第36卷第6期电子科技大学学报Vol.36No.62007年12月JournalofUniversityofElectronicScienceandTechnologyofChinaDec.2007改进及优化Linux网络协议栈童浩陈兴蜀严宏四川大学计算机学院成都610064【摘要】针对X86通用便件平台分析了Linux网络协议栈丁•作原理及网络安全功能实现的机理及基于Linux协议栈设计与配置网络安全平台中存在的问题对原有Linux网络协议栈进行了改进及优化实现了一种适应网络安全平台耍求的、基于网络硬件端口转发、转发端口与管理端口分离与原有Linux网络协议栈兼容的新的网络协议栈。通过测试利用该协议栈实现的网络安全平台比基于传统Linux协议栈实现的网络安全平台性能有较大辐度的提升并可使网络安全产品的设计更具紧凑性与正交性。关键词Linux网络端口协议栈中图分类号TN918O332文献标识码AImprovedNetworkProtocolStackofLinuxNetworkTONGHaoCHENXing-shuYANHongCollegeofComputerScienceSichuanUniversityChendu610064AbstractFocusingontheX86platformthispaperanalyzesthetheoryofLinuxnetworkprotocolstackandthemechanismoffirewallunderthisarchitectureTheproblemsofdesigningtheLinuxprotocolstackandconfiguringsecurenetworkplatformarepointedout.ThenweintroduceanewLinuxnetworkprotocolstackwhichisbasedonthenetworkhardwareporttransmissionandtheseparationoftransmissionportandmanagerialport.BytestingandcomparingtotraditionalLinuxprotocolstackthistechnologycangreatlyimprovetheperformanceofsecurenetworkplatformanditmakesthedesignofsecurenetworkproductsmorecompactnessandorthogonality.KeywordsLinuxnetworkportstack收稿H期2007?05?30基金项冃国家242信息安全计划项冃2005C472006电子发展基金信部运634号四川省科技攻关项R06GG0618作者简介童浩1971?男硕士生主要从事信息安全、计算机网络方面的研究陈兴蜀1968?女博士副教授主要从事信息安全方面的研究严宏1984?男硕士主要从事信息安全、计算机网络方面的研究.冃前国内广泛使用X86Linux作为网络防火墙或其他类似安全设备的开发平台。X86架构采用了通用CPU和PCI总线接口具有很高的灵活性和可扩展性Linux作为开放源代码的操作系统开发者具有良好的开发环境和系统源码支持。基于该平台的产品功能主耍由软件实现可以根拯用户的需求灵活调整功能模块因此它一直作为网络安全设备开发的主耍平台。X86Linux架构的缺点X86通用的计算平台结构层次较多不易优化Linux作为通用的操作系统更多考虑的是系统的通用性没有对应用作进一步的性能优化。该平台往往作为防火墙低端产品的开发平台1。随着CPU性能的不断提升总线结构的不断发展2X86Linux平台上的网络安全产品逐步向高端发展。为与硬件平台发展相适应本文针对Linux操作系统特别是对Linux网络协议栈进行了优化与改进提高了系统的处理能力使Z能适M网络安全发展的需求。1网络安全设备实现及存在的问题许多网络安全设备通常会采用Linux网络协议栈中的netfilter^g架3来实现。它将一个网卡作为内网口另一个网卡作为外网口当数据从网口进入协议栈后通过桥方式或路由方式实现数据包的转发。在数据包的转发路径上通过nether框架上的钩子点PreRouting、Forward、PostRouting实现对数据包的审查与处理4。网络安全平台的功能模块可分类为两大部分网络数据的审查处理模块与网络数据的寻址路由模块。审查处理模块可通过在netfilterM架中注册钩子函数以实现对网络数据包的审查处理5寻址路电子科技大学学报第36卷1494由模块由协议栈中路由判决模块和桥判决模块6来实现用户根据设备丁作的不同环境配置确定设备是路由模式还是桥模式。路由模式和桥模式都是解决数据包从哪个接口进入设备乂丿、'、z由哪个接口输出的问题。这些工作与网络安全设备所关注的数据包的安全审查处理无关。由于每个数据包都需要进行寻址路由当数抑流量较大时寻址路由操作及相关的路由表、mac地址表的更新丁•作需花费大量的机器处理时间。对于大多数网络安全设备而言网络安全平台设备的数据从一个端口流入另一个端口流出其流入端口和流出端口是固定的并不需耍寻址和路由。...