張鳳山

摘 要：本文主要介紹基于m0n0開(kāi)源系統(tǒng)進(jìn)行安全網(wǎng)關(guān)的開(kāi)發(fā)與研究，最終構(gòu)建出多功能安全網(wǎng)關(guān)系統(tǒng)，以滿(mǎn)足中小型企業(yè)用戶(hù)的內(nèi)網(wǎng)安全需求。

關(guān)鍵詞：m0n0；安全網(wǎng)關(guān)；多功能

1 引言

目前，對(duì)于小區(qū)寬帶、網(wǎng)吧、學(xué)校、賓館等眾多中小型企業(yè)用戶(hù)而言，多功能安全網(wǎng)關(guān)已成為企業(yè)用戶(hù)網(wǎng)絡(luò)環(huán)境正常運(yùn)行的重要網(wǎng)絡(luò)設(shè)備之一，這些企業(yè)用戶(hù)購(gòu)買(mǎi)的Internet接入設(shè)備不僅能夠有效的使用Internet網(wǎng)絡(luò)資源，而且還需要具有一定的安全性和穩(wěn)定性，以保證企業(yè)內(nèi)網(wǎng)的高效有續(xù)運(yùn)行，此外可管理和多用途也是近年來(lái)隨著企業(yè)用戶(hù)的實(shí)際需求發(fā)生而產(chǎn)生的新的設(shè)備發(fā)展方向。比如小區(qū)寬帶用戶(hù)需要高速網(wǎng)絡(luò)接入、帶寬獨(dú)占而且最好是資費(fèi)較低，在這種情況下，如果每家都使用ISP的ADSL撥號(hào)上網(wǎng)，雖然能夠保證高帶寬和帶寬獨(dú)占，但是接入成本相對(duì)較高，而且更多的時(shí)候用戶(hù)不上網(wǎng)的時(shí)候帶寬是被浪費(fèi)的。在這種情況下，如果以小區(qū)為單位建立小型的ISP，使用這類(lèi)多功能安全網(wǎng)關(guān)，申請(qǐng)一定量的高速網(wǎng)絡(luò)帶寬，然后按照小區(qū)ADSL的形式提供用戶(hù)端接入，這樣就可以很好的解決前面提到的問(wèn)題，關(guān)鍵是這類(lèi)產(chǎn)品帶來(lái)的最大實(shí)惠就是極大的降低了網(wǎng)絡(luò)接入的資費(fèi)。m0n0是一款優(yōu)秀的開(kāi)源防火墻系統(tǒng)，基于該系統(tǒng)開(kāi)發(fā)，按照用戶(hù)需求，構(gòu)建一款多功能的安全網(wǎng)關(guān)產(chǎn)品，這就是本文的出發(fā)點(diǎn)所在。

2 m0n0防火墻系統(tǒng)簡(jiǎn)介

m0n0開(kāi)源安全網(wǎng)關(guān)最初由瑞士人Manuel Kasper開(kāi)發(fā)的基于X86平臺(tái)的嵌入式安全網(wǎng)關(guān)系統(tǒng)，目的是構(gòu)建一個(gè)簡(jiǎn)單、高效、自由、安全的嵌入式安全網(wǎng)關(guān)，實(shí)現(xiàn)使用較小成本就可以得到和昂貴的商業(yè)安全網(wǎng)關(guān)相同或相近的功能特性。該開(kāi)源項(xiàng)目經(jīng)過(guò)多年的發(fā)展和壯大，到目前為止全球已有數(shù)以萬(wàn)計(jì)的人員參與項(xiàng)目的開(kāi)發(fā)和推廣工作，安全網(wǎng)關(guān)已具備大部分商業(yè)安全網(wǎng)關(guān)的網(wǎng)絡(luò)功能，并且越來(lái)越受到中小型企業(yè)用戶(hù)的歡迎。

但由于m0n0是傳統(tǒng)的網(wǎng)絡(luò)層安全網(wǎng)關(guān)，應(yīng)用層功能較弱，還有很大的擴(kuò)展空間，特別是基于插件管理平臺(tái)進(jìn)行功能模塊擴(kuò)展的思想對(duì)于該開(kāi)源安全網(wǎng)關(guān)的應(yīng)用和推廣有著極其重要的意義。

3 多功能安全網(wǎng)關(guān)的整體設(shè)計(jì)

多功能安全網(wǎng)關(guān)的設(shè)計(jì)是在原有系統(tǒng)的基礎(chǔ)上通過(guò)多功能模塊管理平臺(tái)進(jìn)行功能模塊管理，系統(tǒng)整體設(shè)計(jì)如圖1所示。

如上圖所示，本防火墻系統(tǒng)是在M0n0的原有功能基礎(chǔ)之上進(jìn)行的二次開(kāi)發(fā)，除進(jìn)一步增加和完善必要的功能模塊之外，還應(yīng)用多功能模塊管理平臺(tái)統(tǒng)一進(jìn)行外圍模塊的管理和維護(hù)，而且各個(gè)外圍子系統(tǒng)和基本防火墻系統(tǒng)分處于不同的文件系統(tǒng)當(dāng)中，以實(shí)現(xiàn)對(duì)基本系統(tǒng)的保護(hù)和第三方功能模塊的靈活擴(kuò)充。

M0n0原有平臺(tái)的基本功能模塊有訪問(wèn)控制、VPN、NAT/PAT、日志審計(jì)、流量控制、SNMP、DHCP中繼、動(dòng)態(tài)DNS、上網(wǎng)認(rèn)證、靜態(tài)路由、VLAN中繼等。

在上述基本平臺(tái)的基礎(chǔ)之上開(kāi)發(fā)多功能模塊管理平臺(tái)，負(fù)責(zé)上傳新開(kāi)發(fā)或者修改好的功能模塊，生成模塊對(duì)應(yīng)的運(yùn)行空間（獨(dú)立文件系統(tǒng)），自動(dòng)進(jìn)行系統(tǒng)文件布局和配置文件的保存?zhèn)浞?，以及功能模塊的修改刪除等操作。該系統(tǒng)的實(shí)現(xiàn)使得安全網(wǎng)關(guān)的外圍模塊管理成為一種可能，而且通過(guò)生成獨(dú)立運(yùn)行空間，使得各個(gè)子系統(tǒng)和主系統(tǒng)可以各自獨(dú)立穩(wěn)定運(yùn)行。

在該安全網(wǎng)關(guān)當(dāng)中，所謂的多功能就是通過(guò)各個(gè)外圍模塊實(shí)現(xiàn)的，結(jié)合目前企業(yè)的實(shí)際需求設(shè)計(jì)的應(yīng)用模塊主要為如下四種（由于各個(gè)模塊又是一個(gè)獨(dú)立的小系統(tǒng)，所以下文中我們將其稱(chēng)之為子系統(tǒng)），各個(gè)外圍模塊的功能特性如下。

模板式流控模塊：模板式流控模塊子系統(tǒng)是在dummynet+IPFW流量控制的基礎(chǔ)上提出的一種模板式流控解決方案，按照網(wǎng)吧網(wǎng)絡(luò)、辦公環(huán)境、集體網(wǎng)絡(luò)、家庭網(wǎng)絡(luò)等幾種不同的網(wǎng)絡(luò)類(lèi)型各自特點(diǎn)開(kāi)發(fā)與之對(duì)應(yīng)的系列流量模板，最終實(shí)現(xiàn)針對(duì)某一網(wǎng)絡(luò)環(huán)境的流量管理策略，避免手工安排規(guī)則、管道、隊(duì)列等復(fù)雜流控元素的困擾。

雙線(xiàn)接入模塊：雙線(xiàn)接入模塊子系統(tǒng)是在原有防火墻單線(xiàn)接入的基礎(chǔ)上引入的雙線(xiàn)解決方案，實(shí)現(xiàn)網(wǎng)吧、學(xué)校等特殊網(wǎng)絡(luò)環(huán)境對(duì)雙線(xiàn)網(wǎng)絡(luò)接入的實(shí)際需求。通過(guò)該子系統(tǒng)可以實(shí)現(xiàn)兩條線(xiàn)路的流量負(fù)載均衡、主從線(xiàn)路設(shè)置以及線(xiàn)路備份等功能，增加企業(yè)網(wǎng)絡(luò)的穩(wěn)定性。

網(wǎng)絡(luò)計(jì)費(fèi)模塊：網(wǎng)絡(luò)計(jì)費(fèi)模塊子系統(tǒng)是為了滿(mǎn)足網(wǎng)吧、學(xué)校、賓館的特殊需求開(kāi)發(fā)的一個(gè)計(jì)費(fèi)模塊，該系統(tǒng)可根據(jù)共享賬號(hào)、獨(dú)立賬號(hào)等不同的角色開(kāi)展計(jì)費(fèi)工作；而且獨(dú)立賬號(hào)還可以按照特權(quán)賬號(hào)、包月賬號(hào)、計(jì)時(shí)賬號(hào)等屬性進(jìn)行計(jì)費(fèi)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)使用者的管理和控制。

上網(wǎng)行為管理模塊：此外將第三方軟件Panabit制作成為一款功能模塊集成到系統(tǒng)當(dāng)中，也是該安全網(wǎng)關(guān)的一個(gè)創(chuàng)新所在。該軟件是一款FreeBSD下的優(yōu)秀上網(wǎng)行為管理軟件，通過(guò)該軟件實(shí)現(xiàn)對(duì)所有用戶(hù)的網(wǎng)絡(luò)訪問(wèn)、流量控制、日志審計(jì)融為一體，為實(shí)現(xiàn)全面的網(wǎng)絡(luò)管理和監(jiān)控奠定基礎(chǔ)。

[參考文獻(xiàn)]

[1]魏利華.安全網(wǎng)關(guān)技術(shù)及其性能研究[J].能源研究與信息，2004，20（1）：57-62.

[2]郭偉.數(shù)據(jù)包過(guò)濾技術(shù)與安全網(wǎng)關(guān)設(shè)計(jì)[J].江漢大學(xué)學(xué)報(bào)，2001，（3）：17.