董春華

LINUX防火墻系統(tǒng)的設(shè)計過程中，采用模塊化設(shè)計，該設(shè)計思想相對來說易于操作、也易于后面的擴展。系統(tǒng)由各個模塊組成，系統(tǒng)運行的優(yōu)劣取決于各模塊的性能。因此做好每一個模塊的功能設(shè)計是整個防火墻良好應(yīng)用的基礎(chǔ)。下面主要闡述各模塊的主要功能：

1、包過濾模塊的功能：包過濾模塊檢測數(shù)據(jù)包，每個包有兩個部分：數(shù)據(jù)部分和包頭。過濾規(guī)則以用于工P順行處理的包頭信息為基礎(chǔ)，不理會包內(nèi)的正文信息內(nèi)容。包頭信息包括：IP源地址、IP目的地址、封裝協(xié)議，TCP/UDP源端口、ICMP包類型、包輸入接口和包輸出接口。如果找到一個匹配，且規(guī)則允許這包，這一包則根據(jù)路由表中的信息前行。如果找到一個匹配，且規(guī)則拒絕此包，這一包則被舍棄。如果無匹配規(guī)則，一個用戶配置的缺省參數(shù)將決定此包是前行還是被舍棄。

2、狀態(tài)檢測模塊的功能：防火墻近幾年才應(yīng)用的新技術(shù)模塊。傳統(tǒng)的包過濾防火墻只是通過檢測工P包頭的相關(guān)信息來決定數(shù)據(jù)流的通過還是拒絕，而狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機制，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個連接狀態(tài)因素加以識別。這里動態(tài)連接狀態(tài)表中的記錄可以是以前的通信信息，也可以是其他相關(guān)應(yīng)用程序的信息，因此，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性。先進(jìn)的狀態(tài)檢測防火墻讀取、分析和利用了全面的網(wǎng)絡(luò)通信信息和通信狀態(tài)。

3、地址轉(zhuǎn)換模塊的功能：主要實現(xiàn)靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換、反向網(wǎng)絡(luò)地址轉(zhuǎn)換、端口重定向的功能?；揪W(wǎng)絡(luò)地址轉(zhuǎn)換（Basic NAT）是一種將一組IP地址映射到另一組工P地址的技術(shù)，這對終端用戶來說是透明的。網(wǎng)絡(luò)地址端口轉(zhuǎn)換是一種將群體網(wǎng)絡(luò)地址及其對應(yīng)TCP/UDP端口翻譯成單個網(wǎng)絡(luò)地址及其對應(yīng)TCP/UDP端口的方法。這兩種操作，即傳統(tǒng)NAT提供了一種機制，將只有私有地址的內(nèi)部領(lǐng)域連接到有全球唯一注冊地址的外部領(lǐng)域。

4、身份驗證模塊的功能：是防火墻策略的一個不可或缺的部分。雖然規(guī)則可以應(yīng)用于IP地址，但是通常僅允許訪問已使用專門配置的身份驗證機制對自身進(jìn)行了身份驗證的特定用戶。身份驗證對于傳入請求（即來自目標(biāo)的請求）和傳出請求都很有意義。如果防火墻客戶端所請求的內(nèi)容不是HTTP，ISA服務(wù)器將確定是否配置了適用于特定用戶或組的相應(yīng)規(guī)則。對于傳出的Web請求，應(yīng)針對用戶所在的特定網(wǎng)絡(luò)配置身份驗證。對于防火墻客戶端，ISA服務(wù)器在建立會話時要求提供憑據(jù)。然后，當(dāng)防火墻客戶端請求對象時，ISA服務(wù)器并不要求客戶端重新進(jìn)行身份驗證，因為會話已具有身份。當(dāng)配置適用于用戶（而不是IP地址）的訪問規(guī)則時，必須至少指定一種身份驗證機制，以便發(fā)出請求的用戶可以真正地證明自己的身份。否則，將拒絕所有請求?？梢酝瑫r在Web偵聽器上使用下列身份驗證機制：基本、摘要、集成以及客戶端證書身份驗證。選定后，RADIUS，SecurID或基于窗體的身份驗證方法必須是所配置的唯一的身份驗證機制。當(dāng)使用HTTPS時，客戶端證書身份驗證是首選的身份驗證機制，它優(yōu)先于選定的其他任何身份驗證機制。只有在客戶端使用客戶端證書進(jìn)行身份驗證失敗時，才使用其他的身份驗證機制。

LINUX作為一個開放源代碼的操作系統(tǒng)，其最大的優(yōu)點是可以根據(jù)自己的需要來定制，從而獲得最好系統(tǒng)性能。因此在我們的設(shè)計中需要對LINUX內(nèi)核進(jìn)行改造，充分發(fā)揮系統(tǒng)的潛能，最大限度地提高防火墻的可用性和有效性。

以上就是我們對于各個模塊設(shè)計的設(shè)想，其功能在上述分析中已有所體現(xiàn)。具體的功能將在后續(xù)的設(shè)計和測試中體現(xiàn)出來。

一、系統(tǒng)模塊設(shè)計的基本思想

模塊化設(shè)計是目前各種設(shè)計的主流思想。模塊化設(shè)計，便于把一項大的復(fù)雜的工作簡單化。本設(shè)計也采用這種思想來對LINUX防火墻進(jìn)行設(shè)計。采用這種思想可以在大型設(shè)計任務(wù)中多人共同合作，保證各人工作的銜接有效性，提高設(shè)計效率，同時使整個系統(tǒng)易于管理和維護(hù)，當(dāng)系統(tǒng)中某一部分出現(xiàn)問題時只需要將該部分進(jìn)行拆卸和修理。

二、防火墻系統(tǒng)的軟件設(shè)計

本文主要是根據(jù)某單位的實際情況，把防火墻系統(tǒng)分為Web管理模塊、轉(zhuǎn)換模塊、內(nèi)部處理模塊和內(nèi)核模塊四個模塊。如圖1所示。

從上圖中可以看出，本防火墻系統(tǒng)的程序有兩個觸發(fā)入口，分別是防火墻啟動或重啟時觸發(fā)和正在運行或進(jìn)行用戶信息管理時觸發(fā)。

三、防火墻系統(tǒng)的硬件設(shè)計

從前面的分析中可以看到，我們在設(shè)計LINUX防火墻時，要考慮到系統(tǒng)的成本，各種環(huán)境因素以及硬件的穩(wěn)定性和安全性，同時在設(shè)計的過程中，還要注意盡量減少設(shè)備的體積，降低功耗。因此在設(shè)計時要做到對防火墻的配置文件的設(shè)計，磁盤的使用情況問題和注意到CPU的負(fù)載問題，對系統(tǒng)的應(yīng)用程序、系統(tǒng)文件及日志進(jìn)行備份和做常規(guī)性的檢查，雖然并不能立刻檢查到硬件防火墻可能遇到的所有問題和隱患，但持之以恒地檢查對硬件防火墻穩(wěn)定可靠地運行是非常重要的。同時可以用數(shù)據(jù)包掃描程序來確認(rèn)硬件防火墻配置的正確與否，甚至可以更進(jìn)一步地采用漏洞掃描程序來進(jìn)行模擬攻擊，以考核硬件防火墻的能力。設(shè)計時，把軟件系統(tǒng)以及裁減后的LINUX核心、文件系統(tǒng)寫入flash中，這樣可以有效的避免將要執(zhí)行的程序從硬盤上調(diào)入內(nèi)存中再執(zhí)行，從而提高了防火墻的執(zhí)行效率。

參考文獻(xiàn)：

[1]韓東海.入侵檢測系統(tǒng)實例剖析[M].清華大學(xué)出版社，2012.

[2]劉正海.基于嵌入式LINUX防火墻的研究與實現(xiàn)[D].重慶工業(yè)大學(xué)碩士學(xué)位論文，2007.

[3]朱革媚.網(wǎng)絡(luò)安全與新型防火墻技術(shù)[J].計算機工程與設(shè)計，2011（01）.