基于linux的嵌入IPv4协议栈的内容过滤防火墙系统（2）－概要引言

概要：在Linux系统下，具有图形界面的防火墙系统很少，而包含内容过滤的防火墙系统更可以说是少之又少，本程序不仅具有防火墙功能，而且可以对rar、zip压缩格式的文件进行过滤。

关键词：Linux，IPv4，内容过滤，防火墙，rar，zip

引言

网络安全的意义：

随着现代社会不断向信息化方向迈进，各种经济和军事等活动对信息基础设施的依赖性将不断增强, 例如金融系统的资金转账、电子商业交易、电力和水等基础设施的运行、现代化的战争都得依靠电子网络来完成。所以敌对国家、地区之间通过网络攻击对方的信息系统，窃取机密的事件将不断增加。这些随时爆发的网络信息战已被认为是对发达社会的一种潜在威胁。所以可以这么说信息安全是关系到国家和民族利益的事情。同时，随着因特网不断增长，垃圾信息也在不断的增加。例如以暴力、色情、反动等内容为主题的信息广为泛滥并且严重损坏用户的身心健康。所以控制信息内容也是一项利国利民的事情。

现阶段的工作：

现阶段侧重于研究一种基于linux的嵌入IPv4协议栈的内容过滤防火墙系统。

本系统构架在内部局域网和外部网之间，对所有进出内部局域网的信息进行过滤。对于输入的数据包，系统将先进行包过滤，如果通过了包过滤，才会进行下一步的内容过滤，做出基于信息内容的决定。本过滤系统就是把包过滤技术和内容过滤技术二者结合起来，做到防御网络攻击和过滤垃圾信息。

整个系统由各种功能块组成，主要包括包过滤模块、内容过滤模块、用户界面功能块、数据交互模块、过滤规则、过滤日志等。其中包过滤模块、内容过滤模块是嵌入协议栈中在linux内核内实现；用户界面功能块是在用户空间内实现，用户可以在此输入各种规则；数据交互模块则是一个linux设备启动程序，其为处于内核的包过滤模块、内容过滤模块和处于用户空间的用户界面功能块提供数据交互。各个功能块互相协调实现网络信息安全。

随着IPv6网络的不断普及，本系统也在探讨提供IPv6环境下的网络安全保护。现阶段正在在netfilter6结构上进行开发。

本系统的独特之处：

1．根据现在网络信息数据往往是被压缩的特点，本系统能够解压过滤现今流行的压缩格式的数据信息，例如zip、rar等压缩格式。

2．使用基于linux的嵌入协议栈设计模式，过滤功能块处于linux的内核，提高了内容过滤的效率。

3．把包过滤技术和内容过滤技术结合起来，根据数据包的头信息和内容信息判断网络攻击的类型，同时也能进行内容信息的过滤。

4．系统具有自适应能力。本系统不断的采集网络负载、CPU负载和内存负载的信息，当这三者的综合信息过大时，系统将不再进行内容过滤，当综合信息下降到一定的值时，系统重新进行内容过滤。

5．本过滤系统提供IPv4网络环境的信息安全保护。