使用NetFilter构建Linux防火墙.PDFVIP

lSSN1009—3044 and ComputerKnowledgeTechnology电脑知识‘i技术 Teh+86-551-56909635690964 V01．6，No．25，September2010，PP．7007-7008 使用NetFilter构建Linux防火墙 王琼 (陕西广电网络传媒股份有限公司长安直属公司I：程部，陕两两安710100) 络数据包进行严格过滤的包过滤防火墙、，该防火墙运行在内核态，具有很高的效率。数据包处理能力较强。同时NetFilter框架的使 用使其具有良好的代码结构，易于维护和扩展。 关键词：NetFilter框架；防火墙；Linux内核：可加栽内核模块 中图分类号：TP393文献标识码：A 文章编号：1009—3044(2010)25—7007—02 On ConstructionofaLinuxFirewallBasedNetFi¨[erFramework WANG Qiong BCTVNetwork (Shanxi IntermediaryCO．，LTD，Xi’all710100，China) Abstract：BasedontheintroductiontomechanismofLinuxkernel]noduleandNetFilter Linuxfirewallis Framework，a implemented， whichisaLinuxkernelmoduleandcanbeinsertedintotheLinuxkernelin and highscalability． run—time．with}lighefficiency loadablemodule words：netFilterframework；firewaU；Linuxkernel；Lmux Key 络(如Intemet)之间设置屏障，阻止对信息资源的非法访『廿J，也町以使J{J防火墙阻止专利信息从企业的网络上被非法输出。 Public License)协议，完 令免费，具有运ij效率高、系统资源要求低．功能强人并且易f扩展，并且使刖，灵活。在众多的防火墒产品中占有一席之地。 该防火墙运行通过内核模块的形式动态加载到内核·I·，具有很高的效率，数据过滤能力较强。 1Linux可加载内核模块 LiUUX系统开放源代码、系统漏洞少．在面对病毒和黑客入侵时能提供更好的安全性和稳定性．基于以卜这些优点，近年来对 Linux可加载内核模块LKM(LinuxhmdableKernel 起到了举足轻重的作用。LKM手要包括内核模块红操作系统中的加载和卸载两部分功能，内核模块足一些在启动的操作系统内核 需要时可以载入内核执行的代码块．不需要时由操作系统卸载。它们扩展了操作系统内核功能却不需要重新编译内核、启动系统121。 如果没有内核模块。就不得不反复编译牛成操作系统的内核镜像来加入新功能。当附加的功能很多时，还会使内核变得臃肿f蚓。 成模块的加载、卸载、显示信息以及自动解决模块之间的依赖性等功能。 2Netfilter框架分析 NF_IPPOST_ROUTING以及NF-JP-I。OCA!。OUT，这五个检奁点分布在协议栈的流程中。 PREROUTING处理点对应f：进入防火墙的数据包，当该数据包在进行路南选择之前进行的防火墙检测处理。 其中的NF—IP IN处硼点对应丁进入防火墙的数据包，在进行路}lI选择之后，本数据包将传给本地进程进行处理。在传给本地进程 NLIP—I,OCAL