Linux下基于内容过滤防火墙性能的改进.pdfVIP

仪 不 父 _侃 doi：l0．3969~．issn．1563-4795．2011．10．012 Unux下基于内容过滤防火墙性能的改进 王冬霞 ， 洪耀球 ，程 超 (1．景德镇高等专科学校，江西 景德镇 333000； 2．江西网络公司景德镇分公司，江西 景德镇 333000) 摘 要 ：论文以LinuxNetfiher第七层封包分析模块为基础 ．分析 了此类防火墙在实际应用 中 存在的不足，通过改变L7一filter的封包处理方式有效地解决了封包误判的问题 ；并通过运用状 态检测技术 ，来提升封包经过防火墙时处理的性能，使得在 网络流量高或过滤规则多的情况 ， 不会 因为 内容过滤机制速度过慢 ，而拖垮 网络的整体性能，通过如上的改进 ，使得 内容过滤 机制具有更大应用价值。 关键词：防火墙；封包识别；内容过滤 ；连线跟踪 近年来防火墙对网络的保护越来越重要 ．特 滤工具Neffilter／iptables系统，它使防火墙配置和信 别是P2P软件越来越多的趋势下，传统防火墙并不 息包过滤变得更加容易。其 中Netfilter是用来实现 能有效的过滤P2P软件 ，因此越来越多的防火墙改 防火墙的过滤器 ，而iptables则用来指定Netfilter规 用ConnectionClassification针对整个连线进行较完 则并管理 内核包过滤 ，它为用户配置防火墙规则 整的扫描。虽然有厂商推出此类防火墙 ．特别针对 提供 了方便 ，通过iptables可以加入 、插入或删 除 P2P使用的动态连线端 口提供 了连线过滤能力．但 内核包过滤表 (链)中的规则 ，这些规则 由Netfiher 是商业应用层防火墙的售价偏高，而且商业用的防 及其相关模块执行。 火墙，其操作系统不对外开放，只能通过厂商的软 Netfiher是嵌入 内核IP协议栈 的一系列调用人 件更新才可 以升级 ，而P2P系统与技术的更新非常 口，设置在报文处理的路径上 ，Netfilter就是根据 快，所以商用防火墙要一直依赖厂商推 出的更新特 网络报文的流向，在以下几个点插入处理过程 ： 征值或者软件升级的方式让使用者升级，使用者才 NF-IP—PRE—ROUTING，在报文作路 由以前执 有可能让所购买的防火墙可以过滤最新的P2P软件。 行 ： 而本片论文所使用的是 目前网络上都可以取得 NF_IP_FORWARD，在报文转 向另一个NIC以 的OpenSource套件 ，也有许多热心的程序员不断地 前执行 ： NF IP-POST_ROUTING，在报文流 出以前执 更新P2P软件 的特征值 ，让使用者可 以在花费较低 — 成本的情况下，来达到与商用防火墙相同的目的。 行 ： NF IP LOCAL _ IN，在流入本地的报文作路 由 1 Netfiher／iptablesT作原理 以后执行 ： NF_IPLOCAL_OUT，在本地报文做流出路由 从LinuxI~核2．4版本开始，内置TIP信息包过 前执行 。 收稿 日期 ：2011-04—08 检查点分布在协议栈的流程中，流程图如下。