（管理科学与工程专业论文）利用决策树提高防火墙过滤能力的研究.pdf

摘要 摘要 自计算机诞生以来，由于其高速处理能力使得计算机得到广泛地应用，而 计算机网络又把分散、孤立的计算机连接起来，使得相互间更加方便地传递信 息和共享信息。互联网正在不断改变我们工作、生活、学习以及娱乐的方式， 并给我们带来了极大的便利。但是，随着互联网的空前发展以及互联网技术的 不断普及，私人数据、重要的企业资源以及政府机密信息被前所未有的暴露在 公共网络空间中。因此，网络信息安全问题日益引起人们的重视。 防火墙技术是当今网络信息安全的核心技术之一，也是抵御外部网络攻击 的第一道屏障。所有要进入内网的数据必须要经过防火墙的严格检查，当数据 流量非常大的时候，防火墙会成为内外网通信的瓶颈，导致网络速度变慢甚至 瘫痪。因此，增强防火墙的过滤能力，提高防火墙的性能一直都是防火墙研究 领域中的重要内容。 传统的防火墙从检测规则冲突和调整规则排序两方面来提高防火墙性能， 但效果都不是很理想。本文从优化防火墙过滤域属性排序这样一个新角度，依 据信息增益理论构造决策树，然后根据决策树层次与防火墙过滤域属性排序的 对应关系，确定了过滤域属性的最优排序。实验表明，这个最优排序确实能够 显著地降低数据包与防火墙规则的元组比较的总次数，从而提高防火墙的过滤 能力。 关键词：防火墙决策树信息增益过滤域排序包分类 a b s t r a c t a b s t r a c t w i t ht h e d e v e l o p m e n to fc o m p u t e rs c i e n c ea n dh a r d w a r eo fa d v a n c e d c o m p u t e r s ，k g h - s p e e dc o m p u t e r sa r ec o 衄e c t e db yt h en e t w o r kt oc o m m u n i c a t ea n d d e l i v e rm e s s a g e s n l ew o r l dw i d ew e bi sc h a n g i n g 恤w a yw el i v e w o r k ，咖d y a 1 1 d r e c r e a t e ， m e a n t i m e b r i n gu sg r e a tc o n v e 血e n c e h o w e v e r ，p e r s o n a ld a t a ， i r r l p o i r c a n tr e s o u r c e si ne n t e 印r i s e sa n dc o 瓜i d e n t i a lh f o 册a t i o ni ng o v e m m e n ta r e e x p o s e da n dn 鹏a t e n e dw 油t h ep r e v a l e n c eo ft h en e t w o r k c o n s e q u e n t l y ，s e c u r i t y o fn e m o r ki n f o 肌a t i o n 抛a c t sm o r ea 1 1 dm o r ec o n c e mm n o w a d a v s a so n eo ft h ec o r et e c m q u e si nn e t w o r ki 1 1 f o m a t i o ns e c m i t y ，f i r e w a l li st h e f i r s tb a 盯i e rt op r e v e n te x t e m a ln e t 、v o r kf b m a t h n gn e n 试n e t v v o r k a n 也ed a t a 行d me x t e m a ln e 批o r kn e e dt ob ec h e c k e db yt 1 1 ef i r e 、v a l l s t r i c t l y t h ef i r e w a l l b e c o m e st 1 1 eb o t t l e n e c ko fc o m m u n i c a t i o n t hm ed a t ag r o w sw h i l et h es p e e do f n e “旧r ks l o w sd o 、v 1 1o re v e nb r e a l ( d o w n t h e r e f o r e ，i ti s o f 酉e a ts i g n i f i c a n c et o i m p r o v et h ef i l t r a t i o na b i l i t ) r2 l sw e l la st h ep e r f o m a n c eo ff l r e w a l l t h ep e 喻m a j l c e so ff i r e w a l l sa r ei m p r o v e db yd e t e c t i n gc o n f l i c t i o no fm l e s a n dr e g u l a t i n gs e q u e n c eo fm l e s h o w e v e r ，j ti sn o te a 、e c t i v e e n o u g l lf o rt 1 1 e s e c l a s s i c a lm e t h o d s b a s e do ni n f o 咖a t i o ng a i l lt l l e o r y ，t h i sp 印e r p r o p o s e dad e c i s i o n t r e ei nt h ea s p e c to ff i r e w a l lf i l t r a t i o n s e q u e n c i n g a 1 s om eo p t i m a ls e q u e n c eo f f i l t e r i n gd o m a i ni sd e t e r m i n e db yt 1 1 er e l a t i o l l s b j pb e t w e e nl e v e l so fd e c i s i o nt r e e a n ds e q u e n c eo ff i r e w a l lf i l t e r i n gd o m a i n c o m p u t a t i o n a le x p e r i m e n t ss h o wt h a tt 1 1 e n u m b e ro fc o m p 撕s o nb e t 、v e e nm e t ad a t a0 fd a t ap a c k a g ea i l df i r e 、v 2 l l lm l e si s s i g n i f i c a l l t l yd e c r e a s e d b yt h i ss e q u e n c i n gm e m o d n m st 1 1 ee m c i e n c yo ff i l t e 咖go f f l r e w a l l si sh 1 1 p r o v e dr e m a r k a b l y k e yw o r d s ：f i r e w a l l ，d e c i s i o nt r e e ，i n f 0 珊a t i o ng a i l l ，s e q u e n c eo ff l l t e 咖gd o m a j n ， p a c k e tc l a s s i f i c a t i o n i i 中国科学技术大学学位论文原创性声明 本人声明所呈交的学位论文，是本人在导师指导下进行研究工作所取得的 成果。除已特别加以标注和致谢的地方外，论文中不包含任何他人已经发表或 撰写过的研究成果。与我一同工作的同志对本研究所做的贡献均已在论文中作 了明确的说明。 作者签名：巫啦 签字日期塑p 中国科学技术大学学位论文授权使用声明 作为申请学位的条件之一，学位论文著作权拥有者授权中国科学技术大学 拥有学位论文的部分使用权，即：学校有权按有关规定向国家有关部门或机构 送交论文的复印件和电子版，允许论文被查阅和借阅，可以将学位论文编入有 关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论 文。本人提交的电子文档的内容和纸质论文的内容相一致。 保密的学位论文在解密后也遵守此规定。 名公开口保密( 年) 作者签名： 王丝当整 签字日期：2 1 灶 导师签名：至! 叠 签字日期： 第1 章绪论 1 1 引言 第1 章绪论 自计算机诞生以来，由于其高速处理能力使得计算机得到广泛地应用。随 着计算机性能的提高，计算机的应用领域越来越广，而计算机网络又把分散、 孤立的计算机连接起来，使得相互间更加方便地传递信息和共享信息。 目前计算机网络已经应用到社会中的各个领域，成为信息系统的一个最基 本、最重要的组成部分。企业使用计算机网络，可以迅速掌握市场信息，加快 市场反应速度，制定相应策略，增强企业竞争力；政府机关和事业单位使用计 算机网络，可以更快地上传下达，提高办事的效率，进而加速我国信息化建设 的进程。特别是近年来i n t e m e t 在全球的迅猛发展，1 1 1 t e m e t 技术已经广泛渗透 到政府、金融、商务、日常生活等各个领域，它给人类社会的进步带来了极大 的社会效益，据来自市场调研机构i d c 的一份最新报告称，预计在四年后的 2 0 1 2 年，全球网民将增长到1 9 亿，占到全球总人口的3 0 左右 1 】。 然而，另一方面，计算机网络也给我们带来了日益严峻的安全问题。这些 安全问题产生的原因是计算机信息易于共享和扩散，计算机信息在处理、存储 和传输的时候很可能被外界干扰、盗取、篡改、冒充等，而且它还可能感染计 算机病毒。近年来，计算机犯罪案件越来越多，计算机网络安全问题造成的损 失也越来越大，网络安全问题已成为计算机网络进一步发展的重大障碍。 ； 1 2 网络安全概述 1 2 1 网络安全的定义 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶 然的或者恶意的原因而遭到破坏、更改、泄露，系统能够连续可靠地正常运行， 网络服务不中断。网络安全从其本质上来讲就是基于网络的信息安全，它是一 门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、数据库、 应用数学、数论、信息论等多种学科的交叉综合的学科。 信息安全的内容已由保密性、完整性和可获性等数据安全概念，扩展到包 括鉴别、授权、访问控制、抗否认性和克服务性以及基于内容的个人隐私、知 识产权等方面的保护。上述几个方面的有机结合，构成了信息安全体系结构中 第l 章绪论 的安全服务，而这些安全问题又得依靠密码、数字签名、身份认证、防火墙、 安全审计、灾难恢复、防病毒、防黑客入侵等安全机制加以解决。其中，密码 技术和管理是信息安全的核心，安全标准和系统评估是构成信息安全的基础 2 】。 1 2 2 网络安全的要素 网络信息既包括存储在网络节点上的信息资源，又有传播于网络节点之间 的信息。一般说来，网络节点上的信息资源是静态的，称为静态信息；而节点 之间的信息是动态的，所以称动态信息。而这些静态信息和动态信息中有些是 开放的，如广告、公共信息等，有些则是保密的，如：私人间的通信、政府及 军事部门、商业机密等。 网络信息安全一般具有以下五方面的特征：机密性、完整性、可用性、可 控性及不可否认性 3 ，同时这五点也是网络安全的五个要素。 ( 1 ) 机密性：是指网络信息不被泄露给非授权的用户、实体或者过程，即 信息只能为授权用户使用。由于系统无法确认是否有未授权的用户窃听网络上 的数据，这就需要一种手段来对数据进行保密处理。通常采用数据加密技术来 实现这一目标的。加密后的数据能保证在传输、使用和转换过程中不被第三方 非法获取。数据经过加密变换后，明文转变成密文，只有经过授权的合法用户， 使用被授予的正确密钥，通过解密算法才能将密文转换成明文。除了使用各种 加密技术外，数据的存储保密性也可通过访问控制的方法来实现。网络和系统 管理员根据不同的数据类型和应用需求，对数据和用户进行分类，配置不同的 访问模式。 ( 2 ) 完整性：是指信息在存储或传输时不被修改、破坏，不出现信息包的 丢失、乱序等，即不能被未授权的第三方修改。完整性是信息安全的基本要求， 而破坏信息的完整性是影响信息安全的常用手段。当前，运行于互联网上的协 议( 如t c p i p ) 等，能保证信息在数据包级别的完整性，即做到了传输过程中 不丢失信息包，不重复接收信息包，但却无法制止未授权第三方对信息包内部 信息的修改。 ( 3 ) 可用性：是指可以被授权用户访问并按照需求使用的特性，即当需要 时用户能否存取所需的信息。对可用性攻击的例子有网络环境下的拒绝服务 ( d o s ) 、破坏网络和有关系统的正常运行等。可用性中的按需使用可通过鉴别 技术来实现，即每个实体都的确是其所说明的那个实体。但要保证系统和网络 中能够提供正常的服务，除了备份和冗余配置外，目前没有特别有效的方法。 ( 4 ) 可控性：是指可以控制授权范围内的信息流向及行为方式，对信息的 传播及内容具有控制能力。为保证可控性，首先系统能够控制谁能够访问系统 2 第l 章绪论 或网路上的数据，以及如何访问( 是只读还是修改等) ，通常通过访问控制列表 等方法来实现；其次需要对网络上的用户进行验证，可通过握手协议和身份验 证进行鉴别：最后要将用户的所有活动记录下来便于查询审计。 ( 5 ) 不可否认性：是指信息的行为人要对自己的信息行为负责，不能抵赖 自己曾有过的行为，也不能否认曾经接到对方的信息。这个在交易系统中十分 重要。通常将数字签名和公证机制同时使用来保证不可否认性。数字签名其实 是一个函数，输入为所保护的消息的所有比特位及一个秘密密钥，输出为一个 数值，其正确性可通过另一个密钥来检验。 1 2 3 目前主要的网络安全技术 一般认为，目前网络中存在的威胁主要表现在：非授权访问、信息泄露或 丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒【4 】。 针对目前网络所面临的各种威胁，人们也研究出了许多用于安全防御的技 术，下面是当前应用较为广泛的几种技术： ( 1 ) 防火墙技术 5 】 6 】。防火墙是一种将安全的私有网络( 又称可信任网 络) 和外部不可信任网络分开的方法，它实际上是一种隔离技术，是在两个网 络通讯时执行的一种访问控制手段。它能允许用户“同意 的人和数据进入网 络，同时将用户“不同意 的人和数据拒之门外，最大限度地阻止网络中的黑 客访问自己的网络，阻止他们更改、复制和破坏自己的重要信息。防火墙的功 能主要表现在访问控制、授权认证、地址转换、均衡负载等方面。它已经成为 目前保护内部网络最重要的安全技术之一。 ( 2 ) 防病毒技术【7 】。防病毒技术主要是通过自身常驻系统内存，通过监 视和判断系统中是否存在病毒，来阻止计算机病毒进入计算机系统，阻止病毒 对系统进行破坏，从而可以有效防止计算机病毒对系统造成的危害。现在，企 业在构建网络防病毒体系时，都会实施“层层设防，集中监管，以防为主、防 杀结合”的企业防毒策略。具体来讲，就是针对网络中所有可能的病毒攻击点 设置对应的防病毒软件，通过全方位、多层次的防毒系统设置，使企业网络免 受病毒的入侵和危害。 ( 3 ) 漏洞扫描技术 8 】。漏洞扫描主要通过以下两种方法来检查目标主机 是否存在漏洞：在端口扫描后得知目标主机开启的端口以及端口上的网络服务， 将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配，查看是否有满足 匹配条件的漏洞存在；通过模拟黑客的攻击手法，对目标主机系统进行攻击性 的安全漏洞扫描，如测试弱口令等。若模拟攻击成功，则表明目标主机系统存 在安全漏洞。 ( 4 ) i d s ( 入侵检测系统) 技术 9 】 1 0 】。i d s 技术是一种动态的网络检测 第1 章绪论 技术，用于识别对网络系统的恶意使用行为，包括来自外部用户的入侵行为和 内部用户的未经授权访问，一旦发现有网络入侵现象，则能够做出适当的反应。 它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从 中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，而进行入侵 检测的软件与硬件的组合便是入侵检测系统。作为旁路部署的i d s 可以及时发 现那些穿透防火墙的深层攻击行为作为防火墙的有益补充，但是它无法进行实 时的阻断。 ( 5 ) i p s ( 入侵防御系统) 技术【n 】。i p s 技术可以深度感知并检测流经网 络或者系统的数据流量，对恶意的报文进行丢弃以主动防御，对滥用报文进行 限流以保护网络带宽资源。简单地可以理解为i p s 就是防火墙加上i d s 。i p s 技术在i d s 监测的功能上又增加了主动响应的功能，力求做到一旦发现有攻击 行为，立即响应，主动切断连接，它的部署方式不像i d s 并联在网络中，而是 以串联的方式接入网络中。 ( 6 ) v p n ( 虚拟专用网) 技术【1 2 】。v p n 是一种通信环境，在这一环境中， 存取受到控制，目的在于只允许被确定为同一个共同体的内部同层( 对等) 连 接，而v p n 的构建则是通过对公共通信基础设施的通信介质进行某种逻辑分 割来进行的，其中基础通信介质提供基于非排他性网络的通信服务。同时，v p n 又是一种网络连接技术。v p n 通过共享通信基础设施为用户提供定制的网络连 接，这种定制的连接要求用户共享相同的安全性、优先级服务、可靠性和可管 理性策略，在共享的基础通信设施上采用隧道技术和特殊配置技术措施，仿真 点到点的连接。v p n 可以构建在两个端系统之间或两个组织机构之间、一个组 织机构内部的多个端系统之间或跨越全局性因特网的多个组织之间，以及单个 应用或组合应用之间。 ( 7 ) 安全审计技术【1 3 】。安全审计( s e c 面哆a u d i t i n g ) 是一个安全的网络 必须支持的功能特性。它主要负责对网络活动的各种日志记录信息进行分析和 处理，并识别各种已发生的和潜在的攻击活动，防止内部犯罪和事故后调查取 证，通过对一些重要的事件进行记录，从而在系统发现错误或受到攻击时能定 位错误和找到攻击成功的原因。审计信息应具有防止被非法删除和修改的措施。 审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的 工具。审计定义为系统中发生时间的记录和分析处理过程，它与系统日志( l 0 9 ) 相比，审计更关注安全问题。 1 3 选题背景及意义 4 第1 章绪论 随着互联网的发展，网络安全问题已经引起了学术界和工业界的广泛重视。 随着来自网络的攻击持续不断的增长，防火墙己经成为网络安全领域的一种核 心设备，并广泛应用于企业网络和小型的家庭网络。防火墙一般位于内部网络 和n e m e t 的边界，用来实现对进入内部网络连接的访问控制。但正是由于防 火墙是内外网之间的交通要道，要检查所有内外网之间相互交换的数据包，当 网络数据流量较大的时候，防火墙就会成为整个内部网络和1 1 1 t e m e t 通信的瓶 颈，导致网络速度减慢甚至于瘫痪 1 4 】。 防火墙中最核心的元素就是防火墙规则，而防火墙规则之间有千丝万缕的 联系，当防火墙的规则集很大时，管理和测试这些规则集是一件非常艰难且容 易出错的工作。当在网络结构发生变化时，需要更改或增加防火墙规则时，因 为防火墙规则的相关性，新加入的规则可能会与原有的规则相冲突，从而导致 新加入规则失效，或者原有策略发生改变。 因此，优化防火墙规则，增强防火墙的过滤能力，提高防火墙的性能一直 都是防火墙研究领域中的重要内容。 1 4 当前研究现状 国内外关于防火墙的研究主要集中于两大方面： ( 1 ) 防火墙规则间的冲突检测：这是与安全直接相关的。防火墙规则在设 定、添加、删除和修改的过程中，都有可能引发规则间的冲突，带来安全隐患。 为了解决这一问题，文献【1 5 通过建立c s p ( c o n s t r a j n ts a t i s f a c t i o np r o b l e m ) 去 侦测安全策略和规则集合间的矛盾；文献 1 6 通过对规则的归并和删除，集中 解决防火墙规则冲突，但是无形中增加了规则的复杂程度；文献 1 7 提出了规 则交叉冲突的检测算法和解决方案，并且采用了递归h e 树的方法开发了一个 快速的规则交叉冲突检测算法；文献 1 8 】改进了前人的包分类冲突检测算法， 通过改变变量的语义和增加额外变量的方式，可以使冲突检测速度提高4 0 倍左 右，实现了“以空间换取时间的目标：文献【1 9 】针对分布式防火墙，探讨了 规则间的可能关系和错误的策略配置，最后给出检测错误的算法。 ( 2 ) 防火墙规则设计及性能提高：好的规则设计不仅能减少规则间的冲突， 更能够优化防火墙的过滤性能。文献【2 0 】提出设计防火墙规则要遵循一致性、 完整性和紧密性的原则；文献【2 1 】设计了一个友好的用户工具一“f i r e w a l lp o l i c y a d v i s o r ”来管理规则的书写，能够尽可能减少网络漏洞；文献 2 2 】将规则映射 成多维空间中的一个几何体，图形化处理后，再将几何体映射成规则，重写规 则库。用户防火墙性能可以通过软件和硬件手段来提高，软件方面主要体现在 第1 章绪论 对规则的调整和排序上。文献 2 3 】提出剔除防火墙中异常规则，合并相类似规 则，可以优化规则；文献【2 4 】依据马尔科夫模型，提出了一个以概率降序排列 来调整规则的相对次序来优化规则的算法；文献【2 5 】提出一种基于统计分析的 规则匹配优化算法，该算法对防火墙数据包统计分析，并根据统计数据动态调 整过滤规则的相对次序，从而达到减少匹配时间，提高防火墙性能的目的。 由于传统的防火墙技术对规则表的过滤域属性排序是没有要求的，本文通 过实例说明了调整规则表过滤域属性的排列顺序，可以减少数据包和规则表匹 配的总元组比较次数。因此，本文从一个新的角度看问题，我们将运用信息增 益和决策树理论对过滤域中的各个属性列进行分析，从而找到一种最优的排列 顺序，使得数据包和防火墙规则匹配的总元组比较次数最少，防火墙包过滤性 能最佳。 1 5 本文所做的主要工作及章节安排 在本文中，我们首先介绍一些关于防火墙的概述，然后阐述了包分类技术 在包过滤防火墙规则中的应用，接着介绍了信息增益和决策树的理论知识，最 后重点阐述了怎样使用信息增益理论和决策树知识，利用决策树的层次和防火 墙过滤域属性排列的顺序的对应关系，得出优化算法，来提高防火墙的过滤能 力。 本文主要做了下面几个方面的工作： ( 1 ) 分析了包过滤防火墙中的包分类技术； ( 2 ) 基于信息增益理论生成决策树，利用决策树的层次和防火墙过滤域属 性的排列顺序的对应关系，得出优化算法； ( 3 ) 在v c + + 开发环境下实现了仿真实验，对实验结果进行比较和分析， 得到优化的效果，以此来说明算法的正确性和可行性。 本论文的主要章节构成如下： 第一章绪论 第二章防火墙概述 第三章 第四章 第五章 第六章 包分类技术及其在包过滤防火墙中的应用 基于决策树理论的防火墙过滤域排序优化，本章是全文的重点 实验设计及结果分析 结论与展望 1 6 本章小结 6 第l 章绪论 本章介绍了网络安全的定义，以及网络安全的几种要素，还介绍了目前主 要的网络安全技术，最后重点介绍了本文选题的背景、研究意义和研究现状。 7 第2 章防火墙概述 第2 章防火墙概述 防火墙是目前流行并且使用广泛的一种网络安全技术，在构建安全网络环 境的时候，防火墙往往作为第一道安全防线。我国公共安全行业标准中对防火 墙的定义为：“设置在两个或多个网络之间的安全阻隔，用于保证本地网络资源 的安全，通常是包含软件部分和硬件部分的一个系统或多个系统的组合”【2 6 】。 其基本工作原理是在可信任网络的边界( 即常说的在内部网络和外部网络之间， 通常认为内部网络是可信任的，而外部网络是不可信的) 建立起网络控制系统， 隔离内部和外部网络，执行访问控制策略，防止外部的未授权节点访问内部网 络和非法向外传递内部信息，同时也防止非法和恶意的网络行为导致内部网络 的运行被破坏。 2 1 防火墙的功能 一般来说，防火墙应具有以下几种功能 2 7 】： ( 1 ) 隔离不同的网络，限制安全问题的扩散。防火墙作为一个中心“遏制 点 ，它将局域网的安全进行集中化管理，简化了安全管理的复杂程度。 ( 2 ) 防火墙可以很方便地记录网络上的各种非法活动，监视网络的安全性， 若遇到紧急情况就报警。 ( 3 ) 防火墙可以作为部署n a t ( n e 帆o r ka d d r e s st r a i l s l a t i o n ，网络地址变 换) 的地点，利用n a t 技术，将有限的i p 地址动态或静态地与内部的i p 地址 对应起来，用来缓解地址空间短缺的问题或者隐藏内部网络的结构。 ( 4 ) 防火墙是审计和记录h n e m e t 使用费用的一个最佳地点。网络管理员 可以在此向管理部门提供i n t e m e t 连接的费用情况，查出潜在的带宽瓶颈位置， 并能够依据本机构的核算模式提供部门级的计费。 ( 5 ) 防火墙还可以作为i p s e c 的平台。 ( 6 ) 防火墙可以连接到一个单独的网段上，从物理上和内部网段隔开，并 在此部署w w w 服务器和f t p 服务器，将其作为向外部发布内部信息的地点。 从技术角度来讲，就是所谓的停火协议区( d m z ) 。 2 2 防火墙的分类 按照防火墙对内外来往数据的处理方法，大致可以将防火墙分为两大体系： 包过滤防火墙和代理防火墙，前者以以色列的c h e c k p o i n t 防火墙和c i s c o 公司 8 第2 章防火墙概述 的p 防火墙为代表，后者以美国n a i 公司的g a m l e t 防火墙为代表【2 8 。 2 2 1 包过滤防火墙 包过滤是第一代防火墙技术，又称为网络级防火墙。它是按照系统管理员 指定的安全规则集，检查并过滤所有流入流出的数据包，而这些安全规则大都 是基于低层的，如i p 、t c p 层。当数据包通过防火墙时，包过滤防火墙检查每 一条规则直至发现包中的信息和某规则相符，信息包括源i p 地址、目的i p 地 址、协议类型、t c p i p 端口号等。如果没有任何一条规则与数据包中的信息符 合，防火墙就会使用默认规则，一般情况下，默认规则是要求防火墙丢弃该包。 包过滤类型的防火墙要遵循的一条基本规则是“最小特权原则 ，即明确允许那 些管理员希望通过的数据包，禁止其他的数据包。 包过滤防火墙又可分为静态防火墙和动态防火墙。 ( 1 ) 静态防火墙的过滤规则是静态的，它不能根据当时的运行环境改变其 过滤规则，在遭到攻击的情况下和正常情况下采用同样的过滤规则。 ( 2 ) 动态防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具 有的问题。这种技术后来发展成为所谓的包状态检测技术。采用这种技术的防 火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态的在过滤规 则中增加或更新条目。 包过滤防火墙的优点是简洁、速度快、费用低，并且对用户透明，在应用 环境比较简单的情况下能够以较小的代价在一定程度上保证系统的安全；但它 也有不少的缺点，如定义复杂，容易出现因配置不当而带来问题，它只检查地 址和端口，允许数据包直接通过，容易造成数据驱动式攻击的潜在危险，不能 理解特定服务的上下文环境，相应控制只能在高层由代理服务和应用层网关来 完成。 2 2 2 代理防火墙 代理服务是运行于内部网络与外部网络之间的主机( 堡垒主机) 之上的一 种应用 2 9 】。当用户需要访问代理服务器另一侧主机时，对符合安全规则的连 接，代理服务器会代替主机响应，并重新向主机发出一个相同的请求。当此连 接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代 理程序将相应连接映射来实现。 代理服务器包含两大类：一类是电路级代理网关，另一类是应用级代理网 关。 ( 1 ) 电路级网关型防火墙起一定的代理服务作用，它监视两台主机建立连 接时的握手信息，从而判断该会话请求是否合法。旦会话连接有效，该网管 9 第2 章防火墙概述 仅复制、传递数据。它在i p 层代理各种高层会话，具有隐藏内部网络信息的能 力，且透明性高。 电路级不允许进行端点到端点的t c p 连接，而是建立两个t c p 连接。一 个在网关和内部主机上的t c p 用户程序之间，另一个在网关和外部主机的t c p 用户程序之间。一旦建立两个连接，网关通常就只是把t c p 数据包从一个连接 送到另一个连接中去而不检验其中的内容。其安全功能就是确定哪些连接是允 许的。 电路级网关实现的一个例子就是s o c k s 软件包，第五版的s o c k s 在 r f c l 9 2 8 中定义。s o c k s 包括两个部件：s o c k s 服务器和s o c k s 客户端。 s o c k s 服务器在应用层实现，而s o c k s 客户端的实现位于应用层和传输层之 间。s o c k s 协议的基本目的就是让s o c k s 服务器两边的主机能够互相访问， 而不需要直接的i p 互联【3 0 】，如图2 1 所示。电路级网关的防火墙的安全性比 较高，但它仍不能检查应用层的数据包以消除应用层攻击的威胁。 客户端 服务器 图2 1s o c k s 协议层次 ( 2 ) 应用级网关检查进出的数据包，通过网关自身复制传递数据，防止在 受信主机与非受信主机间直接建立联系。应用级网关能够理解应用层上的协议， 能够做复杂一些的访问控制，并做精细的注册和审核。 其基本工作过程是：当客户机需要使用服务器上的数据时，首先将数据请 求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由 代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的 数据通道，外部的恶意侵害也就很难伤害到内部网络。 应用级网关有较好的访问控制能力，是目前最安全的防火墙技术，但缺点 是实现麻烦，而且有的应用级网关缺乏“透明度。在实际使用中，用户在受信 网络上通过防火墙访问i m e m e t 时，经常会出现延迟和多次登录才能访问外部 1 0 第2 章防火墙概述 网络的问题。此外，应用级网关的每一种协议需要相应的代理软件，使用时工 作量极大，效率明显不如网络级防火墙。 各种类型的防火墙各有其优缺点。当前的防火墙己不是单一的包过滤型或 代理服务器型防火墙，而是将各种防火墙技术结合起来，形成一个混合的多层 次防火墙，以提高防火墙的灵活性和安全性。一般采用以下几种技术：动态包 过滤技术，内核透明技术，用户认证机制，内容和策略感知能力，内部信息隐 藏，智能日志、审计检测和实时报警，防火墙的交互操作性等。 2 3 防火墙的不足 通过合理地配置防火墙的规则集，对流入、流出防火墙的所有数据包根据 规则进行严格的检查，最大限度的防止攻击者的入侵。许多组织和研究机构已 经认识到防火墙技术的重要性和必要性，并进行深入研究，但是仍然存在一些 缺陷，所以难以从根本上防止攻击者的入侵。本节总结了防火墙技术尚未解决 的一些问题： ( 1 ) 网络上有些攻击可以绕过防火墙，而防火墙却不能对绕过它的攻击提 供阻挡。 ( 2 ) 防火墙管理控制的是内部与外部网络之间的数据流，它不能防范来自 内部网络的攻击。 ( 3 ) 防火墙不能对被病毒感染的程序和文件的传输提供保护。 ( 4 ) 防火墙不能防范数据驱动式攻击。 ( 5 ) 防火墙不能防范利用标准网络协议中的缺陷进行的攻击。 ( 6 ) 防火墙不能防范利用服务器系统漏洞进行的攻击。 ( 7 ) 防火墙不能防范全新的网络威胁。 ( 8 ) 当使用端到端的加密时，防火墙的作用会受到很大的限制。 ( 9 ) 防火墙对用户不完全透明，可能带来传输延迟、瓶颈以及单点失效等 问题。 综上所述，防火墙只是整体安全防范策略的一部分，要使防火墙发挥作用， 防火墙就必须成为整个机构安全架构中不可分割的一部分。 2 4 分布式防火墙 因为传统的防火墙设置在网络边界处，处于内、外部网络之间，所以也称 为“边界防火墙”。随着人们对网络安全防护的要求的提高，边界防火墙已经不 第2 章防火墙概述 能完全满足人们的需要。由于给网络带来安全威胁的不仅是外部网络，更多的 来自内部网络，但边界防火墙无法对内部网络实行有效保护。 基于此，一种新型的防火墙技术，分布式防火墙技术产生了。它可以很好 地解决边界防火墙的不足，当然不是为每台主机安装防火墙，而是把防火墙的 安全防护系统延伸到网络中每台主机。这样一方面能够有效地保证了用户的投 资不会很高，另一方面给网络所带来的安全防护也非常全面。 传统边界防火墙用于限制被保护企业内部与网络之间相互进行信息存取、 传递操作，它所处的位置在内部网络与外部网络之间。实际上，所有以前出现 的各种不同类型的防火墙，从简单的包过滤在应用层代理到自适应代理，都是 基于一个共同的假设，那就是防火墙把内部网络一端的用户看成是可信任的， 而外部网络一端的用户则都被作为潜在的攻击者来对待。而分布式防火墙是一 种主机驻留式的安全系统，它以主机为保护对象，它的设计理念是主机以外的 任何用户的访问都是不可信任的，都需要进行过滤。当然，在实际应用中也不 是要求对网络中的每台主机都安装这样的系统，这样会严重影响网络的通信性 能。它通常用于保护企业网络中的关键节点的服务器，数据及工作站免受非法 入侵的破坏。 综合起来，分布式防火墙技术具有以下几个主要特点【3 2 】： ( 1 ) 主机驻留。分布式防火墙的最主要特点就是采用主机驻留方式，所以 又称为“主机防火墙”。它的重要特征是驻留在被保护的主机中，而该主机以外 的网络不管是处在网络内部还是网络外部，都被认为是不可信任的，因此可以 针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。 ( 2 ) 嵌入操作系统内核。操作系统自身存在很多安全漏洞这是众所周知的， 运行于其上的应用软件无不受到安全威胁。主机防火墙也运行在主机上，所以 其运行机制是主机防火墙的关键技术之一。为确保自身的安全和彻底堵住操作 系统的安全漏洞，主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形 态运行，直接接管网卡，在检查所有数据包后，再提交操作系统。 ( 3 ) 类似于个人防火墙。分布式防火墙和个人防火墙有相似之处，都是针 对个人系统，但它们之间又有本质的差别。首先，它们的管理方式迥然不同： 个人防火墙的安全策略由系统用户自己设置，而针对桌面应用的主机防火墙的 安全策略由整个系统的管理员统一安排和设置。其次，不同于个人防火墙单纯 直接面向个人用户这一点，针对桌面应用的主机防火墙面向企业级用户，与分 布式防火墙其他产品共同构成一个企业级的应用方案，形成一个安全策略统一 管理中心，所以它在一定程度上也对整个网络，是整个安全防护体系中不可分 割的一部分。 1 2 第2 章防火墙概述 2 5 本章小结 防火墙技术是当今网络信息安全的核心技术之一，一个好的防火墙配置通 常能够抵御绝大多数的网络攻击。本章着重介绍了防火墙的定义、功能、分类 以及配置防火墙的几种体系结构，当然防火墙不是万能的，配置了防火墙并不 能一劳永逸，防火墙技术也存在一些缺陷。最后，又介绍了一种新型的防火墙 技术一一分布式防火墙技术，它能够解决传统的防火墙中不能克服的一些问题。 第3 章包分类技术及其在包过滤防火墙中的应用 第3 章包分类技术及其在包过滤防火墙中的应用 自因特网兴起以来，其迅猛增长的势头就从未停止，目前它已成为世界上 规模最大、拥有用户和资源最多的一个超大型计算机网络。因特网的商业化使 得网上的应用越来越多，尤其是宽带多媒体业务日益普及，用户对因特网的要 求也不再仅仅满足于简单的文件传输，而是要求网络提供安全、快速和多样化 的服务。 然而，以往承担网络通信任务的路由器通常采用“尽力而为( b e s te 舶r t ) ” 的工作方式，它们对到达的网络数据包按照先来先服务( f c f s ：f i r s tc o m ef i r s t s e n ，i c e ) 的方式进行转发，显然这种方式无法提供任何量化的服务保证，更不 能为用户提供多样化服务。所以，网络服务提供商( i s p ) 必须对传统路由器进 行改进，使其能够提供有差别的网络服务，比如防火墙包过滤 3 3 】、基于策略 的路由【3 4 】、虚拟专用网【3 5 】、流量计费 3 6 】、区分服务【3 7 】等等。以上这些服 务针对不同的用户需求提供了不同的服务质量( q o s ) 和安全保障，但它们都 需要将到达的数据包归类为不同的数据流，根据不同的数据流来决定诸如是否 转发数据包、向哪里转发数据包、数据包应该得到什么样的服务或者相应流量 数据包该收取多少费用等一系列问题。归纳来说，这些服务都是以包分类技术 为基础的，即要求路由器根据预设的分类规则集将数据包划分到不同的数据流 中以便区分处理。 3 1 包分类问题的定义 简单地讲，包分类问题就是将到达的数据包包头与系统中预设的分类规则 集相比较，以此来决定数据包所属数据流的过程，转发引擎将根据分类结果采 用相应的方法来处理数据包。这里的分类规则集是指包含一系列规则的集合， 每条规则由多个与数据包头中某些域对应的匹配条件构成，并指定一个数据流 类型和相应的处理方法。如果数据包头中的相关域符合某条规则的所有匹配条 件，那么该数据包就与那条规则相匹配。图3 1 是一个简易的包分类模型。 一豳一圈一囹一囱卜 图3 1 包分类问题简易模型 1 4 a b c 第3 章包分类技术及其在包过滤防火墙中的应用 在包分类的过程中起关键作用的是规则集r ，它是包分类的依据，由n 条 规则构成，如表3 1 所示。每条规则r i ( j = 1 ，2 ，n ) 都关联一个业务流类别， 每个流类别都具有唯一的标识( f l o w - i d ) ，并且对应于一种特定的处理方法 ( a c t i o n ) 。若一个到达的数据包p 匹配了某规则r i ，p 就应被划分为r 所对应 的流类别。因此，分类过程的实质就是对特定的数据包p 在r 中搜索与之匹配 的规则，确定p 的流类别，并将相应的处理方法应用于p 。分类过程必需依据 p 包头中的d 个域h 1 】，h 2 】，h d 】进行，此时规则集称为d 维规则集。 其中任一规则玛也可用一个d 维向量玛= ( r j 1 】，马 2 】，r j 【d 】) 来表示，r j 中第 i ( i _ 1 ，2 ，d ) 个分量玛 i 】是一个与h 【i 】相对应的表达式。 表3 1 简易规则表 o r d e r f 1 f 2f da c t i o n r l 0 0 11 0 0 1 0 1 1 0 a c c e p t r 2 0 l o1 幸奉0 0 1 0 1 0 d e n y r n 奉奉幸+ 奉奉 d e n y 数据包p 匹配规则r i 被定义为：对任意的i ( i = 1 ，2 ，d ) ，p 包头中的第 i 个域h i 】匹配规则r 的第i 个分量民【i 】，其中h i 】匹配马 i 的形式主要有精 确匹配( h 【i 】= 马 i 】) 、前缀匹配( 玛 i 】是h i 】的前缀) 和范围匹配( h i 】属于 r j 啪所定义的范围) 这三种方式。一般r j 的任一分量r i 】定义整数集上的一 个范围，p 匹配玛意味着对任意i ( i = i ，2 ，d ) 有h i 】r 【i 】。因此，任意规 则的包分类可归结为在多维空间中点的定位问题；d 维空间中有n 个d 维长方 体( 规则r i ) ，包分类问题是确定给定点( 数据包p ) 位于哪个长方体中。 由于p 可能匹配规则集r 中的多条规则( 即规则冲突) ，需要对每条规则 赋予一个代价或优先级以解决多重匹配的问题，这样包分类过程实际上就是在 r 中搜索匹配p 的代价最小的规则r i 的过程。 3 2 包分类技术在包过滤防火墙中的应用 我们把将数据包划分到不同的“流 中的过程叫做包分类，所谓“流”指 的是具有相同或相似特性的数据包序列。分类的目的是根据业务流的特征，为 不同的业务流提供不同的处理方式。最简单的包分类的例子就是i p 数据包的路 由选择：根据进入数据包的目的地址，通过路由表查找将其转发到对应的物理 端口上去，这里流的特征就是目的口地址，对应的处理方式就是根据路由表选 第3 章包分类技术及其在包过滤防火墙中的应用 择下一跳并转发。 流的划分也可能基于包头的其它字段如源i p 地址、目的端口、t c p 标志或 者它们的组合。将包分类技术应用在防火墙上，可以根据防火墙规则区分和过 滤数据包。因此，包过滤技术实际上就是包分类技术在包过滤防火墙上的实际 应用 3 8 】。 防火墙技术是当今网络信息安全的核心技术之一，也是抵御外部网络攻击 的第一道屏障。防火墙是置于内部可信网络和外部不可信网络之间的一个安全 组件，用来控制跨越网段的流量。从技术角度来看，防火墙是作为一种连接内 部网络和公众网的网关，提供对进入内部网络连接的访问控制能力。 防火墙能根据预先定义的防火墙安全策略，对流入流出的数据包进行逐一 检查，允许合法连接进入内部网，阻止非法连接，从而保证内部网络的安全。 这样，防火墙安全策略的配置就显得异常重要，一个好的配置策略通常能大大 提升防火墙过滤效率。 防火墙的安全策略实际上是一个访问控制列表，用以决定当数据包到来时 应该采取的操作。表3 2 即是一个防火墙访问控制列表的实例。 表3 2 防火墙访问控制列表实例 规则号协议源地址源端口目的地址目的端口行为 1t c p1 4 0 1 9 2 3 7 2 0 a n y 唪幸宰唯 8 0 d e n y 2 t c p1 4 0 1 9 2 3 7 幸 a n v 串 8 0 a c c e p t 3t c p 奉事 a n y 1 6 1 1 2 0 3 3 4 08 0