劉建志　田志宏

摘要： 一般而言，要在Linux下開發(fā)防火墻的程序，需要對內(nèi)核協(xié)議棧有深入的理解，并掌握內(nèi)核協(xié)議棧代碼的細(xì)節(jié)。這對普通開發(fā)者是非常有難度的。Netfilter是一個支持?jǐn)?shù)據(jù)報過濾、數(shù)據(jù)報處理、NAT等功能的內(nèi)核子系統(tǒng)框架。以Linux 2.6內(nèi)核為基礎(chǔ)。IP Queue機(jī)制是Linux內(nèi)核在Netfilter框架的基礎(chǔ)上提供的，是應(yīng)用層上的機(jī)制，通過NetLink和內(nèi)核進(jìn)行交互，這使得開發(fā)一些用戶態(tài)的防火墻應(yīng)用成為可能。在此基礎(chǔ)上，同時實(shí)現(xiàn)了一種基于Netfilter框架和IP Queue機(jī)制的輕量級防火墻。通過對比測試表明，由于設(shè)計清晰的模塊架構(gòu)、較強(qiáng)的可擴(kuò)展性，本文實(shí)現(xiàn)的輕量級防火墻能夠很好地達(dá)到實(shí)際要求，容易開發(fā)出更專業(yè)防火墻程序。

關(guān)鍵詞：

中圖分類號：TP311文獻(xiàn)標(biāo)識碼：A文章編號：2095-2163（2012）04-0044-04