新聞中心

EEPW首頁(yè) > 嵌入式系統(tǒng) > 設(shè)計(jì)應(yīng)用 > 基于Linux的IPv6復(fù)合防火墻的設(shè)計(jì)

基于Linux的IPv6復(fù)合防火墻的設(shè)計(jì)

作者: 時(shí)間:2011-06-12 來源:網(wǎng)絡(luò) 收藏

引言
運(yùn)用AH和ESP對(duì)所傳輸?shù)臄?shù)據(jù)進(jìn)行認(rèn)證和加密,保證了數(shù)據(jù)的機(jī)密性、完整性和可靠性,實(shí)現(xiàn)了信息在傳輸過程的安全性。但并不能保障網(wǎng)絡(luò)系統(tǒng)本身的安全及其提供的服務(wù)的可用性,也不能防止黑客的非法入侵和竊取私有數(shù)據(jù)。面對(duì)將要廣泛的應(yīng)用,有必要將其和相結(jié)合來保障整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。

本文引用地址:http://2s4d.com/article/150608.htm

目前操作系統(tǒng)自2.2內(nèi)核以來已提供對(duì)IPv6的支持,其性能穩(wěn)定且安全性較高,因此本文以為平臺(tái)來研究針對(duì)IPv6的系統(tǒng)。

內(nèi)核對(duì)數(shù)據(jù)包的過濾處理

netfilter框架機(jī)制
netfilter是linux2.4內(nèi)核以后實(shí)現(xiàn)數(shù)據(jù)包過濾處理的一個(gè)抽象的、通用化的功能框架,它提供了不同于BSD Socket接口的操作網(wǎng)絡(luò)數(shù)據(jù)包的機(jī)制。在netfilter中,協(xié)議棧每種協(xié)議都定義了若干個(gè)鉤子(HOOK),而對(duì)應(yīng)協(xié)議的數(shù)據(jù)包將按照一定的規(guī)則通過一些鉤子,每一個(gè)鉤子都是處理函數(shù)掛載點(diǎn)。內(nèi)核模塊可以在各個(gè)鉤子上注冊(cè)處理函數(shù)以操作經(jīng)過對(duì)應(yīng)鉤子的數(shù)據(jù)包。數(shù)據(jù)包經(jīng)過所注冊(cè)的函數(shù)處理后,根據(jù)一定的策略返回給內(nèi)核進(jìn)行下一步的處理。

IPv6協(xié)議定義了五個(gè)鉤子:

(1)NF_IPv6_PRE_ROUTING:數(shù)據(jù)包在抵達(dá)路由之前經(jīng)過這個(gè)鉤子。一般應(yīng)用于防止拒絕服務(wù)攻擊和NAT。
(2)NF_IPv6_LOCAL_IN:目的地為本地主機(jī)的數(shù)據(jù)包經(jīng)過這個(gè)鉤子,這個(gè)鉤子可以應(yīng)用于。
(3)NF_IPv6_FORWARD:目的地非本地主機(jī)的數(shù)據(jù)包經(jīng)過這個(gè)鉤子。
(4)NF_IPv6_POST_ROUTING:數(shù)據(jù)包在離開本地主機(jī)之前經(jīng)過這個(gè)鉤子,包括源地址為本地主機(jī)和非本地主機(jī)的數(shù)據(jù)包。
(5)NF_IPv6_LOCAL_OUT:本地主機(jī)發(fā)出的數(shù)據(jù)包經(jīng)過這個(gè)鉤子。這個(gè)鉤子可以應(yīng)用于防火墻。如圖1所示。


圖1 netfilter框架機(jī)制

數(shù)據(jù)包從左邊進(jìn)入系統(tǒng),進(jìn)行IP校驗(yàn)以后,數(shù)據(jù)包經(jīng)過第一個(gè)鉤子NF_IP6_PRE_ROUTING注冊(cè)函數(shù)進(jìn)行處理,然后就進(jìn)入路由代碼決定該數(shù)據(jù)包是需要轉(zhuǎn)發(fā)還是發(fā)給本機(jī)。若該數(shù)據(jù)包是發(fā)給本機(jī)的,則該數(shù)據(jù)經(jīng)過鉤子NF_IP6_LOCAL_IN注冊(cè)函數(shù)的處理以后傳遞給上層協(xié)議。若該數(shù)據(jù)包應(yīng)該被轉(zhuǎn)發(fā)則它被NF_IP6_FORWARD注冊(cè)函數(shù)處理。經(jīng)過轉(zhuǎn)發(fā)的數(shù)據(jù)包經(jīng)過最后一個(gè)鉤子NF_IP6_POST_ROUTING注冊(cè)函數(shù)的處理以后,再傳輸?shù)骄W(wǎng)絡(luò)上。本地產(chǎn)生的數(shù)據(jù)經(jīng)過鉤子NF_IP6_LOCAL_OUT注冊(cè)函數(shù)處理以后,進(jìn)行路由選擇處理,然后經(jīng)過NF_IP6_POST_ROUTING注冊(cè)函數(shù)的處理以后發(fā)送到網(wǎng)絡(luò)上。每個(gè)注冊(cè)函數(shù)處理完后,將返回一個(gè)整形常量,內(nèi)核根據(jù)這個(gè)返回值來對(duì)數(shù)據(jù)包作下一步的處理,現(xiàn)在內(nèi)核共定義了以下五個(gè)常量:

(1)NF_DROP表示丟棄此數(shù)據(jù)包,而不進(jìn)入此后的處理;
(2)NF_ACCEPT表示接受此數(shù)據(jù)包,進(jìn)入下一步的處理;
(3)NF_STOLEN表示異常分組;
(4)NF_QUEUE表示排隊(duì)到用戶空間,等待用戶處理;
(5)NF_REPEAT表示再次進(jìn)入該鉤子函數(shù)作處理。

ip6tables數(shù)據(jù)包過濾系統(tǒng)
目前,Netfilter框架的、稱為ip6tables的IPv6數(shù)據(jù)包選擇系統(tǒng)在Linux2.4以上的內(nèi)核中被應(yīng)用,它可以讓用戶訪問內(nèi)核過濾規(guī)則和命令。這種數(shù)據(jù)包選擇主要用于實(shí)現(xiàn)數(shù)據(jù)包過濾(filter表)、網(wǎng)絡(luò)地址轉(zhuǎn)換(nat表)及數(shù)據(jù)包處理(mangle表)。Linux2.4內(nèi)核提供的這三種數(shù)據(jù)包處理功能都Netfilter的鉤子函數(shù)和IP表。它們相互之間是獨(dú)立的模塊,但完美的集成到由Netfilter提供的框架中。

filter表格不對(duì)數(shù)據(jù)包進(jìn)行修改,只對(duì)數(shù)據(jù)包進(jìn)行過濾。它通過鉤子函數(shù)NF_IP6_LOCAL_IN、NF_IP6_FORWARD及NF_IP6_LOCAL_OUT接入Netfilter框架。NAT表格監(jiān)聽三個(gè)Netfilter鉤子函數(shù):

NF_IP6_PRE_ROUTING、NF_IP6_POST_ROUTING及NF_IP6_LOCAL_OUT,用于源NAT、目的NAT、偽裝(是源NAT的一個(gè)特例)及透明代理(是目的NAT的一個(gè)特例)。mangle表格在NF_IP6_PRE_ROUTING和NF_IP6_LOCAL_OUT鉤子中進(jìn)行注冊(cè)。使用mangle表,可以實(shí)現(xiàn)對(duì)數(shù)據(jù)包的修改或給數(shù)據(jù)包附上一些額外數(shù)據(jù)。

ip6tables用戶命令基本上包含以下5部分:

(1)希望工作在哪個(gè)表(Filter、NAT、Mangle);
(2)希望使用⑴所指定的表的哪個(gè)鏈(INPUT、OUTPUT、FORWARD等);
(3)進(jìn)行的操作(插入、添加、刪除、修改);
(4)對(duì)特定規(guī)則的目標(biāo)動(dòng)作;
(5)匹配數(shù)據(jù)包條件。ip6tables的語(yǔ)法為:

#ip6tables[-ttable] command [match] [target] [-ttable]有三種可用的表選項(xiàng):filter、nat和mangle。該選項(xiàng)如果未指定,則filter用作缺省表。filter表用于一般的信息包過濾,它包含INPUT、OUTPUT和FORWARD鏈。nat表用于要轉(zhuǎn)發(fā)的信息包,它包含PREROUTING、OUTPUT和POSTROUTING鏈。

PREROUTING鏈由指定信息包一到達(dá)防火墻就改變它們的規(guī)則所組成,而POSTROUTING鏈由指定正當(dāng)信息包打算離開防火墻時(shí)改變它們的規(guī)則所組成。如果信息包及其頭內(nèi)進(jìn)行了任何更改,則使用mangle表。該表包含一些規(guī)則來標(biāo)記用于高級(jí)路由的信息包,該表包含PREROUTING和OUTPUT鏈。

ip6tables的基本操作(command):-A表示在鏈尾添加一條規(guī)則,-I表示插入一條規(guī)則,-D表示刪除一條規(guī)則,-R表示替代一條規(guī)則,-L表示列出所有規(guī)則。

ip6tables基本目標(biāo)動(dòng)作(target)(適用于所有的鏈):ACCEPT表示接收該數(shù)據(jù)包,DROP表示丟棄該數(shù)據(jù)包,QUEUE表示排隊(duì)該數(shù)據(jù)包到用戶空間,RETURN表示返回到前面調(diào)用的鏈,F(xiàn)OOBAR表示用戶自定義鏈。

ip6tables基本匹配條件(match)(適用于所有的鏈):-p表示指定協(xié)議,-s表示源地址,-d表示目的地址,-i表示數(shù)據(jù)包輸入接口,-o表示數(shù)據(jù)包輸出接口。例如,識(shí)別IPv6的網(wǎng)絡(luò)服務(wù)器上的SSH連接時(shí)可以使用以下規(guī)則:

#ip6tables-AINPUT-ieth0-ptcp-s3ffe:ffff:100::1/128--dport22-jACCEPT

當(dāng)然,還有其他對(duì)規(guī)則進(jìn)行操作的命令,如清空鏈表,設(shè)置鏈缺省策略,添加用戶自定義的鏈等,這里不再詳述。

INPUT、OUTPUT、FORWARD鏈?zhǔn)莍p6tables內(nèi)置的過濾鏈,每條鏈都可定義若干條過濾規(guī)則,構(gòu)成了基本的ip6tables包過濾防火墻,如圖2所示。


圖2 ip6tables內(nèi)置的過濾鏈表

應(yīng)用服務(wù)代理

包過濾防火墻只考查數(shù)據(jù)包的少數(shù)幾個(gè)參數(shù),對(duì)高層的應(yīng)用服務(wù)不能識(shí)別。為了能過濾服務(wù)連接,通過代理服務(wù)器使允許代理的服務(wù)通過防火墻,阻塞沒有代理的服務(wù)。因此,使用代理服務(wù)的好處就是可以過濾協(xié)議,在應(yīng)用層級(jí)建立起安全機(jī)制。應(yīng)用代理后網(wǎng)絡(luò)通信過程如圖3所示。


圖3 應(yīng)用代理后網(wǎng)絡(luò)通信過程

linux操作系統(tǒng)文章專題:linux操作系統(tǒng)詳解(linux不再難懂)

上一頁(yè) 1 2 下一頁(yè)

評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉