周斌 黃絲 趙彥斌 袁瑞陽 蘇德虎

摘 要： 針對機(jī)載無線信息系統(tǒng)可能由地面網(wǎng)絡(luò)技術(shù)引入網(wǎng)絡(luò)安全威脅，因此機(jī)載網(wǎng)絡(luò)需要對數(shù)據(jù)包進(jìn)行過濾，根據(jù)規(guī)則限制數(shù)據(jù)傳輸。闡述了Iptables的工作原理，分析數(shù)據(jù)包過濾的規(guī)則操作及數(shù)據(jù)包的傳輸過程，及其在機(jī)載網(wǎng)絡(luò)上的應(yīng)用環(huán)境。對用Iptables在Linux上實(shí)現(xiàn)丟棄某IP數(shù)據(jù)包和阻止相關(guān)網(wǎng)頁訪問請求進(jìn)行實(shí)驗(yàn)，在此基礎(chǔ)上對基于Iptables的包過濾技術(shù)進(jìn)行研究。

關(guān)鍵詞： Iptables; 包過濾; 機(jī)載網(wǎng)絡(luò); Linux; 防火墻; 數(shù)據(jù)包

中圖分類號： TN711?34 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2018）09?0031?04

Abstract： Since the potential network security threats may be introduced in airborne wireless information system due to the ground network technology， it is necessary for the airborne network to filter the data packet and limit the data transmission according to the rules. The working principle of Iptables is expounded. The filtering rules operation， transmission process and application environment of data packet on airborne network are analyzed. The experiment of how to use the Iptables to realize the discarding of some IP data packets and prevention of related webpage access request on Linux was performed. On this basis， the data packet filtering technology based on Iptables is researched.

Keywords： Iptables; packet filtering; airborne network; Linux; firewall; data packet

0 引 言

民機(jī)機(jī)載信息系統(tǒng)是機(jī)載網(wǎng)絡(luò)和地面網(wǎng)絡(luò)的連接終端，機(jī)載無線網(wǎng)絡(luò)提供一種無線通信連接，通過連接使用網(wǎng)絡(luò)協(xié)議（IP）提供飛機(jī)網(wǎng)絡(luò)與地面網(wǎng)絡(luò)基礎(chǔ)設(shè)施之間的服務(wù)[1]。在帶來機(jī)載信息與地面網(wǎng)絡(luò)信息傳遞便利的同時(shí)，針對機(jī)載網(wǎng)絡(luò)的安全性設(shè)計(jì)也更加重要。對于機(jī)載信息系統(tǒng)面臨的安全威脅，主要來自無線局域網(wǎng)技術(shù)和傳統(tǒng)互聯(lián)網(wǎng)技術(shù)。無線局域網(wǎng)技術(shù)會遇到各種安全威脅，比如電磁干擾。另外，在機(jī)載網(wǎng)絡(luò)的安全機(jī)制上還有一定的改善空間。

根據(jù)以上背景分析，包過濾防火墻技術(shù)是保護(hù)機(jī)載信息系統(tǒng)安全所必備的基礎(chǔ)服務(wù)。包過濾技術(shù)在機(jī)載無線網(wǎng)絡(luò)連接建立后，可以根據(jù)Iptables設(shè)定的規(guī)則限制特定數(shù)據(jù)傳輸，并能防范拒絕服務(wù)等常見的網(wǎng)絡(luò)攻擊。

Iptables作為防火墻工具，是建立在Netfilter架構(gòu)基礎(chǔ)上的一個(gè)包過濾管理工具，提供數(shù)據(jù)包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換以及數(shù)據(jù)包處理等功能，用來指定Netfilter規(guī)則[2]。它是Linux2.4.x系統(tǒng)自帶的防火墻子系統(tǒng)，由于其功能強(qiáng)大、使用靈活，因此廣泛使用于中小型企業(yè)的網(wǎng)絡(luò)接入服務(wù)器[3]。Iptables用來管理Linux防火墻的命令程序，經(jīng)過Iptables修改后存儲在Netfilter里，是屬于“用戶態(tài)”（User Space，又稱為用戶空間）的防火墻管理體系。Netfilter集成在內(nèi)核中，它定義了存儲的各種規(guī)則，屬于“內(nèi)核態(tài)”（Kernel Space，又稱為內(nèi)核空間）的防火墻功能體系[4]。

本文研究了基于Iptables的數(shù)據(jù)包內(nèi)容過濾技術(shù)，以及其在機(jī)載網(wǎng)絡(luò)中的應(yīng)用，從而提高機(jī)載網(wǎng)絡(luò)的安全性。在進(jìn)行某些機(jī)載信息測試實(shí)驗(yàn)時(shí)，可能需要模擬某設(shè)備和環(huán)境斷連的場景，就可以通過丟棄某IP數(shù)據(jù)包，而不用去地面網(wǎng)絡(luò)的實(shí)驗(yàn)室機(jī)房插拔網(wǎng)線或后插板等繁瑣體力操作，更方便實(shí)用。此外，為了防止上班時(shí)間員工花費(fèi)大部分時(shí)間在非工作網(wǎng)頁上，可通過Iptables對相關(guān)數(shù)據(jù)包過濾規(guī)則進(jìn)行設(shè)定，阻止相關(guān)網(wǎng)頁訪問請求，并對該過程詳細(xì)分析。在以上兩個(gè)實(shí)例基礎(chǔ)上，最后還分析了Iptables在機(jī)載網(wǎng)絡(luò)上的應(yīng)用環(huán)境。數(shù)據(jù)包的過濾為人們提供了便利，并大大提高了網(wǎng)絡(luò)的安全性。

1 應(yīng)用場景及Iptables的工作原理

1.1 機(jī)載網(wǎng)絡(luò)的場景

機(jī)載信息系統(tǒng)包括飛機(jī)網(wǎng)絡(luò)部分與地面網(wǎng)絡(luò)部分。飛機(jī)網(wǎng)絡(luò)部分包括飛機(jī)網(wǎng)絡(luò)、飛機(jī)數(shù)據(jù)加/卸載子系統(tǒng)和飛機(jī)無線子系統(tǒng)等部分[5]。地面網(wǎng)絡(luò)部分則包括機(jī)場網(wǎng)絡(luò)、互聯(lián)網(wǎng)絡(luò)、航空公司網(wǎng)絡(luò)、機(jī)場無線子系統(tǒng)和航空公司數(shù)據(jù)加載子系統(tǒng)等部分。機(jī)載信息系統(tǒng)與地面網(wǎng)絡(luò)架構(gòu)如圖1所示。

飛機(jī)網(wǎng)絡(luò)和地面網(wǎng)絡(luò)要提供一些基本的安全措施，本文論述的方法就是通過在各個(gè)網(wǎng)絡(luò)之間的防火墻處使用Iptables，通過Iptables構(gòu)建自己定制的規(guī)則，這些規(guī)則存儲在內(nèi)核空間的信息包過濾表中。通過這些規(guī)則，可以知道內(nèi)核對來自機(jī)場網(wǎng)絡(luò)（航空公司網(wǎng)絡(luò)）、前往航空公司網(wǎng)絡(luò)（機(jī)場網(wǎng)絡(luò)）的信息包需要做哪些相應(yīng)的操作（如DROP，ACCEPT和REJECT）。若某個(gè)信息包與規(guī)則相匹配，則航空公司網(wǎng)絡(luò)（機(jī)場網(wǎng)絡(luò)）允許（ACCEPT）該信息包通過。若信息包與規(guī)則不匹配，則航空公司網(wǎng)絡(luò)（機(jī)場網(wǎng)絡(luò)）通過DROP或REJECT來阻塞并殺死該信息包。

1.2 Iptables的工作原理

在機(jī)載網(wǎng)絡(luò)中，Iptables包過濾防火墻技術(shù)主要在網(wǎng)絡(luò)層或傳輸層進(jìn)行控制通信。Iptables利用數(shù)據(jù)過濾機(jī)制，它通過分析數(shù)據(jù)包頭，根據(jù)包頭數(shù)據(jù)與定義的規(guī)則判斷并決定該數(shù)據(jù)包可以進(jìn)入主機(jī)還是被丟棄。

在Iptables中至少包含三個(gè)內(nèi)建表，NAT表管理后端主機(jī)、Filter表管理本機(jī)數(shù)據(jù)包進(jìn)出、Mangle表管理特殊標(biāo)志使用。Iptables可以控制三種數(shù)據(jù)包的流向[6]，如圖2所示。

1） 通過Linux主機(jī)接收數(shù)據(jù)包，并且使用資源。如果信息包源自外界并前往系統(tǒng)，而且防火墻是打開的，那么內(nèi)核將它傳遞到內(nèi)核空間信息包過濾表Filter表INPUT鏈。

2） 通過Linux主機(jī)傳遞數(shù)據(jù)包，并且沒有使用主機(jī)資源，而是向后端主機(jī)流動。在路由判斷之前先對數(shù)據(jù)包包頭進(jìn)行修訂，若發(fā)現(xiàn)數(shù)據(jù)包主要是通過防火墻去后端，則該數(shù)據(jù)包的目標(biāo)并非Linux本機(jī)。此時(shí)主要經(jīng)過的鏈?zhǔn)荈ilter表中的FORWARD鏈以及NAT表中的POSTROUTING鏈和PREROUTING鏈。

3） 由Linux本機(jī)發(fā)送數(shù)據(jù)包。例如Linux主動發(fā)送數(shù)據(jù)包，以及響應(yīng)客戶端的請求。如果信息包源自系統(tǒng)內(nèi)部或系統(tǒng)所連接的內(nèi)部網(wǎng)上的其他源，并且此信息包要前往另一個(gè)外部系統(tǒng)，那么先由路由判斷決定輸出數(shù)據(jù)包的路徑后，信息包被傳遞到Filter表中的OUTPUT鏈，最終經(jīng)過NAT表中的POSTROUTING鏈。

2 包過濾實(shí)現(xiàn)及其在機(jī)載網(wǎng)絡(luò)的應(yīng)用

2.1 信息包過濾的工作原理

可以根據(jù)規(guī)則判斷出它所處理的信息包類型，并將規(guī)則分組在不同的鏈中。處理入站信息包的規(guī)則被添加到INPUT鏈中。若該規(guī)則處理出站信息包則被添加到OUTPUT鏈中。若該規(guī)則處理正在轉(zhuǎn)發(fā)的信息包，則被添加到FORWARD鏈中。這三條鏈?zhǔn)腔拘畔^濾表中內(nèi)置的缺省主鏈，每條鏈都有相應(yīng)一個(gè)默認(rèn)策略 “缺省目標(biāo)”，即要執(zhí)行的缺省操作。當(dāng)信息包與鏈中任何規(guī)則均不匹配時(shí)，則執(zhí)行此缺省操作[7]。

通過建立Iptables規(guī)則并將規(guī)則放置在適當(dāng)?shù)奈恢煤?，便可以開始進(jìn)行真正的信息包過濾工作了。此時(shí)從用戶空間轉(zhuǎn)換到內(nèi)核空間，也就是從Iptables到Netfilter的過渡。

若數(shù)據(jù)包從外網(wǎng)傳送到防火墻后，防火墻在IP層向TCP層傳送數(shù)據(jù)包前，會先將數(shù)據(jù)包轉(zhuǎn)發(fā)給檢查模塊進(jìn)行處理[8]。當(dāng)所有規(guī)則到達(dá)相應(yīng)的鏈表中后，就會將Iptables信息包的頭信息與它所傳遞到的鏈表中的相應(yīng)的每條規(guī)則進(jìn)行比較。若完全匹配則執(zhí)行相應(yīng)的操作，若不匹配則與下一條規(guī)則繼續(xù)比對，若與所有規(guī)則均不匹配，則執(zhí)行相應(yīng)的默認(rèn)操作，具體過程如圖3所示。

2.2 數(shù)據(jù)包過濾的實(shí)現(xiàn)

2.2.1 實(shí)驗(yàn)場景

在做某些機(jī)場網(wǎng)絡(luò)測試實(shí)驗(yàn)時(shí)，有可能需要模擬設(shè)備與機(jī)場環(huán)境斷連，普通的做法是去機(jī)房拔掉設(shè)備的網(wǎng)線。但是該方法很原始，若使用Linux的Iptables，可以簡單地實(shí)現(xiàn)丟棄特定IP的數(shù)據(jù)包，模擬斷連場景。

其次，由于發(fā)現(xiàn)辦公室員工過多的在上班時(shí)間濫用聊天工具和視頻網(wǎng)站，嚴(yán)重影響上班的工作效率，同時(shí)也影響了辦公室的工作帶寬。因此，可對相關(guān)的網(wǎng)站和應(yīng)用通過使用Iptables進(jìn)行上網(wǎng)過濾，阻止不希望被訪問的相關(guān)訪問請求。

最后，對Iptables包過濾在機(jī)載信息系統(tǒng)中的規(guī)則操作進(jìn)行分析。

2.2.2 具體實(shí)現(xiàn)及其在機(jī)載網(wǎng)絡(luò)的應(yīng)用

1） 利用Iptables丟棄某IP數(shù)據(jù)包

對IP連通性進(jìn)行通信測試。虛擬機(jī)下Linux系統(tǒng)的IP地址為192.168.65.128，Windows的IP地址為192.168.1.105，在利用Iptables對IP數(shù)據(jù)包操作之前，首先測試Windows系統(tǒng)與虛擬機(jī)的Linux系統(tǒng)下[9]的連通性，測試結(jié)果如圖4所示。

結(jié)果顯示，數(shù)據(jù)包全部被正確接收。表明此時(shí)Windows系統(tǒng)與Linux系統(tǒng)之間可以進(jìn)行相互通信。此時(shí)插入規(guī)則，丟棄此IP的所有協(xié)議請求，并查看所設(shè)置的規(guī)則，最后進(jìn)行結(jié)果測試，如圖5所示，可以看到此時(shí)數(shù)據(jù)包無法接收，全部丟失。

因此在這種環(huán)境下的測試，有些需要模擬某設(shè)備和環(huán)境斷連的場景就可以這樣完成。無需去實(shí)驗(yàn)室機(jī)房插拔網(wǎng)線或后插板等繁瑣體力操作，比較方便實(shí)用。

2） 阻止相關(guān)網(wǎng)頁訪問請求

以QQ的通信為例，為了防止上班時(shí)間員工花大部分時(shí)間在QQ聊天上，可以通過Iptables對相關(guān)數(shù)據(jù)包過濾規(guī)則進(jìn)行設(shè)定，丟棄QQ相關(guān)的所有數(shù)據(jù)包，則無法進(jìn)行通信。如圖6所示，首先設(shè)定數(shù)據(jù)包過濾規(guī)則，然后對設(shè)定的規(guī)則進(jìn)行查看。這種方式的優(yōu)點(diǎn)是效率高，幾乎不占用多余系統(tǒng)資源，而有些硬件路由器里集成的URL過濾功能則經(jīng)常會造成系統(tǒng)死機(jī)。

3） 包過濾在機(jī)載網(wǎng)絡(luò)中的應(yīng)用

對于機(jī)載信息系統(tǒng)而言，飛機(jī)網(wǎng)絡(luò)和地面網(wǎng)絡(luò)就需要通過包過濾防火墻技術(shù)在機(jī)載網(wǎng)絡(luò)或傳輸層控制通信，通過檢查數(shù)據(jù)包的源和目的地址、源和目的服務(wù)端口、包類型、包選項(xiàng)來阻塞或放行該包到其目的網(wǎng)絡(luò)或網(wǎng)段。根據(jù)Iptables設(shè)定的規(guī)則限制特定數(shù)據(jù)傳輸，并能夠防范拒絕服務(wù)等常見的網(wǎng)絡(luò)攻擊。如圖7所示，表示機(jī)載網(wǎng)絡(luò)中防火墻數(shù)據(jù)包過濾的規(guī)則操作及分析流程。

當(dāng)一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包要進(jìn)入到航空公司網(wǎng)絡(luò)之前，會先經(jīng)過Netfilter進(jìn)行檢查，也就是Iptables的規(guī)則。檢查通過則接受（ACCEPT）進(jìn)入航空公司網(wǎng)絡(luò)取得資源，不通過則丟棄（DROP）。從圖7就可看出規(guī)則是有順序的。當(dāng)網(wǎng)絡(luò)數(shù)據(jù)包開始與Rule1進(jìn)行比對時(shí)，若比對結(jié)果與Rule1符合，則這個(gè)網(wǎng)絡(luò)數(shù)據(jù)包就會進(jìn)行Action1的動作，而直接忽略Rule2，Rule3等規(guī)則。如果這個(gè)數(shù)據(jù)包與Rule1比對后并不符合，則進(jìn)入Rule2的比對。若所有的規(guī)則都不符合就會通過默認(rèn)操作（數(shù)據(jù)包策略，policy）決定這個(gè)數(shù)據(jù)包的去向。因此，當(dāng)規(guī)則順序排列錯(cuò)誤時(shí)，就會產(chǎn)生很嚴(yán)重的錯(cuò)誤。

由以上實(shí)驗(yàn)結(jié)果及分析可以得到，Iptables可以設(shè)置機(jī)載通信網(wǎng)絡(luò)中的防火墻策略，并且可以使所有轉(zhuǎn)發(fā)到機(jī)場網(wǎng)絡(luò)（或IP網(wǎng)絡(luò)）的數(shù)據(jù)包禁止通過，再根據(jù)需要設(shè)定數(shù)據(jù)包的過濾規(guī)則。

3 結(jié) 語

通過用戶態(tài)（Iptables）實(shí)現(xiàn)對內(nèi)核態(tài)（Netfilter）控制，從而實(shí)現(xiàn)基于Iptables的數(shù)據(jù)包過濾，靈活簡潔，易于使用。本文通過用Iptables在Linux上實(shí)現(xiàn)機(jī)載網(wǎng)絡(luò)中丟棄特定IP數(shù)據(jù)包和阻止相關(guān)網(wǎng)頁訪問請求，對基于Iptables的包過濾技術(shù)進(jìn)行研究。此外，本文對包過濾在機(jī)載網(wǎng)絡(luò)中的應(yīng)用也進(jìn)行了詳細(xì)的過程分析，是保護(hù)機(jī)載信息系統(tǒng)安全所必需的。

機(jī)載信息系統(tǒng)為了滿足飛機(jī)信息化發(fā)展的需要，為實(shí)現(xiàn)機(jī)場與飛機(jī)的信息化提供技術(shù)保障[10]。因此通過包過濾技術(shù)可在機(jī)載信息系統(tǒng)中的無線網(wǎng)絡(luò)連接建立后，根據(jù)Iptables設(shè)定的規(guī)則限制特定數(shù)據(jù)包傳輸，并能保證機(jī)載網(wǎng)絡(luò)中有效數(shù)據(jù)的傳輸，緩解了機(jī)載信息系統(tǒng)主要面臨來自無線局域網(wǎng)技術(shù)以及傳統(tǒng)互聯(lián)網(wǎng)技術(shù)的安全威脅。

參考文獻(xiàn)

[1] 史巖，朱佳，范祥輝，等.基于ARINC822的機(jī)載無線網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)[J].硅谷，2014，7（12）：44?45.

SHI Yan， ZHU Jia， FAN Xianghui， et al. Design of airborne wireless network security architecture based on ARINC822 [J]. Silicon valley， 2014， 7（12）： 44?45.

[2] 謝鵬，安利.基于Linux系統(tǒng)的防火墻技術(shù)設(shè)計(jì)與實(shí)現(xiàn)[J].工業(yè)，2016（2）：296.

XIE Peng， AN Li. Design and implementation of firewall based on Linux system [J]. Industry， 2016（2）： 296.

[3] 王維劍.基于netfilter/iptables防火墻的設(shè)計(jì)與實(shí)現(xiàn)[D].淮南：安徽理工大學(xué)，2012.

WANG Weijian. Netfilter/iptables firewall design and implementation [D]. Huainan： Anhui University of Technology， 2012.

[4] XUAN L， WU P. The optimization and implementation of Iptables rules set on Linux [C]// 2015 the 2nd International Confe?rence on Information Science and Control Engineering. [S.l.]： IEEE， 2015： 988?991.

[5] 陳劍，李曉東.機(jī)載信息系統(tǒng)無線網(wǎng)絡(luò)的安全設(shè)計(jì)[J].航空計(jì)算技術(shù)，2012，42（3）：130?134.

CHEN Jian， LI Xiaodong. Security design of airborne information system wireless networks [J]. Aeronautical computing technology， 2012， 42（3）： 130?134.

[6] 朱艷.Linux網(wǎng)絡(luò)防火墻Netfilter的數(shù)據(jù)包傳輸過濾原理[J].電子科技，2010，23（5）：94?95.

ZHU Yan. Principle of Netfilter packet transmission and transmission in Linux network firewall [J]. Electronic technology， 2010， 23（5）： 94?95.

[7] 高祥斌.基于Linux的Netfilter處理數(shù)據(jù)包的過程分析[J].硅谷，2009（13）：41.

GAO Xiangbin. Netfilter process analysis of packet based on Linux [J]. Silicon valley， 2009（13）： 41.

[8] 林燕.Iptables規(guī)則集的優(yōu)化設(shè)計(jì)[J].計(jì)算機(jī)時(shí)代，2015（2）：47?49.

LIN Yan. Optimization design of Iptables rules set [J]. Computer era， 2015（2）： 47?49.

[9] LEMUS?Z??IGA L G， BENLLOCH?DUALDE J V， MONTA?ANA J M， et al. Teaching computer networks using virtual machines [C]// 2015 International Conference on Information Technology Based Higher Education and Training. Lisbon： IEEE， 2015： 1?3.

[10] 曹全新.機(jī)載信息系統(tǒng)的應(yīng)用研究及發(fā)展趨勢初探[J].民用飛機(jī)設(shè)計(jì)與研究，2014（1）：72?76.

CAO Quanxin. Application research and development trend of airborne information system [J]. Civil aircraft design and research， 2014（1）： 72?76.