董春華

LINUX防火墻系統(tǒng)的設計過程中，采用模塊化設計，該設計思想相對來說易于操作、也易于后面的擴展。系統(tǒng)由各個模塊組成，系統(tǒng)運行的優(yōu)劣取決于各模塊的性能。因此做好每一個模塊的功能設計是整個防火墻良好應用的基礎。下面主要闡述各模塊的主要功能：

1、包過濾模塊的功能：包過濾模塊檢測數(shù)據(jù)包，每個包有兩個部分：數(shù)據(jù)部分和包頭。過濾規(guī)則以用于工P順行處理的包頭信息為基礎，不理會包內(nèi)的正文信息內(nèi)容。包頭信息包括：IP源地址、IP目的地址、封裝協(xié)議，TCP/UDP源端口、ICMP包類型、包輸入接口和包輸出接口。如果找到一個匹配，且規(guī)則允許這包，這一包則根據(jù)路由表中的信息前行。如果找到一個匹配，且規(guī)則拒絕此包，這一包則被舍棄。如果無匹配規(guī)則，一個用戶配置的缺省參數(shù)將決定此包是前行還是被舍棄。

2、狀態(tài)檢測模塊的功能：防火墻近幾年才應用的新技術模塊。傳統(tǒng)的包過濾防火墻只是通過檢測工P包頭的相關信息來決定數(shù)據(jù)流的通過還是拒絕，而狀態(tài)檢測技術采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。這里動態(tài)連接狀態(tài)表中的記錄可以是以前的通信信息，也可以是其他相關應用程序的信息，因此，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性。先進的狀態(tài)檢測防火墻讀取、分析和利用了全面的網(wǎng)絡通信信息和通信狀態(tài)。

3、地址轉換模塊的功能：主要實現(xiàn)靜態(tài)網(wǎng)絡地址轉換、動態(tài)網(wǎng)絡地址轉換、反向網(wǎng)絡地址轉換、端口重定向的功能?；揪W(wǎng)絡地址轉換（Basic NAT）是一種將一組IP地址映射到另一組工P地址的技術，這對終端用戶來說是透明的。網(wǎng)絡地址端口轉換是一種將群體網(wǎng)絡地址及其對應TCP/UDP端口翻譯成單個網(wǎng)絡地址及其對應TCP/UDP端口的方法。這兩種操作，即傳統(tǒng)NAT提供了一種機制，將只有私有地址的內(nèi)部領域連接到有全球唯一注冊地址的外部領域。

4、身份驗證模塊的功能：是防火墻策略的一個不可或缺的部分。雖然規(guī)則可以應用于IP地址，但是通常僅允許訪問已使用專門配置的身份驗證機制對自身進行了身份驗證的特定用戶。身份驗證對于傳入請求（即來自目標的請求）和傳出請求都很有意義。如果防火墻客戶端所請求的內(nèi)容不是HTTP，ISA服務器將確定是否配置了適用于特定用戶或組的相應規(guī)則。對于傳出的Web請求，應針對用戶所在的特定網(wǎng)絡配置身份驗證。對于防火墻客戶端，ISA服務器在建立會話時要求提供憑據(jù)。然后，當防火墻客戶端請求對象時，ISA服務器并不要求客戶端重新進行身份驗證，因為會話已具有身份。當配置適用于用戶（而不是IP地址）的訪問規(guī)則時，必須至少指定一種身份驗證機制，以便發(fā)出請求的用戶可以真正地證明自己的身份。否則，將拒絕所有請求?？梢酝瑫r在Web偵聽器上使用下列身份驗證機制：基本、摘要、集成以及客戶端證書身份驗證。選定后，RADIUS，SecurID或基于窗體的身份驗證方法必須是所配置的唯一的身份驗證機制。當使用HTTPS時，客戶端證書身份驗證是首選的身份驗證機制，它優(yōu)先于選定的其他任何身份驗證機制。只有在客戶端使用客戶端證書進行身份驗證失敗時，才使用其他的身份驗證機制。

LINUX作為一個開放源代碼的操作系統(tǒng)，其最大的優(yōu)點是可以根據(jù)自己的需要來定制，從而獲得最好系統(tǒng)性能。因此在我們的設計中需要對LINUX內(nèi)核進行改造，充分發(fā)揮系統(tǒng)的潛能，最大限度地提高防火墻的可用性和有效性。

以上就是我們對于各個模塊設計的設想，其功能在上述分析中已有所體現(xiàn)。具體的功能將在后續(xù)的設計和測試中體現(xiàn)出來。

一、系統(tǒng)模塊設計的基本思想

模塊化設計是目前各種設計的主流思想。模塊化設計，便于把一項大的復雜的工作簡單化。本設計也采用這種思想來對LINUX防火墻進行設計。采用這種思想可以在大型設計任務中多人共同合作，保證各人工作的銜接有效性，提高設計效率，同時使整個系統(tǒng)易于管理和維護，當系統(tǒng)中某一部分出現(xiàn)問題時只需要將該部分進行拆卸和修理。

二、防火墻系統(tǒng)的軟件設計

本文主要是根據(jù)某單位的實際情況，把防火墻系統(tǒng)分為Web管理模塊、轉換模塊、內(nèi)部處理模塊和內(nèi)核模塊四個模塊。如圖1所示。

從上圖中可以看出，本防火墻系統(tǒng)的程序有兩個觸發(fā)入口，分別是防火墻啟動或重啟時觸發(fā)和正在運行或進行用戶信息管理時觸發(fā)。

三、防火墻系統(tǒng)的硬件設計

從前面的分析中可以看到，我們在設計LINUX防火墻時，要考慮到系統(tǒng)的成本，各種環(huán)境因素以及硬件的穩(wěn)定性和安全性，同時在設計的過程中，還要注意盡量減少設備的體積，降低功耗。因此在設計時要做到對防火墻的配置文件的設計，磁盤的使用情況問題和注意到CPU的負載問題，對系統(tǒng)的應用程序、系統(tǒng)文件及日志進行備份和做常規(guī)性的檢查，雖然并不能立刻檢查到硬件防火墻可能遇到的所有問題和隱患，但持之以恒地檢查對硬件防火墻穩(wěn)定可靠地運行是非常重要的。同時可以用數(shù)據(jù)包掃描程序來確認硬件防火墻配置的正確與否，甚至可以更進一步地采用漏洞掃描程序來進行模擬攻擊，以考核硬件防火墻的能力。設計時，把軟件系統(tǒng)以及裁減后的LINUX核心、文件系統(tǒng)寫入flash中，這樣可以有效的避免將要執(zhí)行的程序從硬盤上調(diào)入內(nèi)存中再執(zhí)行，從而提高了防火墻的執(zhí)行效率。

參考文獻：

[1]韓東海.入侵檢測系統(tǒng)實例剖析[M].清華大學出版社，2012.

[2]劉正海.基于嵌入式LINUX防火墻的研究與實現(xiàn)[D].重慶工業(yè)大學碩士學位論文，2007.

[3]朱革媚.網(wǎng)絡安全與新型防火墻技術[J].計算機工程與設計，2011（01）.