有哪些开源的eBPF防火墙项目?

原创 于 2025-05-15 00:08:41 发布 · 842 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#开源 #防火墙 #eBPF

开源eBPF防火墙项目全景盘点

以下是当前活跃的主要开源eBPF防火墙项目,按照应用场景和技术特点分类:

一、云原生/Kubernetes防火墙

1. Cilium

  • GitHub: https://github.com/cilium/cilium
  • 核心能力
    // 示例:K8s NetworkPolicy的eBPF实现
type PolicyRule struct {
    SourceLabels map[string]string
    DestinationPort int
    Protocol string // "TCP"|"UDP"
    Action string   // "ALLOW"|"DENY"
}

func compileToBPF(rules []PolicyRule) []bpf.Instruction {
    // 将K8s策略编译为eBPF字节码
}
  • 技术亮点
    • 替代kube-proxy实现服务发现
    • 支持L3-L7网络策略
    • 与Envoy集成实现API网关功能

2. Calico eBPF模式

  • 项目地址: https://projectcalico.docs.tigera.io/about/about-ebpf
  • 架构创新
    传统iptables规则 → eBPF编译器 → 优化的eBPF程序
                  ↓
内核中执行的高性能策略匹配
  • 性能对比
    操作iptables模式eBPF模式
    策略更新延迟500-1000ms<10ms
    连接追踪内存1.5MB/连接0.3MB/连接

二、主机级防火墙

3. OpenSnitch

  • GitHub: https://github.com/evilsocket/opensnitch
  • 独特功能
    # 基于应用行为的规则示例
rule = {
    "name": "Block可疑Python",
    "condition": {
        "binary": "/usr/bin/python*",
        "dst_port": ">1024",
        "dst_ip": "!192.168.1.0/24"
    },
    "action": "deny"
}
  • 特色
    • 图形化实时连接监控
    • 支持进程树跟踪
    • 类似Little Snitch的交互式弹窗

4. bpfilter

  • 内核文档: https://www.kernel.org/doc/html/latest/networking/bpfilter.html
  • 技术实现
    // 内核模块将iptables规则转译为eBPF
static struct nf_hook_ops bpfilter_ops = {
    .hook = bpfilter_nf_hook,
    .pf = NFPROTO_IPV4,
    .hooknum = NF_INET_LOCAL_IN,
    .priority = NF_IP_PRI_FILTER - 1,
};
  • 优势
    • 兼容现有iptables规则集
    • 内核内置,无需额外依赖

三、网络层防火墙

5. Merbridge

  • GitHub: https://github.com/merbridge/merbridge
  • 服务网格加速
    传统iptables
    eBPF绕过
    Pod
    istio-proxy
    直接通信
  • 性能提升
    • 减少服务网格延迟达90%
    • 降低CPU使用率70%

6. L3AF

  • 项目地址: https://github.com/l3af-project
  • 架构设计
    控制平面 ──┬─ eBPF程序管理
          ├─ 规则分发
          └─ 监控指标收集
  • 特色功能
    • 支持eBPF程序热加载
    • 提供REST API管理接口

四、开发框架类

7. libbpf-bootstrap

  • GitHub: https://github.com/libbpf/libbpf-bootstrap
  • 防火墙模板包含
    // 示例防火墙骨架代码
SEC("xdp")
int firewall(struct xdp_md *ctx) {
    struct cursor c;
    struct pkt_ctx pkt;
    
    if (!parse_packet(&c, &pkt, ctx))
        return XDP_PASS;

    return apply_rules(&pkt); // 规则匹配核心逻辑
}
  • 优势
    • 提供完整构建系统
    • 包含CO-RE(Compile Once-Run Everywhere)支持

8. redbpf

  • GitHub: https://github.com/foniod/redbpf
  • Rust实现示例
    #[xdp]
fn firewall(ctx: XdpContext) -> XdpResult {
    let eth = ctx.eth()?;
    if eth.ether_type != EtherType::Ipv4 {
        return Ok(XdpAction::Pass);
    }
    
    let ip = ctx.ip()?;
    if is_blocked(ip.src_addr, ip.dst_addr) {
        Ok(XdpAction::Drop)
    } else {
        Ok(XdpAction::Pass)
    }
}
  • 特点
    • 内存安全保证
    • 异步监控接口

五、特殊场景方案

9. eBPF for Windows

  • GitHub: https://github.com/microsoft/ebpf-for-windows
  • 防火墙扩展
    // Windows过滤驱动集成
NTSTATUS FilterAttach(
    _Inout_ PFLT_FILTER Filter,
    _In_ PFLT_INSTANCE Instance,
    _In_ FLT_CONTEXT_TYPE ContextType,
    _In_ ULONG Size)
{
    return EbpfProgramAttach(Filter, Instance);
}
  • 应用场景
    • Windows容器网络策略
    • 主机入侵防御

10. Polycube

  • GitHub: https://github.com/polycube-network/polycube
  • 模块化架构
    防火墙模块 ──┬─ 状态检测
           ├─ NAT转换
           └─ 负载均衡
  • 特色
    • 支持DSL定义网络功能
    • 可组合的服务链

技术对比表

项目主要语言核心优势适用场景生产就绪度
CiliumGo/CK8s深度集成,全栈可观测性云原生环境★★★★★
Calico eBPFGo从iptables平滑迁移混合云部署★★★★☆
OpenSnitchPython应用级精细控制,GUI管理开发工作站★★★☆☆
MerbridgeGo服务网格零侵入加速Istio/Linkerd环境★★★★☆
PolycubeC++模块化网络功能链网络功能虚拟化★★★☆☆

部署建议

Kubernetes环境

# Cilium安装示例
helm install cilium cilium/cilium \
  --namespace kube-system \
  --set ebpffirewall.enabled=true \
  --set kubeProxyReplacement=strict

主机防护

# OpenSnitch安装
sudo apt install opensnitch
sudo systemctl enable opensnitchd

开发测试

# 使用libbpf-bootstrap创建防火墙项目
git clone https://github.com/libbpf/libbpf-bootstrap
cd libbpf-bootstrap/examples/c
make firewall
sudo ./firewall -i eth0

未来发展方向

  1. 硬件卸载:将eBPF防火墙规则编译为SmartNIC可执行代码

    • 如NVIDIA BlueField DPU支持

  2. AI集成

    # 动态规则生成示例
model = load_anomaly_detection_model()
while True:
    flows = get_flow_stats(bpf_map)
    new_rules = model.generate_rules(flows)
    update_bpf_firewall(new_rules)

  3. 标准化

    • IETF正在制定的eBPF防火墙接口标准
    • CNCF的eBPF工作组成立

这些开源项目展示了eBPF防火墙技术的多样性和创新潜力,从云原生安全到主机防护,为不同场景提供了高性能的解决方案。开发者可以根据具体需求选择合适的项目作为基础进行二次开发。

UUSEC WAF:运维人员的网站安全守护神,免费开源的Web应用防火墙
TechEnthusiast的博客
06-06 252
UUSEC WAF是一款业界领先的免费开源Web应用防火墙(WAF),它支持AI和语义引擎,具备三层防护,包括流量层、系统层和运行时层,专门针对网站被攻击的问题定制解决方案。不论你是新手运维还是高手,都能迅速上手并获得强大的安全能力。fill:#333;color:#333;color:#333;fill:none;UUSEC WAF流量层防护系统层防护运行时层防护AI智能防御CDN加速语义引擎进程限制网络活动监控RASP技术实时拦截。
基于eBPF开源项目
eBPF_Kindling的博客
04-29 1075
引言 真正意义上的eBPF技术虽然诞生还不到十年时间(2014年首次提出eBPF概念),但已经发展成为当下炙手可热的技术。去年8月,由微软、谷歌、Facebook(已更名为meta) 等公司联合成立了eBPF基金会,大力发展eBPF技术。最近几年,eBPF技术在国内也得到了广泛应用,很多大厂也开始关注并采用eBPF技术。 eBPF简介 eBPF是extended BPF的缩写,而BPF是Berkeley Packet Filter的缩写。对linux网络比较熟悉的小伙伴对BPF应该比较了解,它通过特定的语法
开源版WEB应用防火墙-WAF
fangyingquano的专栏
09-04 4921
修补Web安全漏洞,是Web应用开发者最头痛的问题,没人会知道下一秒有什么样的漏洞出现,会为Web应用带来什么样的危害。由于nginx配置文件书写不方便,并且实现白名单功能很复杂,nginx的白名单也不适用于CC攻击,所以在这里使用nginx+lua来实现WAF,如果想使用lua,须在编译nginx的时候配置上lua,或者结合OpenResty使用,此方法不需要编译nginx时候指定lua。日志显示包含:记录了UA,匹配规则,URL,攻击IP,攻击时间,攻击的类型,请求的数据 ,访问域名。
网络安全_(开源防火墙
weixin_43603708的博客
08-09 1016
[pfSense GitHub仓库](https://github.com/pfsense/pfsense)- [OPNsense GitHub仓库](https://github.com/opnsense/core)- [iptables Git仓库](http://git.netfilter.org/iptables/)- [nftables Git仓库](http://git.netfilter.org/nftables/)- 下载方式:可通过Git命令克隆仓库,
eBPF for Windows开源项目
ejinxian的专栏
08-13 521
新的开源项目eBPF for Windows,以使 eBPF 在 Windows 10 和 Windows Server 2016 及更高版本上工作 eBPF 是 kernel 3.15 中引入的新设计,将原先的 BPF 发展成一个指令集更复杂、应用范围更广的“内核虚拟机”,以提供更多的可编程性、可扩展性和敏捷性。为了防止注入的代码导致内核崩溃,eBPF 会对注入的代码进行严格检查,拒绝不合格的代码的注入。 ebpf for windows 采用了几个现有的 eBPF 开源项目,包括 IOV..
eBPF 开源项目教程
gitblog_00686的博客
08-21 767
eBPF 开源项目教程 1. 项目的目录结构及介绍 eBPF 项目的目录结构如下: ebpf/ ├── bpf/ │ ├── examples/ │ ├── include/ │ ├── lib/ │ └── test/ ├── cmd/ │ ├── bpftool/ │ ├── cilium/ │ ├── iproute2/ │ └── test/ ├── con...
eBPF 开源项目指南
gitblog_00432的博客
08-23 362
eBPF 开源项目指南 本指南旨在深入解析位于 https://github.com/newtools/ebpf.git 的eBPF开源项目eBPF(Extended BPF)是一种内核技术,允许运行沙盒化的程序来监控和操纵系统行为。接下来,我们将探讨该项目的三个关键方面:目录结构及介绍、启动文件介绍、以及配置文件介绍。 项目目录结构及介绍 eBPF项目遵循了典型的开源软件组织模式,其大致结构如...
开源Linux防火墙
网络研究观
06-04 2090
功能齐全的 Linux 防火墙
awesome-ebpf:与eBPF相关的精选项目的精选列表
01-31
该列表包含了多个开源项目、教程、文档和工具,它们涵盖了从入门到高级的各个层次,有助于学习和实践eBPF技术。其中可能包括: 1. **教程与指南**:详尽的教程,如"BPF CO-RE介绍",帮助初学者理解eBPF的编译和加载...
基于eBPF的云原生可观测性开源项目Kindling之容器网络定界
eBPF_Kindling的博客
05-20 896
背景随着kubernetes逐渐成为应用部署的事实标准,开发运维人员可以更便捷的部署、拓展应用程序,同时也带来了一系列的云上疑难杂症,其中最让人头疼的莫过于网络问题。本文将尝试探索容器网络的定界问题。
android 流量统计工具,eBPF 流量监控  |  Android 开源项目  |  Android Open Source Project...
weixin_32537029的博客
05-25 1164
eBPF 网络流量工具可结合使用内核与用户空间实现来监控设备自上次启动以来的网络使用情况,它提供了额外的功能(如套接字标记、分离前台/后台流量,以及按 UID 划分的防火墙),以根据手机状态阻止应用访问网络。从该工具收集的统计数据存储在称为 eBPF maps 的内核数据结构中,并且相应结果由 NetworkStatsService 等服务用来提供自设备上次启动以来的持久流量统计数据。示例和源代码...
【深入研究防火墙和IDS的底层原理吧】
最新发布
lianafany的博客
02-09 964
想深入研究防火墙和IDS的底层原理,甚至要学习源代码和开发自定义模块。首先,我需要确定用户的技术背景。他们可能已经有一定的网络和安全基础,但可能对内核层面的开发不太熟悉。接下来,用户的需求不仅仅是理论,而是实际的代码分析和开发,所以需要提供具体的步骤和资源。用户之前的问题是关于性能优化和故障排除,现在转向更底层的安全技术,说明他们可能在向系统安全领域深入。需要确保回答既涵盖理论,又包括实践,比如推荐具体的开源项目和源码分析方向。防火墙和IDS涉及的内容很多,需要分块讲解。
基于eBPF的云原生可观测性开源项目Kindling之网络详情面板
eBPF_Kindling的博客
07-04 498
本文主要介绍Kindling网络详情面板
linux开源防火墙系统,LuLu:一款macOS的开源防火墙
weixin_31937289的博客
05-13 730
LuLu是一款macOS下的免费且开源防火墙,其主要用于阻止未经授权的(传出)网络流量,除非用户明确允许:完整的细节和使用说明可以点此查看。LuLu的初心是打造一款简单易用的防火墙,因此在使用上也存在着局限性。其中的一些不足之处将在后续的开发中得到补充,而对于部分设计则是我们已经确定好的不会再做添加。网络监控根据设计,LuLu只对传出网络连接进行监控,可以配合Apple内置的防火墙使用(阻止未经授...
推荐开源项目:SysinternalsEBPF - 强大的eBPF工具库
gitblog_00033的博客
05-30 589
推荐开源项目:SysinternalsEBPF - 强大的eBPF工具库 1、项目介绍 SysinternalsEBPF 是一个强大的Linux内核扩展工具库,它利用了现代内核的eXtended Berkeley Packet Filter(eBPF)框架。这个项目旨在帮助开发者自动发现和操作内核结构体中的成员偏移量,提供了一个易于使用的接口来编写eBPF程序。不仅如此,它还包含了详细的文档和一个...
探索现代系统监控新境界:cilium/ebpf 开源项目深入解析
gitblog_00538的博客
08-26 652
探索现代系统监控新境界:cilium/ebpf 开源项目深入解析 在当今瞬息万变的云计算和容器化环境中,高效且精准的系统监控变得至关重要。曾经风光一时的eBPF库虽然已停止维护,但接力棒已传递至明星项目——cilium/ebpf,它以其几乎兼容的API,为我们开启了系统可观测性的新篇章。本文旨在深度剖析cilium/ebpf的强大之处,揭示其如何成为现代技术栈中不可或缺的一员。 项目介绍 cil...
基于eBPF技术的开源项目Kindling之探针架构介绍
eBPF_Kindling的博客
04-21 1139
Kindling开源项目是一款基于eBPF技术的云原生可观测性项目。本文将主要介绍Kindling探针的具体架构设计。
探索未来的内核技术:Awesome eBPF 开源项目深度解析
gitblog_00030的博客
06-14 459
探索未来的内核技术:Awesome eBPF 开源项目深度解析 在快速演进的开源世界中,有一颗璀璨的技术新星——eBPF(扩展Berkeley Packet Filter),它正以前所未有的方式重塑我们对系统监控、网络安全和性能优化的理解。今天,我们将深入探讨一个专门围绕这一革命性技术构建的精彩项目 —— Awesome eBPF项目介绍 Awesome eBPF,正如其名,是一个精心策划的资...
Generic eBPF 运行时:开源项目的深度探索
gitblog_00843的博客
01-13 323
Generic eBPF 运行时:开源项目的深度探索 一、项目基础介绍 Generic eBPF 运行时是一个开源项目,旨在提供一个通用的 eBPF(Extended Berkeley Packet Filter)运行环境。该项目主要由 C 和 C++ 编程语言开发,通过高效的数据处理和灵活的编程模型,为用户空间和内核空间提供强大的支持。 二、项目核心功能 该项目主要包括以下核心功能: eBPF...
掌握GitHub热门Android开源项目源码
GitHub作为一个代码托管平台,汇聚了全球数百万开发者,其中不乏优秀的Android开源项目开源项目是指其源代码可以被公众获取和使用的项目,通常包含一个社区来维护和改进这些代码。Android作为最流行的移动操作系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值