（系统分析与集成专业论文）基于包过滤技术的分布式防火墙研究.pdf

学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的 研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得南京气象学院或其他教育机构的 学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在 论文中作了明确的说明并表示了谢意。 虢叠立魄 关于学位论文使用授权的说明 口；5 店 南京气象学院、国家图书馆有权保留本人所送交学位论文的复印件和电子文 档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸质论 文的内容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权南京气象学院 研究生部办理。 繇粒摊字；膨隰 基于包过滤技术的分布式防火墙研究 摘要 本文在与传统的网络防火墙、个人防火墙技术对比的基础之上，结合计算机 网络安全的本质与要求，对分布式防火墙这一全新的防火墙体系结构进行了分析， 提出一种充分利用现有技术和投资的分布式防火墙系统的设计方案，即在保留传 统网络边界防火墙的同时，设计一种驻留在内部网络终端的主机防火墙及其控制 中心，将防火墙延伸到内部网络的终端，从而有效防范来自网络内部的非法访问 与恶意破坏。主机防火墙被设计为一种基于扩展的包过滤技术的防火墙，利用进 行网络通讯的应用程序、i p 地址、t c p u d p 端口号等信息对计算机内部网络终端 发出的数据包进行过滤，同时将日志信息发送到控制中心。主机防火墙上的过滤 规则由控制中心统一设置，对网络终端的用户透明。本文利用巴科斯范式( b n f ) 对驻留主机防火墙的过滤规则进行了形式化描述。运用排队论中的m m 1 模型对 分布式防火墙的通信稳定性进行了分析。l 在此基础之上实现了一个工作在 w i n d o w s 系列操作系统上利用w i n d o w s 开放紊统架构( w o s a ) 中提供的服务提 供者接口( s p i ) 技术开发的对网络数据包进行过滤的主机防火墙以及一个工作 在w i n d o w s 操作系统上的 关键词：哒墨塑旦笙塞全 s p l b n f m m i t h e s t u d y o fd is t r i b u t e d f ir e w a i isb a s e do nt h e t e c h n o l o g yo fp a c k e tf ii t e ri n g a b s t r u c t t h i sp a p e ra n a l y z e st h ea r c h i t e c t u r eo fd i s t r i b u t e dt i r e w a l l sb a s e do nc o m p a r i n g w i t ht h et r a d i t i o n a lf i r e w a l l s ：n e t w o r kf i r e w a l l sa n dp e r s o n a lf i r e w a l l s i tb r i n g s f o r w a r dan e wd e s i g na b o u tt h ed i s t r i b u t e df i r e w a l l si nw h i c hs o m e h o s tf i r e w a l i sa n da c o n t r o lc e n t e rc o n s t i t u t et h ew h o l ed i s t r i b u t e df i r e w a l l sw i t hr e s e r v i n gt h eo l dn e t w o r k f i r e w a l l sah o s tf i r e w a ui sap a c k e t - f i l t e r i n gf i r e w a l lt h a tf i l t e r st h en e t w o r kp a c k e t s c o m ef r o mi n s i d et h en e t w o r kb a s e do nt h e n f o r m a t i o no fn e t w o r ka p p l i c a t i o n p r o g r a m ，i pa d d r e s s ，t c p o ru d p p o r ta n ds oo n i ta l s oc a ns e n dl o g st ot h ec o n t r o l c e n t e r , t h ep a c k e tf i l t e r i n gr u l e su s e di nh o s tf i r e w a l l sa r eo n l ym a n a g e rb yt h ec o n t r o l c e n t e r t h eb n fi su s e dt of o r m a l i z et h ep a c k e tf i l t e r i n gr u l e s t h em m im o d a li n t h eq u e u et h e o r yi su s e dt oa n a l y z et h es t a b i l i t yo ft h ed i s t r i b u t e df i r e w a l l ss y s t e m a t l a s tah o s tf i r e w a l ii n s t a n c ea n dac o n t r o lc e n t e ri n s t a n c ew h i c hw o r ko nt h ew i n d o w s o p e r a t i o ns y g e m si sd e v e l o p e d a n dt h em a i nt e c h n o l o g yu s e dt od e v e l o pt h eh o s t f i r e w a l li st ou s et h es e r v i c e sp r o v i d e ri n t e r f a c e ( s p i ) i nt h ew i n d o w so p e ns y a e m a r c h i t e c t ( w o s a ) t o f i l t e rt c p ，i pn e t w o r kd a t a p a c k e t s k e y w o r d ：c o m p m e rn e t w o r ks e c u r i t y , d i s t r i b u t e df i r e w a l l s ，p a c k e t - f i l t e r i n g , t c m p f o r m a l i z e ，b n f , m m i ，s p i 2 1 引言 1 1 研究的意义 在过去的几十年里，计算机网络技术的发展与广泛应用，对人类社会的文明 进步起了巨大的推动作用，其影响已经渗透到了人类社会的每一个角落。由于现 有的计算机网络系统在最初设计的时候没有充分考虑安全问题，因此，在人类社 会越来越依赖于计算机网络的同时，其潜在的安全隐患也随着其规模的不断扩大 在逐渐地增加，并可能给人类社会造成巨大的灾难。对个国家而言，其信息化 程度越高，整个国民经济和社会运行对信息资源和信息基础设施的依赖程度也越 高，而这种潜在的安全隐患可能造成的危害也就越大。然而，最近几年的统计数 据表明，计算机网络安全的现状是十分令人担忧的。 国际上，早在1 9 9 6 年4 月1 6 日，美国金融时报就报道，接入i n t e r n e t 的计 算机大约平均每2 0 秒钟被黑客成功地入侵一次。在国内，相关的信息安全事件统 计资料表明，计算机网络安全环境同样在不断的恶化，具体统计数据如表1 i 所 示1 2 1 9 1 1 2 ”。 年份c e r t 安全事件报告数目中国计算机犯罪数目 1 9 9 52 4 1 2( 缺) 】9 9 62 5 7 3( 缺) 1 9 9 72 1 3 4约2 0 1 9 9 83 7 3 41 4 2 1 9 9 99 8 5 99 0 8 2 0 0 02 1 7 5 61 4 2 0 ( 上半年) 表i 1信息安全事件统计 特别要指出的是，在大量的攻击事件当中，来自计算机网络内部的攻击上升 最快，已经超过了来自黑客的攻击，如图1 1 所示。该图表明，来自内部不满雇 员发起的攻击已经成为网络攻击的最主要来源，严重地威胁了网络的正常运作， 并可能给网络的所有者和使用者带来巨大的损失1 4 】1 9 】。因此，对这趋势加以研 究，并设计出相对应的解决方案具有重要的现实意义。 1 2 相关的研究进展 国外政府竞争对手黑客不满的雇员 图1 1 网络攻击的主要来源 计算机网络安全是一个相当复杂的系统工程，涉及到计算机技术，网络通信 技术的诸多方面【4 0 1 。目前，与计算机网络安全相关的科学研究与商业活动正在广 泛展开。在基于各种网络协议的基础之上，国内外的各大科研单位以及商业公司 研制开发出了一大批网络安全产品”1 。 在数据加密方面，有著名的d e s 、r s a 等加密方法”m ；在安全通信协议方面， 提出了i p s e c 等网络安全协议1 2 3 】，并开发了相关的软件产品；在对付计算机病毒 和木马方面，有各种各样的防病毒软件，广泛地应用于服务器和个人计算机上： 在防范外来的非法入侵方面，有许多的防火墙( f i r e w a l l s ) 产品州，以及较为先进 的入侵检测系统( 1 i d s ) 1 1 8 o 通常，需要把这些技术和工具集成在一起，形成一 个复杂的计算机网络安全系统，来提升整个计算机网络的安全性能。 但是，长期以来，在进行与计算机网络安全相关的研究与工作时，通常将重 点放在如何对付来自本地网络以外的威胁上。人们通常假设本地网络内部是安全 的，认为对安全的威胁主要来自本地网络外部，特别是那些有接口与i n t e r n e t 相 4 姒 噼 姒 蛳 魄 连的网络。对丁+ 如何消除来自本地网络内部的攻击( 直接的或者间接的) 等 不安全隐患，一直没有得到应有的重视。因此，在防范来自网络内部的攻击方面， 缺乏有效的防御方法。一般都是在来自网络内部的攻击事件发生之后才设法补救， 不能够事先将攻击消除。 近年来提出的分布式防火墙技术是一种全新的防火墙体系结构，它全面地保 留了传统网络防火墙的优势，同时将防火墙延伸到内部网络的终端，在很好地完 成对外安全防御工作的同时，能够对来自网络内部的攻击进行防范i i o u l u 2 | h 3 1 2 ”。 这是一个很有发展前景的方案，国内外已经有少数厂家推出了相关的产品，分别 基于硬件的实现和软件的实现。但是从总体上说分布式防火墙技术还处在进一步 的发展阶段。 1 3 本文的i 作 分布式防火墙提出了一种全新的防火墙体系结构设计思想，它所采用的主要 技术仍然建立在传统防火墙技术的基础之上。本文首先讨论了计算机网络安全的 本质和要求，然后对传统的网络防火墙、个人防火墙及其所采用的技术进行了较 为深入的技术分析。在此基础之上，对分布式防火墙这一全新的防火墙体系结构 进行了分析，提出一种充分利用现有技术和投资的分布式防火墙系统的设计方案， 即在保留传统网络边界防火墙的同时，设计一种驻留在内部网络终端的主机防火 墙及其控制中心，将防火墙延伸到内部网络的终端，从而有效防范来自网络内部 的非法访问与恶意破坏。对外防御的工作仍然由传统网络边界防火墙来完成。 主机防火墙被设计为一种包过滤防火墙，利用发起网络通讯的应用程序、i p 地址、t c p 凡d p 端口号等协议特征对网络终端发出的数据包进行监控，同时将日 志信息发送到控制中心。主机防火墙上的过滤规则由控制中心统一设置，对网络 终端的用户透明。 文中对包过滤技术进行了扩展的定义，并利用t c p i p 协议与b n f 范式给出 了主机防火墙包过滤规则的形式化描述。然后根据分布式防火墙系统的体系结构 特点以及对实时性、稳定性的高要求，利用排队论的方法对分布式防火墙系统的 通信稳定性进行了深入地分析。 最后，实现了一个工作在w i n d o w s 9 x 、w i n d o w s 2 0 0 0 操作系统上利用w i n d o w s 开放系统架构( w o s a ) 中提供的服务提供者接口( s p i ) 技术对网络数据包进行 拦截的主机防火墙，以及一个工作在w i n d o w s 操作系统上的控制中心，并对相关 的技术细节进行了分析。 6 2 计算机网络安全概论 2 1 网络安全的定义 在计算机科学中，安全就是防止未授权的使用者访问信息、试图破坏或更改 信息，是一个系统保护信息和系统资源的机密性和完整性的能力“j 。计算机网络 系统的安全包括广义的安全和狭义的安全概念。狭义的安全概念仅仅是对外部威 胁的防范：而广义的安全概念是系统如何保证其资产不受破坏并在给定的时间和 资源范同内提供保证质量的并且确定的服务 1 4 1 。另外，还可以将计算机网络安全 定义为设计用来保护数据、阻挡黑客的丁具集合“。 通常，计算机网络安全的研究和发展关注如下的几个方面i l m ： 机密性：确保在一个计算机网络信息系统中的信息以及被传送的信息仅仅能 够被授权让读取的各方得到； 鉴别：确保个信息的来源被正确的标识，同时确保该标识没有被伪造； 完整性：确保只有被授权的各方能够修改计算机系统有价值的内容和传输的 信息i 不可抵赖：要求无论发送方还是接受方都不能够抵赖所进行的传输 访问控制：要求对信息源的访问可以由目标系统控制； 可用性：要求计算机系统的有用资源在需要的时候可被授权各方使用。 2 2 对安全的攻击 2 2 1 攻击的定义 我们把任何危及某个机构拥有的信息安全的任何行为称为对安全的攻市f ”。 对于一个计算机网络而言，可能导致一个网络受到破坏、网络服务受到影响的所 有行为都应称为攻击，也可以说攻击是指谋取超越目标网络安全策略所限定的服 务( 入侵) 或者使目标网络服务受到影响甚至停止( 攻击) 的所有行为f 3 7 】。攻击 行为从攻击者开始接触目标计算机的时刻起就已经开始了。 7 2 2 2 对安全的攻击模型1 1 8 】 从本质上讲，计算机网络系统是用来对信息进行接受、加工、处理、传送、 存储的电子机器的集合。因此，对一个计算机网络的安全的攻击可以通过观察正 在提供信息的计算机系统的功能来表征。正常的计算机网络通讯可以有图2 1 a 来 表示。而图2 1 b 、图2 1 c 、图21 d 、图2 1 e 表示了几种最典型的攻击。 爵趣 信息源信息目的地 图2 1a 正常的网络通讯 凰一凰 信息源信息目的地 图2 1 b 中断图2 1 c截获 图2 1 d篡改 图2 1 e伪造 地 地 其中，图2 1 b 的中断是使得被攻击的目标系统的资产被破坏或者是变得不可 利用或不能使用。这是对可用性的攻击。图2 1 c 的截获是指一个未授权方获取了 对某个资产的访问，这是对机密性的攻击。图2 1 d 的篡改是指未授权方不仅获得 了访问的权利而且篡改了某些资产，这是对完整性的攻击。图2 1 e 伪造是指来授 权方将伪造的对象插入系统，这是对真实性的攻击。 在上述的各种攻击模裂当中，截获属于被动的攻击方式；而中断、篡改、伪 8 凰删罐能 丁凰 凰撇 造则属于主动的攻击方式。 2 2 3 一个典型的黑客攻击m 通常，对于网络的攻击具有一定的方法和步骤。无论是相当老练的黑客，还 是试图利用相关的攻击技术对内部网络发起攻击的不满的内部员工，都会用到相 关的方法和步骤。而在这些具体的攻击方法与攻击步骤中，充分体现了上节中 的四种对于计算机网络进行攻击的模型及其组合。图2 2 就是一个最典型的黑客 对于网络的攻击方法的流程。 图2 2一个典型的黑客攻击网络方法的流程 踩点阶段的目的是收集准备攻击的网络的目标地址范围，查询名字空间等： 主要技术有：打开源查询、w h o i s 、d n s 区域传送等：主要工具有：各种搜索b 9 擎、u s e n e t 、w h o i s 、e d g a r 等。 扫描阶段的目的是对目标系统所提供的监听服务的评估分析和确定；主要技 术有：p i n gs w e e p 、t c p u d p 端口扫描等；主要工具有：f p i n g 、n m a p 、p r o p a c k 、 f s c a n 、s u p e r s c a n 等。 查点阶段的目的是对于已经确定的攻击目标进行更加深入地入侵探寻：e 作； 主要技术有：列出用户账号、列出共享文件等；主要工具有：空会话、d u m p a c l 、 n a t 、l e g i o n 、t e l n e t 、h e t c a t 等。 成功访问阶段的目的是收集足够的数据，并开始尝试访问目标；主要技术有： 密码窃听、共享文件的蛮力攻击、缓冲区溢出等；主要工具有：t c p d u m p 、 l 0 p h t c r a c k 、n a t 、t f 【p 、b i n d 、d l l 等。 特权提升阶段的目的是在初步对攻击目标进行攻击与控制之后，寻求对攻击 目标的完全控制；主要技术有：密码破解、利用已知的系统漏洞或脆弱点等；主 要具有：j o h n 、l 0 p h t r a c k 、g e t a d m i n 、s e c h o l e 等。 偷窃阶段的主要目的是再次进行信息的攫取，以确定可信系统的入侵机制和 途径：主要技术有：评估可信系统的坚固度、搜索明文密码等；主要工具有：r h o s t s 、 l s as e c r e t s 、注册表等。 掩踪灭迹阶段的主要目的是在攻击目标被完全控制之后，立即进行掩踪灭迹 1 作，以防止被系统管理员发现：主要技术有：清除日志纪录、掩藏工具等；主 要工具有：z a p 、r o o t k i t s 等。 创建后门阶段的主要目的是在已经控制的系统的不同部分布置陷阱和后门， 既方便f 一次的入侵：主要技术有：创建特权账号、安排批处理作业、感染初启 文件、安置远程控制服务，安装监控机制、利用特洛伊木马替换应用等：主要j 二 具有：n e t e a t 、m e m b e r so f w h e e l 、v n c 、b 0 2 k 、r e m o t e e x e 等。 攻击阶段的主要目的是当攻击者无法入侵个目标时，可能会利刈一些j 具 使得目标系统瘫痪从而无法正常工作；主要技术有：s y n 洪水攻击、i c m p 技术、 d d o s 等：主要工具有：s y n k 4 、p i n go f d e a t h 、n e w l e a r 、s u p e m u k e e x e 等。 特别值得注意的是。上文提及的许多专业攻击工具都可以在网络上免费f 载，还有些工具本身就是许多计算机系统自带的工具，并且这些工具大多操作 简单，用户界面友好，个对网络技术有大致了解的人就可以在较短时间内学会 并利用这些：t ：具。 2 2 4 网络访问安全性模型 在2 2 3 节中，给出了一个典型的黑客攻击网络的方法，以及可能用到的相 关技术和r 具。这些技术和工具即使是非专业的人士也可以在较短的时间内掌握 并用来对一个计算机网络系统进行攻击。因此，对于计算机网络安全工作来说， 将面临着巨大的挑战。 一方面，需要面对各种各样的攻击工具，设计周到、缜密的攻击技术，攻击 者又是非常的不确定：另一方面，防范措施又不能够过于复杂，它必须高效简洁 地工作。图2 3 给出了一个通用的网络访问安全性模型f j ，它描述了如何保护一 个计算机网络系统避免不需要的访问的干扰。在具体的实现上，这一模型中的fj 弭功能的实现者之中，最主要的、并且目前使用的最多的就是防火墙。 迥骂倒 占甾酞亡， 连接到被保护的 对手：人或软件门下功能 计算机网络系统 图2 , 3 网络访问安全性模型 般地，防火墙定义为：设置在两个或多个网络之间的安全阻隔，用于保证 本地网络资源的安全。通常是包含软件部分和硬件部分的一个系统或多个系统的 组合。 如果门卫功能保护的是某一个计算机网络或者是其子网，那么这种防火墙就 是网络边界防火墙，简称网络防火墙；如果门卫功能保护的是某一台计算机，那 么这种防火墙就是个人防火墙。相对于分布武防火墙而言，网络防火墙和个人防 火墙出现的时间都比较早，而且在具体的实现上所用到的技术以及软件的体系结 构都较为相似，所以在本文中把这两种防火墙统称为传统防火墙。 防火墙是计算机网络或者个人计算机防范外来攻击的第一道屏障，是计算机 网络安全系统中非常重要的一个组成部分。 3 分布式防火墙 分布式防火墙是一种全新的防火墙体系结构，它对传统的网络防火墙与个人 防火墙进行了有效地集成创新。本章首先对传统防火墙进行分析，并在此基础之 上对分布式防火墙的体系结构进行分析。 3 1 传统防火墙 3 1 1 网络防火墙 3 1 1 1 网络防火墙的功能 网络防火墙是一种被动式防御的访问控制技术，它插入在本地网络和因特网 之间，建立了可控的连接，竖起了对外的边界。边界的目的是保护本地网络免受 来自因特网的攻击，并且提供了可以应用安全和审计的单个阻塞点【l q 。网络防 火墙可以是单个的计算机系统，也可以是多个计算机系统的组台。它可以根据即 定的安全策略允许特定的用户和数据包穿过，同时将安全策略不允许的用户和数 据包隔断，达到保护高安全等级的子网、阻止防火墙外的黑客的攻击、限制入侵 蔓延等目的。 另外，根据网络防火墙的位置，可以分为外部网络防火墙和内部网络防火墙。 外部网络防火墙将企业网与外部因特网隔离开来，而内部网络防火墙的任务经常 是在各个部门子网之间进行通信检查控制网络安全体系不应该提供外部系统跨 越安全系统直接到达受保护的内部网络系统的途径1 7 j 。 3 i 1 2 网络防火墙的类型 网络防火墙基本可以分为三类：包过滤型防火墙，应用级防火墙和电路级防 火墙。其中，对于前两种防火墙而言，电路级防火墙相对的较少使用，因此，在 本文种主要讨论包过滤型防火墙和应用级防火墙1 6 】。 包过滤型防火墙通常t 作在i p 层，过滤匹配的原4 可以包括源地址、b 的地 址、传输协议、目的端口等。还可以根据t c p 序列号、t c p 连接的握手序列( 如 s y n 、a c k ) 的逻辑分析等进行判断f 3 4 1 。包过滤型防火墙可以较为有效地抵御 类似i p s p o o f i n g 、s y n cf l o o d i n g 等类型的攻击。 在要求不太高的情况一f ，包过滤型防火墙就是台路由器p 。它通过配置其 中的访问控制列表可以作为包过滤防火墙使用，但是过多的控制列表会严重降低 路由器的性能，所以在业务量较大的场合需要将路由和包过滤两种功能分开，也 就是说要使用专门的包过滤型防火墙。 应用级防火墙通常也被称为代理服务器，它担任基于应用级的通信量的中继。 用户使用基于t c p i p 协议的应用程序( 比如t m n e t 、f t p ) 与应用级防火墙通讯。 由应用级防火墙询问用户想要连接的远程主机的地址或名字，当用户回答并提供 了一个合法的用户号和鉴别后，应用级防火墙再联系远程主机上的应用程序，并 在两个已经建立连接的两个端点之间传送包含了应用数据的t c p 包。如果应用级 堡垒生机 信息服务矗 图3 1一个综合利用包过滤型防火墙与 应用级防火墙实现的网络防火墙 防火墙没有为特定的应用程序实现代理的代码，服务就不被支持，也就是说就不 能通过防火墙来发送数据。应用级防火墙最大的优点是能够透视应用层协议，与 既定的安全策略进行比较，从而进行更加细化复杂的安全访问控制并做精细的 注册和稽核，l ：作【8 】【2 ”。 通常，包过滤型防火墙和应用级防火墙是结合起来使用的，他们共同构成了 计算机网络中便捷而强大的具有门卫功能的安全系统，如图3 1 所示。其中，堡 垒主机用作应用级防火墙的平台，而包过滤型防火墙者采用路由起来实现。 3 1 13 网络防火墙的局限性 网络防火墙并不是万能的，它擅长于保护设备，但是它在很多方面存在弱点， 不能把整个网络的安全建立在仅仅依靠网络防火墙的基础之上。客观地说，一个 功能强大、管理和维护严密的网络防火墙仅仅是增强了被保护计算机网络的安全 性能，但是它无法确保被保护计算机网络的安全。正如前文指出的，网络防火墙 作为一个网络安全系统的第一道门户，必须与同一网络中其他的安全子系统相互 协作，共同完成保护一个计算机网络安全的使命。 因此，一般认为网络防火墙具有以下的局限性f 6 】【1 0 】f 1 3 艄】： 网络防火墙不能对绕过自己的攻击进行过滤。比如在网络的内部有人通过调 制解调器与外部网络相连接时，网络防火墙对此无能为力： 网络防火墙无法防f 来自被保护网络内部的攻击。特别是当内部的用户对内 部的信息系统进行攻击的时候。因此，通常将内部网络划分成多个子网，通过分 别安装子网防火墙来间接地达到防范来自网络内部攻击的效果； 网络防火墙不能对被病毒感染的程序或文件的传输提供保护。目前可以通过 各种强大的防病毒软件来填补这个缺陷； 网络防火墙的正常工作必须依赖于对各种已识别类型的攻击的防御有赖于 正确的配置，以及对各种最新的攻击类型的防御取决于防火墙知识库更新的速度 和相应的配置更新的速度。 3 1 2 个人防火墙 3 1 2 1 个人防火墙的功能 个人防火墙主要用于保护某一个用户的个人计算机，以防止被保护的单个计 算机在与网络连接的过程中遭到非法的攻击。从这个意义上说，个人防火墙可以 安装在网络中每台计算机上，用来保护本地的计算机网络不受来自内部的攻击 和破坏，从而弥补网络防火墙的最大的局限性吼 4 由于个人防火墙被安装在单台计算机上，仅仅保护单台计算机的资源，所以 从技术上而言比网络防火墙相对简单，价格也要低许多。在许多的操作系统上常 常自带有个人防火墙。比如在使用的最为广泛的l i n u x 和w i n d o w s 的操作系统上 都有个人防火墙，其中l i n u x 操作系统的防火墙主要作为网络防火墙使用，同时 它 图3 2w i n d o w s 2 0 0 0 操作系统自带的 基于包过滤技术的个人防火墙 也可作为个人防火墙1 2 4 】。图3 2 就是w i n d o w s 2 0 0 0 操作系统上自带的一个基于包 过滤技术的个人防火墙。特别要指出的是，在最新的w i n d o w sx p 操作系统上这 种个人防火墙已经运用了通常在网络防火墙上才使用的代理技术【3 1 】。 3 1 2 2 个人防火墙的局限性 个人防火墙的特点就是它能够并且也只能够为某一台计算机提供安全保护。 如果仅仅是在家庭中使用计算机联网，或者是在一个管理松散的局域网络环境下， 如校园网等，使用计算机，那么个人防火墙可以很好地保护计算机不受大多数的 外来入侵。但是，在一个安全级别要求较高的网络环境中，使用个人防火墙来保 护计算机就是意见比较麻烦的事了。个别情况下，它甚至会威胁整个计算机网络 的安全。 首先，在一个安全级别要求较高的网络环境中，整个计算机网络的安全策略 是由专门的系统管理员或者其他的专业工作者统一进行规划、制定、实施和维护 的。这个是一个完整而复杂的系统工程，通常不需要也不允许普通网络用户的参 与。 其次，个人防火墙的使用使得计算机网络管理员务必就每一台计算机进行相 关安全策略的规划、培植与维护，加大了网络管理的难度和成本，给安全防护1 ： 作带来了极大的不便。 第三，个人防火墙通常被设计为可以由相关计算机的使用者进行管理和维护 t 作，用户可以根据自己的需要对相关的安全配置进行修改，从而可能给本地网 络带来安全漏洞。特别地，如果有用户进行恶意的破坏，则损失就会更大。 因此，个人防火墙仅仅能够满足它的设计初衷：用来提升某一台计算机的安 全性能。在一个安全级别要求较高的网络环境中，最好不要用个人防火墙防范来 自网络内部的攻击。 3 2 分布式防火墙 3 2 1 分布式防火墙的产生f 1 0 】叫f 1 3 传统防火墙技术已经发展了许多年，取得了相当大的成果，对于计算机网络 安全做出了巨大的贡献。一个安全策略设计周密、管理良好的传统防火墙可以显 著地提高计算机网络或个人计算机的安全性能 但是，由于传统防火墙技术存在一些固有的缺点与不足之处，特别是当它面 对新的计算机网络通信技术或者新的应用需求的时候，更加无法有效地满足网络 安全的要求。 近年来，随着电子商务的发展，i n n a n e t 与e x n 卸e t 得到了广泛的应用。在这 些网络构成中，一个最大的特点就是本地网络需要与外界有广泛的信息传递。特 别是移动计算设备的广泛使用，使得本地网络与外界网络的分别变得模糊。因为， 移动计算设备在物理上处于本地网络之外，但是在逻辑上却处于本地网络之内。 目前的移动计算设备与内部网络的通讯主要通过虚拟专用网( v p n ) 通道进行。 v p n 技术利用l p s e c 安全通讯协议进行数据通讯，其中用到了数据加密技术。但 6 是，高明的攻击者却可以利用移动计算设备通过v p n 通道攻击内部网络。这同样 会给内部网络带来安全隐患。因此，必须对所有物理网络外部的移动计算设备进 行密切地跟踪与日志分析，以便较早地发现可能的攻击行为。 另外，为了达到保护个人隐私和信息私有的目的，端到端加密技术得到了广 泛的应用，丽传统的网络防火墙却无法对端到端通讯中加密的数据包进行解密和 过滤，因此不能判别相关的数据包是否包含恶意攻击内容。恶意攻击者可以利用 这点绕过网络防火墙，利用它可以访问的内部计算机作为跳板对内部网络进行 攻击。 本文把这种利用网络内部计算机作为跳板对内部网络发起攻击方式称为间 接的内部攻击，它与直接来自计算机网络内部不满雇员的攻击合称为来自内部的 攻击。 本文己在引言中指出，大量的攻击纪录的统计数据表明，来自内部的攻击是 对计算机网络攻击最主要的来源，网络内部并非想象的那样安全。特别是如果计 算机网络内、外部的攻击者利用上述新应用的安全隐患联合起来对网络发起攻击 的话，传统防火墙技术将不能达到保护内部网络安全的目的。 面对各种安全威胁，分布式防火墙这一新的防火墙体系结构被提出用以提升 网络安全的整体性能。 3 2 2 分布式防火墙的体系结构m 目前分布式防火墙技术正在发展之中，还没有统一的标准。但是分布式防火 墙的基本结构还是确定的，大致如图3 3 所示。 计算机l 计算机2 计茸机3 计笪机h 服务器 图3 3分布式防火墙的体系结构 分布式防火墙有效地将传统网络防火墙与个人防火墙集成到一个统一的结 构之中，从而构成了一个新的防火墙体系结构。从图中可以看出，分布式防火墙 主要包括以下的几个部分： 网络防火墙，它用于内部网与外部网之间，也就是传统的网络边界防火墙， 只不过在分布式防火墙体系结构之中它成了分布式防火墙的一个组成部分，被集 成到了分布式防火墙的体系结构当中，并通过中心管理软件进行相关的管理工作。 至于其它方面，与31 中的传统的网络防火墙基本类似。 主机防火墙，它对网络中的服务器和桌面机进行保护，这些主机的物理位置 可能在内部网中也可能在内部网外，如托管服务器或移动办公的便携机。主机 以外的网络不管是处在内部网还是外部网都认为是不可信任的，因此可以针对该 主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。主机防火 墙对分布式防火墙体系结构的突出贡献是，使安全策略不仅仅停留在网络与网络 之间，而是把安全策略推广延伸到每个网络末端。主机防火墙最好嵌入操作系统 内核工作，也可以采用其它的技术来实现。从一定意义上来讲，可以将个人防火 墙改造成主机防火墙。 中心管理软件，它用来对总体安全策略进行统一策划和管理，对布置在网络 中任何需要的位置上的防火墙分发安全规则以及进行日志汇总等。中心管理是分 布式防火墙系统的核心和重要特征之一。 3 2 3 分布式防火墙的评价 分布式防火墙无疑是目前较为先进的防火墙技术。它可以有效地完成传统防 火墙的任务，同时它还能够弥补传统防火墙的不足，对来自计算机网络内部的攻 击进行防御。 但是，由于传统防火墙已经经过了数十年的发展，技术上相对成熟，目前正 在大多数的计算机网络上使用，并且人们为此所付出的代价也是巨大的，因此分 布式防火墙取代传统防火墙还有待时日，最大的可能是两者在较长的时间内并存。 8 4 包过滤技术原理 包过滤技术是防火墙的核心技术，无论是在传统的网络防火墙与个人防火墙 中，还是在分布式防火墙中都有极其重要的意义。包过滤方法的设计与实现直接 关系到一个防火墙性能的优劣。本章将对包过滤技术进行分析，并提出包过滤技 术的扩展定义，这一定义将运用到本文提出的分布式防火墙体系中驻留主机防火 墙过滤模块的设计之中。 4 1t c p i p 协议 4 1 1t c p i p 协议的体系结构【2 5 】1 2 6 1 t c p i p 协议是目前世界上使用最为广泛的网络协议，著名的i n t e r n e t 就建立 在此基础之上。目前大多数的企业、政府机构等大型团体的内部计算机网络通讯 协议也大多采用t c p i p 协议，比如i n t r a n e t 、e x t r a n e t 等。 t c p i p 协议将在两台计算机之间建立、使用、定义和拆除一次会话所需的所 有功能分成有逻辑次序的层次，如表4 1 所示。它的最大的优点是屏蔽了具体的 计算机厂商及其具体的结构通常这个五层的体系结构又被称为t c p ，p 协议栈。 第5 层应用层 第4 层传输层 第3 层i p 层 第2 层数据链路层 第1 层物理层 表4 1t c p i p 协议的五层体系结构 其中，物理层代表了具体的计算机硬件环境，它的作用仅仅是将信号放到传 输介质上以及从传输介质上接受信号。它只关心光信号传输技术的物理特性。 数据链路层负责处理通过和相邻的计算机的物理连接发送和接收消息的机 制，它有自己的地址结构，与具体的局域网络技术有关。 i p 层是t c p i p 协议的关键与核心，主要负责在一个网络中通过多个连接以 及通过两个或者多个网络之间的网关对数据包进行传输。路由选择就在i p 层中。 每一个利用t c p i p 协议连网的计算机通常都有一个i p 地址。分配i p 地址的国际 机构将所有的i p 地址分成5 种，如图4 1 所示，其中a 、b 、c 三类地址用于分 配给全球的用户，并且所分配的i p 地址是连续的，比如一个c 类网络具有连续 的2 5 5 个可用的地址，而主机号为0 的i p 地址代表了这个c 类网络本身( 在实 际的应用当中，对于计算机网络的编址要比本文所使得复杂许多) 。 传输层用来提供网络中两台特定计算机之间的端到端的连接。这种连接分为 基于数据流方式的( t c p ) 和基于无连接的( u d p ) 两种。对于传输层提供的不同的 服务，以一个1 6 位的无符号整数来标识。这个1 6 位的无符号整数就是所谓的端 媵网络口 垂二 二二二j 叵二二 1 4 位 1 6 位 蝴络口丑二 叵二二 二二垂 2 1 位8 位 c 类网路口丑二二j 亟二二二工j 叵 2 8 位 蝴络口丑工二二二至垂二二 2 t 位 蒯络口工正 二二互叠正二 图4 1i p 地址的划分 口号。因此，对于t c p 和u d p 两种连接方式而言，分别有6 5 5 3 6 个端口号。其 中，0 - - 1 0 2 3 位固定服务保留：1 0 2 4 - - 4 9 1 5 1 是已注册的端口；4 9 1 5 6 - 6 5 5 3 5 是动态 和私有端口。一个网络应用程序利用一个或者多个端口号进行网络通讯。 应用层包括了具体的应用程序以及为应用程序提供一系列更为高级的服务， 比如数据类型的转换、数据的加密与解密等。通常，一个网络应用程序都与一个 或多个端口号以及i p 地址密切联系在一起，这也为我们过滤网络数据包提供了识 别的依据。 4 1 2 数据包的处理与传送 当位于网络上的一台计算机发送数据到其他的计算机时，数据被如图4 2 所 不的方式打包”“( 以以太网为实例) ，并发送到网络上传输。最原始的用户数据 经过应用层模块的处理之后，向t c p f i p 协议栈的f 层传送，被依次加上相关协议 层的首部之后，就可以通过具体的物理网络发送。而在接受端这个过程正好相反， 这些由协议栈加上的首部被依次的去掉，最后用户就可以通过应用程序获得发送 端发送的用户数据了 2 0 l 2 9 l s 4 1 。 以太网帧 1 42 02 0 i 十4 6 1 5 0 0 字节f 。 图4 2 数据包在t c p i p 协议栈中的处理与传输 ( 以以太网为实例) 4 2 包过滤防火墙的工作原理 以太同 在以上对于网络防火墙与个人防火培的分析中，不难发现包过滤技术是实现 一个防火墙的最重要与最基本的技术，无论是网络防火墙还是个人防火墙，是普 通的仅仅建立在路由器基础上的无状态包过滤防火墙，还是相对而言更加复杂、 更加安全的基于状态的包过滤防火墙，其基本的功能都要通过包过滤技术来实现。 甲甲曰叶里 墨 事实上，对于网络防火墙中的应用防火墙而言，由于它是通过实现相关的应用及 协议代理的方式来进行安全防范，并且应用级防火墙也是根据i p 地址等t c p i p 协议特征来决定是否允许相关的访问是否允许通过防火墙，因此，我们可以将它 看作是一种广义的包过滤技术，有别于传统意义上的仅仅基于i p 层的就一个具体 的数据包进行过滤动作的包过滤技术。这种经过扩展定义的包过滤技术在分布式 防火墙的包过滤上具有极其重要的意义。 对于包过滤网络防火墙，特别是一台路由器而言，当它接收到一个数据包的 时候，这个包过滤网络防火墙通常将这个数据包向上传送到该防火墙的第三层即 i p 层，并利用i p 地址、t c p u d p 端口号等t c p f i p 协议特征根据预先设定好的规 则进行相关的过滤r 作。图43 是l i n u x 操作系统自带的一个基于包过滤技术的 网络防火墙的基本二r ：作原理口。包括直接利用路由器实现的所有的包过滤网络防 火墙的j = 作原理与之基本相同。 肖一个数据包从外部到达网络防火墙时l i n u x 防火墙会根据防火墙的输入 链规则对该数据包进行检查。如果该数据包通过了所有的响应测试之后，它将被 传输给输出功能模块。如果该数据包需要被转发，那么该数据包就要满足转发链 的所有规则。如果该数据包需要同一个外部接口发送出去的话，那么它就必须满 足输出链的所有规则。 圈罄田圉霉囤鼍 l i 失败l f 般f 失败 幸幸+ 审 图4 3l i n u x 操作系统中的防火墙的工作原理 而在个人防火墙当中，由于它仅仅保护某一台计算机，因此包过滤技术的实 现相对的较为简单，比如不用考虑数据包的转发等工作。其基本的工作原理也是 利用t c p ，i p 协议特征对进出个人计算机的数据包进行相关的过滤工作。从定意 义讲，个人防火墙就是网络防火墙的缩小版。另外，在个人防火墙的设计当中， 可以在t c p i p 协议的多个层进行数据包的过滤，具体的技术与具体的操作系统有 密切的关系，很难做出统一的描述，不象网络防火墙那样具有相对统一的模型和 类似的技术实现。 4 3 扩展的包过滤技术 在一般的网络安全分析当中，一提到包过滤技术，通常就是指在i p 层的包过 滤。但是，在上文的分析之中，不难发现，所有的防火墙都是利用t c p f l p 协议特 征进行相关的过滤工作。针对这种情况，本文对包过滤技术作如下的扩展定义： 在基于t c p i p 协议的计算机网络当中，凡是利用t c p i p 协议的特征，比如 i p 地址、t c p u d p 端口号、s o c k e t 套接字等，对网络数据包按照一定的预设规则 进行过滤的方法或者方法的集合，统称为包过滤技术，而不用考虑具体是在 t c p i p 协议栈的某一层进行数据包的过滤。这里的数据包包括t c p i p 协议各层 的数据封装，包括以太网帧，i p 数据报等。 在本文的以下部分当中，如无特别的说明，包过滤技术都是经过扩展的定义。 5 一种基于包过滤技术的分布式防火墙系统的设计 5 1 本文提出的分布式防火墙方案 5 1 1 设计思想 一般的组织机构为了保护自己的利益，通常都在机构内部的网绍安全上花费 了相当大的投资，包括设备的购买、升级和维护，专业人员的雇佣和培训等。这 样的一大笔开支在目前的网络安全系统还能够基本满足大部分的安全需要的时 候，该组织机构是不会轻易地变动甚至放弃的。另外，由于分布式防火墙技术还 处在不断地完善之中，大多数机构不太可能现在就抛弃现有的安全体系而改用新 的安全技术。因此，如何在安装了传统防火墙的计算机网络内部有效地防范来自 内部的攻击将是一个亟待解决的问题。 本文认为，在传统防火墙系统工作正常，能够有效防范来自本地网络外部的 攻击的情况下，可以不考虑设计分布式防火墙中的网络防火墙部分，仍然用传统 防火墙来完成它的工作，并且不必考虑它与中心管理软件的集成问题。而对于防 范来自内部的攻击方面，可以考虑只设计一个由驻留在网络中的服务器和桌面机 的主机防火墙以及相关的中心管理软件所组成的简化的分布式防火墙系统。 5 1 2 主动的防御 一般认为，主机防火墙的设计前提是认为被保护的计算机以外的网络不管是 处在内部网还是外部网都认为是不可信任的。也就是说，主机防火墙将对来自外 部的网络通讯进行鉴别，以决定相关的数据包是否可以进入被保护计算机。这是 一种被动的防御方法【3 9 | 。对于传统网络防火墙而言，它要防范的是本地网络以外 的所有计算机。因此，它只能够被动地对所有的进、出的数据包