劉建志　田志宏

摘要： 一般而言，要在Linux下開發(fā)防火墻的程序，需要對(duì)內(nèi)核協(xié)議棧有深入的理解，并掌握內(nèi)核協(xié)議棧代碼的細(xì)節(jié)。這對(duì)普通開發(fā)者是非常有難度的。Netfilter是一個(gè)支持?jǐn)?shù)據(jù)報(bào)過濾、數(shù)據(jù)報(bào)處理、NAT等功能的內(nèi)核子系統(tǒng)框架。以Linux 2.6內(nèi)核為基礎(chǔ)。IP Queue機(jī)制是Linux內(nèi)核在Netfilter框架的基礎(chǔ)上提供的，是應(yīng)用層上的機(jī)制，通過NetLink和內(nèi)核進(jìn)行交互，這使得開發(fā)一些用戶態(tài)的防火墻應(yīng)用成為可能。在此基礎(chǔ)上，同時(shí)實(shí)現(xiàn)了一種基于Netfilter框架和IP Queue機(jī)制的輕量級(jí)防火墻。通過對(duì)比測(cè)試表明，由于設(shè)計(jì)清晰的模塊架構(gòu)、較強(qiáng)的可擴(kuò)展性，本文實(shí)現(xiàn)的輕量級(jí)防火墻能夠很好地達(dá)到實(shí)際要求，容易開發(fā)出更專業(yè)防火墻程序。

關(guān)鍵詞：

中圖分類號(hào)：TP311文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：2095-2163（2012）04-0044-04