多功能安全网关的开发与研究

摘 要：本文主要介绍基于m0n0开源系统进行安全网关的开发与研究，最终构建出多功能安全网关系统，以满足中小型企业用户的内网安全需求。

关键词：m0n0；安全网关；多功能

1 引言

目前，对于小区宽带、网吧、学校、宾馆等众多中小型企业用户而言，多功能安全网关已成为企业用户网络环境正常运行的重要网络设备之一，这些企业用户购买的Internet接入设备不仅能够有效的使用Internet网络资源，而且还需要具有一定的安全性和稳定性，以保证企业内网的高效有续运行，此外可管理和多用途也是近年来随着企业用户的实际需求发生而产生的新的设备发展方向。比如小区宽带用户需要高速网络接入、带宽独占而且最好是资费较低，在这种情况下，如果每家都使用ISP的ADSL拨号上网，虽然能够保证高带宽和带宽独占，但是接入成本相对较高，而且更多的时候用户不上网的时候带宽是被浪费的。在这种情况下，如果以小区为单位建立小型的ISP，使用这类多功能安全网关，申请一定量的高速网络带宽，然后按照小区ADSL的形式提供用户端接入，这样就可以很好的解决前面提到的问题，关键是这类产品带来的最大实惠就是极大的降低了网络接入的资费。m0n0是一款优秀的开源防火墙系统，基于该系统开发，按照用户需求，构建一款多功能的安全网关产品，这就是本文的出发点所在。

2 m0n0防火墙系统简介

m0n0开源安全网关最初由瑞士人Manuel Kasper开发的基于X86平台的嵌入式安全网关系统，目的是构建一个简单、高效、自由、安全的嵌入式安全网关，实现使用较小成本就可以得到和昂贵的商业安全网关相同或相近的功能特性。该开源项目经过多年的发展和壮大，到目前为止全球已有数以万计的人员参与项目的开发和推广工作，安全网关已具备大部分商业安全网关的网络功能，并且越来越受到中小型企业用户的欢迎。

但由于m0n0是传统的网络层安全网关，应用层功能较弱，还有很大的扩展空间，特别是基于插件管理平台进行功能模块扩展的思想对于该开源安全网关的应用和推广有着极其重要的意义。

3 多功能安全网关的整体设计

多功能安全网关的设计是在原有系统的基础上通过多功能模块管理平台进行功能模块管理，系统整体设计如图1所示。

如上图所示，本防火墙系统是在M0n0的原有功能基础之上进行的二次开发，除进一步增加和完善必要的功能模块之外，还应用多功能模块管理平台统一进行模块的管理和维护，而且各个子系统和基本防火墙系统分处于不同的文件系统当中，以实现对基本系统的保护和第三方功能模块的灵活扩充。

M0n0原有平台的基本功能模块有访问控制、VPN、NAT/PAT、日志审计、流量控制、SNMP、DHCP中继、动态DNS、上网认证、静态路由、VLAN中继等。

在上述基本平台的基础之上开发多功能模块管理平台，负责上传新开发或者修改好的功能模块，生成模块对应的运行空间（独立文件系统），自动进行系统文件布局和配置文件的保存备份，以及功能模块的修改删除等操作。该系统的实现使得安全网关的模块管理成为一种可能，而且通过生成独立运行空间，使得各个子系统和主系统可以各自独立稳定运行。

在该安全网关当中，所谓的多功能就是通过各个模块实现的，结合目前企业的实际需求设计的应用模块主要为如下四种（由于各个模块又是一个独立的小系统，所以下文中我们将其称之为子系统），各个模块的功能特性如下。

模板式流控模块：模板式流控模块子系统是在dummynet+IPFW流量控制的基础上提出的一种模板式流控解决方案，按照网吧网络、办公环境、集体网络、家庭网络等几种不同的网络类型各自特点开发与之对应的系列流量模板，最终实现针对某一网络环境的流量管理策略，避免手工安排规则、管道、队列等复杂流控元素的困扰。

双线接入模块：双线接入模块子系统是在原有防火墙单线接入的基础上引入的双线解决方案，实现网吧、学校等特殊网络环境对双线网络接入的实际需求。通过该子系统可以实现两条线路的流量负载均衡、主从线路设置以及线路备份等功能，增加企业网络的稳定性。

网络计费模块：网络计费模块子系统是为了满足网吧、学校、宾馆的特殊需求开发的一个计费模块，该系统可根据共享账号、独立账号等不同的角色开展计费工作；而且独立账号还可以按照特权账号、包月账号、计时账号等属性进行计费，实现对网络使用者的管理和控制。

上网行为管理模块：此外将第三方软件Panabit制作成为一款功能模块集成到系统当中，也是该安全网关的一个创新所在。该软件是一款FreeBSD下的优秀上网行为管理软件，通过该软件实现对所有用户的网络访问、流量控制、日志审计融为一体，为实现全面的网络管理和监控奠定基础。

[参考文献]

[1]魏利华.安全网关技术及其性能研究[J].能源研究与信息，2004，20（1）：57-62.

[2]郭伟.数据包过滤技术与安全网关设计[J].江汉大学学报，2001，（3）：17.