（通信与信息系统专业论文）基于多阶层状态检测技术的防火墙系统研究与实现.pdf

j ! 摘要 随着网络技术的广泛应用，网络安全问题逐渐成为近年来计算机 应用领域的研究热点。防火墙技术的研究是网络安全领域的重要研究 课题，对于保证网络的安全有着重要的意义。 多阶层状态检测技术是包过滤、状态检测、内容检测、认证等技 术的综合应用，其含义是：采用多种检测手段对报文进行多方面的检 测。该技术的研究与应用是一个有着重要实用价值的研究课题，在网 络安全领域具有广泛的应用前景。本课题的研究内容就是多阶层状态 检测技术的研究与实现，文章理论与实践相结合，以n e t f i l t e r 架构 为基础，开发了一个基于l i n u x 系统内核的防火墙系统。 本文首先分析了当前几种防火墙技术和防火墙结构的优缺点。在 对l i n u x2 4 内核中n e t f i l t e r 架构的工作机制进行深入研究后，文 章给出一种基于内核的信息检测方案；在进一步分析i p t a b l e s 原理 后，文章给出了包过滤技术、状态过滤技术、地址转换等技术的实现 方案。然后本文设计实现了一个基于多阶层状态检测技术的防火墙系 统，并详细介绍了防火墙系统中各个子系统的工作原理与实现。在内 容检测子系统中，本文提出一种基于内核的内容检测方案，该方案采 用了b m 改进算法在网络层对数据包进行更详细的信息检测。在认证 子系统中，本文提出一种基于内核的认证方案，该方案是一种安全可 靠的信息隐藏的方法，提高了防火墙认证的安全性。最后总结了本文 所做的一些工作，并对今后的工作进行了展望。 关键词：防火墙系统、多阶层状态检测、内容检测、认证 a b s t r a c t w i t hm e 印p l i c a t i o no fn e t w o r kt e c h n i q u e s ，t h es e c u r i t yp r o b l e mi n n e t w o r kb e c o m e st h eh o t s p o ti nc o m p u t e ra p p l i c a t i o nf i l e d f i r e w a l l t e c l i l o l o g yi sa ni m p o r t a l l tn e t w o r ks e c u r i t yp r o j e c t a n d i ti s v e 可 s i 朗i f i c a n tf o rg u a r a m e et h es e c u r i t yo f n e t 、v o r k m u i t i s t a g es t a t e m l i n s p e c t i o nt e c h n o l o g y i sa c o m p o s i t i v e 印p l i c a t i o no fp a c k e t - f i l t e r s t a t e f h l i n s p e c t i o n ，c o n t e n t i n s p e c t i o n ，a i l d a u t h e n t i c a t i o n i tm e a n st h a ti n s p e c t sp a c k e ti si n s p e c t e de x t e n s i v e l y b a s e do nm a n yi n s p e c t i o nt e c h n o l o g y t h er e s e a r c ho ft h i st e c h n o l o g yi s u t i l i t y ，f o ri tc a nb ew i d e l yu s e di nt h es e c u r i 够o fn e t w o r k m l er e s e a r c h c o n t e n to f t h i sp 印e ri st h et h e o r ) ra n d 印p l i c a t i o no f t e c h n o l o g y t h ep 叩e r c o m b i n e st 1 1 em e o d ，w i mp r a c t i c e ，a n dc o n s t l l l c t saf i r e w a l ls y s t e mb a s e d o nt h en e t f i h e rm e c h a i l i s mo fl i n u xk e m e l a tf i r s t ，m ep a p e ra n a l y s e sc h a r a c t e r i s t i co fs o m ec u r r e n tf i r e w a l l s t e c h n o l o g ya n df i r e w a l ls y s t e m a f t e ri n t r o d u c i n gt h en e t f i l t e rm e c h a n i s m o fl i n u x2 4k e m e l ，t h ep 印e r b r i n g sm es c h e m eo fi n f o r r i l a t i o nf i l t e rw n k c m e l ；a f t e ri n t r o d u c i n gt h et h e o 叮o f i p t a b l e s ，t h ep a p e rb r i n g st h es c h e m e t or e a l i z ep a c k e t _ f i l t e r n a t e t c t h ep 印e rd e s i g n sa n dr e a l i z e saf i r e w a l l s y s t e mw i t hm u l t i s t a g es t a t e 如l i n s p e c t i o nt e c l l i l o l o g y ，a n di n t r o d u c e sm e t h e o r y a n dr e a l i z a t i o no ft h e s u b s y s t e m i nf i r e w a u s y s t e m i n c o n t e n t i n s p e c t i n gs y s t e m ，t h ep 印e rg i v e sac o n t e n t i n s p e c t i o ns c h e m e w i t hk e m e lt e c h n o l o g ya n da d o p t sa ni m p m v e db ma r i t h m e t i ct oi n s p e c t m o r ei n f 0 肌a t i o no fp a c k e ti nn e m o r kl a y e r t h ep a p e rg i v e sa n a u t h e m i c a t i o ns c h e m ew i t hk e m e l t e c h n o l o g yt oi m p r o v et h es e c u r i 够o f s y s t e m i na u t h e m i c a t i o ns y s t e m ，w h i c hi sar e l i a b l em e t h o do f i n f o 哪a t i o nh i d i n g f i n a l l yi tc o n c l u d e st h ew o r ko f m ep 印e ra n dp r e s e n t s s o m ee x p e c 切t i o n k e yw o r d s ：f i 代w a i ls y s t e m ，m u i t i s t a g es t a t e f u i i n s p e c t i o n ， c o n t e n t - i n s p e c t i o n ，a u t h e n t i c a t i o n j 厂 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得中南 大学或其他单位的学位或证书而使用过的材料。与我共同工作的同志对本 研究所作的贡献均已在论文中作了明确的说明。 作者签名： ! 至l 妄垒日期：丝年月上日 关于学位论文使用授权说明 本人了解中南大学有关保留、使用学位论文的规定，即：学校有权 保留学位论文，允许学位论文被查阅和借阅；学校可以公布学位论文的全 部或部分内容，可以采用复印、缩印或其它手段保存学位论文；学校可根 据国家或湖南省有关部门规定送交学位论文。 硕士学位论文 第一章绪论 1 1 课题背景 第一章绪论 随着网络应用日益广泛的发展，网络在给人们带来方便快捷、给企业带来效 率和利润的同时，也带来了日益严重的安全问题。越来越多证据表明计算机系统 安全性是十分脆弱的，如何有效防止黑客攻击、阻止包括网页垃圾和邮件垃圾在 内的网络垃圾信息传播已经成为网络信息系统的安全问题中突出问题“”。 因此防火墙中原有的包过滤技术、代理技术已经不能满足实际需要，因此网 络安全专家提出了一些新的技术：状态检测和内容检测。内容检测指防火墙对数 据包中的数据，根据过滤条件进行控制，状态检测则是一种基于网络连接状态的 检测机制。1 。多阶层状态检测技术是包含包过滤技术、状态检测技术、内容检 测技术等技术的复合检测技术。基于复合检测技术的复合型防火墙在目前已经得 到广泛的研究和使用。 本课题基于湖南省自然科学基金项目新一代互联网络分布式信息安全存取 问题的研究，项目计划编号：0 2 j j y 2 0 9 4 。 1 2 课题研究目的与意义 本课题目的主要是通过研究分析包过滤技术、代理技术、状态检测技术、内 容检测技术等的原理和实现，特别是研究多种技术在l i n u x 系统中的综合应用， 实现检测和过滤数据包的信息，研究出一套l i n u x 系统下基于多阶层状态检测技 术的防火墙，兼顾效率与安全。 基于多阶层状态检测技术的防火墙系统的研究与实现对于网络防火墙技术 的发展有很好的借鉴意义，将有利于构造更安全的计算机网络体系的门户，将有 利于提升网络系统的安全性。 1 3 防火墙系统的研究现状与水平 防火墙系统目前已有了广泛的应用，是软硬件的结合体，是信息安全机制的 重要组成部分。 硕士学位论文第一章绪论 1 3 1 防火墙技术的发展现状 防火墙本身从技术发展趋势来看，提高系统处理能力和采用模块化设计是防 火墙技术发展的主要方向瑚。 处理能力的提高主要集中在两个方面：硬件结构的优化和软件算法的更新。 硬件结构优化是走软硬一体化，充分发挥硬件最高性能，而且还提高了系统自身 安全性。功能设计模块则提高防火墙的适应能力，处理能力提高是追求防火墙性 能的线性处理能力，达到对整个会话过程中的所有传输内容进行检查。 从功能上，将是包过滤、状态检测、内容检测等多种技术相结合，同时吸收 其它安全设备的技术，形成一个复合检测技术的复合型防火墙。 目前网络安全中的新产品一一入侵防御系统( i p s ) ，就是这一类的代表“一。 1 3 2 防火墙产品的发展阶段 防火墙产品的发展可以分为4 个阶段嘲： 1 第一代防火墙：基于路由器的防火墙 由于多数路由器本身就包括分组过滤功能，因此网络访问控制主要通过路由 器控制来实现，其特点是利用路由器本身对分组的解析，以访问控制表方式实现 对分组的过滤；过滤判定的依据是i p 地址、端口号等。 但这类防火墙安全漏洞较多，分组过滤规则的设置和配置过于复杂，再加上 由于路由器的主要功能是为网络提供动态、灵活的路由，而防火墙则要对访问行 为实施静态的、固定的控制，两者之间形成一对难以调和的矛盾。 2 第二代防火墙：用户化的防火墙 这一代主要就是代理技术在防火墙上的使用，其特征主要是将过滤功能从路 由器中独立出来，增加审计和告警功能，并针对用户需求，提供模块化的软件包。 与第一代相比，第二代防火墙安全性有所提供，由于是纯软件产品，虽然价 格降低了，但其配置和维护过程依然复杂、费时，而且实践表明，使用过程中出 现容易差错。 3 第三代防火墙：建立在通用操作系统的防火墙 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商推出了建 立在通用操作系统上的商用防火墙产品，其特点是：是批量上市的专用防火墙产 品；包括分组过滤或借用了路由器的分组过滤功能；装有专用的代理系统，监控 所有协议的数据和指令；保护用户编程空间和用户可配置内核参数的设置。 硕士学位论文 第一章绪论 第三代防火墙在安全性和速度有了大的提高，有以纯软件实现的，也有硬件 方式实现的，但随着安全需求的变化和使用时间的推延，表现出不少的问题。 4 第四代防火墙：具有安全操作系统的防火墙 这是目前防火墙产品的主要发展趋势。具有安全操作系统的防火墙本身就是 一个操作系统，因而在安全性上较第三代防火墙有质的提高。获得安全操作系统 的办法有两种：通过许可证方式获得操作系统的源码；通过固化操作系统内核来 提高可靠性。其特点是：防火墙厂商具有操作系统的源代码，可以实现安全内核； 去调了不必要的系统特性，加上内核特性，强化安全保护，对安全内核实现加固 处理。在技术上采用包括了分组过滤技术、代理技术、状态检查技术、内容检测 技术等多种技术在内的组合。 1 3 3 典型产品 目前国内广泛使用的天网防火墙、费尔防火墙以及早期的硬件防火墙等都属 于包过滤型防火墙；各种代理服务系统采用的是代理技术的防火墙，比如 w i n g a t e 、s y g a t e 、w i n p o r x y 等；基于状态检测技术的产品，目前主要有常见的 硬件防火墙有n e t s c r e e n2 0 8f i r e w a l l 、c i s c os e c u r ep i x5 1 5 一ef i r e w a l l 、 天融信网络卫士n g f w 4 0 0 0 一s 防火墙、东软n e t e y e4 0 3 2 防火墙等m 。 目前有一种新的网络安全产品一一入侵防御系统( i p s ，i n t r u s i o n p r e v e n t i o ns y s t e m ) ，从功能上看可以认为是防火墙和入侵检测系统的结合，是、 了基于包过滤、状态检测、内容检测等复合检测技术的产品，其具有更好的实用 性。通过使用i p s ，简化了网络安全体系的设置，而且还可以加快系统对入侵攻 击的响应速度，是现在防火墙技术研究中的一个热点。目前代表产品有方正入侵 防御系统6 0 0 0 、8 0 0 0 型、图腾i d p5 0 、1 0 0 型、u n i t y o n e 入侵防御系统等。，”。 从网络安全的发展趋势来看，多种安全技术的综合使用、网络安全产品的融 合、协同网络安全重要的发展方向。 本文提出的基于多阶层状态检测技术的防火墙系统，也就是从该角度出发进 行研究的。 1 4 论文的安排 本文首先在对现有的防火墙技术和防火墙体系进行分析，然后针对l i n u x 系 硕士学位论文第一章绪论 统的特点，深入研究了l i n u x2 4 内核防火墙n e t f 订e r i p t a b l e s 架构的原理， 然后给出了此架构下多种安全技术的实现方案。最后在此基础上，本文设计了一 款基于多阶层状态检测技术的复合型防火墙，原理如图卜l 。 图l 一1 防火墙系统原理图 本文共分为五章。第一章为绪论，主要介绍本课题的来源与选题目的和意义， 以及国内外的研究现状。第二章为相关技术的介绍，主要介绍目前的防火墙技术 和防火墙网络安全体系。为了实现l i n u x 系统下的包过滤系统、内容检测系统、 网络地址转换系统、认证系统等模块，对l i n u x 内核的n e t f i l t e r i p t a l b e s 工 作原理进行了详细分析，并利用n e t f i l t e r 的钩子函数和i p t a b l e s 实现了数据 包的过滤、地址转换。这部分研究过程在第三章中进行了详细的阐述。在第四章， 本文论述了基于n e t f i l t e r i p t a b l e s 架构开发了一款包过滤和状态检测等技术 为一体的多阶层状态过滤的防火墙系统的构成：包过滤系统、内容检测系统、网 络地址转换系统、d h c p 系统、认证系统，并根据实际情况详细介绍了系统各部 分的原理和功能实现。其中包过滤系统、网络地址转换系统是采用i p t a b l e s 语 句实现的；d h c p 系统是基于l i n u x 中的d h c p 服务实现的；内容检测系统、认证 系统则都是通过基于内核的实现的。第五章是结论与展望，总结了本文所做的一 些工作，并对今后的工作进行了展望。 基于多阶层状态检测技术防火墙系统的开发与调试总共历时九个多月，目前 已经基本完成，但仍有个别问题有待今后进一步优化和研究。 硕士学位论文 第二章防火墙技术与结构 第二章防火墙技术与结构 本章主要对现有的防火墙的技术特点和防火墙结构的特点进行分析。 2 1 防火墙技术分析 从i p v 4 的定义中，可以知道在制定i p v 4 标准的时候没有考虑到认证等安全手 段。1 ，而且在t c p 和u d p 的传输方式中，也容易造成数据包劫持、i p 欺骗等情况。 再加上操作系统、应用软件的b u g ，这些都造成了网络存在众多不安全因素，因此 安全问题成为网络的主要关注对象之一。 怎样才能保证网络的安全呢? 一般地，网络管理者制定了一系列的安全策略， 考虑安全需求，制定必要的规则来限制计算机的连接。 目前实现这些功能的最基本的安全设备就是防火墙。 2 1 1 防火墙的定义 一般认为，防火墙( f i r e w a l l ) 是位于两个信任程度不同的网络之间( 如企业 内部网络和互联网之间) 的软件或硬件设备的组合，它对两个网络之间的通信进行 控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以 达到保护系统安全的目的。安全、速度、管理是防火墙的三大要素“”。 防火墙的目的在于实现安全访问控制，因此按照t c p i p 模型“1 ，防火墙模型 如图2 一l 。 应用层；网关级 传输层 ； 电路级 网络层 i 路由器级 数据链路层!网桥级 卜一安全区域卜一防火墙系统叫一非保护区域叫 图2 1 防火墙模型 2 1 2 防火墙现有的技术以及特点 防火墙大约是从2 0 世纪9 0 年代初开始研究已经历时1 0 多年了，尽管防火墙提 供的保护和保护的级别不同，但从总体上讲，已有的防火墙技术大致分为下面4 种 类型。”1 ： 硕士学位论文 第二章防火墙技术与结构 1 包过滤技术 基于包过滤( p a c k e tf i l t e r ) 技术的防火墙( 包过滤防火墙，也叫网络级防火 墙) 一般是基于源地址和目的地址、应用协议以及每个i p 包的端口来做出通过与否 的判断，与应用层无关。 图2 - 2 包过滤模型 包过滤防火墙是基于过滤规则来实现的，一般步骤如下：建立安全策略；写出 所允许的和禁止的任务；将安全策略转化为数据包字段的逻辑表达式一一包过滤规 则。防火墙在规则表中定义了各种过滤规则来表明是否同意或拒绝包的通过。当数 据包通过时，把需要相关数据包的信息与过滤规则进行比较，检测是否满足过滤规 则的条件。当然如果发现没有与任何过滤规则相符，就会采用防火墙的默认规则进 行处理。一般默认规则就是要求防火墙丢弃该包，如图2 2 。 包过滤性防火墙具有简洁、高速、费用低的特点。但由于包过滤发生在网络层、 传输层，而且只是根据报头的内容来分析对数据包进行处理，只利用部分网络信息 进行处理，使安全处理所依赖的信息过于简单，其安全控制的粒度也就只限于源地 址、目的地址和端口号，因而只能进行较为初步的安全控制，对于拥赛攻击、内存 覆盖攻击或病毒等高层次的攻击手段，则无能为力。 2 代理技术 代理( p r o x y ) 技术与包过滤技术完全不同，代理技术是针对每一个特定应用对 应一个程序，代理是在应用层中实现防火墙功能啪。 代理服务器的核心是运行于防火墙主机上的代理服务进程，实质上是为特定网 络应用连接i n t r a n e t 与i n t e r n e t 的网关。当用户要访问代理服务器另一侧的主机 时，对符合安全规则的连接，代理服务器会代替主机响应，并重新向主机发出一个 6 硕士学位论文第二章防火墙技术与结构 相同的请求。当连接请求得到回应并建立连接后，内部主机同外部主机之间的通信 将通过代理程序将相应连接来映射实现，如图2 3 。 图2 - 3 代理服务模型 代理的主要特点就是有状态性，能提供部分与传输有关的状态，能完全提供与 应用相关的状态和部分传输方面的信息。采用代理机制可以阻断了内部与外部网络 的直接联系，保证内部网络拓扑结构等重要信息被限制在代理网关内侧，防止外泄。 但代理服务在扩展上比较困难，如果要增加一种新的应用，往往要重新开发一种代 理程序，技术水平要求高、工作量大，般应用单位无法完成。由于代理服务的所 有实现都发生在应用层，因此比较影响网络的性能，同时还将操作系统和应用层的 b u g 都暴露出来“”。 3 状态检测技术 状态检测( s t a t e f u li n s p e c t i o n ) 技术试图跟踪通过防火墙的网络连接包，使 用一组检测规则以确定是否允许和拒绝通信，也称为动态包过滤。”。 图2 4 状态检测模型 其基本保持了包过滤技术的优点，状态检测性能比较好，同时对应用是透明的， 在此基础上对安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察 ， 硕士学位论文 第二章防火墙技术与结构 进出网络的数据包，不关心数据包连接状态的缺点，在防火墙的核心部分建立状态 连接表，为跟踪无连接的协议( 比如r p c 和基于u d p 的应用) 会提供虚拟的会话信 息维护连接，是将进出网络的数据当成一个个的事件来处理”1 。 可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理 型防火墙则是规范了特定的应用协议上的行为。 4 复合检测技术 各种防火墙技术有各自的优点和特点，如何发挥各种技术的特长，提供更安全 的保障，是信息安全长期研究的重点。 复合检测技术则是包含了多种检测技术，是目前防火墙发展的新趋势。从长远 来看，该技术将结合包过滤、代理、状态检测等防火墙技术于一体，并吸收其它安 全产品的技术( 如n a t 、内容检测、防毒检测等) 。复合型防火墙就是指采用复合检 测技术的新一代的防火墙，进一步把n a t 、防病毒、内容过滤等安全技术整合到防 火墙里，其中还可以包括v p n 、i d s 功能，多单元融为体，是一种网络安全产品的 新突破”1 。 5 几种现有防火墙技术的对比“” 包过滤技术：工作在网络层，不检查数据区，不建立连接状态表，前后报文无 关，应用层控制很弱。 代理技术：工作在应用层，检查数据区，可以进行内容检测，不检查i p 、t c p 报头，不建立连接状态表，网络层保护比较弱。 状态检测：工作在网络层，不检查数据区，建立连接状态表，前后报文相关， 应用层控制很弱。 复合检测技术：可以检查整个数据包内容，根据需要建立连接状态表，网络层 保护强，应用层控制细，会话控制较弱。 由于各种防火墙技术都有其自己的特点，而复合检测技术综合了这些技术的特 点，而且还吸收了其它安全技术的特点，这使得复合检测技术成为目前的研究热点。 本文提出的基于多阶层状态检测技术就是复合检测技术一种，其中采用了包过 滤、状态检测、内容检测、n a t 、认证等多种安全技术。 2 1 3 网络地址转换技术 由于网络地址有限，i p v 4 中的绝大多数地址已经分配出去，而随着网络的迅猛 发展，计算机的数量与日俱增，i p v 4 的地址逐渐枯竭。i p 地址的不足使许多用户使 硕士学位论文 第二章防火墙技术与结构 迅猛发展，计算机的数量与日俱增，i p v 4 的地址逐渐枯竭。i p 地址的不足使许 多用户使用私有i p 地址来搭建网络，这些地址应遵循r f c1 5 9 7 中为私有网络分 配的地址。为保证使用私有地址的网络能够访问i n t e r n e t ，目前主要采用地址 转换解决这一问题，而将来则可以采用i p v 6 技术进行解决。 同时现在网络安全理论中要求对外部隐藏内部网络的拓扑结构，而采用n a t 技术就可以保证。数据包中如果包含有目的i p 地址，一旦内部的i p 地址被截获， 那么内部网络资源就会暴露，并可以对其实施攻击。 网络地址转化“( n a t ，n e t w o r ka d d r e s st r a n s l a t i o n ) 即网络地址翻译， 它通过修改数据包头的源或目的地址来实现它的功能。n a t 实现将一个( 组) i p 地 址转换成另一个( 组) i p 地址，比如将内网i p 地址与外网i p 地址相互转换。 按所修改的部分，n a t 可分为源n a t ( s n a t ，s o u r c en a t ) 和目的n a t ( d n a t ， d e s t i n a t i o n n a t ) 两类，是基于网络层的安全应用，隐蔽了内部i p 地址，节约 i p 地址和费用。s n a t 是把内部网络的第一个报文的源地址修改为防火墙的外部 地址传向外部网络，比如i p 伪装就属于s n a t 。d n a t 是把第一个报文原本合法的 目标i p 地址转换成防火墙的内部i p 地址，i p 映射、端口转移都属于d n a t 。 2 1 4 其它网络安全技术 除了上面的安全技术外，还要一些新的技术在防火墙产品上采用，主要有： 加密技术、虚拟专用网( v p n ) 、安全审计、安全内核、认证、负载平衡、内容安 全等啪。 2 2 防火墙结构分析 典型的防火墙是由一个或多个构件组成；包括过滤路由器、堡垒主机等。在 设计和应用防火墙系统的时候，要根据网络安全策略选择合适的防火墙结构，因 为不同的防火墙结构的适用的范围、安全性、所需的成本费用都是不停的魄”1 。 本节将主要介绍目前所常用的防火墙结构，并对每个安全方案加以分析，从 中看出在不同的环境下应选择什么类型的防火墙结构。 2 2 1 包过滤型防火墙 包过滤型防火墙一般用一台过滤性路由器实现，对所接收的每个数据包都做 允许或拒绝的决定，如图2 5 所示。路由器审查每个数据包以便确定其是否与某 一条包过滤规则匹配。过滤规则基于可以提供给i p 转发过程的包头信息，包头 硕士学位论文 第二章防火墙技术与结构 信息中包括i p 源地址目的地址、内装协议( t i c p 、u d p 、i c m p 等) 、t c p u d p 目 标端口等n 町。 根据站点的安全策略来 图2 5包过滤型防火墙原理图 包过滤型防火墙的优点就在于速度快，对网络的影响很小，费用相对其它几 种类型要低，对用户和应用来讲是透明的。缺点在于防火墙的维护比较困难，定 义数据包过滤器比较复杂，需要网络管理员对各种网络服务、包头格式以及每个 域的意义都有比较深入的了解。 2 2 2 堡垒主机或双穴主机网关型防火墙 如图2 6 所示，这种配置是利用一台装有两块网卡的堡垒主机做防火墙，两 块网卡各自与受保护网络和外部网络相连，堡垒主机上运行着防火墙软件，可以 转发应用程序，或提供必要的服务等。1 。 图2 - 6 堡垒主机型防火墙原理图 这种防火墙最大的特点就是i p 层的通信是被阻止的。也就是说，堡垒主机 装配的防火墙软件一般不允许转发t c p i p 协议，两个网络之间的通信是通过应 用层数据共享或应用层代理服务完成的，对每种服务都提供专门的应用程序。其 使用的便利性及安全性取决于管理者设置的访问方式：是否允许用户登陆到服务 器上。如果允许，方便性提高了，但安全性会降低。 堡垒主机优点是：堡垒主机的系统软件可以用于维护系统日值、硬件拷贝日 值或远程日值，这对日后的检查很有用。但这不能帮助网络管理者确认内网中哪 些主机可能已经被黑客入侵。缺点是：一旦入侵者侵入堡垒主机并使其只具有路 由功能，则外网的用户可以随意访问内网。 硕士学位论文 第二章防火墙技术与结构 括过滤路由器和堡垒主机两部份。如图2 7 ，一个分组过滤路由器连接外部网络， 同时一个堡垒主机安装在内部网络上，通常在路由器上设立过滤规则，使这个堡垒 主机成为从外部网络唯一可直接到达的主机，确保内部网络不受未被授权的外部用 户的攻击。进出内部网络的数据只能沿图中的箭头方向流动“。 图2 - 7 屏蔽主机网关型防火墙原理图 如果受保护的网络是一个虚拟扩展的本地网络，则没有子网和路由器，那么内 网的变化不会影响堡垒主机和屏蔽路由器的配置。危险主要限制在堡垒主机和屏蔽 路由器。网关的基本控制策略由安装在上面的防火墙软件决定。 如果攻击者设法登陆到它上面，内网的其余主机就会受到很大的威胁，这与双 穴主机网关型防火墙受攻击时的情形差不多。 2 2 4 屏蔽子网型防火墙 屏蔽子网型防火墙包括了两个包过滤路由器和一个堡垒主机。这种方法是在内 部网络和外部网络之问建立一个被隔离的子网，拥两台分组过滤路由器将这义子网 分别与内部网络和外部网络分开。在很多实现中，两个分组过滤路由器放在子网的 两端，在子网内构成一个“非军事区”( d m z ) ，如图2 8 。内部网络和外部网络均可 以访问被屏蔽子网，但禁止它们穿过被屏蔽予网通信。一般情况下，堡垒主机、信 息服务器和公用服务器都放在d m z 区“肿。 这种配置的危险带仅包括堡垒主机、屏蔽子网主机以及所有连接内网、外网和 屏蔽子网的路由器。 如果攻击者试图完全破坏防火墙，则必须重新配置连接三个网的路由器，既不 切断连接又不能把自己锁在外面，又要避免被发现，要实现这些也是非常困难的。 如果禁止网络访问路由器或只允许内网中的某些主机有权访问，则攻击难度会更大。 在这种情况下，攻击者就得首先侵入堡垒主机，然后进入内网主机，再返回来破坏 屏蔽路由器，而且整个过程不能引发报警。 硕士学位论文 第二章防火墙技术与结构 d m z 网络 图2 - 8 屏蔽子网型防火墙原理图 2 2 5 其它防火墙体系结构 防火墙还有很多其它的组合，将堡垒主机和过滤路由器安装一定的顺序结合起 来就可以组建非常复杂的防火墙结构，这些防火墙体系结构是前面介绍的结构的一 些变体，比如说：一个堡垒主机和一个非军事区；两个堡垒主机和一个非军事区； 两个堡垒主机和两个非军事区。 硕士学位论文 第三章l i n u x 系统内核中防火墙模块分析与研究 第三章l in u x 系统内核中防火墙模块分析与研究 如何保证防火墙系统具有稳定的性能是一个好的防火墙系统必须考虑的，防 火墙操作系统的选择是否合理，直接影响到防火墙系统的整体性能。本章将对目 前防火墙所用到的操作系统进行分析和研究，并分析选择l i n u x 系统的原因，从 一定程度上提高了防火墙系统的稳定性。 根据设计防火墙的特点，在这里将重点分析和研究l i n u x 内核n e t f i l t e r 框 架的原理，并给出一种信息过滤的方案，然后进一步分析i p t a b l e s 的工作原理， 并给出了实现包过滤、状态过滤、n a t 技术的例子。 3 1 防火墙的操作系统 防火墙作为一个网络的门户，它的安全关系到整个内部网络，而防火墙的操 作系统的稳定性、安全性是防火墙首先要考虑的问题。 3 1 1 操作系统的选择 w i n d o w s 系统虽然广泛的使用，但由于源代码保密，其内核不为防火墙厂商 所知，安全性无从保证。而且由于w i n d o w s 系统漏洞，w i n d o w s 系统不断有冲击 波、振荡波等网络病毒攻击。因此w i n d o w s 系统不适合做防火墙的操作系统。 l i n u x 系统是从u n i x 系统发展起来的一个新型操作系统，就是为了网络应 用而诞生的。虽然才诞生不久，但由于其开放性，系统发展非常迅速，比如最近 中日韩三国政府就公开发表声明要联合研究开发l i n u x 系统。目前l i n u x 内核支 持包括大多数c p u 、网络设备等硬件设备，而且从2 4 版本起l i n u x 系统重新写 了网络层的实现，其安全性和性能得到进一步增强。 同w i n d o w s 系统相比，l i n u x 系统具有系统更小、源代码公开、内核可以根 据需要重新定制的特点，更符合安全操作系统的要求，而且l i n u x 系统对硬件的 要求不是很高，因此更适合做防火墙的操作系统。比如c i s c o 公司部分防火墙系 统就是采用的r e d h a t 定制l i n u x 系统“”。 3 1 2 对l i n u x 内核的加固处理 系统内核的坚固是操作系统的前提。因此，在选择操作系统后，必须要根据 需要量身定制一个更高效、更稳定、更安全的内核，重新编译系统内核“”。 硕士学位论文 第三章l i n l l ) 【系统内核中防火墙模块分析与研究 l 编译准备 l i n u x 作为一种自由软件，其内核版本在不断更新，l i n u x 内核设计的主要 目标是：清晰性、兼容性、可移植性、健壮性、安全性和速度。通常，更新的内 核会支持更多的硬件，具有更好的进程管理能力，运行速度更快、更稳定，一般 会修复老版本中发现的漏洞，经常性地选择升级更新系统内核是l i n u x 使用者的 必要操作内容。 l i n u x 内核版本发布的官方网站是h t t p ：w 啊k e r n e k o r g 。新版本的内核 一种是安全源文件版本，另一种是补丁文件版本。在这里使用的内核是稳定内核 的版本l i n u x 2 4 2 0 和p a t c h 一2 4 2 0 。 编译内核需要使用r o o t 权限，把升级的内核拷贝到u s r s r c 下，解压、做 p a t c h 、建立新的链接等。 2 编译内核汹“” 为确保源代码没有不正确的目标文件和文件相互的依赖关系，可以使用i n a k e i i i r p r o p e r 命令，然后确保u s r i n c l u d e 目录下的a s m 、1 i n u x 、和s c s i 等链接是 指向要升级的内核源代码。 内核配置过程比较烦琐，选择相应的配置时，有三种选择：将该功能编译进 内核；不该功能编译进内核；将该功能编译成内核动态调用的模块、 增加对某部分的支持，可以把相应部分编译到内核中，也可以把该部分编译 成模块( m o d u l e ) 进行动态调用。编译到内核中，则会在启动时自动调用，有速 度快、方便的特点，缺点是会使内核变得庞大起来。编译成模块，则会生成对应 的o 文件，在要使用的时候动态加载“”。 内核编译的原则是将与内核部分关系较远的、不经常使用的功能代码编译成 可加载模块，以减小内核长度和消耗的内存，提高运行效率。对于不需要的功能 如可以不选则不选，与内核关系紧密的、经常使用的功能代码直接编译到内核中。 3 2l i n u x 内核防火墙机制一一n e t f i t e r 框架 3 2 1 套接字缓冲区 提到l i n u x 内核防火墙机制一一n e t f i l t e r 框架，就不得不先提出在网络运 行中有个很重要的问题：各层协议之间如何传递数据。 硕士学位论文 第三章l i n 系统内核中防火墙模块分析与研究 在一般的层次化网络协议中，一层协议将为另一层提供服务，因此每一层协 议在接收和发送数据的时候，都要对数据中协议的头尾进行处理，其中包括确定 协议头和协议尾的位置，这就使得在各层协议之间数据的传递很困难“”。 解决方案主要有两种： 一种解决方法就是采用的传统方法，在各层之间拷贝数据，而这种方法效率 不高。由于网卡驱动程序运行在内核空间，当网卡收到包后，包会存放在内核空 间。而上层应用运行在用户空间，无法直接访问内核空间，因此要通过系统调用 以复制过程的方式往上层应用传递数据。 另一种就是“零拷贝”技术。“零拷贝”技术是指网卡驱动程序共享一段内 存区域，当网卡抓到数据包以后直接写到共享内存，这样就减少了至少一次复制 和相关的系统调用。而一次系统调用的开销是相当大的，采用传统方法会造成大 量的系统调用，从而导致系统的性能下降。采用了“零拷贝”技术后可以有效避 免这一点。l i n u x 就是采用这种方法一一套接字缓冲区( s k - b u f f ) 方法啪1 。噍 套接字缓冲区是网络部分重要的数据结构，描述内存中的一个数据区域，存 放网络传输的数据包。在整个网络传输中，套接字缓冲区作为数据的载体，保证 了数据的可靠和稳定，而且网络部分的各层都和该数据结构密切相关。因此如果 n e t f i l t e r 框架要对网络数据包进行处理，就必须依靠套接字缓冲区。 套接字缓冲区与其它缓冲区相比，有其自己的特点：在网络传输的源主机上， 它创建于套接字层，沿网络层自上而下传递：它先在协议层流动，最后在物理层 消失，同时把它所带的数据传递给目标主机的物理层的套接字缓冲区，该缓冲区 自下而上传递到目标主机的套接字层，并把数据传递给用户进程，目标主机的套 接字缓冲区也同时消失。工作流程图如图3 1 ： 套接字层 ( 创建) 协议层 套接字层 ( 消失) 协议层 鬻厦亟至亟亟卫匦匪夏爱司互亘亘 = 夏匦口蔓垂夏匣亘亘巫亟亚囹物理层 发送过程 接收过程 图3 1 套接字缓冲区流程图 硕七学位论文第三章l i l l u x 系统内孩中防火墙模块分析与研究 l i n u x 设置s k - b u f f s 结构的主要目的就是为网络部分提供一种统一有效的 缓冲区操作方法，从而让协议层以标准函数或方法对缓冲区数据进行处理，这是 l i n u x 系统网络高效运行的关键。通过s k _ b u f f 结构，就可以实现对协议层的操 作和管理套接字缓冲区的数据。s k _ b u f f 结构在i n c l u d e 1 i n u x s k b u f f h 中定 义，结构如图3 2 帆“1 。 n e x t p r e v d e v h e a d _ _ _ 一 d a t a 未 l t a i l e n d v 、_ 一 要传递的数据包 围3 2s k j u f r 结构图 s k - b u f f 是个链表结构，通过n e x t 、p r e v 两个指针连接前后。每个s k - b u f f 结构都包含一个数据块、4 个数据指针( h e a d 、d a t a 、t a i l 、e n d ) 、两个长度变 量( 1 e n 、t r u e s i z e ) ，以及协议头指针的联合体类型变量( h 、n h 、m a c ) 。 如图3 2 ：h e a d 指针指向内存中数据区的起始位置，在s k b u f f 和相关数据 块在分配后，其值固定不变；d a t a 指针指向协议数据的当前起始地址，随着当 前拥有s k _ b u f f 的协议层变化而变化；t a i l 指针指向协议数据的当i ； 结尾地址， 随着当前拥有s k - b u f f 的协议层变化而变化；e n d 指针指向内存中数据区的结尾， 与h e a d 指针一样，在s k - b u f f 被分配之后，其值固定不变。 l e n 、t r u e s i z e 是s k _ b u f f 中两个重要的长度字段，分别描述当前协议数据 包的长度和数据缓冲区的实际长度。 另外，s k _ b u f f 数据结构中的三个联合体变量h 、n h 、m a c ，分别是描述传输 层包头( u d p 、t c p 、i c m p 、s p x 等) 、网络层包头( i p v 4 6 、i p x 、r a w 等) 以及 链路层包头( 以太网或者r a w ) 的指针。这些联合包含了几个结构，依赖于具体 的数据包中使用的协议。 丁1 l p 硕士学位论文 r 第三章l i n u x 系统内核中防火墙模块分析与研究 3 2 2l i n u x 内核防火墙结构 l i n u x 内核防火墙底层结构采用的n e t f i l t e r 框架，该框架是由p a u l r u s s e l l 提出的一个新型的分析处理特定协议数据包的框架，是一个集成到 l i n u x 内核的对数据包过滤的流行解决方案。 n e t f i l t e r 框架位于l i n u x 网络层和防火墙内核功能模块之间，是嵌入内核 i p 协议堆栈的一系列调用入口( 也称为内核空间，k e r n e ls p a c e ) ，如图3 3 。 在内核中通过n e t f i l t e r 结构将防火墙对数据包的处理引入到了i p 层中实现， 防火墙的代码与实现i p 的代码完全分离，从而构成不同的模块，使得防火墙修 改和扩充变得容易衄“1 。 图3 - 3n e t f i i t e r 框架在l i n 内核中的位置 l i n u x 支持不同的协议，如t c p i p 、a p p l e t a l k 、i p v 6 等，这些协议分别对 应一个唯一的协议号( i n c l u d e l i n u x s o c k e t h ) ，每种协议都有自己的防火墙。 在内核中定义了一个f i r e w a l l _ o p s 结构体( i n c l u d e l i n u x f i r e w a l l h ，来为 各种协议防火墙提供一个统一的接口( 图3 4 ) 。每种协议可以注册多级防火墙， 每种协议中的多个防火墙有各自的优先级，按照优先级从高到低的顺序将这些 f i