互聯(lián)網(wǎng)的商業(yè)化發(fā)展也為人們提供著各種各樣的服務(wù)，隨著寬帶業(yè)務(wù)進(jìn)入人們的日常生活，人們對(duì)網(wǎng)絡(luò)的要求也越來越高，要求它能為人們提供更加安全、可靠、快速和多樣化的服務(wù)。數(shù)據(jù)包分類技術(shù)也是現(xiàn)在網(wǎng)絡(luò)多樣化服務(wù)的基礎(chǔ)，并且成為防火墻、路由器等一些網(wǎng)絡(luò)核心設(shè)備中最為關(guān)鍵的技術(shù)，它對(duì)網(wǎng)絡(luò)的控制、性能和安全會(huì)產(chǎn)生直接的影響。因此，會(huì)對(duì)高性能數(shù)據(jù)包分類算法的研究仍然是一個(gè)非常重要的課題，這篇信息技術(shù)職稱范文發(fā)表對(duì)Linux防火墻的應(yīng)用展開討論。

　　一、Linux防火墻的內(nèi)核機(jī)制

　　Linux內(nèi)核從2.4版本開始設(shè)計(jì)實(shí)現(xiàn)了Netfilter框架，該框架使得網(wǎng)絡(luò)協(xié)議代碼和防火墻之間有了比較清晰的界限。Linux2.4內(nèi)核防火墻的底層結(jié)構(gòu)是Netfilter結(jié)構(gòu)，位于Linux網(wǎng)絡(luò)層和防火墻內(nèi)核功能模塊之間。

　　每一種協(xié)議都可以設(shè)定自己的防火墻。在Linux內(nèi)核中是由firewall-Ps結(jié)構(gòu)體定義的。firewall-ops可以為各種協(xié)議的防火墻提供統(tǒng)一的接口，每個(gè)協(xié)議可以對(duì)應(yīng)多級(jí)防火墻，每個(gè)防火墻有各自的優(yōu)先級(jí)，按照從高到低的優(yōu)先級(jí)順序可以將firewall-ps連接到Linux內(nèi)核與防火墻接口的鏈表。當(dāng)數(shù)據(jù)包經(jīng)過IP層進(jìn)行處理時(shí)，對(duì)相應(yīng)的鉤子函數(shù)鏈表中是否存在注冊的HOOK函數(shù)進(jìn)行檢查，如果存在，各級(jí)防火墻會(huì)順著其鏈表一一進(jìn)行處理。

　　二、 RFC算法的查找過程

　　RFC算法被分為P個(gè)階段 (Phase)，每一個(gè)階段是由可并行查找的散列表組成。每次查找結(jié)果的返回值都比內(nèi)存數(shù)據(jù)索引值要小。操作如下：在第一個(gè)階段 (Phase 0)，將包頭中F個(gè)字段分成許多個(gè)塊，每個(gè)塊被用來作為并行查找的索引。例如有七個(gè)相等的塊(chunk)，一個(gè)數(shù)據(jù)包的字段在內(nèi)存中是怎樣被劃分的。每次查表的輸出值被稱為eqcID。其中存儲(chǔ) eqcID所需的比特?cái)?shù)比索引值的比特?cái)?shù)要小，即需要較少的bit。下一個(gè)階段，每次用于查找散列映射表的索引值是由前幾個(gè)階段的查找結(jié)果按某種方式合并而成，并放入內(nèi)存中。在最后階段，所得到的結(jié)果就是與數(shù)據(jù)包相匹配的最佳規(guī)則標(biāo)識(shí)符classID。

　　RFC算法是個(gè)通用性強(qiáng)、速度快的多維數(shù)據(jù)包分類算法，對(duì)規(guī)則的寬度和維數(shù)有較好的擴(kuò)展性;在進(jìn)行分類查找時(shí)，查找性能不受規(guī)則數(shù)量和規(guī)則特征的影響。

　　處于同一階段 (Phase)的預(yù)處理表或索引交叉乘積表可以被并行地索引，并且這些表又是各自獨(dú)立的。處于不同階段的預(yù)處理表或索引交叉乘積表也能夠互不干擾地并行進(jìn)行索引。

　　算法的存儲(chǔ)空間消耗會(huì)隨規(guī)則集中規(guī)則數(shù)量的增加而增大，限制了算法的應(yīng)用范圍。由于索引交叉乘積表的長度等于各預(yù)處理表中等價(jià)類(eqID)數(shù)量的乘積，所以預(yù)處理表和索引交叉乘積表中eqID的數(shù)量與規(guī)則庫的規(guī)則成正比，其中IPT表中總是存在著相同的eqID連續(xù)重復(fù)存儲(chǔ)的問題。我們從表IPTI中可以看出，前8項(xiàng)中都存放了相同的eqID值。如果相同的元素過多會(huì)造成內(nèi)存中存在大量的冗余信息。雖然在預(yù)處理表中也有這樣的問題，但它所占空間非常小，如果想解決RFC算占用內(nèi)存過大的問題，可以從減少索引交叉乘積表中連續(xù)相同元素的重復(fù)存儲(chǔ)這方面進(jìn)行研究。

　　三、 L1nox防火墻測試步驟

　　在生成防火墻的規(guī)則集和測試數(shù)據(jù)包之后，對(duì)RFC算法和CRFC算法在Linux防火墻進(jìn)行功能測試，具體測試步驟如下：

　　(l)利用上面提到的規(guī)則集生成模塊生成的過濾規(guī)則集，并將其導(dǎo)入到Linux防火墻中。

　　(2)利用數(shù)據(jù)包生成模塊向Linux防火墻發(fā)送測試數(shù)據(jù)包，Linux防火墻收到數(shù)據(jù)包后對(duì)數(shù)據(jù)包進(jìn)行處理，并且獲取處理結(jié)果。

　　(3)對(duì)Linux防火墻測試數(shù)據(jù)包的處理結(jié)果被存儲(chǔ)在了計(jì)時(shí)模塊和存儲(chǔ)計(jì)數(shù)模塊中，方便后面對(duì)處理結(jié)果進(jìn)行詳細(xì)的分析。

　　(4)用RFC算法、CRFC算法替換防火墻中原有的線性搜索算法，重復(fù)上面的三步，用相同的方式進(jìn)行測試，并記錄測試結(jié)果。

　　(5)最后對(duì)計(jì)時(shí)模塊和存儲(chǔ)計(jì)數(shù)模塊中記錄的數(shù)據(jù)進(jìn)行比較分析，證實(shí)改進(jìn)后防火墻的正確性。

　　[參考文獻(xiàn)]

　　[1]M.Smith，R.Hunt.Network security using NAT and NAPT.Networks 2002.10th IEEE International Conference on Augest 2002：355-360

　　[2] David Lee， Dong luo Chen， Rui bing Hao， Raymond E.Miller Jianping Wu，Xia Yin.Network Protocol System Monitoring- A Formal Approach with passive Testing.IEEE/ACM Transaetions on Networking，Vol.14， NO.2 April 2006.

　　《指揮信息系統(tǒng)與技術(shù)》(雙月刊)是中國電子科技集團(tuán)公司第二十八研究所主辦的學(xué)術(shù)性與技術(shù)性綜合科技刊物。主要刊登有關(guān)電子信息系統(tǒng)與技術(shù)的頂層設(shè)計(jì)、硬件研制、應(yīng)用軟件開發(fā)和系統(tǒng)集成等方面的理論、技術(shù)和應(yīng)用實(shí)踐類的論文。范圍涉及指揮自動(dòng)化系統(tǒng)、軍航和民航空中交通管理系統(tǒng)、外軍C4ISR系統(tǒng)以及人(民)防應(yīng)急救援系統(tǒng)、城市及道路交通控制系統(tǒng)等。