（通信与信息系统专业论文）基于决策树的防火墙策略算法研究.pdf

摘要防火墙是广泛应用的确保网络和主机安全的防护措施。防火墙策略是防火墙实现其预定义安全决策的核心部件。目前，防火墙策略算法存在一些问题。异常检测算法有些只能检测某种特定异常，如交叉冲突异常，还有一些算法对防火墙策略中规则过滤域的表示方法存在这样或那样的限制；数据包匹配算法远未达到电路级速度，仍需优化。为了检测出防火墙策略中的各种异常情况，同时突破规则过滤域的表示方法的限制，本文研究了现实中使用的防火墙策略的统计特性和在某一方面比较成功的防火墙策略异常检测算法，提出一种新的用于防火墙策略异常检测与消除的c d e 算法并进行了实验仿真测试。通过对防火墙策略规则表示中i p 地址前缀的表示方法的研究，提出一种可以为i p 前缀t r i e 结构提供较快查找时间和较小空间消耗的新的l e t r i e ，这种结构具有惰性展开( l a z ye x t e n d ) 特性，适用于以t r i e 结构来组织i p 前缀的场合，包括上面的c d e 算法。为了将g r i d o f t r i e s 算法扩展到多维数据包分类，引入策略规则相对权重的概念，给策略中具有异常关系的规则分配相对权重，并将这个概念和l e t r i e 应用至l j g r i d o f t r i e s 算法中得到一种可以用于防火墙数据包匹配的l e g o t 算法并对其进行了实验仿真测试。关键词异常检测，t r i e ，数据包分类，惰性展开a b s t r a c tf i r e w a l li sw i d e s p r e a du s e dd e v i c ef o rs e c u r i t yp r o t e c t i o nn o w a d a y s f i r e w a l lp o l i c yi st h eh e a r to ff i r e w a l lt or e a l i z ei t sp r e d e f i n e ds e c u r i t yp o l i c y c u r r e n t l y ，t h e r ea r es o m ef l a w sf o rt h o s ef i r e w a l lp o l i c ya l g o r i t h m s s o m ea n o m a l ya l g o r i t h m sc a no n l yd e t e c tac e r t a i nk i n do fa n o m a l y ，s u c ha si n t e r s e c tc o n f l i c t ，o t h e r sm a yh a v es o m er e s t r i c t st ot h ef i l t e rf i e l do fr u l e si np o l i c y p a c k e tm a t c ha l g o r i t h m sh a v en o tr e a c h e dt h ec i r c u i tl e v e la n ds t i l ln e e do p t i m i z ef u r t h e r t od e t e c ta l lk i n d so fa n o m a l ya n db r e a kt h o s er e s t r i c t i o n s ，a f t e rs t u d y i n gt h ep o l i c yi nr e a ll i f e ，a n dt h ea l g o r i t h m st h a ta r es u c c e s s f u li nac e r t a i na s p e c t ，w ec a m eu pw i t ha na l g o r i t h mf o rc o n f l i c td e t e c t i o na n de l i m i n a t i o nn a m e dw i t hc d ew h i c hm e a n sc o n f l i c td e t e c t i o na n de l i m i n a t i o na n dv a l i d a t ei ti np r a c t i c et h r o u g he x p e r i m e n t t h r o u g ht h es t u d yo ni pf i e l dr e p r e s e n t a t i o nt e c h n i q e ，w ep r o p o s e dan e wt r i es t r u c t u r ec a l l e dl e t r i ew h i c hc a nb eu s e df o rd a t as t r u c t u r eo fi pp r e f i x ，a n dh a sac h a r a c t e ro fl a z ye x t e n d i n g ，w h i c hi sd e s i g n e df o rq u i c ks e a r c ha n dl e s ss p a c ed e m a n d t h el e t r i ec a nb eu s e di na l lo c c a s i o n st ob u i l di pp r e f i x ，c d ea l g o r i t h mi n c l u d e d f o rt h ep u r p o s eo fe x t e n d i n gt h eg r i d - o f - t r i e st om u l t i d i m e n s i o n a lu s e ，w ep r o p o s e dac o n c e p tc a l l e dr e l a t i v ew e i g h t w ep r o p o s e da na l g o t i t h mn a m e dl e g o tb yd i s t r i b u t i n gr e l a t i v ew e i g h tf o rr u l e si np o l i c y ，a n du s i n gl e t r i et os u b s t i t u t et h eu s u a lt r i es t r u c t u r e ，a n df i n a l l yi ti sv a l i d a t e db ye x p e r i m e n tw i t ht h el e - g o t k e yw o r d sa n o m a l yd e t e c t i o n ，t r i e ，p a c k e tc l a s s i f i c a t i o n ，l a z ye x t e n d原创性声明本人声明，所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。作者签名：亘l 耻日期：4 年上月卑日学位论文版权使用授权书本人了解中南大学有关保留、使用学位论文的规定，即：学校有权保留学位论文并根据国家或湖南省有关部门规定送交学位论文，允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内容，可以采用复印、缩印或其它手段保存学位论文。同时授权中国科学技术信息研究所将本学位论文收录到中国学位论文全文数据库，并通过网络向社会公众提供信息服务。飙斗年上月平1硕+ 学位论文第一章绪论1 1 研究背景第一章绪论随着全球信息飞速发展，我国大量建设的各种信息化系统已经成为国家关键基础设施，其中许多业务的正常进行需要通过互联网，诸如电信、电子商务、金融网络等，越来越多的通信都通过电子邮件进行。移动员工、远程办公人员和分支机构都利用互联网来从远程连接他们的企业网络，而在互联网上通过w w w方式完成的商业贸易现在已经成为企业收入的重要组成部分，也就是说世界上很大一部分经济产值都依赖于互联网【1 1 。因此，网络安全问题如果解决不好将全方位地危及我国的政治、军事、经济、文化、社会生活等各个方面，使国家处于网络战和高度经济金融风险的威胁之中。计算机网络所面临的威胁大体可分为两种【2 j ：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的：可能是外来黑客对网络系统资源的非法使有，归结起来，针对网络安全的威胁主要有三【3 】：1 人为的无意失误。如操作员安全策略配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。2 人为的恶意攻击。这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。3 网络软件的漏洞和后门。网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，这些事件的大部分就是因为安全措施不完善所招致的苦果。另外，软件的“后门都是软件公司的编程人员为了自便而设置的，一般不为外人所知，但一旦“后门 洞开，其造成的后果将不堪设想。针对目前网络所面临的各种威胁，人们也研究出了许多用于安全防御的技术，下面是当前应用较为广泛的几种技术【4 】：1 防火墙技术【5 】。防火墙是建立在两个网络边界上的实现安全策略和网络通信监控的系统或系统集，它强制执行对内部网络( 如校园网) 和外部网络( 如硕十学位论文第一章绪论i n t e m e t ) 的访问控制。通过建立一整套规则和策略来监测、限制、转换跨越防火墙的数据流，从而达到保护内部网络的目的。防火墙的功能主要有访问控制、授权认证、地址转换、均衡负载等。它己经成为目前保护内部网络最重要的安全技术之一。2 防病毒技术【6 l 。防病毒技术主要是通过自身常驻系统内存，通过监视、判断系统是否存在病毒来阻止计算机病毒进入计算机系统，防止病毒对系统进行破坏，从而可以有效防止计算机病毒对系统造成的危害。3 漏洞扫描技术【7 1 。漏洞扫描技术通过扫描软件来发现系统存在的安全漏洞，判断系统存在的安全威胁，帮助系统管理人员修正系统存在的安全隐患，以此提高系统的安全性。4 入侵检测技术f 8 】。入侵检测技术用来对各种入侵行为进行检测，它通过对系统的运行状态进行监视，以发现各种攻击企图，攻击行为或者攻击结果，然后及时的发出报警或做出相应的响应，以保证系统资源的机密性、完整性与可用性。1 2 国内外的研究现状1 2 1 异常检测算法的研究现状虽然防火墙的成功部署是保证网络安全的重要一步，但成功部署并不意味着就可以理所当然的获得相应的安全保障，这是因为防火墙安全策略管理的复杂性可能会影响防火墙的安全。实际上，随着规则集中规则数目的增多，不可避免的会出现下面两个问题【州：1 随着策略复杂度的增加，规则也变得难以理解，当维护规则集的人员变更时，会使规则集的维护变得很困难。2 当对规则集中的规则进行删除、修改或者添加规则时，就很有可能产生规则冲突，影响安全策略的正常实旌。所以有必要在实施安全策略之前，对过滤规则进行必要的分析，发现并纠正其中的异常，而且最好能为网络管理人员提供相应的工具【l o 】，帮助其完成安全策略的管理工作。最简单的冲突检测算法就是线性冲突检测算法，它是将规则两两比对，检测出所有的冲突，时间复杂度为o ( n 2 ) ，? 为规则数目。文献 1 1 中提出种利用递归t r i e 树来检查异常，也就是g r i do f t r i e s 方法，它的时间复杂度为o ( w2 ) ，空间复杂度为o ( n d w ) ，w 为i p 前缀最大长度，d 为规则的维数。2硕士学位论文第一章绪论文献 1 2 中提出一种利用比特向量法检查异常的方法，它的时间复杂度为o ( 1 0 9 n + 刀形) ，空间复杂度为o ( n 2 ) 。文献 1 3 中提出一种元组空间搜索的方法来检查异常，它的时间复杂度最坏为o ( a n ) ，空间复杂度为o ( d n 2 ) 。文献 1 4 中提出一种利用策略树检测异常的方法，它的时间复杂度为o ( 砌) ，空间复杂度为o ( n d ) 。现存算法或多或少存在各种问题。线性检测时间上要求太高；g r i d - o f - t r i e s的异常检测只检测二维交叉冲突异常，而对冗余异常没有检测处理；比特向量、元组空间搜索存在空间要求较高的弊端，在一些内存受限的情况下无法使用。1 2 2 数据包匹配算法的研究现状防火墙匹配算法也就是包分类算法。在文献 1 5 中将包分类算法分为几类，包括：基础数据结构算法( b s ) 、硬件算法( h w ) 、几何算法( g a ) 、启发式算法( h a ) 。1 基础数据结构算法文献1 - 1 6 中将包分类过程分为两个阶段进行处理：首先只处理前缀匹配类型的过滤域，然后再将范围匹配类型的过滤域转化为前缀匹配类型。与h t i l e 算法相比，该算法减少了9 5 的空间使用。文献 1 7 中提出了g e o m e t r i ce f f i c i e n tm a t c h i n g ( g e m ) 算法，进行包分类时，g e m 的时间复杂度是o ( dl o g ) ，空间复杂度是o ( n d ) 。2 几何算法文献 1 8 提出了基于g r i d o f - t r i e s 的构造算法和基于c r o s s p r o d u c t i n g 的查找算法，在2 维数据包分类问题上，这两个算法可以很好的工作，不过这些算法只能处理前缀匹配类型的过滤域。文献 1 9 中提出了f a ti n v e r t e ds e g m e n tt r e e( f i s t r e e ) 结构，该结构可以用于2 维数据包分类。对于一个三层的f i s t r e e ，算法获得了o ( l n l + l ) 的空间复杂度和o ( ( 三+ 1 ) f 舭) 的时间复杂度，其中，舭是一维范围匹配的查找时间。文献 2 0 将2 维查找问题降为1 维，然后利用b t r e e s 获得了o ( n h o ( 1 ) 的空间复杂度和o ( 1 0 9l o g ) 的时间复杂度。3 启发式算法在文献 2 1 2 2 中分别采用了h i e r a r c h i c a li n t e l l i g e n tc u t t i n g s ( h i c u t s ) 和r e c u r s i v ef l o wc l a s s i f i c a t i o n ( r f c ) 算法进行多维数据包分类。h i c u t s 和r f c 都具有较快的执行效率和需要较大的存储空间，另外r f c 还可以用来发现规则之间的冗余。文献 2 3 中使防火墙引擎具有自学习功能，提高了防火墙进行过滤决策的速度，实际上，这个方法类似于状态检测防火墙的工作方式。在文献 2 4 中采用了t u p l es p a c es e a r c h ( t s s ) 算法进行包分类，t s s 的指导思想是把包分类查询分解为多个精确匹配查询。但是，随着维数的增加，算法的搜索时间具有不硕士学位论文第一章绪论确定性。4 硬件算法文献 2 5 中提出用一种专业的存储设备t c a m 用于存放规则以加快访问速度。这种硬件具有比r a m 等内存储设备更高的密度，但相同存储区域之内存储较少的数据。通常在s r a m 中，一个比特需要4 到6 个晶体管，而在t c a m 中却需要1 1 到1 5 个晶体管。同时这种硬件比普通内存储器寻址时多消耗许多电能。因此用t c a m 实现规则存储需要较高的费用，同时t c a m 并不适用于具有较多规则的场合。1 3 论文内容和组织结构1 3 1 论文的内容1 介绍前人提出的防火墙策略的相关基本概念，以及在这之下的基本理论和算法。重点介绍在规则异常检测和数据包匹配这两个问题上的技术成果；2 在前人研究基础上，给现有异常检测、数据包匹配算法加入新的技术元素，拓展异常检测的检测范围和优化检测效率，完善数据包匹配算法，强化数据包匹配算法的可行性：3 实现这些改进和完善的算法，在仿真平台上对这些算法进行仿真验证。1 3 。2 论文的组织结构本论文分为五章，各章内容简介如下：第一章为绪论，主要介绍了课题的背景，课题的国内外研究现状：第二章讨论了防火墙策略的相关基本概念、基本理论，以及现有的防火墙策略算法，归纳并分析了现有算法的不足。第三章在上一章分析的基础上对异常检测进行改进和完善，并实验仿真。第四章在第三、四章基础上，对数据包匹配算法进行改进，并实验仿真。第五章为论文研究工作的总结和今后研究工作的展望。4硕士学位论文第二章防火墙策略基本概念与常见算法2 1 概述第二章防火墙策略基本概念与常见算法防火墙是指设置在不同网络之间( 如可信任的企业内部网和不可信的公共网之间) 或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全策略控制( 允许、拒绝、监测) 出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和i n t e r n e t 之间的活动，最大限度保证了内部网络的安全【2 6 j 。2 1 1 防火墙的功能1 防火墙是网络安全的屏障防火墙( 作为阻塞点、控制点) 能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险1 2 7 1 。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的n f s 协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如i p 选项中的源路由攻击和i c m p 重定向中的重定向路径攻击。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。2 防火墙可以强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件( 如口令、加密、身份认证、审计等) 配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。3 对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据【2 8 1 。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。4 防止内部信息的外泄硕士学位论文第二章防火墙策略基本概念与常见算法通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制t 局部重点或敏感网络安全问题对全局网络造成的影响【2 9 1 。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此暴露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如f i n g e r ，d n s 等服务。f i n g e r 显示了主机的所有用户的注册名、真名，最后登录时间和使用s h e l l 类型等。但是f i n g e r显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的d n s 信息，这样一台主机的域名和i p 地址就不会被外界所了解。除了安全作用，防火墙还支持具有i n t e r n e t 服务特性的企业内部网络技术体系v p n 3 0 j 。通过v p n ，将企事业单位在地域上分布在全世界各地的l a n 或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。2 1 2 防火墙的局限性和脆弱性1 防火墙局限性1 ) 防火墙不能防范不经过防火墙的攻击【3 。没有经过防火墙的数据，防火墙无法检查。2 ) 防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内，谁都不可信，但绝大多数单位因为不方便，不要求防火墙防内。3 ) 防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备，就像门卫一样，要根据政策规定来执行安全，而不能自作主张。4 ) 防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必须存在于一个安全的地方。5 ) 防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议，防火墙不能防止利用该协议中的缺陷进行的攻击。6 ) 防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止。7 ) 防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能，即使集成了第三方的防病毒的软件，也没有一种软件可以查杀所有的病毒。8 ) 防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。6硕士学位论文第二章防火墙策略基本概念与常见算法9 ) 防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密，防火墙是无能为力的。1 0 ) 防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己，目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。2 防火墙脆弱性1 ) 防火墙的操作系统不能保证没有漏洞。目前还没有一家防火墙厂商说，其防火墙没有操作系统。有操作系统就不能绝对保证没有安全漏洞。2 ) 防火墙的硬件不能保证不失效。所有的硬件都有一个生命周期，都会老化，总有失效的一天。3 ) 防火墙软件不能保证没有漏洞。防火墙软件也是软件，是软件就会有漏洞。4 ) 防火墙无法解决t c p i p 等协议的漏洞。防火墙本身就是基于t c p i p 等协议来实现的，就无法解决t c p i p 操作的漏洞。5 ) 防火墙无法区分恶意命令还是善意命令。有很多命令对管理员而言，是一项合法命令，而在黑客手里就可能是一个危险的命令。6 ) 防火墙无法区分恶意流量和善意流量。一个用户使用p i n g 命令，用作网络诊断和网络攻击，从流量上是没有差异的。7 ) 防火墙的安全性与多功能成反比。多功能与防火墙的安全原则是背道而驰的。因此，除非确信需要某些功能，否则，应该功能最小化。8 ) 防火墙的安全性和速度成反比。防火墙的安全性是建立在对数据的检查之上，检查越细越安全，但检查越细速度越慢。9 ) 防火墙的多功能与速度成反比。防火墙的功能越多，对c p u 和内存的消耗越大，功能越多，检查的越多，速度越慢。1 0 ) 防火墙无法保证准许服务的安全性。防火墙准许某项服务，却不能保证该服务的安全性。准许服务的安全性问题必须由应用安全来解决。2 。2 防火墙分类根据防火墙所采用的技术不同，可以将它分为5 种基本类型【3 2 】：数据包过滤型、应用级网关型、代理服务型、复合型和监测型。1 数据包过滤型防火墙包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成一定大小的数据包，7硕士学位论文第二章防火墙策略基本概念与常见算法每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、t c p u d p源端口和目标端口等。防火墙通过读取数据包的地址信息来判断这些“包 是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订过滤规则。包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的，即它只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，使得有经验的黑客容易通过伪造i p 地址来欺骗包过滤型防火墙。2 应用级网关型防火墙应用级网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤规则，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统。数据包过滤和应用网关防火墙有一个共同的特点。就是它们仅仅依靠特定的规则来决定是否允许数据包通过。一旦满足过滤规则，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙的网络结构和运行状态，这有利于实施非法访问和攻击。3 代理型防火墙代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤性产品，并且己经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者之间的数据流。从客户机的角度来看，代理服务器相当于一台真正的服务器：而从服务器的角度来看，服务器又是一台真正的客户机。当客户需要服务器上的数据时，首先将请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也很难伤害到内部网络系统。4 复合型防火墙由于对更高安全性要求，经常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型的防火墙产品。这种结合通常有以下两种方案：1 ) 屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与i n t e r n e t 相连，同时一个堡垒主机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒主机成为i n t e r n e t 上其它结点所能到达的唯一结点，这就确保了内部网络免受外部用户的攻击。2 ) 屏蔽子网防火墙体系结构：堡垒主机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与i n t e r n e t 及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整8硕十学位论文第二章防火墙策略基本概念与常见算法个防火墙的安全基础。5 监测型防火墙监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法入侵。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器被设置在各种应用服务器和其它网络的结点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部，因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。2 3 防火墙策略防火墙策略是不同种类防火墙发挥安全防御功能的核心部分【3 3 1 ，是安全策略的载体。衡量一个防火墙好坏关键就是看它的策略制定的是否科学合理【3 4 】。例如一个包过滤型的防火墙，它的策略决定当有一个数据包到来时是放行让它通过还一是将它视作安全威胁而拦截。正是因为策略在一个防火墙中处于核心地位，所以很多时候干脆就称策略为防火墙，两组不同策略就代表两个不同防火墙。防火墙策略是由很多具体的规则组成的，是规则的组合，而规则对满足一定条件的数据包做出决策。2 3 1 防火墙规则一条规则由条件域和动作域组成。条件域包括一组过滤域，如协议类型，源i p 地址，目的i p 地址，源端口，目的端口。一个规则的动作域体现了当网络中的报文符合这项规则条件域时的相应处理。动作域可以是接收，即允许报文进入安全网络，或者是拒绝，将报文阻隔在安全网络之外。一个数据报的命运，取决于它的包头是否满足防火墙定义的规则的条件域，以及相应的动作域。若是满足，则继续与下面的规则匹配，若是没有匹配的规则就执行缺省的策略行为( 一般为不允许通过) 。过滤规则格式可以使用i p ，u d p ，t c p 报头，然而，实际上用得比较多的过滤域是：协议类型，源i p 地址，目的i p 地址，源端口和目的端口。以下是防火墙包过滤规则中最常用的格式【3 5 】【3 6 】： 条件域 ) 动作域 多条这样的规则组成策略。为了区分同意策略里不同的规则，一般要将它们编号，所以通常每条策略的形式如下： 条件域 动作域 9硕士学位论文第二二章防火墙策略基本概念与常见算法下表2 - 1 是一个防火墙策略的例子：表2 - 1 一个防火墙策略的例子条件域序号动作域协议源i p目的i p源端口目的端口lt c p1 4 0 1 9 2 3 7 2 0任意任意8 0拒绝2t c p1 4 0 1 9 2 3 7 术任意任意8 0接受3t c p任意1 4 0 1 9 2 3 7 4 0任意8 0接受4t c p1 4 0 1 9 2 3 7 术1 4 0 1 9 2 3 7 4 0任意8 0拒绝5t c p1 4 0 1 9 2 3 7 3 0任意任意2 1拒绝6t c p1 4 0 1 9 2 3 7 木任意任意2 1接受7t c p1 4 0 1 9 2 3 7 木1 4 0 1 9 2 3 7 4 0任意2 1接受8t c p任意1 4 0 1 9 2 3 7 4 0任意2 l接受9t c p任意任意任意任意拒绝1 0u d p1 4 0 1 9 2 3 7 术任意任意5 3接受1 lu d p任意1 4 0 1 9 2 3 7 水任意5 3接受1 2u d p任意任意任意任意拒绝关于防火墙策略还有以下一些约定：假设现有防火墙策略p ，包含n 条规则，记为蜀，r ：，尺。r 为其中任意一条规则，它由序号( o r d e r ) 、条件域( f i l t e r ) 和动作域( a c t i o n ) 构成。r o r d e r 】代表规则r 的优先级，r f i l t e r 代表规则r 的条件域部分，r a c t i o n 】代表规则r 的动作域。其中条件域是一个k 维的元组，即为 月( 曩) ，r ( f 2 ) ，月( f k ) 。v i ，1 f k ，f 表示一个过滤域，f 的取值范围是与其表示的实际物理量相联系的，现以d ( e ) 表示之。以p r o t o c a l ，si p ，d i p ，s _ p o r t ，d _ p o r t 分别表示协议，源i p ，目的i p ，源端口，目的端口，那么上面防火墙策略例子中就有k = 5 ，只= p r o t o c a l ，f 2 = si p ，e = dp o r t 。相应的它们的取值范围是一些整数值。2 3 2 规则的分类按照存在形态的不同，防火墙规则可以分为三类【3 7 】：逻辑规则、文件规则和内存规则。三种形态各为不同用途而存在。1 逻辑规则在防火墙管理员配置网络边界防火墙策略时先要制定安全策略。此时，往往要先根据不同的服务制定初步设计。把这个初步设计写下来就会有一组逻辑上的、抽象的规则。比如网络边界的防火墙针对t e l n e t 服务时常会有一个类似下表2 2 的安全策略：1 0硕士学位论文第二章防火墙策略基本概念与常见算法表2 - 2 一个防火墙逻辑策略的例子序号方向源地址目的地址协议源端口目的端口a c k动作1出内部任意t c p 1 0 2 32 3任意许可2入任意内部t c p2 3 1 0 2 3是许可3双向任意任意任意任意任意任意拒绝这个策略的含义是：规则l 允许内部主机登录远程t e l n e t 服务，规则2 允许内部主机的t e l n e t 服务请求的确认返回内部主机，规则3 表明如果不符合前两条规则的数据包都不允许通过。这个策略就是只允许出站的t e l n e t 连接。规则表中方向项目中“出 是指从内部网到外部网，“入 是外部网到内部网。这些都是给管理员看到，计算机无法理解如此高层次意义的“出、“入 。计算机只能理解从指定端口上流入、流出。2 文件规则文件规则是逻辑规则表在磁盘上的文件存在形式，它将用户通过包过滤管理工具制定的规则以文件的形式存放在磁盘上，提供一种长期保存用户制定的过滤规则的手段。当防火墙所在的主机关机并重启后，防火墙可以从文件规则表中重新载入这些规则。上面提到的允许内部访问外部t e l n e t 服务但限制访问内部t e l n e t 服务的防火墙策略的文件规则可以描述如下：1 ) i n p u te t h lt c p1 9 2 1 6 8 1 0 0 2 4 ：1 0 2 4 6 5 5 3 50 0 0 0 0 ：2 3 2 32a c c e p t2 ) f o r w a r de t h le t h 0t c p19 2 1 6 8 10 0 2 4 ：10 2 4 6 5 5 3 50 0 0 0 0 ：2 3 2 32a c c e p t3 ) o u t p u te t h 0t c p19 2 16 8 10 0 2 4 ：10 2 4 6 5 5 3 50 0 0 0 0 ：2 3 - 2 32a c c e p t4 ) i n p u te t h 0t c p19 2 16 8 10 0 2 4 ：0 - 6 5 5 3 50 0 0 0 0 ：0 6 5 5 3 52r e j e c t5 ) i n p u te t h 0t c p0 0 0 0 0 ：2 3 - 2 319 2 16 8 10 0 2 4 ：10 2 4 - 6 5 5 3 5la c c e p t6 ) f o r w a r de t h 0e t h lt c p0 0 0 0 0 ：2 3 2 319 2 1 6 8 10 0 2 4 ：10 2 4 - 6 5 5 3 51a c c e p t7 ) o u t p u te t h lt c p0 0 0 0 0 ：2 3 - 2 31 9 2 1 6 8 1 0 0 2 4 ：1 0 2 4 - 6 5 5 3 51a c c e p t在这个文件规则例子中，内部网络号是1 9 2 1 6 8 1 0 0 ，内部网卡是e t h l ，外部网卡是e t h 0 。规则l 3 允许出站的t e l n e t 连接和通信，规则5 - - 一7 允许远程t e l n e t 服务器应答数据包返回，规则4 防止外部网中系统伪造具有内部网地址的包。这些规则信息每行一条存放在一个规则文件中。当防火墙启动时，打开规则文件，每次读入一行，就能转换为计算机可以识别并执行的规则，可以成为防火墙执行动作的依据。3 内存规则硕士学位论文第二章防火墙策略基本概念与常见算法内存规则表与文件规则表的项目一致，只是由于内存规则表是检查过滤模块直接使用的规则表，会被频繁的查阅，所以与文件规则表不同的是它的组织要求在查阅时尽量高效，要采用与文件规则表不同的组织结构。目前常见的组织结构有树形、哈希表形、t r i e 形等。本文将讲述的是一种以决策树为基础的t r i e 形状的内存规则组织形式。三种规则表既有明显区别也有联系，下图2 1 表示出了这种关系：图2 - 1 三个过滤规则表的关系逻辑规则表经过包过滤管理工具生成文件规则表，内存规则表是逻辑规则表在内存中的存在形式，包过滤子系统检查过滤模块执行检查过滤任务时直接依据的就是内存规则表。2 3 3 规则之间的关系传统的防火墙过滤过程采用顺序匹配，直到第一条匹配的规则。一个防火墙的过滤规则可能是几百条或更多，由于过滤规则的顺序匹配算法效率太低从而使防火墙吞吐量急剧下降，严重影响了网络的性能。传统防火墙之所以采用顺序匹配，是因为规则之间存在某种关系，它们的顺序决定了所使用的安全策略，如果顺序改变则相应的安全策略也会发生变化。在文献 3 8 中定义了规则关系。现考虑两条规则r ，与尺，之间的关系。1 完全无关r ， f i t t e r 】的所有子域均不是尺，【缈p ，】对应子域的子集、父集或相等集。即，v i ：墨【司f 司r 订，其中司 c ，3 ，= ，f p r o t o c a l ，s i p ，d i p ，s p o r t ，d p o r t ) 。2 相等尺，【f i t t e r 】的所有子域与r ， f i t t e r 】对应子域相等。即，v i ：r ，【司= r ，【小。其中f p r o t o c a l ，s i p ，d i p ，s p o r t ，d p o r t 。3 包含相关1 2硕士学位论文第二章防火墙策略基本概念与常见算法r 。 f i t t e r 的所有子域都是r ，【加，】子集或相等集，但至少有一个对应子域不相等。即，v i ：r f 】2r f 】，并且可：r 】r ，【歹】其中f ，歹 p r o t o c a l ，s i p ，d i p ，s p o r t ，d p o r t 。4 部分无关r ，【z f p ，】的所有子域中至少有一个不是r ， f i l t e r 的子集、超集或相等集。即，j f ：r 力司r 力，并且可：r ，p i 司r ，【】，并r i j f其中f ，歹 p r o t o c a l ，s i p ，d i p ，j p o r t ，d p o r t 。5 交叉相关r ， f i l t e r 有些子域是r ， f i l t e r 对应子域的子集或相等集，而其余子域是r 。【f i l t e r 】对应子域的超集。即，v i ：r 司司r ， f 】，并j ；1 3 i ，：r 力cr y 【刀，r 】 r y 门，并且f j 其中f ，j p r o t o c a l ，s i p ，d i p ，j p o r t ，d p o r t 。用图2 2 可以表示出以上几种关系：国囝圆完全无关包含相关部分无关交叉相关图2 - 2 防火墙规则关系图2 3 4 规则异常以上所示的几种规则的关系是针对条件域而言的，即只考虑两条规则条件域的时候它们会表现出这种关系。正是因为条件域这种纠结的关系，当把动作域也考虑进去时，规则之间会发生冲突、矛盾，这种矛盾称作异常。在文献 3 9 中总结出如下几种异常：1 遮蔽异常所有符合规则尺。的数据包，都能与其之前的一条规则尺，匹配，且它们的动作域不相同。即，r ， o r d e r r 。 o r d e r ，且r ， f i l t e r 与r y 疗p ，】相等或r 少，f p 厂】包含相关于r 。 f i l t e r 】，但r ， a c t i o n 】r ， a c t i o n 】o此时，如果当数据包到来时过滤模块是顺序匹配每条规则的，则尺。完全没有机会被匹配，但从管理员把足，写入规则表达初中考虑，肯定不会希望是这个结果，这是一种异常。2 冗余异常硕士学位论文第二章防火墙策略基本概念与常见算法所有符合规则尺。的数据包，都能与其之前的一条规则r 。匹配，且它们的动作域相同。即，r ， o r d e r 】 r ， o r d e r 】，且r ， f i l t e r 与r y f i l t e r 】相等或量 f i l t e r 包含相关于r ， f i l t e r 】，但r ， a c t i o n 】= r 。 a c t i o n 】。此时，r 。的命运与上面屏蔽异常中的规则相同，但在语义上不会有任何问题。问题在于尺。的存在会占用资源，虽说危害没有那么大，但也是完全应该避免的。3 广义异常所有与规则r ，匹配的数据包都与排在它后面的规则r ，匹配，且两条规则有不一样的动作域，那么r ，就是r ，的广义性异常。即，r ， o r d e r 】 r ， o r d e r 】，且r ， f i l t e r 】包含相关于r ， f i 疗e r 】，但b a c t i o n 】r ， a c t i o n 】。此时，如果当数据包到来时过滤模块是顺序匹配每条规则的，则符合尼，条件域的部分数据包只能按照尺，的动作域执行。在防火墙语义表达上出现了前后不符合的情况。4 相关异常两个规则相互关联，与r ，匹配的部分数据包也能与尺。匹配，而能与r 。匹配的部分数据包也能与r ，匹配，但尺，和r ，却有不同的动作域。即，b f i l t e r 】与r 。 f i l t e r 】交叉相关，但疋 a c t i o n r ， a c t i o n 】。这是最一般的前后两条规则相互矛盾的情况。2 3 5 规则的表示方法目前，对防火墙规则存在几种不同的表示方式。就条件域中的每个具体的过滤域的表示方式存在两种方式：范围表示、前缀表示。1 范围表示由于考虑到过滤域各个部分，包括i p 地址，端口号，协议类型这些量，而它们实际上都可以表示成一个具体的正整数，而通常的防火墙策略表示方法中常常出现“宰 表示方法，而它可以被理解为是一个整数的连续序列，也就是一个区间【4 0 j 。以表2 1 中策略的例子来说，它的每条规则的过滤域都能理解为一个整数的区间，也就是一个范围。如1 4 0 1 9 2 3 7 木，可以理解为 1 4 0 1 9 2 3 7 0 ，1 4 0 1 9 2 3 7 2 5 5 ，是个连续的整数空间，又如，其中的“任意 ，如果是表示i p 地址的话，那么就是表示 0 ，2 3 2 1 的范围了，因为i p 地址是3 2 个b i t 的正整数，如果是表示端口的话，那么就是表示 o ，2 惦一1 的范围了，因为端口号是1 6 个b it 的j 下整数。基于这样的考虑，就可以将规则的每个过滤域表示成一个个区间。而从数学1 4硕士学位论文第二章防火墙策略基本概念与常见算法的角度分析整个一条规则，这实际上是个多维的空间，即，如果过滤域有5 个域，那么它在数学上就是个5 维空间。一维空间是点，二维是面，三维是体，超过三维的都是超体。以两个过滤域的情形来简单分析，每个规则所占据的空间就是整个二维坐标面的一小块。现假设过滤域第一维和第二维都是 0 ，2 5 5 内的值，策略如表2 3 所示：表2 - 3 一个两维规则实例规