IPv6下Linux防火墻的改進(jìn)與提高.pdf

1、隨著Intemet的飛速發(fā)展，網(wǎng)絡(luò)安全已經(jīng)成為人們關(guān)注的焦點(diǎn)，IPv4的許多不足逐漸顯露出來(lái)，其中最迫切需要解決的就是IP地址不足及骨干路由器中路由表過(guò)于龐大等問(wèn)題。為了解決這兩個(gè)主要問(wèn)題，IETF制定了新一代的IP協(xié)議——IPv6協(xié)議。 IPv6將成為今后Intemet的主導(dǎo)。同時(shí)，IPv6的網(wǎng)絡(luò)安全問(wèn)題也擺在人們面前。防火墻這一強(qiáng)有力的網(wǎng)絡(luò)安全工具已在IPv4網(wǎng)絡(luò)得到廣泛的應(yīng)用，但在IPv6網(wǎng)絡(luò)中防火墻工具還很少，亟待人們研

2、究。 Linux作為一種開放源代碼的操作系統(tǒng)，在世界各地有著廣泛的應(yīng)用。Linux內(nèi)核版本2．4和2．6中都采用了Netfilter的防火墻框架。2．a(chǎn)和2．6內(nèi)核中都支持IPv6協(xié)議棧。Linux防火墻是一種包過(guò)濾防火墻，雖然穩(wěn)定可靠，但在包過(guò)濾效率方面并不高，尤其是IPv6的地址空間的擴(kuò)大，使得包過(guò)濾的效率更低。 Linux內(nèi)核版本2．4和2．6的防火墻都采用了順序查找的方法。在處理大規(guī)則集時(shí)，它們的效率下降的很快。

3、在深入研究Linux的IP協(xié)議棧，以及在大規(guī)則集時(shí)對(duì)防火墻的性能測(cè)試后，可以判斷，防火墻的順序查找算法是Linux防火墻的性能瓶頸，也是系統(tǒng)對(duì)IP包處理的性能瓶頸。 基于以上分析，本文提出了基于HiCuts的IPv6包分類算法。同時(shí)，也提出了對(duì)新的IPv6包分類算法的改進(jìn)方法，即bit位抽取的方法。通過(guò)對(duì)算法的改進(jìn)，防火墻的性能得到了很大的提高。 本文不光是在理論上對(duì)防火墻的算法和性能進(jìn)行分析，還要實(shí)現(xiàn)這個(gè)算法并最終寫入