[发明专利]采用自定义表规则的细粒度内核防火墙实现方法

说明书

技术领域

本发明涉及计算机网络安全技术领域，具体涉及一种采用自定义表规则的细粒度内核防火墙实现方法。

背景技术

Netfilter/iptables，这是Linux系统自带的免费防火墙，功能十分强大。Netfilter/iptables可以对流入和流出的信息进行细化控制，且可以在一台低配置机器上很好地运行，被认为是Linux中实现包过滤功能的第四代应用程序。Netfilter/iptables包含在Linux2.4以后的内核中，可以实现防火墙、NAT（网络地址翻译）和数据包的分割等功能。netfilter工作在内核内部，而iptables则是让用户定义规则集的表结构。Netfilter/iptables从ipchains和ipwadfm（IP防火墙管理）演化而来，功能更加强大。

netfilter是一内核防火墙框架，该框架既简洁又灵活，可实现安全策略应用中的许多功能，如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换（NetworkAddressTranslation，NAT），以及基于用户及媒体访问控制（MediaAccessControl，MAC）地址的过滤和基于状态的过滤、包速率限制等。

通俗的说，netfilter的架构就是在整个网络流程的若干位置放置了一些检测点（HOOK），而在每个检测点上登记了一些处理函数进行处理（如包过滤，NAT等，甚至可以是用户自定义的功能）。

netfilter提供了一个抽象、通用化的框架，作为中间件，为每种网络协议（IPv4、IPv6等）定义一套钩子函数。Ipv4定义了5个钩子函数，这些钩子函数在数据报流过协议栈的5个关键点被调用，也就是说，IPv4协议栈上定义了5个“允许垂钓点”。在每一个“垂钓点”，都可以让netfilter放置一个“鱼钩”，把经过的网络包（Packet）钓上来，与相应的规则链进行比较，并根据审查的结果，决定包的下一步命运，即是被原封不动地放回IPv4协议栈，继续向上层递交；还是经过一些修改，再放回网络；或者干脆丢弃掉。

iptables是Linux内核集成的IP信息包过滤系统。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器，则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。

防火墙在做信息包过滤决定时，有一套遵循和组成的规则，这些规则存储在专用的信息包过滤表中，而这些表集成在Linux内核中。在信息包过滤表中，规则被分组放在我们所谓的链（chain）中。而netfilter/iptablesIP信息包过滤系统是一款功能强大的工具，可用于添加、编辑和移除规则。

这里所说的iptables是ipchains的后继工具，但具有更强的可扩展性。内核模块可以注册一个新的规则表（table），并要求数据包流经指定的规则表。这种数据包选择用于实现数据报过滤（filter表），网络地址转换（NAT表）及数据报处理（mangle表）。Linux2.4内核及其以上版本提供的这三种数据报处理功能都基于netfilter的钩子函数和IP表，都是相互间独立的模块，完美地集成到了由netfilter提供的框架中。netfilter主要提供了如下三项功能：

包过滤：filter表格不会对数据报进行修改，而只对数据报进行过滤。iptables优于ipchains的一个方面就是它更为小巧和快速。它是通过钩子函数NF_IP_LOCAL_IN、NF_IP_FORWARD及NF_IP_LOCAL_OUT接入netfilter框架的。

NAT：NAT表格监听三个netfilter钩子函数：NF_IP_PRE_ROUTING、NF_IP_POST_ROUTING及NF_IP_LOCAL_OUT。NF_IP_PRE_ROUTING实现对需要转发数据报的源地址进行地址转换，而NF_IP_POST_ROUTING则对需要转发的数据报目的地址进行地址转换。对于本地数据报目的地址的转换，则由NF_IP_LOCAL_OUT来实现。

数据报处理：mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT钩子中进行注册。使用mangle表，可以实现对数据报的修改或给数据报附上一些外带数据。当前mangle表支持修改TOS位及设置skb的nfmard字段。

发明内容