基于Linux环境的包过滤防火墙设计与实现

传统的包过滤防火墙工作在网络层和传输层,根据过滤规则判别的只有网络层和传输层的有限信息,各种安全要求不可能充分满足。本文以Linux为例,在对Linux内核网络接口分析的基础上,通过修改Linux的内核,实现了一个工作在数据链路层的透明包过滤防火墙。

隧道模式下Linux路由器内存优化的研究

在网络通信中,为了满足应用的需要,常常在数据包中添加特定的协议头部。例如,为了实现从 IPv4数据包到 IPv6数据包的转换,可以在原 IPv4报头前封装上相应的 IPv6报头;在以太网中,为了保证应用的 QOS 需要,可以在数据链路层报头之后封装上 MPLS 标记。这种在数据报头的固定位置封装固定长度协议头的方式,称为隧道模式。传统的隧道封装方式需要重新在内存中申请 skb 空间,需要重新拷贝整个数据包,这样的重复内存拷贝降低了系统的性能,并不是必要的。本文在内核代码的层次,分析了数据包的网络处理流程,并修改了 Linux 的系统调用,通过预留内存资源的方式,提出了一种避免隧道模式下额外内存拷贝的方法,并给出了代码实现。