一种透明包过滤防火墙系统的设计实现

白华暖1,　张晓亮2

(1.郑州大学护理学院,河南郑州450052;2.中兴通讯北京研究所,北京100085)

摘　要:实现了一个工作数据链路层上的透明包过滤防火墙系统.该系统将比传统的运行在网络层上的防火墙有更快的交换速率,同时也具有更加安全可靠的自我保护功能.

关键词:防火墙;包过滤;网桥;过滤规则

中图分类号:TP393.08　　　　文献标识码:A　　　　　　文章编号:1009-6051(2003)03-0125-03随着计算机使用的日益普及,近年来Internet也迅速发展壮大.但是,网际网络从诞生之日起就带有其先天不足,其中最主要的是网络安全问题.网际网络的安全解决方案大部分都使用防火墙技术.所谓Firewall,就是一个或一组系统,它用来在两个或多个网络间加强访问控制.从某种意义上来说,Firewall实际上代表了你的网络访问原则.Firewall必须在使内部网络运行的同时,防止从未被授权的外部节点访问被保护的网络.而防火墙目前还有很多缺陷,特别是不能自我保护.

1　包过滤技术在网桥上的应用

我们考虑实现一个包过滤防火墙系统,使它不但具备现有防火墙的安全保护功能,同时也要具备更加安全可靠的自我保护功能.

1.1　传统包过滤防火墙缺点

传统的防火墙不能够抵御网络上的源路由攻击.造成此缺陷的原因是因为防火墙工作在网络层,对接收到的IP包都要进行分析重组,所以当它受到带有源路由的IP包时也会进行操作,这样就有了受到攻击的缺陷[1].

单纯在防火墙系统中采用访问控制等技术是不够的,防火墙也相当于是一台连在网络上的主机,想入侵网络的黑客可以扫描我们系统的端口、分析系统的漏洞、进一步就可以尝试登录或攻击我们的系统了[3].

入侵者之所以能够发现并找到我们的防火墙系统,其他和它连接的设备之所以需要修改配置以适应它,都是应为防火墙系统的网络端口具有IP地址而造成,所以最好的办法就是使入侵者或是黑客不能够发现我们的防火墙,使和我们的防火墙相连的设备感觉不到我们的防火墙系统的存在,也就是说,我们可以使我们的防火墙不具有IP地址,做到真正的透明[2].

1.2　在网桥上实现包过滤系统模型

我们设计的这种透明防火墙系统工作在无IP状态之下,用户和黑客将无法感觉到它的存在,所以就完全不必要担心来自网络上的攻击.本系统的使用和配置完全对本网用户透明.

我们设计的防火墙系统将工作在网络模型的第2层上,数据链路层.因此它比传统的运行在网络层上的防火墙有更快的交换速率,使我们的网络有更高的性能.我们对此防火墙系统的设计原则为:

(1)对用户完全透明,用户不需要对防火墙有任何理解;

(2)过滤规则表设置容易,便于系统管理员理解和配置;

(3)防火墙的自身必须是安全的,不能够因为防火墙自身的漏洞引起安全问题;

(4)过滤基本规则是凡未经明确禁止的地址可以通过(当然也可以设定基本规则为凡未经明确的一律禁止).

我们的网络环境主要是采用Ethernet,系统的实现是在Ethernet的数据链路层上.我们很容易根据以太网帧的协议字段判断此帧传送的数据是否为IP包,如果是,我们也能够根据IP包的结构分析出此IP包传送数据的一些内容,如IP地址、端口等[5].

从用户使用本系统的角度看,我们可以参看图1透明防火墙工作模型.在图中,我们的透明防火墙系统连接内部网络1和内部网络2,使内部网络1和2在逻辑上仍然可以是同一子网.在内部网络1中,全部是我们需要保护的用户或内

收稿日期:2003203215

),女,河南许昌人,郑州大学助教.作者简介:白华暖(1977—

126

临沂师范学院学报第25卷

部信息系统,在内部网络2中,是我们向Internet提供的各种网络服务(如WWW、FTP、SMTP).Internet上的访问者可以很自由地访问我们在内部网络2中提供的各种信息服务,但对我们内部网络1的访问就需要受到透明防火墙系统的检查,一旦发现有不信任主机访问我们的内部网络1,我们的透明防火墙系统就会将访问拒绝.2　透明包过滤系统的实现通过分析系统模型和技术特点,我们确定了透明包过滤防火墙系统的工作机制和模型.下面介绍系统的硬件和软件平台,以及功能模块、工作方式等各方面进行设计和实现.

2.1　系统平台选择我们使用的微机配置为CPUPⅢ750,MRAM,20G硬盘,我们为系统配置了NE200和3C509两块网卡.操作系统可以有多种选择,但操作系统必须要支持网络接口并且最少需要能支持2块网卡,同时,系统的稳定性和高效性也很重要.我们选用linux来做开发的平台,linux是一种免费的操作系统,它的内核是完全公开的,我们可以任意在其内核中加入适用于我们的模块,开发出我们的专用系统.

虽然Linux系统的版本有许多,但究其内核而言,它们都是一样的.在本系统的实现中,我们选用性能高、运行稳定、支持多种硬件的Slackware版本,内核为2.4.

2.2　系统模块划分

透明包过滤系统防火墙的主要功能是对接收到的以太网帧进行分析,根据过滤规则来处理封装在以太网帧内的IP数据包.根据系统功能大致将系统划分为以下模块:以太网帧接收模块、以太网帧处理模块、包过滤模块、帧发送模块、

MAC地址缓存模块.各模块的功能如下:

(1)帧接收模块　完成以太网网桥接收以太网帧的功能.将数据封装在标准的数据结构sk

buff中,并对网络接口

结构中的各项参数赋初始值

(2)帧处理模块　从以太网帧中提取协议信息,并加以判断是否为IP数据包,如果是,将提交给包过滤检测系统进行处理.

(3)包过滤检测模块　完成系统对IP包过滤功能,主要是将IP包中各种信息和过滤规则表进行匹配.(4)包发送模块　将要发送的以太网帧送叫网络接口发送到网络上

(5)MAC地址缓存模块　主要是对交换的MAC地址保存,

是一种以太网桥生成树算法的实现.

各模块间的工作示意如图2所示.

在本系统的5个功能模块中,有些功能模块在linux系统中已经实现[4],我们需要分析清楚它们的功能接口并把它们加入到我们系统中.其中帧处理模块、包过滤检测模块是我们系统实现的关键,需要我们开发并实现它们的所有功能.

2.3　系统性能分析

我们透明包过滤防火墙系统的在实现以后,经过大量的测试,表现出良好的性能,我们将根据测试的一些结果分析本系统的性能.

2.3.1　过滤性能分析　本系统对包的过滤效果达到了预期的目的,没有漏包现象,只要是在系统过滤规则

表中做了定义,就能够很好的控制定义好的访问.我们做了大量的实验来验证我们的包过滤效果,都取得了成功.充分利用过滤规则可以使系统具备多种过滤能力.我们做实验采用两种方法控制外部网络对

第3期白华暖等:一种透明包过滤防火墙系统的设计实现

127

内部网络中的一台主机的访问:一种是使外部网络的ICMP报文可以访问内部主机,而TCP不可以通过,这样产生的效果就是外部网络可以ping通我们内部的机器,但所有的TCP服务都不能够使用;另一种是使外部网络的TCP报文可以通过,而ICMP报文不可以通过,产生的效果就是用户ping不通内部主机,但可以访问TCP协议的所有应用服务.在其它的测试中我们还加入了对TCP、UDP端口的过滤,都取得了的结果.2.3.2　安全性能分析　系统由于不具备IP地址,能够很好的抵御来自各方面的入侵活动,使那些黑客根本没有办法破坏我们的系统.因此,系统的安全性有了很大的提高.2.3.3　网络性能分析　包过滤防火墙系统在网络中起着网桥的作用,其运行机制和以太网网桥基本一致,包过滤操作也仅仅是对数据指针的移动并作比较的操作,对系统的性能没有影响.在测试本系统的时候,系统长时间运行稳定,交换速度快,对CPU和内存的占用率低,基本上CPU使用率保持在1%左右,内存使用率保持在50%左右.我们曾经使用9台机器通过我们的包过滤系统通过FTP协议取批量数据,而每台机器的下载速度没有明显降低.同时,本系统曾经接入运行在校园网上进1个月的时间,控制一个C类网大约200多台机器,而所有用户根本没有感觉到网络速度有变化,系统的加入对网络性能没有影响.

3　系统改进及展望本系统现在已经能够实现预期的功能,保护我们的内部网络,过滤所有经过它的IP包.我们还可以对透明包过滤防火墙系统的功能做进一步的完善,使它在我们的网络管理工作中发挥更大的作用.

现在本系统只提供对IP包的过滤功能,在今后的完善和发展过程中可以考虑增加更多的过滤规则和过滤策略.使系统可以过滤多种协议的包,通过对不同类型应用协议的分析,可以根据这些协议的特点开发不同的过滤规则表.还可以配置监测管理主机系统,可以大大方便系统的管理和维护工作,同时它还可以分担系统过滤策略中的过滤分析任务.

参考文献:

[1]DarrenReed.IPFilterTCP/IPpacketfilteringpackage[R].Technicalreport,2000.http://coombs.anu.edu.au/

avalon/,asofNovember2000.

[2]D.B.Chapman.Network(In)SecuritythroughIPPacketFiltering[A],ProceedingsoftheThirdUNIXSecurity

Symposium[C],September1992.

[3]L.Chappell,PacketFiltering:CatchingtheCoolPackets[R],Podbooks.com,SanJose,2002.

[4]P.Russel:“Linux2.4PacketFilteringHOWTO”[EB/OL],http://netfilter.samba.org/unreliable-guides/packet-filteringHOWTO.html,May2000.

[5]DouglasE.Comer,InternetworkingWithTCP/IP(VolI:Principles,Protocols,andArchitecture(ThirdEdition))[M],

PRENTICEHALL1996.

ADesignImplementofTransparentPacketFilteringFirewallSystem

BAIHua2nuan,ZHANGXiao2liang

(1.ZhengzhouUniversityNursingCollege450052,China;2.ZhongXingTelecomBeijingGraduateSchool100085,China)

Abstract:Thispaperintroducesanewtransparentpacketfilteringfirewallsystemworkingonthedatalinklayer.Thissystemshouldachieveafasterswitchratethantheotherconventionalfirewallsystemworkingonthenetworklayer.Furthermore,thissystemhavemoredependableself2defencefunctions.

Keywords:Firewall;packetfiltering;networkbridge;filteringrule