（应用数学专业论文）防火墙配置的异常检测与优化研究.pdf

摘要 摘要 防火墙是当前网络安全防护的一种重要的手段，本文在研究包过滤防火墙 的技术原理的基础上，详细阐述了自动检测防火策略规则错误与冲突的模型， 分析了基于权重的线性优化算法，重点研究了规则匹配结构的优化算法，并通 过实验取得了较理想的结果。 首先，对防火墙的原理及作用进行了全面概述，介绍了目前常见的依赖于 安全规则的包过滤防火墙技术，通过预先配置好的安全规则策略，分析网络包 的行为，处理安全事件来维护网络安全。 防火墙策略规则的正确配置直接影响到网络的安全性能，本文对防火墙规 则的配置策略以及与入侵检测i d s 的规则的关系进行了描述，分析了防火墙异 常检测的模型与实现算法。 在实现防火墙规则的正确配置的基础上，基于高速网络的需要对防火墙性 能也提出了更高的要求。主要体现在防火墙规则的匹配速度及匹配算法上。本 文结合国内外对网络数据流的分布特征的研究，针对包过滤防火墙策略配置， 研究了基于权重参数的定义方法，实现了基于权重的规则顺序优化模型。 在此基础上，为减少规则顺序匹配的深度，提出了以口首段地址为关键 值构造规则树的优化算法，解决了含通配符i p 地址值在树中节点构造的难点， 并描述了算法实现的数据结构以及包匹配规则树的过程。 此外，本文在研究目前已有的对防火墙检测评估手段的基础上，引入多种 测试手段。通过实验室数据流发生器a v a l a n c h e 及相关平台软件对普通规则列 与优化后的防火墙性能参数进行了测试与评估；最后根据网络数据流的分布特 征，重点对顺序优化与规则树结构优化算法进行仿真实验，结果表明优化的策 略规则对防火墙的性能有了较大的提高，两规则树结构尤为显著。 关键词：防火墙；冲突检测；规则优化；防火墙性能分析 a b s t r a c t a b s t r a c t f i r e w a l li so n eo ft h em o s ti m p o r t a n tm e t h o d si nn e t w o r ks c c u d t y h lt h i sp a d e r w ed i s c u s s e dt h ep r i n c i p l eo fp a c k e t - f i l t e r i n gf i r e w a l l sa n da n a l y z e dt h ea l g o r i t h m s a n dt e c h n i q u e st h a tt h ea n o m a l i e so ff i r e w a i lp o l i c yc a nb ed i s c o v e r i e da u t o m a t i c l y t h e n ，w ed e e p l yr e s e a r c h e dt h es t r u c t u r eo fp a c k e tm a t c h i n ga n di m p l e m e n t e dt h e o p t i m i z e da l g o r i t h mo fr u l e t r e ew h i c hi m p r o v e df i r w a l l ，sp e r f o r m a n c e f i f s tw ei n t r o d u c e dt l l ep r i n c i p l ea n dt h ef u n c t i o no ff i r e w a l l ，d i s c u s s e dt h e t e c h n o l o g yo ft h ep a c k e t - f i l t e r i n gf i r e w a l lw h i c hb a s e d o np r e d e f i n e ds e c u r i t ys t m t - e g y a n dr u l eo l d e r i n gt oa n a l y z e dt h ep a c k e t sc h a r a c t e r i s t i ca n dp r o t e c t e dt h en e t w o r k s e c u r i t y n e r i g h tc o n f i g u r a t i o no ff i r e w a l l sr u l eo r d e r i n gi n f l u e n c e dt h eh i g h s p e e d p e r f o r m a n c eo nn e t w o r kd i r e c t l y w jd e s c r i b e dam o d e lt or e v e a lt h er u l ec o n f l i c t s a n dp o t e n t i a lp r o b l e m si nl e g a c yf i r e w a l l sa n di m p l e m e n t e dt h ea n o m a l yd i s c o v e r y a l g o r i t h m f o rt h er e q u i r e m e n to fc u r r e n th i g hs p e e dn e t w o r kt e c h n o l o g i e s 1 1 l er u l em a t c h - h a gs p e e da n dm a t c h i n ga l g o r i t h mp l a y s ac r i t i c a lr o l ei np a c k e tf i l t e r i n gf i r e w a l l s n em l eo r d e r i n gi st h em a j o rf a c t o ro nm a t c h i n gp e r f o r m a n c e i nt h i sp a p e r , w ep r e s e n tan o v e lt e c h n i q u eo nh o wt od e f i n et h ew e i g h to ff i r e w a l lr u l eh a s e do ni n t e m e t t r a f f i cc h a r a c t e r i s t i c sa n dw ep r e s e n t e da no p t i m i z e df i r e w a l lf i l t e r i n gp o l i c i e sb a s e d o nw e i g h to fr u l e f u r t h e r , w ji m p l e m e n t e dan e wa l g o r i t h mo fc o n s t u c t i n gar u l e t r e ew h i c h s o u r c e i pi su s e da sk e yn o d e t h em a t c h i n gd e p t ho fr u l e t r e e ss t r u c t u r ei sl e s st h a n r u l eo r d e r i n go p t i m i z a t i o n w es o l v e dt h ep r o b l e mo ft h er u l e t r e e sn o d ei sc o n - s t r u c t e db y ”w ed i s c r i b e dt h ep r i n c i n p l eo fp a c k e t sm a t c h i n gr u l e t r e e i nt h el a s tc h a p t e rw ed i s c u s s e ds e v e r a lt e s t i n gm e t h o d so ff i r e w a l l w ee v a l u a t e d t h ep e r f o r m a n c eo ff i r e w a l li nd i f f e r e n tr u l eo r d e r i n gb yu s i n ge m u l a t o ra n da v a - l a n c h e i ts h o w st h em a t c h i n gp e r f o r m a n c eo fr u l eo r d e r i n go p t i m i z a t i o nf i r e w a l l i m p r o v e m e n tr e m a r k a b l y k e y w o r d s ：f i r w a l lp o l i c y ；a n o m a l ys t r a t e g yd e c t e c t i n g ；r u l e - o r d e r i n go p t i m i z a t i o n ； e v a l u a t i o no ff i r e w a l lp e r f o r m a n c e 广州大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指 导下，独立进行研究工作所取得的成果。除文中已经注明引 用的内容外，本论文不含任何其他个人或集体已经发表或撰 写过的作品成果。对本文的研究做出重要贡献的个人和集体， 均已在文中以明确方式标明。本人完全意识到本声明的法律 后果由本人承担。 学位论文作者签名：日期：庐7 年名月争日 广州大学学位论文版权使用授权书 本人授权广州大学有权保留并向国家有关部门或机构送 交论文的复印件和磁盘，允许论文被查阅和借阅。本人授权 广州大学可以将学位论文的全部或部分内容编入有关数据库 进行检索，可以采用影印、缩印或扫描等复制手段保存、汇 编学位论文。( 保密的学位论文在解密后适用本授权书) 学位论文作者签名、：宏蜘 ) 日期：硼年占月弓e l 导师签名：f “t u l日期：沙7 年占月7 b 第一章绪论 第一章绪论 1 1 防火墙和网络安全研究现状 网络使人类真正进入信息时代，人们在充分享受网络技术带来的生产和生活 方便的同时，也饱受网络安全问题的困扰，网络安全技术的研究也伴随着黑客技 术发展不断更新i 刈。 。 事实上，网络具有跨国界、无主管、不设防、开放、自由、缺少法律约束力 等特性，网络的这些特性显示了它的许多优点，但同时也馒它容易受到来自各方 面的入侵和攻击。据s a n s l 5 1 j 组织和美国f b i 统计：全球平均每2 0 秒就发生一起 i n t e r n e t 计算机系统被入侵事件，而且仅美国每年因此而造成的损失就高达1 0 0 亿美元。 由于互联网是一个完全开放的网络环境，互联网的开放性是导致网络安全威 胁最根本的原因。利用漏洞，攻击者可能简单地得到系统的控制权；利用病妻、 蠕虫或木马，攻击者可以让攻击自动进行，控制数量众多的主机；利用大量主机， 攻击者可以发起拒绝服务( d o s ) 或分布式拒绝服务( d d o s ) 攻击。攻击工具功 能比过去完善，攻击者不需要较多的专业知识，使得网络攻击的门槛变低。j 根据中国互联网信息中, 凸2 0 0 6 年初发布的统计报告显示：我国互联网网站近 百万家，上网用户1 亿多，网民数和宽带上网人数均居全球第二。同时，网络安 全风险也无处不在，各种网络安全漏洞大量存在和不断被发现，计算机系统遭受 病毒感染和破坏的情况相当严重，计算机病毒呈现出异常活跃的态势。面对网络 安全的严峻形势，我国的网络安全保障工作尚处于起步阶段，基础薄弱，水平不 高，网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节，安全 防护能力不仅大大低于美国、俄罗斯和以色列等信息安全强国，而且排在印度、 韩国之后。 对网络安全的重视已经到了刻不容缓的时候，同时也相应促进了网络技术的 发展。当前有关网络安全设备的种类繁多，功能强大，但配置仍然相对复杂。常 见的安全设备有防火墙、入侵检测系统i d s 、虚拟专用网v p n 及与审计认证、授权 系统以及多个安全组件协同发展。 防火墙作为网络安全技术中最重要的技术之一，它在物理上或逻辑上将内部 网和外部网隔离开来，使得外网和内网的所有网络通信必须经过防火墙，从而可 以进行各种的灵活的网络访问控制，对内部网进行尽可能的安全保障。提高内部 网的安全性和健壮性。 防火墙一般是由一组设备构成，这些设备可能包括路由器、计算机等硬件， 1 2 本课题的研究意义 也可能包含有软件，或者同时包含硬件和软件。防火墙已成为网络建设的一个基 本配置。 目前，防火墙技术得到迅速的发展，国内有多个厂家，拥有了自主的知识产 权并具有国际领先水平的防火墙产品。防火墙技术由被动安全模型到主动安全模 型建立访问规则的转变，可以识别任何不符合正常访问规则的攻击行为，包括未 知的攻击。防火墙的发展为以防护、入侵检测、响应的集成主动安全体系，其核 心仍然是防火墙策略规则 1 2 本课题的研究意义 网络安全体系的建立离不开功能强大又简便高效的防火墙技术。对国内外防 火墙技术进行系统分析和研究，并提出一些改进的算法，提高防火墙的效率是当 前高性能网络的迫切需要。 防火墙、入侵检测系统等是常见的依赖于安全规则的安全组件，通过预先配 置好的安全规则，分析网络包或系统的行为，处理安全事件，达到维护网络或系 统安全的目的。 然而，复杂的网络和动态的系统使得安全规则的正确配置变得困难。一般的 普通用户缺乏对规则和规则背后的安全事件的理解，而默认的配置设定，没有面 向具有特定安全策略的系统和网络；盲目增加检测规则的数量，会引发对系统资 源的需求增加，降低安全组件运行的效率，增加漏报和误报率，影响网络和系统 的整体性能。 目前，已有研究涉及了防火墙的配置一些方面。例如，文献【3 针对包过滤， 研究了局部规则配置如何实现全局安全策略；文献【4 l 设计了一个检测工具，以实 现防火墙的配置错误的检测；文献吲则研究了防火墙和入侵检测系统的配置协调 及对系统性能的影响；文献【6 l 研究了一个基于包端口分类的优化算法。 本文重点研究防火墙的配置问题，通过分析防火墙配置模型，有效地发现策 略规则的错误与冲突。在此基础上对防火墙规则进行顺序动态优化和匹配结构的 优化。目的为了提高防火墙匹配性能，降低对系统资源的占用，从而提高整个网 络的性能。 通过以上理论研究，可以实现支持规则错误自动检测和优化的算法。并通过 实验对防火墙的性能进行了综合测试与评估，结论表明优化配置后的匹配性能有 明显提高，为当前防火墙技术的改进提供了重要的参考意义。 1 3 本课题的来源和内容安排 本课题属广东省科技计划( 2 0 0 5 8 1 0 1 0 1 0 2 4 ) ，广东省信息安全技术重点实验 2 第一章绪论 室开放基金支持课题的一个子内容。 论文全文的章节安排如下： 第一章介绍了防火墙与网络安全的研究背景、意义及课题来源以及论文的组 织形式。 第二章对防火墙技术原理作了简要的概述，对目前现有的防火墙技术在网络 安全防护中的应用进行了研究和比较。 第三章对包过滤为主的防火墙的策略与规则原理进行了详细分析，描述了防 火墙策略规则及与i d s 规则之间的关系，分析了检测规则冲突的模型，以及基于 权重的优化算法，从而得到正确的、优化的防火墙配置。 第四章在防火墙顺序优化配置的基础上，进一步研究了数据包与规则匹配的 结构。使用规则源i p 地址首段为关键值构造了一棵特殊的二叉匹配树，来完成数 据包的分类分流匹配，从而减少匹配的路径，得到防火墙规则更优化的配置。最 后给出实现上述功能的算法。 第五章研究了防火墙的测试和评估手段，得出了综合评价方法，并使用 a v a l a n c h e 分别在硬件防火墙和软件防火墙上进行了不同参数下的测试评估，分 析了算法的优势和有待改进之处。 3 2 1 防火墙慨述 2 1 防火墙慨述 2 1 1 防火墙概念 第二章防火墙技术 防火墙是指隔离本地网络与外界网络之间的一道防御系统，是位于两个( 或 多个) 网络间实施网间访问控制的一个组件；防火墙也指全部防范措施的总称， 表现为企业、单位在网络安全方面制订的安全策略等。 在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区 域( b p i n t e r n e t 或有一定风险的网络) 与安全区域( 局域网) 的连接，同时不会妨碍 人们对风险区域的访问。 一个有效的防火墙应该能够确保： ( 1 ) 所有从因特网流入或流向因特网的信息都将经过防火墙； ( 2 ) 所有流经防火墙的信息都应接受检查； ( 3 ) 防火墙自身具有高可靠性。 2 1 2 防火墙功能特点 防火墙的主要功能如下；嗍 木过滤掉不安全服务和非法用户 宰控制对特殊站点的访问 宰提供监视与管理的i n t e r n e t 安全端点 随着因特网技术的发展，防火墙的功能也从早期的访问控制、攻击防范、路 由控制、认证和加密、日志记录等不断更新和发展。表现在： 1 使用电路级网关技术、应用网关技术和动态包过滤技术等，大多数的防 火墙设备上还集成了其它的相关的安全技术( n a t 和v p n 、病毒防护等) 。 2 使用网络地址变换n a t ( n e t w o r ka d d r e s st r a n s l a t i o n ) ，利用n a t 技术， 将有限的i p 地址动态或静态地与内部的i p 地址对应起来，用来缓解地址空间短缺 的问题。 3 较强的网络管理功能。网络管理员可以在此向管理部门提供i n t e r n e t 连 接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部 门级的管理模式。 4 与入侵检测技术相融合，可以很方便地监视和维护网络的安全性。 4 第二章防火墙技术 2 1 3 防火墙技术的发展现状与趋势 防火墙技术的发展与现代通信网络技术和信息安全技术紧密相关。随着它在 专用网络和公用互联网中的广泛应用，防火墙产品也已经成为一个产业。 为满足多样化的组网降低用户建网成本，防火墙上也常常把其他网络技术结 合进来，例如支持d h c ps e r v e r 、d h c pr e l a y ；支持动态路由，如r i p 、o s p f 等； 支持拨号、p p p o e 等特性；支持广域网口；支持透明模式( 桥模式) ：支持内容过 滤( 如u r l 过滤) 、防病毒和i d s 等功能。防火墙与其他安全设备或安全模块之间进 行互动，已经成为新一代防火墙的发展趋势。 但是，目前防火墙应用中的问题也不少。如目前许多防火墙对内容过滤，防 病毒和i d s 等的支持，实际的应用效果并不好。因为在这些功能支持的情况下， 过滤会涉及到应用层包分析，对c p u 的消耗很大。这些功能的启动，会导致性能 急剧下降，从而导致网络严重阻塞甚至瘫痪，失去了防火墙存在的意义。 防火墙的发展趋势是向高速、复合功能、高安全性的方向发展【5 2 1 。 1 ) 高速 - l 从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度 不够，真正达到线速的防火墙较少。防范d o s ( 拒绝服务) 是防火墙一个很重要的 任务，防火墙往往用在网络出口，如造成网络堵塞，再安全的防火墙也无法应 用。目前有的应用环境，动辄应用数百乃至数万条规则，状态防火墙，建立会 话的速度会十分缓慢。因此实现高速防火墙，算法也是一个关键， 2 ) 复合功能t 复合功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较 高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足 组网和节省投资的需要。 3 ) 高安全性 防火墙的操作系统的安全性随着算法和芯片技术的发展，更多地参与应用层 分析，为应用提供更安全的保障。“魔高一尺，道高一丈”，在信息安全的发展 与对抗过程中，防火墙的技术也在不断更新，在信息安全的防御体系中，起到堡 垒的作用。 2 - 2 防火墙设计策略 防火墙作为一个在网络之间实现控制机制的系统，它处理所有内外的流量， 仅允许授权的流量通过。因此防火墙可以看作一种策略或者网络配置、主机系统、 路由及认证手段的策略实现。策略是防火墙的关键因素，主要从以下两个方面进 行策略设计。 5 2 3 防火墙技术原理 2 2 1 网络服务访问权限策略 网络服务访问权限策略是一种较高级的策略，用来定义允许和拒绝的服务， 包括提供这些服务的使用方法及策略的例外情况。 一个成功的防火墙必须制定合理的可实现的网络服务访问权限策略，从以下 两方面寻求一种平衡：1 1 9 】 1 ) 保护网络免受已知的风险攻击 2 ) 提供用户对网络资源合理访问 防火墙采用的访问权限策略有： 1 ) 不允许从外网到内网站点的访问，但允许本站点到外网的访问；或相反 2 ) 允许从外网到内网站点的某些访问权限，如信息服务器、e m a i l 服务器 2 2 2 防火墙设计策略 防火墙设计策略定义了实现网络访问权限策略的套规则，它必须与t c p i p 有关的威胁、易受攻击点以及防火墙的能力和限制联系起来。一般来说，防火墙 执行以下两种策略之一： 允许所有服务除非它被特别地拒绝； 拒绝所有服务除非它得到特别地允许。 第一种策略的安全性较为脆弱，因为它提供了更多的途径来攻击防火墙。 第二种策略较为安全，因为它继承了经典信息安全领域的访问权限控制模 型，但实现起来更困难一些，对用户来说也更严格。 采取何种策略则取决于系统对安全性和灵活性的需求。 2 3 防火墙技术原理 防火墙作为一类防范措施的总称，简单的可以只用路由器实现，复杂的可以 用主机甚至一个子网来实现。 2 3 1 防火墙实现技术 防火墙实现技术主要包括三种最常见类型【9 】：包过滤防火墙、应用级网关、 电路级网关 1 ) 包过滤防火墙 包过滤防火墙也称i p 分组过滤路由器，它是工作在网络层。通过检查单个包 的地址、协议、端口等信息来决定是否允许此数据包通过。过滤的具体方法根据 6 第二章防火墙技术 数据包的信息制定规则列表进行匹配决定操作。 图2 - 3 包过滤的基本流程图 f i g 2 - 3 a r c h i t e c t u r eo fs c c u d t y p a c k e t sf i l t e r 包过滤防火墙的优点是简洁、速度快、费用低，并且对用户透明。缺点是定 义复杂，容易出现因配置不当带来问题：它只检查地址和端口，允许数据包直接 通过，容易造成数据驱动式攻击的潜在危险：不能理解特定服务的上下文环境磊 相应控制只能在高层由代理服务和应用层网关来完成。 2 ) 应用级网关 应用级网关主要工作在应用层，又称为应用级防火墙。其基本工作过程是： 当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服 务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户 机。 应用级网关有较好的访问控制能力，是目前最安全的防火墙技术。但实现麻 烦，而且有的应用级网关缺乏“透明度。在实际使用中，用户在受信任网络上 通过防火墙访问i n t e r n e t 时，经常会出现延迟和多次登录才能访问外部网络的问 题。此外，应用级网关每一种协议需要相应的代理软件，使用时工作量大，效率 明显不如网络级防火墙。 3 ) 电路级网关 电路级网关不允许端到端的t c p 连接，相反，网关建立了两个t c p 连接，一个 是在网关本身和内部主机上的一个t c p 用户之间，一个是在网关和外部主机上的 7 2 3 防火墙技术原理 一个t c p 用户之间。一旦两个连接建立了起来，网关从一个连接向另一个连接转 发t c p 报文段，而不检查其内容。安全功能体现在决定哪些连接是允许的。电路 级网关的典型应用场合是系统管理员信任内部用户的情况。 4 ) 混合型防火墙 混合型防火墙把过滤和代理服务等功能结合起来，形成新的防火墙，所用主 机称为堡垒主机，负责代理服务。 2 3 2 防火墙的简单配置结构图 图2 3 1 服务器景于防火墙之内 f i g 2 3s e r v e ri n s i d ef r o mf i r e w a l l 图2 3 1 服务器置于防火墙之内 f i g 2 - 3s e r v e ro u t s i d ef r o mf i r e w a l l 图2 3 3 服务器置于防火墙之上 f i 9 2 - 3 3s e r v e ro nt h et o po ff i r e w a l l 2 3 3 防火墙体系结构 防火墙设计体系结构主要根据考虑其处于外部网和内部网节点的位置及策 略来设计。具体的控制技术可以分以下几种类型。闭 1 ) 屏蔽路由器 这是防火墙的最基本的构件，一般由专门的路由器实现，也可以用主机来实 现。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。 路由器上可以装基于i p 层的报文过滤软件，实现报文过滤功能。 g 第二章防火墙技术 2 ) 双穴主机网关 通常的配置是用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受 保护网和外部网相连。堡垒主机上运行着防火墙软件，可以转发应用程序，提供 服务等。 双穴主机网关优点在于，堡垒主机的系统软件可用于维护系统日志、硬件拷 贝日志或远程日志等。它的弱点是：一旦入侵者侵入堡垒主机并使其只具有路由 功能，贝任何网上用户均可以随便访问内网。 3 被屏蔽主机网关 。 屏蔽主机网的实现是用一个分组过滤路由器连接外部网络，同时一个堡垒主 机安装在内部网络上，通常在路由器上设立过滤规则，并使这个堡垒主机成为从 外部网络唯一可直接到达的主机，这确保了内部网络不受未被授权的外部用户的 攻击。 如果受保护网是一个虚拟扩展的本地网，即没有子网和路由器，那么内回的 变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和屏蔽路由 器。网关的基本控制策略由安装在上面的软件决定。如果攻击者设法登录到它上 面，内网中的其余主机就会受到很大威胁。 4 屏蔽子网 在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器 将这一子网分别与内部网络和外部网络分开。在很多实现中，两个分组过滤路由 器放在子网的两端，在子网内构成一个“非军事区”喇z ，内部网络和外部网络 均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。 如果攻击者试图完全破坏防火墙，他必须重新配置连接三个网的路由器，既 不切断连接又不要把自己锁在外面，同时又不使自己被发现，这样也还是可能的。 但若禁止网络访问路由器或只允许内网中的某些主机访问它，则攻击会变得很困 难。 2 4 网络安全与防火墙 网络安全的研究内容包括通信保密、数据保护、网络信息安全等内容，相关 的安全技术包括防火墙、安全路由器、安全网关、入侵检测、系统脆弱性扫描软 件等，而防火墙仍然是当前网络安全技术的重要技术。 随着各种信息系统的建立，不同网络互连、互通的范围的不断扩大，以单一 的安全功能或单个网络来考虑信息安全问题，已经远远不能满足要求，必须提出 系统的、完整的和协同的解决网络安全的方案。 9 2 4 网络安全与防火墙 2 4 1 网络安全结构 目前，国际上公认的安全体系结构是i s 0 7 4 9 8 - 2 “开放系统互连安全体系结 构”，它包括安全服务和安全机制：嘲 ( 1 ) 安全服务 指为实现系统安全功能所需提供的各种服务手段。 ( 2 ) 安全机制 指为提供系统安全服务所需具备的技术措施： ( 3 ) 安全服务与安全机制的关系 一种安全服务既可以通过某种安全机制单独提供，也可以通过多种安全机制 联合提供；一种安全机制也可用于提供一种或多种安全服务。 当前网络安全体系的具体实现表现为以下三个方面： 1 ) 网络安全的硬件体系：防火墙和v p n 、独立的v p n 、入侵检测系统、认证 令牌和卡、生物识别系统、加密机和芯片； 2 ) 网络安全软件体系：安全内容管理、防火墙v p n 、入侵检测系统、安全 3 a 、加密，其中安全内容管理还有防病毒、网络控制和邮件扫描，安全3 a 包括授 权、认证和管理； 3 ) 网络安全服务包括：顾问咨询、设计实旖、支持维护、教育培训、安全 管理。 2 4 2 网络访问安全性模型 定义一个网络访问安全模型冈来保护一个信息系统，使其免受不需要的访 问。如黑客试图能够通过网络访问而侵入系统。 在安全机制中重点是门卫功能，包括口令的登录过程，只允授权用户访问并 检测和拒绝蠕虫、病毒攻击。一旦取得访问权进入系统，由各种监视活动分机内 部控制机制来检测非法入侵者。 图2 - 4 2 网络访问安全模型 f i 9 2 4 2m o d e ro fn e t w o r ks e c u r i t y 1 0 第二章防火墙技术 2 4 3 网络攻击与防火墙配置 网络的威胁主要来自网络攻击，常见的网络攻击手段1 5 0 1 有嗅探和端口扫描、 口令破解、木马攻击d o s d d o s 攻击，病毒等。基于网络安全组件的防御策略有防 火墙、入侵检测、路由、交换机安全配置以及防火墙与入侵检测的安全与协同配 置等。 1 ) 信息收集：突破网络系统的第一步。黑客可以使用下面程序：s n m p 、t r a c e r o u t 、d n s 、f l n g e r 、p i n g 等工具来收集信息，查阅非安全路由器的路由表， 了解目标机构网络内部服务器、主机、用户j 网络拓扑等各种细节和信息。 安全配置：使用防火墙、路由、交换机禁上相应的协议和端口。 2 ) 口令攻击：通过网络监听或记录用户的击键得到用户的口令。 s n i f f e r 网络嗅探，可以捕捉f t p 、h t t p 等协议数据包，得到明文传输的密码。 安全配置：明文口令不要太简单，以延长攻击者破译时间，利于入侵检测发现。 一般使用网络入检测系统n i d s 通过观察某些特定的行为来检测混杂模式，但有时 难以奏效。最有效的方法是在路由、交换机的设置屏蔽广播包。 3 ) 对路由器攻击 源i p 地址欺骗式攻击：入侵者从外部传输一个假装是来自内部主机的数据 包，借助于一个假的源i p 地址就能渗透到一个只使用了源地址安全功能的系统 中。在这样的系统中，来自内部的信任主机的数据包被接受，而来自其他主机的 数据包全部被丢弃。 安全配置：利用丢弃所有来自路由器外部端口的使用内部源地址的数据包的 方法来挫败。 源路由攻击是源站点指定了数据包在i n t e r n e t 中所走的路线。这种类型的攻 击是为了旁路安全措施并导致数据包循着一个对方不可预料的路径到达目的地。 安全配置：在路由或防火墙中丢弃所有包含源路由选项的数据包即可防范。 极小数据段式攻击：入侵者使用了i p 分段的特件，创建极小的分段并强行将 t c p 头信息分成多个数据包段。这种攻击是为了绕过用户定义的过滤规则。黑客 寄希望于过滤器路由器只检查第一个分段而允许其余的分段通过。 安全配置：对于这种类型的攻击，只要丢弃协议类型为t c p ，i pf r a g m e n t o f f e t 等于l 的数据包就可安然无恙。 4 ) 针对d o s d d o s 攻击的防火墙策略 d o s 拒绝服务和d d o s 分布式拒绝服务攻击：简单有效并且危害很大，通过消 耗网络带宽和系统资源，或者攻击系统缺陷，使系统瘫痪，不能对正常服务进行 服务。其中s y nf l o o d 是目前最流行的d o s 和d d o s 攻击手段。s y nf l o o d 利用t c p 1 1 2 5 本章小结 协议缺陷，发送了大量伪造的t c p 连接请求，使得被攻击方资源耗尽，无法及时 回应或处理正常的服务请求。 配置防火墙来阻止d o s 攻击，针对s y nf l o o d ，防火墙通常有三种防护方式： s y n 网关：防火墙收到客户端的s y n 包时，直接转发给服务器；防火墙收 到服务器的s y n a c k 包后，一方面将s y n a c k 包转发给客户端，另一方面以客户端 的名义给服务器回送一个a c k 包，完成t c f 的三次握手。当客户端真正的a c k 包到 达时，有数据则转发给服务器，否则丢弃该包。由于服务器能承受连接状态要比 半连接状态高得多，所以这种方法能有效地减轻对服务器的攻击。 被动式s y n 网关：设置防火墙的s y n 请求超时参数，让它远小于服务器的超 时期限。防火墙负责转发客户端发往服务器的s y n 包，服务器发往客户端的 s y n a c k 包、以及客户端发往服务器的a c k 包。如果客户端在防火墙计时器到期时 还没发送t i c k 包，防火墙则往服务器发送r s t 包，以使服务器从队列中删去该半连 接。由于防火墙的超时参数远小于服务器的超时期限，因此这样能有效防止s y n f l o o d 攻击。 龟) s y n 中继防火墙：收到客户端的s y n 包后，并不向服务器转发而是记录该状 态信息然后主动给客户端回送s y n a c k 包，如果收到客户端的a c k 包，表明是正常 访问，由防火墙向服务器发送s y n 包并完成三次握手。这样由防火墙做为代理来 实现客户端和服务器端的连接，可以完全过滤不可用连接发往服务器。 2 5 本章小结 本章主要介绍了防火墙基本知识，包括防火墙的概念、功能特点、设计原理 与体系结构、网络安全体系与模型等、以及防火墙的发展趋势等。重点突出了防 火墙作为网络安全体系的基础和核心控制设备，在网络安全中具有举足轻重的地 位。 由于网络复杂和动态性，使得网络安全的脆弱性越来越明显。攻击者的手段 越来越复杂、工具越来越高级和多元化。文章最后介绍了针对网络攻击的设备安 全配置，有助于建立高效、高可靠、完整的网络安全体系。 第三章防火墙规则 第三章防火墙规则 防火墙的规则是作为包过滤防火墙安全策略的具体实现，它涉及到一个系 统的管理制度、动作机制等各方面的问题，是信息安全系统的重要内容。 规则集的维护一般由管理员完成，当某个服务己经不需要的时候，如果忘 记删除与此服务相关的所有规则，或当添加新规则时与已有的规则发生冲突， 管理员又难以意识到时都会留下安全隐患。因此，要保证防火墙能够在设定的 安全策略下正常工作，就必须消除规则集的错误与冗余【划，保持规则集的一致 性。 当前的高速网络技术中，防火墙包过滤的匹配算法是决定网络性能的主要 因素之一。包过滤防火墙必须不断的优化来应对网络需求和攻击，这样需要减 少用来执行允许或拒绝动作的包匹配次数或时间，最小化端对端的数据延迟。 一个有效而简易的过滤规则的策略优化是实现高速网络包过滤技术中的关 键。相关的研究主要探讨过滤数据包的特征和策略1 2 0 , 2 7 j ，很少考虑基于包的行为 来优化所搜寻的数据结构。因此在实际应用上针对防火墙的性能方面还有较大 的提高空间。 本章首先探讨了防火墙规则异常的检测与避免冲突的算法；其次重点研究 了基于权重的防火墙规则优化问题。 3 1 防火墙规则的定义及作用 防火墙的配置可描述为网络中每个边界点的过滤策略。而包过滤的主要模 块就是与数据包相关的规则集，对实际工作的防火墙而言，一般会有成百上千 条甚至上万条规则，每条规则都有其自己的特殊作用。 根据包过滤的特征，考虑到规则的顺序号、数据包源口地址、目的i p 地 址、源端口、目的端口、防火墙执行动作等字段域来构成一条规则。【删 定义1 过滤规则及 疋p r o t o c o l ，s r c _ i p ，s r c _ p o r t ，d s t _ i p ，d s t _ p o r t , a c t i o n p r o t o c o l e t c p ，n a p ，l c m p ，a l lo fi p e i p v 4 ，a c t i o n d e n y ，a l l o w 举例：r l ：t c p ，1 9 2 1 6 8 2 1 ，a n y ，8 0 ，d e n y ，它表示第一条规则对协 议为t c p ，来自源i p 地址【1 9 2 1 6 8 2 1 】的任意端口至4 任意目的地址8 0 端口的 数据包都予以拒绝。 3 2 与入侵检测系统( m s ) 规则的关系 定义2 策略规则集f i l t e r r u l e s ( e ) 过滤策略是由一定顺序的规则集组成，假定防火墙或路由的边界点为e ， 用f i l t e r r u l e s ( e ) 来表示通过边界e 的过滤策略。防火墙的过滤配置实质上就是 分布在边界内、外端口的滤规则的分配。例 f i l t e r 一眦( 力- ( a r e a l , n b o u d ，a r e a 2 , 暇，f - 1 , 2 鼻】) 该符号描述的表示 如下： 1 ) 定义的防火墙在域a r e a l 和a r e a 2 之间 2 ) n 条顺序的过滤规则冠构成防火墙策略 假定e 为指定的边界路由或防火墙，下表为防火墙前三条规则与过滤策 略的举例： 表3 1 1 规则集举例 t a b l e3 1 - 1e x a m p l eo ff i r e w a l l r u l e f n p r o t o c o ls r c _ i ps r c _ p o r td s t _ i pd s t _ p o r t a c 虹o n 1 t c p 1 9 2 1 6 8 2 0 a n y 1 鹌8 7 & 8 0 d e n y 2 t c p 1 9 2 1 6 8 3 0 0 a n y 1 6 2 1 8 0 3 3 4 02 1 a c c c p i 3 t c p 1 4 8 8 7 8 a n ya n yd e n y f i l t e r p o l i c y 0 ) a l l o w s ：p a c k e t t y p e ：t c p ，f r o m i p ：【1 9 2 ，1 6 8 , 2 ，3 】，1 ， 幻一p ：【1 4 8 ，8 7 ，8 ，】，t o s e r v e r 】 f i l t e r p o l i c y 0 ) d e n i e s ：p a c k e t f r o m i p ： 1 4 8 ，8 7 ，8 ，】 3 2 与入侵检测系统( i d s ) 规则的关系 防火墙是通过定义好的规则进行数据包过滤，是以被动的防御为主；而入 侵检测系统1 d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) 是指对入侵行为的检测，是一种主 动保护自己免受攻击的一种安全技术。l 7 1 入侵检测系统( 1 d s ) 扫描当前网络的活动，监视和记录网络的流量，根 据定义好的规则来过滤从主机网卡到网线上的流量，通过收集和分析网络中若 干关键点的信息，检查网络中是否存在违反安全策略的行为和被攻击的迹像， 提供实时报警严格地说，1 d s 入侵检测常常并不能立刻防止入侵的发生，而 仅仅是帮助发现入侵是否发生。由此看出它与防火墙在功能上相互补充、协同 工作，两者成为必不可少的网络安全组件。 本节将以开源的入侵检测系统s n o r t 的规则为例来分析其与防火墙规则的 1 4 第三章防火墙规则 关系。 3 2 1i d s 的规则定义： ，入侵检测系统的规则集实质上是一个定义好的攻击特征库，每条规则代表 了一种攻击标识，通过它来识别攻击行为1 1 5 】。 定义3 ：i d sr u l e i d s _ m l e ： ， a c t i o n ( 动作) 是指其对从网络中获取的数据包与事先定义好的规则相匹 配时所采取处理方式。 规则的前部与防火墙类似，由动作、协议、源l p 地址和源端口号、方向 操作符、目的伊地址和目的端口号构成的一个多元组。 规则的后部是根据网络数据包的特征构建的选项，以达到更有效的入侵检 测功能。 以著名的开源入侵检测系统s n o r t - 1 6 l 为例，它的每一条规则包括两个部 分：规则头部和规则选项。 规则头部中的动作包括告警a l e r t 、日志l o g 、通行p a s s 、激活a c t i v a t e 、动 态d y n a m i c 、抛弃d r o p 、拒绝r e j e c t 等动作，最常见的动作是a l e r t ( 告警) 。 规则选项由选项关键字和选项内容组成，它包含了入侵特征串内容 ( c o n t e n t ) 、u r i 请求特征串( u r i c o n t e n t ) 、告警信息内容( m s g ) 、负载长度 ( d s i z c ) 、类型( c l a s s t y p e ) 、严重程度( p r i o r i t y ) 、版本( r e v ) 及与模式匹配 相关的重要信息( n o c a s e ，o f f s e t 、d e p t h 等) 。规则的选项构成了s n o r t 检测引 擎的核心。 给出一个s n o r t 规则示例： a l e r tt o pa n ya n y 1 9 2 1 6 8 1 0 2 41 1 1 ( c o n t e n t ：”t o o0 18 6a 5 i ”；m s g ：”m o u n t d a c c e s s ”；) 示例规则表示对所有发往1 9 2 1 6 8 1 0 2 41 1 1 端口的t c p 数据包进行检查， 当发现入侵特征字符串“1 0 00 18 6a 5 i ”时，给出“m o u n t da c c e s s ”告警信息。 3 2 2 防火墙规则与i d s 规则的关系 从上面的规则分析可以发现两者在对数据包处理方面的联系： 防火墙规则表现为针对数据包头部域段( 源i p 地址、源端口、目的i p 地 址、目的端口和动作组成的六元组；i