Linux防火墙程序设计

Linux防火墙程序设计

作 者： 赵泽良

今年二月上旬，Yahoo、eBay、CNN.com、Amazon、Buy.com和E*Trade等著名商业网站连续遭到黑客攻击，造成了数以十亿美元的损失，向世人再一次敲响了网络并不安全的警钟。防火墙作为一种网络或系统之间强制实行访问控制的机制，是确保网络安全的重要手段。目前社会上各种商业产品的防火墙非常多，功能也大都很强。我们暂且不管这些防火墙产品的价格如何，由于它们在开发设计过程中注重的是产品的通用性、兼容性，考虑更多的是市场和利润，因此对于某些特殊的应用就不一定很合适。如果用户能根据自己的实际需要，将防火墙设计的一般理论和方法与自己系统的具体实践相结合，设计一些小而精、精而强的防火墙程序，则往往可以发挥出比花大价钱买来的通用型防火墙更好的作用。

由于篇幅所限，本文不可能对防火墙的一般理论和结构进行深入的讨论，因此仅以Linux系统为例，具体说明防火墙程序的设计方法。

一、 从程序设计角度看Linux网络
编写防火墙程序并不一定要求对Linux网络内核有多么深刻的理解，只是需要明白在网络内核中有这样一种机制，那就是内核可以自动调用用户编写的防火墙程序，并根据这个防火墙程序返回的结果来决定对网络收发数据报的处理策略。这一点可以从图1中看出。


二、 怎样将自己编写的防火墙程序登记到内核中

我们已经知道内核在网络层中自动调用用户编写的防火墙程序。但有一个前提条件就是用户必须正确地将自己编写的防火墙程序登记到内核中。关于Linux内核驱动程序的编写方法，可参见本刊第四期中《Linux设备驱动程序设计实例》一文。

内核中提供了防火墙的登记和卸载函数，分别是register_firewall和unregister_firewall，参见firewall.c。

1、 register_firewall
函数原型如下：
int register_firewall(int pf,struct firewall_ops *fw)
返回值：0代表成功，小于0表示不成功。
参数：
* 协议标志pf，主要的取值及其代表的协议如下：
2代表Ipv4协议，4代表IPX协议，10代表Ipv6协议等。
* 参数结构fw定义如下：
struct firewall_ops{
struct firewall_ops *next;
int (*fw_forward)(struct