個(gè)時(shí)候會(huì)根據(jù)實(shí)際情況生成ARP請(qǐng)求，ARP請(qǐng)求的內(nèi)容主要由信息請(qǐng)求方MAC地址、IP地址等組成。ARP請(qǐng)求之后會(huì)得出局域網(wǎng)相關(guān)的廣播幀，當(dāng)局域網(wǎng)網(wǎng)關(guān)或者是主機(jī)接收到搜索MAC地址的問(wèn)詢(xún)后，這時(shí)可以在ARP Cache中獲得相關(guān)的MAC和IP地址內(nèi)容，并將其綁定在自己的ARP Cache中。信息發(fā)送方會(huì)在ARP中得到應(yīng)答，然后明確自己的MAC地址，這個(gè)過(guò)程可以從信息發(fā)送方的網(wǎng)絡(luò)信息接口順利接收。

最后當(dāng)信息發(fā)送方試圖獲取路由器接口的MAC地址時(shí)，會(huì)在局域網(wǎng)中判定路由器的位置，這個(gè)時(shí)候信息的傳輸方會(huì)自動(dòng)向ARP請(qǐng)求廣播詢(xún)問(wèn)路由器的地址，路由器本身沒(méi)有辦法直接接受ARP的請(qǐng)求，由于防火墻的存在，防火墻即便能夠接收到信號(hào)，也不會(huì)根據(jù)請(qǐng)求的內(nèi)容作出適當(dāng)?shù)幕貞?yīng)，這樣使得廣播幀無(wú)法順利形成，進(jìn)而無(wú)法順利實(shí)現(xiàn)信息數(shù)據(jù)的有效傳遞。為了保證網(wǎng)絡(luò)信息通信正常，防止透明方式設(shè)置防火墻對(duì)原有的網(wǎng)絡(luò)通信產(chǎn)生影響，減少ARP的協(xié)議失效，必須采取相應(yīng)的手段，主要以ARP代理（proxyARP）技術(shù)和使用橋（bridge）技術(shù)為主。

4 實(shí)施改進(jìn)方法

4.1 ARP代理方式

ARP代理方式主要指在網(wǎng)絡(luò)上利用一臺(tái)主機(jī)代替其他主機(jī)，對(duì)ARP發(fā)出的請(qǐng)求作出相應(yīng)的回答，當(dāng)信息傳輸方將內(nèi)容經(jīng)由局域網(wǎng)網(wǎng)關(guān)或是主機(jī)系統(tǒng)發(fā)送ARP請(qǐng)求，根據(jù)路由器接收MAC指令時(shí)，防火墻可以順利做出應(yīng)答，此時(shí)防火墻就完成了ARP的代理方式。在使用ARP代理方法完成Linux下防火墻透明模式的時(shí)候，需要注意代理配置的方法。在代理工作進(jìn)行時(shí)，要先添加防火墻的ARP代理，然后根據(jù)實(shí)際情況從ethl中接收，之后添加到主機(jī)的MAC地址中，代替eth0作出相應(yīng)的回應(yīng)。從eth0接收到ARP請(qǐng)求詢(xún)問(wèn)路由器MAC地址時(shí)，代替路由器用eth0的MAC地址作出回應(yīng)。ARP代理配置可以更好的代替原有的路由器工作，又能實(shí)現(xiàn)無(wú)障礙傳輸數(shù)據(jù)?；诖?，需要在預(yù)設(shè)好的防火墻之上預(yù)設(shè)相關(guān)的路由信息，保證防火墻能夠正確接收IP信息數(shù)據(jù)，這樣就完成了信息傳輸?shù)娜^(guò)程，有效減少延遲時(shí)間。

4.2 橋方式透明模式

網(wǎng)橋技術(shù)方式同ARP代理方式有很大的不同，網(wǎng)橋技術(shù)解決ARP失效問(wèn)題，并不需要完成ARP的代理應(yīng)答和維護(hù)復(fù)雜的路由信息數(shù)據(jù)。在搭建網(wǎng)絡(luò)接口層時(shí)，借助網(wǎng)橋?qū)⒁蕴W(wǎng)幀中含有的MAC地址的幀傳送至比較合適的網(wǎng)絡(luò)。橋接器能夠有效將各個(gè)網(wǎng)絡(luò)接口納入橋接器的端口，成功封裝至同一個(gè)偽設(shè)備中，形成一個(gè)統(tǒng)一的網(wǎng)橋，整體的作用和路由表保持一致。路由模塊的內(nèi)容會(huì)結(jié)合路由表的信息順利實(shí)現(xiàn)IP地址中數(shù)據(jù)內(nèi)容的配對(duì)，順利經(jīng)由網(wǎng)絡(luò)端口完成傳輸。整個(gè)網(wǎng)橋技術(shù)的完成需要橋接器內(nèi)含的表格信息數(shù)據(jù)，在傳輸信息的時(shí)候可以把MAC地址和以太網(wǎng)匹配在一起。通過(guò)實(shí)踐發(fā)現(xiàn)，利用網(wǎng)橋技術(shù)既能更好的完成防火墻透明模式搭建工作，又能減少信息傳輸緩慢的情況發(fā)生，最終在保證信息傳輸效率的基礎(chǔ)上，提高整個(gè)網(wǎng)絡(luò)的傳輸效率和安全性。

5 結(jié)束語(yǔ)

Linux下防火墻透明模式的搭建，首先要明確互聯(lián)網(wǎng)信息傳輸檢索的基本原理，并根據(jù)現(xiàn)實(shí)網(wǎng)絡(luò)信息內(nèi)容傳遞之間遇到的問(wèn)題，作出相應(yīng)的技術(shù)方案設(shè)計(jì)。通過(guò)選擇ARP代理方式或者橋方式透明模式，并根據(jù)實(shí)際情況，完成Linux下防火墻透明模式搭建工作。