基于嵌入式Linux的寬帶路由器防火墻設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益突出，并且引起人們的廣泛關(guān)注。利用防火墻技術(shù)來(lái)增強(qiáng)網(wǎng)絡(luò)安全性越來(lái)越得到人們的青睞。防火墻作為本地網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全屏障，可以阻斷風(fēng)險(xiǎn)網(wǎng)絡(luò)與本地網(wǎng)絡(luò)的連接，同時(shí)不會(huì)妨礙人們對(duì)外部網(wǎng)絡(luò)的訪問(wèn)，是一種非常有效的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。Linux操作系統(tǒng)具有良好的網(wǎng)絡(luò)性能、開(kāi)放源碼及價(jià)格低廉性方面獨(dú)具優(yōu)勢(shì)特點(diǎn)，而且Linux2.6內(nèi)核自帶的防火墻Netfilter/iptables具有簡(jiǎn)潔高效、穩(wěn)定性、

2、可擴(kuò)展性好，越來(lái)越多的開(kāi)發(fā)者選擇它作為防火墻的實(shí)現(xiàn)基礎(chǔ)。利用Linux Netfilter/iptables及擴(kuò)展技術(shù)來(lái)實(shí)現(xiàn)防火墻功能，具有良好的實(shí)用價(jià)值。
　　本文首先介紹了防火墻技術(shù)的發(fā)展現(xiàn)狀，并按照中國(guó)電信提出的e家終端技術(shù)規(guī)范標(biāo)準(zhǔn)要求以及對(duì)目前國(guó)內(nèi)市場(chǎng)需求分析，來(lái)實(shí)現(xiàn)寬帶路由器的防火墻模塊業(yè)務(wù)功能。在此基礎(chǔ)上，深入分析了Linux系統(tǒng)防火墻內(nèi)核Netfilter/Iptables的實(shí)現(xiàn)機(jī)制原理以及iptables的用法和各

3、規(guī)則鏈的作用。本文以家庭網(wǎng)關(guān)產(chǎn)品方案需求為背景，結(jié)合寬帶路由器體系結(jié)構(gòu)平臺(tái)和嵌入式Linux技術(shù)，提出了防火墻功能模塊的解決方案，并設(shè)計(jì)了防火墻總體架構(gòu)，增加了過(guò)濾功能、應(yīng)用層防火墻功能、防攻擊功能、日志記錄實(shí)現(xiàn)，詳細(xì)論述了模塊功能實(shí)現(xiàn)過(guò)程。
　　本防火墻的業(yè)務(wù)模塊功能處理整體上借助寬帶路由器體系結(jié)構(gòu)平臺(tái)提供的消息驅(qū)動(dòng)模塊和配置消息管理模塊進(jìn)程通信支持，為了解決模塊之間進(jìn)程通信和規(guī)則表優(yōu)化的問(wèn)題，采用了進(jìn)程間通信技術(shù)收發(fā)消息處理，

4、針對(duì)規(guī)則表的優(yōu)化，使用自定義鏈封裝技術(shù)，在表中定義掛載在主鏈上的自定義子鏈名，并在數(shù)組次序調(diào)整體現(xiàn)出優(yōu)先級(jí)，提高了模塊部署的靈活性和性能通信效率，同時(shí)配合Linux系統(tǒng)開(kāi)源的防火墻管理工具iptables規(guī)則配置技術(shù)對(duì)防火墻業(yè)務(wù)模塊進(jìn)行構(gòu)造規(guī)則，由系統(tǒng)提交給netfilter內(nèi)核進(jìn)行鉤子函數(shù)注冊(cè)生效處理，從而實(shí)現(xiàn)了防火墻整體業(yè)務(wù)功能。
　　最后對(duì)防火墻功能和性能進(jìn)行了測(cè)試，結(jié)果表明該防火墻功能的實(shí)現(xiàn)能很好的滿足家庭網(wǎng)關(guān)的安全需要，