Linux下防火墻透明模式的原理及實現(xiàn)探討

謝 輝

（福建省閩北職業(yè)技術(shù)學(xué)院，福建 南平 353000）

1 互聯(lián)網(wǎng)通信原則

在構(gòu)建Linux下透明模式防火墻之前，需要了解網(wǎng)頁信息傳輸?shù)幕玖鞒毯途W(wǎng)頁代碼解析的過程。目前常見的B/S結(jié)構(gòu)主要以客戶端瀏覽器為主進行分析，用戶使用瀏覽器登錄網(wǎng)頁界面時，需要從瀏覽器的端口錄入網(wǎng)址，完成對url的請求，然后借助DNS服務(wù)器的幫助來解析服務(wù)器的域名，根據(jù)解析的結(jié)構(gòu)有針對性的設(shè)計訪問頁面。對于不同的瀏覽器要選擇合適的服務(wù)器來進行HTTP指令的傳輸，服務(wù)器集合收到的HTTP相關(guān)信息結(jié)合瀏覽器的url指令實現(xiàn)打開對應(yīng)目標文件。目標文件一般會用網(wǎng)頁地址的表現(xiàn)形式出現(xiàn)，Web服務(wù)器可以根據(jù)實際情況來提供相應(yīng)的參數(shù)，然后完成數(shù)據(jù)庫文件資源的調(diào)動工作，最終完成HTML的任務(wù)。在收到任務(wù)的時候服務(wù)器會在第一時間根據(jù)客戶端閱覽器的協(xié)議內(nèi)容把HTML內(nèi)的文件傳輸?shù)綖g覽器中，瀏覽器收到文件之后就會馬上進行處理，根據(jù)處理分析的情況對服務(wù)器中的鏈接資源文件（內(nèi)嵌網(wǎng)頁，CSS，多媒體資源，JavaScript等）進行請求指令輸送。服務(wù)器可以根據(jù)HTTP請求的結(jié)果配對相關(guān)的資源文件，然后利用網(wǎng)絡(luò)配送的方式傳輸?shù)娇蛻舳说臑g覽器上。瀏覽器在收到資源文件之后，會對其進行分類，結(jié)合規(guī)則將其展示在Web界面之中，并會根據(jù)資源文件的所屬媒體形式進行便于展示的重新排版，HTML的文檔會根據(jù)對應(yīng)的頁面腳本進行一定的分析處理，結(jié)合解釋說明的腳本代碼，在執(zhí)行腳本期間做好阻塞鏈接文件的加載工作，在此基礎(chǔ)之上利用地址轉(zhuǎn)換協(xié)議才能使得Linux下防火墻透明模式的構(gòu)建生效。

2 數(shù)據(jù)收發(fā)原則

網(wǎng)絡(luò)數(shù)據(jù)接口收發(fā)數(shù)據(jù)信息需要遵循的相關(guān)規(guī)則主要有兩點，分別是只接受MAC地址的數(shù)據(jù)鏈路層傳輸方式和接收IP地址信息的網(wǎng)絡(luò)層傳輸方式。

2.1 MAC

MAC地址包括本網(wǎng)絡(luò)接口MAC地址、廣播地址的以太網(wǎng)幀等。在防火墻的透明模式下，只能接收目的MAC地址信息，對于未知目的MAC地址的IP報文，防火墻直接丟棄不予處理。

2.2 IP

IP地址主要負責處理和IP數(shù)據(jù)有關(guān)的信息，在處理的過程中需要先收集Internet層上的數(shù)據(jù)信息，將本地留存的IP地址信息上傳于本地上的應(yīng)用程序，以實現(xiàn)信息數(shù)據(jù)的分析處理工作。在處理的過程中先了解本機路由器的信息，以便當對應(yīng)的IP信息數(shù)據(jù)地址不是本地信息傳輸?shù)刂返睦馇闆r，然后根據(jù)網(wǎng)絡(luò)端口的類型，選擇最符合實際情況的路由信息和IP信息，將其合理轉(zhuǎn)換為能夠使用的網(wǎng)絡(luò)信息發(fā)送至特定的網(wǎng)絡(luò)端口，順利實現(xiàn)IP數(shù)據(jù)信息情報的可接受性。當IP數(shù)據(jù)信息情報無法滿足現(xiàn)有的條件時，該信息數(shù)據(jù)會被舍棄。

3 ARP協(xié)議

首先，根據(jù)目標IP與本機IP進行與運算，判斷是否為同一網(wǎng)段，如果是同一網(wǎng)段，則發(fā)起ARP廣播請求信息，網(wǎng)段內(nèi)某臺主機通過這個ARP請求，發(fā)現(xiàn)自己IP對應(yīng)MAC地址符合請求信息，則在自己ARP表中添加請求方的源IP和MAC地址信息，同時將自己MAC地址附加在應(yīng)答幀發(fā)回給請求方主機，其他主機則忽略ARP請求。請求方主機收到應(yīng)答信息后，會更新ARP表，此時目標主機的IP和MAC信息成功添加到ARP表項，實現(xiàn)正常收發(fā)信息。如果此時經(jīng)過判斷，雙方主機并不在同一網(wǎng)段，不能使用直接傳輸?shù)姆绞酵瓿蓴?shù)據(jù)信息的網(wǎng)絡(luò)端傳送，這個時候還可以借助網(wǎng)關(guān)轉(zhuǎn)發(fā)，把接收方的信息轉(zhuǎn)交給同接收方相匹配的端口，然后根據(jù)實際情況在ARP Cache中搜索發(fā)送方的數(shù)據(jù)信息，再將主機系統(tǒng)（局域網(wǎng)網(wǎng)關(guān)）的IP信息地址和MAC地址綁定在一起，把包含MAC地址的IP數(shù)據(jù)信息傳送到情報幀中。當ARP Cache內(nèi)部不存在能同主機系統(tǒng)（局域網(wǎng)網(wǎng)關(guān)）的IP 信息地址綁定的內(nèi)容，這個時候會根據(jù)實際情況生成ARP請求，ARP請求的內(nèi)容主要由信息請求方MAC地址、IP地址等組成。ARP請求之后會得出局域網(wǎng)相關(guān)的廣播幀，當局域網(wǎng)網(wǎng)關(guān)或者是主機接收到搜索MAC地址的問詢后，這時可以在ARP Cache中獲得相關(guān)的MAC和IP地址內(nèi)容，并將其綁定在自己的ARP Cache中。信息發(fā)送方會在ARP中得到應(yīng)答，然后明確自己的MAC地址，這個過程可以從信息發(fā)送方的網(wǎng)絡(luò)信息接口順利接收。

最后當信息發(fā)送方試圖獲取路由器接口的MAC地址時，會在局域網(wǎng)中判定路由器的位置，這個時候信息的傳輸方會自動向ARP請求廣播詢問路由器的地址，路由器本身沒有辦法直接接受ARP的請求，由于防火墻的存在，防火墻即便能夠接收到信號，也不會根據(jù)請求的內(nèi)容作出適當?shù)幕貞?yīng)，這樣使得廣播幀無法順利形成，進而無法順利實現(xiàn)信息數(shù)據(jù)的有效傳遞。為了保證網(wǎng)絡(luò)信息通信正常，防止透明方式設(shè)置防火墻對原有的網(wǎng)絡(luò)通信產(chǎn)生影響，減少ARP的協(xié)議失效，必須采取相應(yīng)的手段，主要以ARP代理（proxyARP）技術(shù)和使用橋（bridge）技術(shù)為主。

4 實施改進方法

4.1 ARP代理方式

ARP代理方式主要指在網(wǎng)絡(luò)上利用一臺主機代替其他主機，對ARP發(fā)出的請求作出相應(yīng)的回答，當信息傳輸方將內(nèi)容經(jīng)由局域網(wǎng)網(wǎng)關(guān)或是主機系統(tǒng)發(fā)送ARP請求，根據(jù)路由器接收MAC指令時，防火墻可以順利做出應(yīng)答，此時防火墻就完成了ARP的代理方式。在使用ARP代理方法完成Linux下防火墻透明模式的時候，需要注意代理配置的方法。在代理工作進行時，要先添加防火墻的ARP代理，然后根據(jù)實際情況從ethl中接收，之后添加到主機的MAC地址中，代替eth0作出相應(yīng)的回應(yīng)。從eth0接收到ARP請求詢問路由器MAC地址時，代替路由器用eth0的MAC地址作出回應(yīng)。ARP代理配置可以更好的代替原有的路由器工作，又能實現(xiàn)無障礙傳輸數(shù)據(jù)。基于此，需要在預(yù)設(shè)好的防火墻之上預(yù)設(shè)相關(guān)的路由信息，保證防火墻能夠正確接收IP信息數(shù)據(jù)，這樣就完成了信息傳輸?shù)娜^程，有效減少延遲時間。

4.2 橋方式透明模式

網(wǎng)橋技術(shù)方式同ARP代理方式有很大的不同，網(wǎng)橋技術(shù)解決ARP失效問題，并不需要完成ARP的代理應(yīng)答和維護復(fù)雜的路由信息數(shù)據(jù)。在搭建網(wǎng)絡(luò)接口層時，借助網(wǎng)橋?qū)⒁蕴W(wǎng)幀中含有的MAC地址的幀傳送至比較合適的網(wǎng)絡(luò)。橋接器能夠有效將各個網(wǎng)絡(luò)接口納入橋接器的端口，成功封裝至同一個偽設(shè)備中，形成一個統(tǒng)一的網(wǎng)橋，整體的作用和路由表保持一致。路由模塊的內(nèi)容會結(jié)合路由表的信息順利實現(xiàn)IP地址中數(shù)據(jù)內(nèi)容的配對，順利經(jīng)由網(wǎng)絡(luò)端口完成傳輸。整個網(wǎng)橋技術(shù)的完成需要橋接器內(nèi)含的表格信息數(shù)據(jù)，在傳輸信息的時候可以把MAC地址和以太網(wǎng)匹配在一起。通過實踐發(fā)現(xiàn)，利用網(wǎng)橋技術(shù)既能更好的完成防火墻透明模式搭建工作，又能減少信息傳輸緩慢的情況發(fā)生，最終在保證信息傳輸效率的基礎(chǔ)上，提高整個網(wǎng)絡(luò)的傳輸效率和安全性。

5 結(jié)束語

Linux下防火墻透明模式的搭建，首先要明確互聯(lián)網(wǎng)信息傳輸檢索的基本原理，并根據(jù)現(xiàn)實網(wǎng)絡(luò)信息內(nèi)容傳遞之間遇到的問題，作出相應(yīng)的技術(shù)方案設(shè)計。通過選擇ARP代理方式或者橋方式透明模式，并根據(jù)實際情況，完成Linux下防火墻透明模式搭建工作。