3.2 運行平臺及開發工具

　　Linux作為開放源代碼的操作系統[5]，性能穩定且安全性較高，有著廣泛的應用。自2.4內核以來的版本不僅支持IPv6協議棧，而且所采用的Netifilter/Iptables框架引入了模塊化的構建方式，可以方便地實現IPv6防火墻。并且還得利用MySql數據庫來保存信息。開發工具為C語言。

　　3.3 基于流過濾技術的IPv6防火墻系統設計

　　3.3.1 防火墻設計圖

　　圖4 IPv6防火墻設計圖

　　3.3.2 本文設計各模塊實現的功能

　　數據包捕獲模塊：實現對IPv6數據包的捕獲，并進行報文分類。

　　包過濾模塊：實現對非關鍵報文的過濾。

　　流過濾模塊：實現對關鍵報文的重組過濾。

　　控管規則模塊：負責對過濾規則進行控制和管理。

　　報警信息記錄模塊：負責將報警信息記錄進日志數據庫，并將報警信息交給客戶端處理。

　　客戶端模塊：查詢數據庫和查看報警信息。

　　3.4 實現過程

　　本文主要是利用Linux內核防火墻底層結構netfilter的高度可擴展性，對其功能進行擴展。Nefilter針對IPv6定義了若干個鉤子（HOOK），每個鉤子都是處理函數掛載點。當IPv6的數據包將按照一定的規則通過若干個鉤子時，就會觸發這些函數進行相關處理。本防火墻主要是數據經過鉤子NF­_IP6_FORWARD即數據包轉發時，對數據進行處理和控制，所以本防火墻的程序主要掛載在這個鉤子上。

　　4 實驗及結論

　　經測試本文設計的防火墻系統在IPv6網路環境中能夠獲得嚴格的IPv6訪問控制策略，實現對IPv6數據包的控制訪問；并且在流量大于100Mbps的千兆網卡上，丟包率小于萬分之（如表1所示），性能達到了防火墻行業的性能標準。

　　千兆網卡80%負載丟包率

　　5 結束語

　　本文在采用屏蔽子網防火墻體系結構基礎上，設計并實現了基于流過濾技術的IPv6防火墻系統，經實驗測試達到了防火墻行業的性能標準。但該系統卻打破了IPv6的端到端模式，在IPv6網絡中，端對端的通信是一種重要的通信方式也是IPv6的一個重要的優點。如何實現基于流過濾技術的IPv6端對端的防火墻系統將是本文下一步研究的重點。