随着计算机在工业控制上的广泛应用和网络安全的重要性的日益凸现，由于工控网络领域的特殊性，其需求的安全程度也比普通网络要高得多，否则就有造成重大工业生产事故的危险。国内在这一特殊领域几乎是空白，在工业控制场合往往用通用防火墙代替，由于大多通用防火墙采用单机，审核点少，配有ip地址（某些防火墙）等弱点，其在安全上的不完善性，使其不能胜任重要的工控场合，而通用防火墙的某些优点，比如支持高带宽和支持多网络层协议，则在工业控制场合毫无用武之地，如工控需求带宽一般不会超过10-Mbps，网络层协议几乎都是运行IP协议。

　　根据上述情形，笔者开发一个适用于工业控制场合的割断防火墙无疑是具有学术和市场潜力双重意义的。所提出了一种设计实现方案是：双工控主板采用USBdatacable互联，USB线传输采用非网络帖，并在多点做链路层级别的双向数据审核。整个防火墙四个接口均无IP地址（对外界来看相当于一根网线），没有任何主机能够登陆或者攻击。虽然四个接口均工作在链路层，但也能够对高层协议（IP，TCP，UDP等）进行跟踪和审核。为了提高带宽，提供双USBdatacable作负载均衡措施。

　　1项目整体框架与功能介绍1.1适用环境和整体流程介绍给出了工控网络割断防火墙框架图，其数据包流程是：主板1的网卡采用杂收模式监听所有到达该网卡的数据包，经过一次数据审核，用非网络帧的协议封装该网的待发送帧，然后再经过一次数据审核，工控网络割断防火墙框架图将该数据帧发向USBdatacalbe，在主板2的USBdata cable端接收该数据帧，经过第三次数据审核，通过解帧操作将该数据帧还原为以太网帧，再经过第四次数据审核，后通过主板2的网卡将以太网帧发送出去。

　　相反方向数据流程亦然。

　　1.2防火墙内核模块功能本系统基于开放源码的mix操作系统开发，通过定制修改添加其内核源代码来完成功能，在内核中做数据审核和数据转发既保证了其篼安全性也充分保收稿U期：2002 -08-06.杨润华，本科生，主研领域：操作系统内核技术，IP网络技术，网络安全技术。

　　证了效率。考虑到为了达到过滤高层协议的目标，必须充分利用Linux内核IP包过滤框架Netfilter来实现篼效可靠复杂规则的过滤，而同时IP网络协议在通信中占有优势，故只考虑对IP协议的支持。左边是该防火墙内核模块结构图。

　　优秀的操作系统内核防火墙框架之一。该模块负责割断防火墙IP及其上层协议（TCP，内核模块结构图UDP）的复杂规则过滤；USBdataframecheck：USB数据帔审核模块，检测该数据帧是否包括敏感内容；2割断防火墙实现的若干关键技术研究2.1Netfilter框架数据包的来源Linux内核IP包过滤框架Netfilter在其PREROUT-iNG的hookpoint默认是不接受任何非发往本机以太网卡的数据包的，即不接受包类型为PACKETOTHERHOST的数据包。因为在Linux标准内核ipinput.c中的IP协议接收函数ip一rev中有如下代码：的数据包陷入PROMISChookpoint.关键代码实现如下：Netfilter框架数据包的出口由于进人Netfilter框架流程的数据包终不是像普通数据包一样根据目的地址询路由表，然后向下一跳（nesthop）发送该数据包，而是在完成数据审核后根据输人设备选定输出设备（若从网卡收上来，则向USB接口发；若从USB接口收上来，则向网卡发）直接将该包发送出去，然后利用返回值NFSTOLEN通知Netfilter：数据包已经被挪用，无需对它做进一步处理。

　　的ipttarget模块来完成功能的。

　　ARP数据包的转发ARP数据包的接收函数位于arp.c中的aiprcv，其对于非发往本机网络接口的ARPPacket的操作是抛然后，需要做的操作是在做了一些正确性检之后，不应该做进一步处理，而是直接选择发送网络接口设备，发送一个与该ARPPacket―样的数据包。关键代码如下：后绕过常规处理流程，因为防火墙是不会接受任何数据包处理的，并且本身也不对外发送任何ARP包，这样也就没有任何主机能够窥探防火墙网络接口的MAC地址。

　　USBdatacable虚拟网卡驱动4种工作模的bulk模式）行为模拟以太网卡，必须为USBdatacable设备写虚拟网卡驱动程序。该虚拟网卡驱动程序需要完成如下两项工作：（下转第52页）由于原始24位BMP图像文件隐藏信息后，其数据部分字节数值多变化为1，该字节代表的像素多只变化了1/256，所以，已隐藏信息的BMP图像与未隐藏信息的BMP图像，用肉眼是看不出差别的；该算法中嵌入信息的容量与所选取的掩护图像的大小成正比，约为1：8（忽略文件头不能隐藏数据的54位字节）。

　　5信息隐藏技术的研究动态和发展现状在1994年的IEEE国际图像处理会议（ICIP*94），R.G.Schyndel等人次明确提出了“数字水印”的概念，从此掀起了现代信息隐藏技术研究的篼潮。目前已有的数字水印算法主要包括以下几种：（上接第39页）设备。

　　成；编写各项网络设备需要的操作函数并注册成netdev完成，下面给出初始化并注册网络设备的代码段：ethersetup（net）；3割断防火墙技术特点本工控割断防火墙放置于受保护区域和外网之间，可以直接采用串口配置防火墙参数，就可以达到保护敏感区域的目的。

　　纹理块映射编码方法；频率域数字水印方法。

　　目前，应用于数字图像的水印技术已被考虑写人JPEG 2000标准，这将进一步推动信息隐藏技术的发展。