基于Linu的包过滤防火墙设计与实现.docVIP

基于Linux的包过滤防火墙设计与实现 丛延奇 谢君 纪明宇1 张云 （1.哈尔滨工程大学 计算机科学与技术学院;2.南方冶金学院 机电工程学院） 摘 要：传统的包过滤防火墙工作在网络层和传输层，根据过滤规则判别的只有网络层和传输层的有限信息，各种安全要求不可能充分满足。这里，我们以Linux为例，在对Linux内核网络接口的分析基础上，通过修改Linux的内核，实现了一个工作在数据链路层的透明包过滤防火墙。 关键词：包过滤；防火墙；sk-buff；套接字 Linux内核网络接口分析* Linux操作系统的实现起源于BSD UNIX发展的Berkerly套接字API工业标准，它把Internet协议的地址族实现为一系列的联接起来的软件层，其网络接口的实现如图1所示。 图1 Linux网络接口实现 其中，BSD套接字只能由与其相关的套接字管理软件支持。INet套接字层支持套接字管理,它管理的通信端点的IP是基于TCP和UDP协议的。UDP是一个无联接协议，而TCP是一个可靠的面向联接的协议。当发送UDP包时，Linux既不知道也不关心他们是否安全地到达了他们的目的地。TCP是有联接的，TCP联接的发送端都要确保发送的数据被正确的接收。IP层包括实现Internet协议的代码，这个代码命令IP层发送数据。在IP层的下面，由网络设备来支持所有的Linux网络，例如PPP和以太