IPv6下嵌入式Linux防火墙的设计与实现
摘要
随着网络技术与嵌入式技术的迅速发展,将嵌入式系统连接进入Internet网络成为发展的必然,这样有利于嵌入式设备与信息网络彼此互连,一方面扩大了设备的可控范围,另一方面拓展了信息网路的信息资源。Internet网络现在所采用的大多是IPv4协议,但由于IPv4协议存在IP地址不足等缺点,Internet网络向IPv6过渡势在必行,嵌入式系统连接IPv6网络成为发展的必然趋势。
既然IPv6将成为今后Internet的主导。那么IPv6的网络安全问题也摆在人们面前。防火墙这一强有力的网络安全工具己在IPv4网络得到广泛的应用,但在IPv6网络中防火墙工具还很少,尤其在嵌入式设备中,由于其设备的特殊性、资源的有限性防火墙的设计更加显得重要,亟待人们研究。其关键技术就是防火墙的设计和移植。如何设计一个稳定、灵活、高效的嵌入式防火墙成为本文研究的难点。
Linux作为一种开放源代码的操作系统,在世界各地有着广泛的应用。Linux内核版本2.6中己采用了Netfilter的防火墙框架,并且已支持IPv6协议栈。目前Linux防火墙作为一种包过滤防火墙在IPv4下的应用稳定可靠,在IPv6下的应用尚未得到重视。这主要是由于很多地方IPv6地址接入Internet还不是那么方便,但是随着IPv6的逐渐普及,会有越来越多的人加入到IPv6的行列中。
本文探讨了嵌入式系统的发展趋势和当今各种网络协议的特点,介绍了嵌入式Linux的广泛应用和发展趋势,阐述了防火墙在嵌入式系统的重要作用和基于IPv6协议防火墙的发展趋势,主要研究了Netfilter框架防火墙的设计、实现以及其在嵌入式Linux中的移植。通过提出一个基于IPv6的防火墙的总体设计方案,实现了一个简单、稳定、高效、灵活的嵌入式防火墙。
With the development of the Internet and the embedded system, embedded system will be equipped with Internet access in the near future. The combination of embedded system and Internet can make the embedded device and the information network together. On the one hand, It can broaden the region of the controlled device, on the other, it can broaden information of the network. As we know, most of the Internet nowadays bases on the IPv4 protocol, which has some imperfect such as insufficient IP address and so on, so the Internet is developing from IPv4 to IPv6, and IPv6 will be the necessary developed for embedded systems.
Since IPv6 will lead take the dominant position in the development of Internet, the security of the next generation network has become the problem demanding prompt solution. Firewall, as a powerful tool in the security of Network, has been widely used in IPv4 Network. However, this powerful tool is seldom used in IPv6 Netowork, especially in embedded system, because its specialties of the device and the exiguity of the resource, it’s much more important to design the firewall. It is urgent to research by people. Its critical technology is the designing and transplanting of the firewall. The difficult point of this article is how to design a stable、flexible and efficient firewall in embedded system.
As an open source Operation System, Linux has been widely used on all kinds of platforms. Netfilter framework, which is the middle level of Linux Operation System and Firewall applications, has been integrated into Linux kernel 2.6 .Linux kernel 2.6 has also supported IPv6 protocol stack. Linux firewall is a kind of Packet Filter Firewall of stability and reliability in IPv4 Network, but it's no use in IPv6 Network. The reason is it’s not so convenient to access to the Internet for IPv6 address in many places. But more and more people will join the IPv6 lines when the IPv6 becomes more and more popular.
At the begin of the dissertation, we has discussed the embedded system, analyzed the tendency of the development in the embedded system and the characteristic of many of internet protocols nowadays, introduce the broad application and developing tendency of the embedded system, explain the important function of the firewall in the embedded system and the tendency of the firewall by IPv6 protocol, designed and completed this firewall system finally, researched the designing、completion and transplanting of the Netfilter framework firewall. completing a simple、stable、 efficient、flexible firewall in embedded system by presenting a general design scheme of IPv6 network firewall.
既然IPv6将成为今后Internet的主导。那么IPv6的网络安全问题也摆在人们面前。防火墙这一强有力的网络安全工具己在IPv4网络得到广泛的应用,但在IPv6网络中防火墙工具还很少,尤其在嵌入式设备中,由于其设备的特殊性、资源的有限性防火墙的设计更加显得重要,亟待人们研究。其关键技术就是防火墙的设计和移植。如何设计一个稳定、灵活、高效的嵌入式防火墙成为本文研究的难点。
Linux作为一种开放源代码的操作系统,在世界各地有着广泛的应用。Linux内核版本2.6中己采用了Netfilter的防火墙框架,并且已支持IPv6协议栈。目前Linux防火墙作为一种包过滤防火墙在IPv4下的应用稳定可靠,在IPv6下的应用尚未得到重视。这主要是由于很多地方IPv6地址接入Internet还不是那么方便,但是随着IPv6的逐渐普及,会有越来越多的人加入到IPv6的行列中。
本文探讨了嵌入式系统的发展趋势和当今各种网络协议的特点,介绍了嵌入式Linux的广泛应用和发展趋势,阐述了防火墙在嵌入式系统的重要作用和基于IPv6协议防火墙的发展趋势,主要研究了Netfilter框架防火墙的设计、实现以及其在嵌入式Linux中的移植。通过提出一个基于IPv6的防火墙的总体设计方案,实现了一个简单、稳定、高效、灵活的嵌入式防火墙。
With the development of the Internet and the embedded system, embedded system will be equipped with Internet access in the near future. The combination of embedded system and Internet can make the embedded device and the information network together. On the one hand, It can broaden the region of the controlled device, on the other, it can broaden information of the network. As we know, most of the Internet nowadays bases on the IPv4 protocol, which has some imperfect such as insufficient IP address and so on, so the Internet is developing from IPv4 to IPv6, and IPv6 will be the necessary developed for embedded systems.
Since IPv6 will lead take the dominant position in the development of Internet, the security of the next generation network has become the problem demanding prompt solution. Firewall, as a powerful tool in the security of Network, has been widely used in IPv4 Network. However, this powerful tool is seldom used in IPv6 Netowork, especially in embedded system, because its specialties of the device and the exiguity of the resource, it’s much more important to design the firewall. It is urgent to research by people. Its critical technology is the designing and transplanting of the firewall. The difficult point of this article is how to design a stable、flexible and efficient firewall in embedded system.
As an open source Operation System, Linux has been widely used on all kinds of platforms. Netfilter framework, which is the middle level of Linux Operation System and Firewall applications, has been integrated into Linux kernel 2.6 .Linux kernel 2.6 has also supported IPv6 protocol stack. Linux firewall is a kind of Packet Filter Firewall of stability and reliability in IPv4 Network, but it's no use in IPv6 Network. The reason is it’s not so convenient to access to the Internet for IPv6 address in many places. But more and more people will join the IPv6 lines when the IPv6 becomes more and more popular.
At the begin of the dissertation, we has discussed the embedded system, analyzed the tendency of the development in the embedded system and the characteristic of many of internet protocols nowadays, introduce the broad application and developing tendency of the embedded system, explain the important function of the firewall in the embedded system and the tendency of the firewall by IPv6 protocol, designed and completed this firewall system finally, researched the designing、completion and transplanting of the Netfilter framework firewall. completing a simple、stable、 efficient、flexible firewall in embedded system by presenting a general design scheme of IPv6 network firewall.
引文
[1]郑灵翔.嵌入式系统设计与应用开发[M].北京:北京航空航天大学出版社,2006. 3-6
[2]吴九天.基于ARM的嵌入式Internet的设计与实现[D]:[硕士学位论文].天津大学2005年12月:2-3
[3]谢锡锋.基于ARM的IPv6的应用研究[D]:[硕士学位论文].西南交通大学2006年5月:3-4
[4]王华,柴乔林,赵晋.基于IPv6的嵌入式系统设计与应用[J].计算机工程与设计, 2007, 28(1) :240
[5]罗浩,云晓春,方滨兴.一种基于嵌入式协议栈的内容过滤防火墙技术[J].计算机工程与应用,2002,18 :9
[6]张科. IPv6下集成病毒过滤透明模式防火墙的设计与实现[D]:[硕士学位论文].重庆大学2007年4月:1-2
[7]Noureldien A,Noureldien,Izzeldin M,et al.On firewalls evaluation criteria[J].TENCON,2000,3:24- 27
[8]许海燕,张曦煌.嵌入式系统的网络安全问题分析[J].微型机与应用,2005,8:58
[9]尹飞. IPv6下Linux防火墙的改进与提高[D]:[硕士学位论文].北京邮电大学2005年5月1-2
[10]李寿鹏.IPv6技术特点综述[J].计算机与网络, 2007,13:39-40
[11]林永和.基于IPv6的防火墙的关键技术与实现[J].微计算机信息,2006,22(6-3):106
[12]魏忠,蔡勇,雷红卫.嵌入式开发详解[M].北京:电子工业出版社,2003.3-7
[13]石小兰.嵌入式系统中PIv6协议栈的研究与实现[D]:[硕士学位论文].合肥工业大学2006年5月:1-2
[14]王田苗.嵌入式系统设计与实例开发第二版[M].北京:清华大学出版社,2003.9-10
[15]符意德.嵌入式系统设计原理及应用[M].北京:清华大学出版社,2004,11-12
[16]甘智.基于8051的嵌入式实时操作系统研究[D]:[硕士学位论文].江西师范大学2007年5月11-13
[17]李善平,刘文峰,王焕龙.Linux与嵌入式系统[M].北京:清华大学出版社,2004.5-6
[18]张云勇,刘韵洁,张智江.基于IPv6的下一代互联网[M].北京:电子工业出版社,2004,1-2
[19]罗蔚.基于IPv6的防火墙系统设计与实现硕士论文.电子科技大学2007年4月:6-7
[20]郑德官.嵌入式IPv6安全技术研究与实现[D]:[硕士学位论文].大连理工大学2005年12月:3-4
[21] S.Deering,R.Hinden. RFC2460: Internet Protocol, Version 6(IPv6) Specification, December 1998.
[22]高天寒,郭楠,赵宏.基于分级机制的优化移动IPv6模型[J].东北大学学报(自然科学版),2004,25(3):227-230
[23]高天寒,郭楠,赵宏.基于树状MAP的移动IPv6无缝实时切换策略研究[J].通信学报,2004, 25(11):98-106
[24]李新.嵌入式精简IPv6协议栈的设计与实现[D]:[硕士学位论文].大连理工大学2005年3月:11-12
[25] Franjo Majstor.Does Ipv6 protocol solve all security problems of Ipv4 [J].Information Security Solutions Europe, Oktober 2003:7- 9
[26]Steve Suehring , Robert Ziegler. Linux Firewalls. Indiana: Sams Publishing, September 14, 2005:2-7
[27]张科.IPv6下集成病毒过滤透明模式防火墙的设计与实现[D]:[硕士学位论文].重庆大学2007,4:14-15
[28]宿洁,袁军鹏.防火墙技术及其进展[J].计算机工程与应用,2004,9:147-149
[29]张荣亮.Linux操作系统内核分析与研究[D]:[硕士学位论文].江西师范大学2007年4月:1-2
[30]何海宾.基于Linux包过滤的防火墙技术及应用[J].电子科技大学学报,2004.1(33) :75—78
[31]张锦祥.基于Netfilter/Iptables的嵌入式防火墙的设计与实现[J].计算机时代, 2005.7 13-14
[32]毛德操,胡希明.Linux内核源代码情景分析[M].浙江:浙江大学出版社,2001,11-12
[33]黎南.Linux下基于netfilter的防火墙性能的分析和研究[D]:[硕士学位论文].贵州大学2007年4月:19-22
[34]米国治.基于Linux的IPv4/IPv6双协议栈防火墙的设计与实现[D]:[硕士学位论文].兰州理工大学2004年4月:27-28
[35]陈果.Linux防火墙研究与设计[D]:[硕士学位论文].西南交通大学2003年6月:24-25
[36]陈渝,李明,杨晔.源码开放的嵌入式系统软件分析与实践[M].北京:北京航空航天大学出版社,2004, 5-6
[37]夏登洲.基于ARM的嵌入式监控系统[D]:[硕士学位论文].华北电力大学2005年12:7-8
[38]王东,李哲英. U-Boot在S3C44B0上的移植方法[J].北京交通大学报,2005,4(29):1-3
[39]高文国.基于ARM的嵌入式视频监控终端的设计与实现[D]: [硕士学位论文].中国科学院2006年5月:30-33
[40] Jeff Forristal. Hack Proofing Your Web Applications. New York: SYNGRESS, September 11, 2006:21-33
[2]吴九天.基于ARM的嵌入式Internet的设计与实现[D]:[硕士学位论文].天津大学2005年12月:2-3
[3]谢锡锋.基于ARM的IPv6的应用研究[D]:[硕士学位论文].西南交通大学2006年5月:3-4
[4]王华,柴乔林,赵晋.基于IPv6的嵌入式系统设计与应用[J].计算机工程与设计, 2007, 28(1) :240
[5]罗浩,云晓春,方滨兴.一种基于嵌入式协议栈的内容过滤防火墙技术[J].计算机工程与应用,2002,18 :9
[6]张科. IPv6下集成病毒过滤透明模式防火墙的设计与实现[D]:[硕士学位论文].重庆大学2007年4月:1-2
[7]Noureldien A,Noureldien,Izzeldin M,et al.On firewalls evaluation criteria[J].TENCON,2000,3:24- 27
[8]许海燕,张曦煌.嵌入式系统的网络安全问题分析[J].微型机与应用,2005,8:58
[9]尹飞. IPv6下Linux防火墙的改进与提高[D]:[硕士学位论文].北京邮电大学2005年5月1-2
[10]李寿鹏.IPv6技术特点综述[J].计算机与网络, 2007,13:39-40
[11]林永和.基于IPv6的防火墙的关键技术与实现[J].微计算机信息,2006,22(6-3):106
[12]魏忠,蔡勇,雷红卫.嵌入式开发详解[M].北京:电子工业出版社,2003.3-7
[13]石小兰.嵌入式系统中PIv6协议栈的研究与实现[D]:[硕士学位论文].合肥工业大学2006年5月:1-2
[14]王田苗.嵌入式系统设计与实例开发第二版[M].北京:清华大学出版社,2003.9-10
[15]符意德.嵌入式系统设计原理及应用[M].北京:清华大学出版社,2004,11-12
[16]甘智.基于8051的嵌入式实时操作系统研究[D]:[硕士学位论文].江西师范大学2007年5月11-13
[17]李善平,刘文峰,王焕龙.Linux与嵌入式系统[M].北京:清华大学出版社,2004.5-6
[18]张云勇,刘韵洁,张智江.基于IPv6的下一代互联网[M].北京:电子工业出版社,2004,1-2
[19]罗蔚.基于IPv6的防火墙系统设计与实现硕士论文.电子科技大学2007年4月:6-7
[20]郑德官.嵌入式IPv6安全技术研究与实现[D]:[硕士学位论文].大连理工大学2005年12月:3-4
[21] S.Deering,R.Hinden. RFC2460: Internet Protocol, Version 6(IPv6) Specification, December 1998.
[22]高天寒,郭楠,赵宏.基于分级机制的优化移动IPv6模型[J].东北大学学报(自然科学版),2004,25(3):227-230
[23]高天寒,郭楠,赵宏.基于树状MAP的移动IPv6无缝实时切换策略研究[J].通信学报,2004, 25(11):98-106
[24]李新.嵌入式精简IPv6协议栈的设计与实现[D]:[硕士学位论文].大连理工大学2005年3月:11-12
[25] Franjo Majstor.Does Ipv6 protocol solve all security problems of Ipv4 [J].Information Security Solutions Europe, Oktober 2003:7- 9
[26]Steve Suehring , Robert Ziegler. Linux Firewalls. Indiana: Sams Publishing, September 14, 2005:2-7
[27]张科.IPv6下集成病毒过滤透明模式防火墙的设计与实现[D]:[硕士学位论文].重庆大学2007,4:14-15
[28]宿洁,袁军鹏.防火墙技术及其进展[J].计算机工程与应用,2004,9:147-149
[29]张荣亮.Linux操作系统内核分析与研究[D]:[硕士学位论文].江西师范大学2007年4月:1-2
[30]何海宾.基于Linux包过滤的防火墙技术及应用[J].电子科技大学学报,2004.1(33) :75—78
[31]张锦祥.基于Netfilter/Iptables的嵌入式防火墙的设计与实现[J].计算机时代, 2005.7 13-14
[32]毛德操,胡希明.Linux内核源代码情景分析[M].浙江:浙江大学出版社,2001,11-12
[33]黎南.Linux下基于netfilter的防火墙性能的分析和研究[D]:[硕士学位论文].贵州大学2007年4月:19-22
[34]米国治.基于Linux的IPv4/IPv6双协议栈防火墙的设计与实现[D]:[硕士学位论文].兰州理工大学2004年4月:27-28
[35]陈果.Linux防火墙研究与设计[D]:[硕士学位论文].西南交通大学2003年6月:24-25
[36]陈渝,李明,杨晔.源码开放的嵌入式系统软件分析与实践[M].北京:北京航空航天大学出版社,2004, 5-6
[37]夏登洲.基于ARM的嵌入式监控系统[D]:[硕士学位论文].华北电力大学2005年12:7-8
[38]王东,李哲英. U-Boot在S3C44B0上的移植方法[J].北京交通大学报,2005,4(29):1-3
[39]高文国.基于ARM的嵌入式视频监控终端的设计与实现[D]: [硕士学位论文].中国科学院2006年5月:30-33
[40] Jeff Forristal. Hack Proofing Your Web Applications. New York: SYNGRESS, September 11, 2006:21-33