基于Linux的IPv6復合防火墻的設計

Squid是Linux下一個(gè)高性能的代理緩存服務(wù)器，支持FTP、gopher和HTTP協(xié)議。和一般的代理緩存軟件不同，Squid用一個(gè)單獨的、非模塊化的、I/O驅動(dòng)的進(jìn)程來(lái)處理所有的客戶(hù)端請求?？蓮膚ww.squid-cache.org獲取該軟件的源代碼安裝包squid-2.5.STABLE.tar.gz，解壓縮包：

#tarxvfzsquid-2.5.STABLE2.tar.gz
然后，進(jìn)入相應目錄對源代碼進(jìn)行配置和編譯：
#cdsquid-2.5.STABLE2
#./configure--prefix=/var/squid
--sysconfdir=/etc
--enable-arp-acl
--enable-linux-netfilter
--enable-pthreads
--enable-err-language=Simplify_Chinese
--enable-storeio=ufs,null
--enable-default-err-language=Simplify_Chinese

最后執行#make;makeinstall將源代碼編譯為可執行文件完成安裝。為了使squid支持IPv6，從devel.squid-cache.org/projects.html#squid3-ipv6下載squid3-ipv6.patch補丁并安裝。接下來(lái)在/etc/squid.conf中對squid的運行進(jìn)行配置。

下面是一個(gè)在配置文件中有關(guān)IPv6部分的簡(jiǎn)單例子：
#IPv6的訪(fǎng)問(wèn)控制列表
aclallsrc::/0
aclsitelocalsrcfec0:/16
aclipv4::ffff:0:0/96
#對列表所做的處理
http_accessdenyipv4
http_accessallowsitelocal
http_accessdenyall

IPv6復合型防火墻的設計

把分組過(guò)濾系統ip6tables和應用代理squid結合使用，由分組過(guò)濾控制通信的底層，代理服務(wù)器用于過(guò)濾應用層的服務(wù)，這樣就能從網(wǎng)絡(luò )層到應用層進(jìn)行全方位的安全處理。比如若要對http協(xié)議進(jìn)行控制，則用ip6tables把對Web端口80的請求轉發(fā)到squid端口，由squid對這個(gè)應用層協(xié)議進(jìn)行控制，而用戶(hù)瀏覽器仍然認為它訪(fǎng)問(wèn)的是對方的80端口。如下面這條命令：

#ip6tables-tnat-APREROUTING-ieth0-s3ffe:ffff:200:: 1/128-ptcp--dport80-jREDIRECT--to-ports3128(eth0為防火墻主機輸入接口，3128是squid監聽(tīng)HTTP客戶(hù)連接請求的缺省端口)。系統的工作流程如圖4所示。當一個(gè)數據包進(jìn)入防火墻后，首先由ip6tables的nat表中PREROUTING鏈的規則來(lái)判斷這個(gè)數據包的高層協(xié)議(如HTTP、FTP等)是否應受控制，若應受控制，則將其定向到squid端口，由squid代理進(jìn)程進(jìn)行處理，如上命令所示。之后，進(jìn)行路由判斷，若是防火墻本地包，則要由INPUT鏈處理，若是外地包，則要由FORWARD鏈來(lái)處理，最后經(jīng)過(guò)POSTROUTING鏈的snat處理把數據包轉發(fā)出防火墻，形成透明代理。如下命令所示：

圖4　IPv6復合型防火墻系統的工作流程

ip6tables-APOSTROUTING-tnat-sIPv6(s1)-oeth1-jSNAT--to-sourceIPv6(s)。其中IPv6(s1)指數據包的源IPv6地址，eth1為防火墻主機輸出接口，IPv6(s)指防火墻主機的出口地址。

若數據包來(lái)自防火墻主機本身，經(jīng)過(guò)PREROUTING鏈規則處理，判斷是否應進(jìn)行squid代理，若是，則進(jìn)行squid處理，之后經(jīng)過(guò)OUTPUT鏈規則處理，再判斷路由，最后由POSTROUTING鏈的snat處理把數據包轉發(fā)出防火墻。

結論

由squid限定內外網(wǎng)絡(luò )之間的服務(wù)連接，使它們都通過(guò)squid的介入和轉換，再由防火墻本身提交請求和應答，這樣就使內外網(wǎng)絡(luò )的計算機不會(huì )直接進(jìn)行會(huì )話(huà)，結合ip6tables的包過(guò)濾控制底層通信，從而能建立起一種從網(wǎng)絡(luò )層到應用層堅固的IPv6防火墻系統。ip6tables和squid都可以免費獲得，因此無(wú)論從安全性還是從經(jīng)濟性來(lái)說(shuō)，這都是一種非常好的IPv6防火墻解決方案。