基于Linux的IPv6復合防火墻的設計

引言
IPv6運用AH和ESP對所傳輸的數據進(jìn)行認證和加密，保證了數據的機密性、完整性和可靠性，實(shí)現了信息在傳輸過(guò)程的安全性。但IPv6并不能保障網(wǎng)絡(luò )系統本身的安全及其提供的服務(wù)的可用性，也不能防止黑客的非法入侵和竊取私有數據。面對IPv6將要廣泛的應用，有必要將其和防火墻相結合來(lái)保障整個(gè)網(wǎng)絡(luò )系統的安全。

目前Linux操作系統自2.2內核以來(lái)已提供對IPv6的支持，其性能穩定且安全性較高，因此本文以Linux為平臺來(lái)研究設計針對IPv6的防火墻系統。

Linux內核對數據包的過(guò)濾處理

netfilter框架機制
netfilter是linux2.4內核以后實(shí)現數據包過(guò)濾處理的一個(gè)抽象的、通用化的功能框架，它提供了不同于BSD Socket接口的操作網(wǎng)絡(luò )數據包的機制。在netfilter中，協(xié)議棧每種協(xié)議都定義了若干個(gè)鉤子（HOOK），而對應協(xié)議的數據包將按照一定的規則通過(guò)一些鉤子，每一個(gè)鉤子都是處理函數掛載點(diǎn)。內核模塊可以在各個(gè)鉤子上注冊處理函數以操作經(jīng)過(guò)對應鉤子的數據包。數據包經(jīng)過(guò)所注冊的函數處理后，根據一定的策略返回給內核進(jìn)行下一步的處理。

IPv6協(xié)議定義了五個(gè)鉤子：

（1）NF_IPv6_PRE_ROUTING：數據包在抵達路由之前經(jīng)過(guò)這個(gè)鉤子。一般應用于防止拒絕服務(wù)攻擊和NAT。
（2）NF_IPv6_LOCAL_IN：目的地為本地主機的數據包經(jīng)過(guò)這個(gè)鉤子，這個(gè)鉤子可以應用于防火墻。
（3）NF_IPv6_FORWARD：目的地非本地主機的數據包經(jīng)過(guò)這個(gè)鉤子。
（4）NF_IPv6_POST_ROUTING：數據包在離開(kāi)本地主機之前經(jīng)過(guò)這個(gè)鉤子，包括源地址為本地主機和非本地主機的數據包。
（5）NF_IPv6_LOCAL_OUT：本地主機發(fā)出的數據包經(jīng)過(guò)這個(gè)鉤子。這個(gè)鉤子可以應用于防火墻。如圖1所示。

圖1　netfilter框架機制

數據包從左邊進(jìn)入系統，進(jìn)行IP校驗以后，數據包經(jīng)過(guò)第一個(gè)鉤子NF_IP6_PRE_ROUTING注冊函數進(jìn)行處理，然后就進(jìn)入路由代碼決定該數據包是需要轉發(fā)還是發(fā)給本機。若該數據包是發(fā)給本機的，則該數據經(jīng)過(guò)鉤子NF_IP6_LOCAL_IN注冊函數的處理以后傳遞給上層協(xié)議。若該數據包應該被轉發(fā)則它被NF_IP6_FORWARD注冊函數處理。經(jīng)過(guò)轉發(fā)的數據包經(jīng)過(guò)最后一個(gè)鉤子NF_IP6_POST_ROUTING注冊函數的處理以后，再傳輸到網(wǎng)絡(luò )上。本地產(chǎn)生的數據經(jīng)過(guò)鉤子NF_IP6_LOCAL_OUT注冊函數處理以后，進(jìn)行路由選擇處理，然后經(jīng)過(guò)NF_IP6_POST_ROUTING注冊函數的處理以后發(fā)送到網(wǎng)絡(luò )上。每個(gè)注冊函數處理完后，將返回一個(gè)整形常量，內核根據這個(gè)返回值來(lái)對數據包作下一步的處理，現在內核共定義了以下五個(gè)常量：

（1）NF_DROP表示丟棄此數據包，而不進(jìn)入此后的處理；
（2）NF_ACCEPT表示接受此數據包，進(jìn)入下一步的處理；
（3）NF_STOLEN表示異常分組；
（4）NF_QUEUE表示排隊到用戶(hù)空間，等待用戶(hù)處理；
（5）NF_REPEAT表示再次進(jìn)入該鉤子函數作處理。

ip6tables數據包過(guò)濾系統
目前，基于Netfilter框架的、稱(chēng)為ip6tables的IPv6數據包選擇系統在Linux2.4以上的內核中被應用，它可以讓用戶(hù)訪(fǎng)問(wèn)內核過(guò)濾規則和命令。這種數據包選擇主要用于實(shí)現數據包過(guò)濾(filter表)、網(wǎng)絡(luò )地址轉換(nat表)及數據包處理(mangle表)。Linux2.4內核提供的這三種數據包處理功能都基于Netfilter的鉤子函數和IP表。它們相互之間是獨立的模塊，但完美的集成到由Netfilter提供的框架中。

filter表格不對數據包進(jìn)行修改，只對數據包進(jìn)行過(guò)濾。它通過(guò)鉤子函數NF_IP6_LOCAL_IN、NF_IP6_FORWARD及NF_IP6_LOCAL_OUT接入Netfilter框架。NAT表格監聽(tīng)三個(gè)Netfilter鉤子函數：

NF_IP6_PRE_ROUTING、NF_IP6_POST_ROUTING及NF_IP6_LOCAL_OUT，用于源NAT、目的NAT、偽裝（是源NAT的一個(gè)特例）及透明代理（是目的NAT的一個(gè)特例）。mangle表格在NF_IP6_PRE_ROUTING和NF_IP6_LOCAL_OUT鉤子中進(jìn)行注冊。使用mangle表，可以實(shí)現對數據包的修改或給數據包附上一些額外數據。

ip6tables用戶(hù)命令基本上包含以下5部分：

（1）希望工作在哪個(gè)表（Filter、NAT、Mangle）；
（2）希望使用⑴所指定的表的哪個(gè)鏈（INPUT、OUTPUT、FORWARD等）；
（3）進(jìn)行的操作（插入、添加、刪除、修改）；
（4）對特定規則的目標動(dòng)作；
（5）匹配數據包條件。ip6tables的語(yǔ)法為：

#ip6tables[-ttable] command [match] [target] [-ttable]有三種可用的表選項：filter、nat和mangle。該選項如果未指定，則filter用作缺省表。filter表用于一般的信息包過(guò)濾，它包含INPUT、OUTPUT和FORWARD鏈。nat表用于要轉發(fā)的信息包，它包含PREROUTING、OUTPUT和POSTROUTING鏈。

PREROUTING鏈由指定信息包一到達防火墻就改變它們的規則所組成，而POSTROUTING鏈由指定正當信息包打算離開(kāi)防火墻時(shí)改變它們的規則所組成。如果信息包及其頭內進(jìn)行了任何更改，則使用mangle表。該表包含一些規則來(lái)標記用于高級路由的信息包，該表包含PREROUTING和OUTPUT鏈。

ip6tables的基本操作(command)：-A表示在鏈尾添加一條規則，-I表示插入一條規則，-D表示刪除一條規則，-R表示替代一條規則，-L表示列出所有規則。

ip6tables基本目標動(dòng)作(target)（適用于所有的鏈）：ACCEPT表示接收該數據包，DROP表示丟棄該數據包，QUEUE表示排隊該數據包到用戶(hù)空間，RETURN表示返回到前面調用的鏈，FOOBAR表示用戶(hù)自定義鏈。

ip6tables基本匹配條件（match）（適用于所有的鏈）：-p表示指定協(xié)議，-s表示源地址，-d表示目的地址，-i表示數據包輸入接口，-o表示數據包輸出接口。例如，識別IPv6的網(wǎng)絡(luò )服務(wù)器上的SSH連接時(shí)可以使用以下規則：

#ip6tables-AINPUT-ieth0-ptcp-s3ffe：ffff：100：：1/128--dport22-jACCEPT

當然，還有其他對規則進(jìn)行操作的命令，如清空鏈表，設置鏈缺省策略，添加用戶(hù)自定義的鏈等，這里不再詳述。

INPUT、OUTPUT、FORWARD鏈是ip6tables內置的過(guò)濾鏈，每條鏈都可定義若干條過(guò)濾規則,構成了基本的ip6tables包過(guò)濾防火墻，如圖2所示。

圖2　ip6tables內置的過(guò)濾鏈表

應用服務(wù)代理

包過(guò)濾防火墻只考查數據包的少數幾個(gè)參數，對高層的應用服務(wù)不能識別。為了能過(guò)濾服務(wù)連接，通過(guò)代理服務(wù)器使允許代理的服務(wù)通過(guò)防火墻，阻塞沒(méi)有代理的服務(wù)。因此，使用代理服務(wù)的好處就是可以過(guò)濾協(xié)議，在應用層級建立起安全機制。應用代理后網(wǎng)絡(luò )通信過(guò)程如圖3所示。

圖3　應用代理后網(wǎng)絡(luò )通信過(guò)程