3.2 運行平臺及開發(fā)工具

　　Linux作為開放源代碼的操作系統(tǒng)[5]，性能穩(wěn)定且安全性較高，有著廣泛的應用。自2.4內核以來的版本不僅支持IPv6協(xié)議棧，而且所采用的Netifilter/Iptables框架引入了模塊化的構建方式，可以方便地實現(xiàn)IPv6防火墻。并且還得利用MySql數(shù)據(jù)庫來保存信息。開發(fā)工具為C語言。

　　3.3 基于流過濾技術的IPv6防火墻系統(tǒng)設計

　　3.3.1 防火墻設計圖

　　圖4 IPv6防火墻設計圖

　　3.3.2 本文設計各模塊實現(xiàn)的功能

　　數(shù)據(jù)包捕獲模塊：實現(xiàn)對IPv6數(shù)據(jù)包的捕獲，并進行報文分類。

　　包過濾模塊：實現(xiàn)對非關鍵報文的過濾。

　　流過濾模塊：實現(xiàn)對關鍵報文的重組過濾。

　　控管規(guī)則模塊：負責對過濾規(guī)則進行控制和管理。

　　報警信息記錄模塊：負責將報警信息記錄進日志數(shù)據(jù)庫，并將報警信息交給客戶端處理。

　　客戶端模塊：查詢數(shù)據(jù)庫和查看報警信息。

　　3.4 實現(xiàn)過程

　　本文主要是利用Linux內核防火墻底層結構netfilter的高度可擴展性，對其功能進行擴展。Nefilter針對IPv6定義了若干個鉤子（HOOK），每個鉤子都是處理函數(shù)掛載點。當IPv6的數(shù)據(jù)包將按照一定的規(guī)則通過若干個鉤子時，就會觸發(fā)這些函數(shù)進行相關處理。本防火墻主要是數(shù)據(jù)經過鉤子NF­_IP6_FORWARD即數(shù)據(jù)包轉發(fā)時，對數(shù)據(jù)進行處理和控制，所以本防火墻的程序主要掛載在這個鉤子上。

　　4 實驗及結論

　　經測試本文設計的防火墻系統(tǒng)在IPv6網(wǎng)路環(huán)境中能夠獲得嚴格的IPv6訪問控制策略，實現(xiàn)對IPv6數(shù)據(jù)包的控制訪問；并且在流量大于100Mbps的千兆網(wǎng)卡上，丟包率小于萬分之（如表1所示），性能達到了防火墻行業(yè)的性能標準。

　　千兆網(wǎng)卡80%負載丟包率

　　5 結束語

　　本文在采用屏蔽子網(wǎng)防火墻體系結構基礎上，設計并實現(xiàn)了基于流過濾技術的IPv6防火墻系統(tǒng)，經實驗測試達到了防火墻行業(yè)的性能標準。但該系統(tǒng)卻打破了IPv6的端到端模式，在IPv6網(wǎng)絡中，端對端的通信是一種重要的通信方式也是IPv6的一個重要的優(yōu)點。如何實現(xiàn)基于流過濾技術的IPv6端對端的防火墻系統(tǒng)將是本文下一步研究的重點。