基于Netfilter框架和IP Queue機制的輕量級網絡防火墻實現

劉建志　田志宏

摘要： 一般而言，要在Linux下開發防火墻的程序，需要對內核協議棧有深入的理解，并掌握內核協議棧代碼的細節。這對普通開發者是非常有難度的。Netfilter是一個支持數據報過濾、數據報處理、NAT等功能的內核子系統框架。以Linux 2.6內核為基礎。IP Queue機制是Linux內核在Netfilter框架的基礎上提供的，是應用層上的機制，通過NetLink和內核進行交互，這使得開發一些用戶態的防火墻應用成為可能。在此基礎上，同時實現了一種基于Netfilter框架和IP Queue機制的輕量級防火墻。通過對比測試表明，由于設計清晰的模塊架構、較強的可擴展性，本文實現的輕量級防火墻能夠很好地達到實際要求，容易開發出更專業防火墻程序。

關鍵詞：

中圖分類號：TP311文獻標識碼：A文章編號：2095-2163（2012）04-0044-04