嵌入式Linux防火墙设计与实现.docVIP

嵌入式Linux防火墙设计与实现 　　摘要： 针对嵌入式Ｌｉｎｕｘ防火墙进行设计并加以实现及测试。首先，提出了基于ＡＲＭ处理器的嵌入式Ｌｉｎｕｘ防火墙的体系架构，给出了Ｌｉｎｕｘ一种内核裁剪定制的方案；接着，针对Ｎｅｔｆｉｌｔｅｒ／Ｉｐｔａｂｌｅｓ在大数量规则集下性能低下的问题，提出了Ｉｐｔａｂｌｅｓ结合ＮＦ－ｈｉｐａｃ、Ｉｐｓｅｔ使用的解决方案，并成功实现了移植；最后，针对实现的系统，给出了完整详细的功能及性能测试结果。功能测试结果表明了系统设计的合理性和有效性，性能测试结果指出了影响系统性能的关键参数，为进一步优化系统提供了参考和依据。 　　关键词： 　　中图分类号： ＴＰ３９１；ＴＮ９１１．７３文献标识码：Ａ文章编号：２０９５－２１６３（２０１１）０３－００３５－０５ 　　Ｄｅｓｉｇｎ ａｎｄ Ｉｍｐｌｅｍｅｎｔａｔｉｏｎ ｏｆ ｔｈｅ Ｅｍｂｅｄｄｅｄ Ｌｉｎｕｘ Ｆｉｒｅｗａｌｌ 　　ＲＡＯ Ｍｉｎｇ， ＤＵ Ｚｈｏｎｇｈｕｉ， ＨＡＮ Ｑｉ， ＬＩ Ｑｉｏｎｇ 　　 　　Ａｂｓｔｒａｃｔ： In this paper, a project is designed and tested for embedded Linux firewall. Firstly, a system framework of embedded Linux firewall based on ARM processor is proposed and a scheme of Linux kernel reducing is designed. Secondly, considering the poor performance of Netfilter/Iptables in large number rules set, a method of Iptables combining with NF-hipac and Ipset is introduced, and it is transplanted successfully. Finally, with the accomplished system, the integrated and detailed function and performance tests are provided. The function experiments show the rationality and efficiency of the system design and the performance tests indicate the key parameters influencing the system performance, which provides the reference and basis for further optimizing the system. 　　Ｋｅｙ ｗｏｒｄｓ： 　　 　　０引言 　　互联网已经发展成为当今世界上最大的信息库，但是Ｉｎｔｅｒｎｅｔ从建立开始就缺乏安全的总体构想和设计，所以互联网的安全性就存在众多缺陷和隐患，由此防火墙的概念应运而生。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，从而保护内部网免受非法用户的侵入。但是，传统意义上的防火墙存在网络应用受到结构性限制、内部安全隐患、效率较低和故障率高等缺点，所以人们又提出了分布式防火墙的概念。分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护。分布式防火墙的具体实现方式可以归结为基于软件和基于硬件两种，一般将基于硬件实现的分布式防火墙称为嵌入式防火墙[１]。嵌入式防火墙是一种基于嵌入式技术的新型防火墙，同时将安全策略延伸到了网络末端，安全措施由硬件系统实施，从而有效地克服了传统边界防火墙的局限，并结合了硬件解决方案的强健性和集中管理式软件解决方案的灵活性，从而创建了一种更为完善的安全防护架构。 　　１９９９年，Ｂｅｌｌｏｖｉｎ[２]提出了一种分布式的解决方案，将策略的执行分布到各端结点，同时保持集中式的策略管理。２０００年，Ｌｏａｎｎｉｄｓ等人[３]按照Ｂｅｌｌｏｖｉｎ １９９９年提出的观点实现了一个分布式防火墙的原型系统。２００１年，Ｐａｙｎｅ和 Ｍａｒｋｈａｍ[４]实现了一种基于硬件的分布式防火墙，并指出基于硬件的分布式防火墙具有更高的可靠性。国内学者也先后实现了基于嵌入式Ｌｉｎｕｘ以及Ｎｅｔｆｉｌｔｅｒ／Ｉｐｔａｂｌｅｓ架构的防火墙系统[５，６]，并对嵌入式防火墙中Ｌｉｎｕｘ内核裁剪进行了研究[７，８]。在商业产品方面，华为３Ｃｏｍ公司也研发出ＰＣＩ卡和ＰＣ卡形式的嵌入式防火