（通信与信息系统专业论文）基于防火墙与入侵检测的安全防御体系研究与设计.pdf

中南大学硕士学位论文 摘要 摘要 随着计算机网络与通信技术的飞速发展，以因特网为代表的开放性互联网 规模日益急剧扩大，越来越多的信息应用系统都加入到这个大家庭。如何在一 个开放的网络环境中保证信息的安全以及整个信息系统的正常运行是日益突出 的问题，网络安全成为当今研究热点和社会关注焦点。传统的研究方法和解决 方案通常是对单一的安全技术进行改进优化或对多个安全措施的简单组合。显 然，随着攻击者掌握的技术不断提高，在复杂的网络环境中采用传统的安全解 决方案是不奏效的。只有综合运用各种安全措施，使之相互协调工作，从而构 建一个全方位的纵深安全防御系统，才能有效提高网络信息安全。本论文围绕 这个主题做了以下四个方面的研究工作： 第一部分，首先，根据国内外的权威安全调查报告，详细分析了国内外的 网络安全现状。然后，从物理安全与逻辑安全两个方面论述了信息安全主要表 现为网络安全。最后，论述了在网络环境中主要采用入侵手段以及信息系统面 临的主要安全威胁。 第二部分，详细研究分析了各种常用安全措施的关键技术原理。针对防火 墙的包过滤、代理以及地址翻译州卸技术作了深入研究，特别对代理服务器的 实现过程做了详细论述，并对防火墙的各种体系结构进行了详细的分析。针对 入侵检测的多种基于异常检测和多种基于误用检测的检测方法进行了深入研 究，并对两类检测技术进行了比较。针对确保传输数据完整性、保密性和身份 验证的瑚舶1 e t 安全协议妒s e c 协议做了系统的研究。 第三部分，详细分析了防火墙与入侵检测在安全防护中的功能互补特性， 创新性地提出了个基于防火墙与入侵检测的互动理论模型。并在此模型基础 上，充分发挥防火墙屏蔽子网体系结构的优势，综合运用各种安全手段，构建 了一个全方位的纵深安全防御系统。 第四部分，根据实际情况，深入研究了广泛应用于生物信息学研究领域的 序列比对算法，结合伪装入侵特点提出了一种新的伪装入侵检测算法s m 算法。并通过伪装入侵标准试验数据对算法效率进行验证。试验结果表明：该 算法具有低漏报率和低误报率的特点。 关键词：网络安全，防火墙，入侵检测，安全防御体系，伪装入侵，s m 算法 、krt-， 一m f _ q ，j _ r j 中南大学硕士学位论文a b s t r a c t a b s t r a c t w i t l lt h e r 印i dd e v e l o p 忸e n t o f c o m p u t e r n e 铆o r k觚d c o m m u i l i c a t i o nt e c h n o l o g y ，t h et y p i c a lo p e n i i 唱i i l t e m e t ，n 锄e l yi n t e m e t h 私d r a m a t i c a l l ye n l a r g e d l es c a l ew i mn l o r ea n dm o r ei n f o m a t i o n a l a p p l i c a t i o ns y s t e m sc o 彻e c t e dt oi t i ti s ap r o m i n e mp r o b l e mh o wt 0 e n s u r et 1 1 ei n f 0 咖a t i o ns e c u r i 哆锄dm a i n t a i nt t l eg e l l e r a lw o r ko ft l l e m t e g r a t e d 如f b m 眦i o l l a ls y s t e m a n dn 印o r ks e c u r i 够b e c o m e sn l e r e s e a r c hh o tp o i m 锄ds o c i a lf o c u s t 硼i t i o n a l l y w es o l v et 1 1 ep r o b l e m b yas i n 百ei m p r o v e do ro p t i m i z e ds e c l l r i t ym e t h ( d o rb ya1 0 0 s e c o m b i n a t i o no fm e m a p p a r 即t 堍c o n s i d e r i n g l e 融m a tt 1 1 ea t t a c k e r s h a v em a s t e r e dm o r c 锄dm o r ek n o w l e d g e ，w ec 锄n o ts o l v em e p r o b l e m w 曲t h e 饥m m o n a lm e t h o dmt i l ec o m p l i c a t e dn e t w o d 【e n v i r o n m e m 0 | i l l y i f 、v e d e 、，e l o p 锄a l l - a r o m l ds e c 嘶哆d e 传n s y s t e mw i t i l d i v e r s i f i e d ，b u th a n n o n i o u s i ys y n t h e s i z e ds e c 耐够m e m o d s ，w ec a n e 任e c t i v e l yi m p m v et l l en e t 、) i ，o r ki 1 1 f 0 n n a t i o ns e c u r i 劬t h i sp a p e rd o s e s o m er c s e a r c hw o r kw 曲吐l e 1 e i n e ，f o u rp a r t s f o l l o 、v s ： t h ef i r s tp a r ta l l a l y s e sm en e t v v o 出c u r i t yp r c s e n ts 眦峪b a s e do n n a t i o n a l 锄di n 白锄a t i o n a l 锄t l l o r i z e dc o m p u t e rs e c l l r i 锣s u r v e y t h e n d i s c 啉s e d 廿l ej l l f 0 玎n a t i o ns e c 嘶t y 缸mp h y s i c a l 舔p e c t 锄dl o 酉c a l 舔p e c tr e s p e c t i v e l y 锄dd r a wac o n c l l l s i m a tn e t 、o r ks e c 硼哆i s 舭 m a i np r o b l e mo fi 芏l f 0 咖a t i o n c u r i 够a tl a s t ，m a i ni 1 1 _ t m s i o nm e m o d s 觚ds e c 谢t ) ，c o m p r o m i z a t i o nt a 玛e t e da t 如f o r m a t i o ns y s t e m sa r e d i s c u s s e d h lm es e c o n dp a mt h el ( e yt e c l l l l o j 9 9 y 也e 耐e so f d i 丘柏l tc o m m o n s e c 谢t ) ，m e a s u r e sa r ed i s c u s s e d md e t a i l s p a c k e tf i l t e r ，p r o 巧锄dn a r t e c h n o l o g ya i m e da tf i r e w a na r es t u d i e di nd e p t l l e s p e c i a l l y ，d e t a i l e d d i s c u s s 西v e nt 0t h ep m ，哆s e n 惯r e a l i z a t i o np r o c e s s a i l dd i 丘e r e r l t a r c l l i t e c t u r e so ff i i | e w a l la i l a l y z e d md e t a i l s a st oi i l 仇l s i o nd e t e c t i o l l d i v e r s i f i e dd e t e c t i o nm e m o d s ，b 嬲eo n 锄o m a l ya n dm i s u d e t e c t i n g r e s p e c t i v e l y ，a r es t u d i e di l ld e p m a n d l ec h a r a c t e r i s t i c so f t l l et w dk i n d o fd e t 枷n gt e c h n 0 1 0 9 ya r e 锄a l y z e d a tl a 瓯a 1 1 m t e m e ts e c u r i 哆 p r o t o c o l ，n 锄e l ym s e cp r o t o c o lt a 唱酏e da ti i l t e 鲥劬c o n f i d e m i a l i 劬 n o n - r e p u d i a t i o no f 胁柚da u 吐l e m i c a t i o na 咖d i e ds y s t e m a t i c a l l y n i ，啼d 中南大学硕士学位论文 l ； a b s t r c t 。 i nm e 吐】j r dp a 心i t 觚a l 并dm e 矗m c t i o n a lc o m p l e m e n 谢t i e so f m e f i r e w a u 锄dm ei m m s i o nd e t e c t i o ns y 咖mu s e di i ls e c u r i 哆p r o t e c t i o ni i l d e t a i l s t h e np u tf o n a r d m n o v a t e l yac o m p l e m e n t a f y 舢c t i o nm e o 黟 m o d e l ( c f 哪b a s e d 0 nf i r e w a l la 1 1 dm t n l s i o nd e t e c t i o n b y 蛐g 恤 a d v 胁g eo fs c r e e d 趴l b n 就a r c h j t e c t u l eo ff i r e w a l l ，i tc o n s t r u c t e da n a 1 1 a r o l l i l ds e c 面t yd e 南i l s es y s t e i i l w h i c hb a s e do nm ec f t m ，w i t l l s y i l t h e s i z e ds e c u r i 哪m e t l l o d s t h ef o u r t hp a r t ，s c q u e n c ea l i 掣i i i l e n ta l g o r i s ，w h i c hw 舔w i d e l y i l s e di l lm ef i e l d so fb i o i n f o 衄a t i c s ，i ss 砌i e dd e e p l yi l lm i sp a 吨1 1 1 e n a c c o r d i n gt ot m i to fm a s q u e r a d e m t m s i o i l ，an o v e lm a s q u e r a u d ei l l t n j s i o n d e t e c t i o na l g o r i t i l i i l - s ma l g o r i t i l n li sb r o u g h t a tl a s t ，w ed oe x p e 由1 e n t w i t ht h ed a t as u p p l i e db ym a t ts c h o i l l a u ，w h i c hw a st l l ed e 亿c t o s t 锄d a r dc o r p u sd a t a s e ti i lt l l ef i e l do fm a s q u e r a d ed e t e c t i o n ，t 0v a l i d a 舱 也ee f f e c t e n e s so ft h ea l g o r i m m a n dn 圯r e s u l t s o fe x p e r i 棚e n t m a l l i f e s t e dt i l a t l es ma l g o t h mh a sa 仃a i to fl o wf a l s en e g a t i v e 柚d l o wf a l s ep o s i t i v e ， k e yw o r d s ：n e t 、v o r ks e c u d 劬f i r e w a l l ，m s i o nd e t e c t i o i l ，s e c u r i 哆 d e f e n s ea r c l l i t e c t u r e ，m a s q u e r a d ei 1 1 缸u s i o n ，s ma l g o r i t i l m ， f f 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。尽我所知，除了论文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得中南大学或其他单位的学 位或证书而使用过的材料。与我共同工作的同志对本研究工作所做的贡献均已在 论文中作了明确的说明。 作者签名：日期：2 1 1 年! l 月互l 日 关于学位论文使用授权说明 本人了解中南大学有关保留、使用学位论文的规定，即：学校有权保留学位 论文，允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内容， 可以采用复印、缩印或其它手段保存学位论文；学校可根据国家或湖南省有关部 门规定送交学位论文。 储鹳：声翩鹕： 吼龟咯物亨日 ，矿0 + r j 中南大学硕士学位论文 第一章绪论 1 1 研究背景和意义 第一章绪论 随着计算机及其网络技术的飞速发展，基于网络的计算机应用系统已经成 为主流，计算机与通信技术的融合使得计算机网络在信息的采集、传输、存储 与处理中处于核心地位。特别是从2 0 世纪9 0 年代以来，计算机网络已由单个 的局域网发展到目前的跨区域的、国际性的计算机网络，成为能够相互通信、 资源共享、任务分布式处理的高性能的计算机网络，即国际互联网，又称因特 网( h i t c r 删) 【1 1 。由于互联网本身属性要求，开放性、共享性、互连性的程度不断 扩大，互联网已经深入到了社会的各个领域，如政府部门、军事领域、教育研 究机构、企事业单位等，使得网络的重要性及其对社会的影响越来越大，日益 成为人们进行信息交换的主要手段。 人们在享受互联网带来的丰富信息、巨大便利的同时，也面临着网络安全 的严重威胁。与此同时，随着一些网络新业务的不断兴起，如网络银行、电子 货币、电子商务的不断兴起，以及以政府上网为标志的数字政府使国家机关与 军事国防信息与h i t c r n c t 互连接。这些使得用户对网络的安全性提出了更高的要 求，使网络的安全问题日益突出，网络安全作为一个无法回避的问题呈现在我 们面前。网络安全是一个关系到国家安全与主权、社会稳定和个人利益的重要 问题，网络安全技术的研究、开发与实现，无论从理论上还是实际应用中都具 有十分重要的意义。 因此，保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻 不容缓的重要课题。传统的信息安全方法通常是采用严格的访问控制和数据加 密等策略来防护，在复杂系统中，这些策略是必要的，但不是充分的，即它们 是系统安全不可缺少的部分但不能完全保证系统的安全。从而需要综合运用各 种安全技术手段，使之相互协调工作，在这基础上构建一个全方位安全防御体 系才能有效保护计算机系统、网络系统以及整个信息基础设施的安全。 1 2 网络安全与网络威胁 1 2 1 计算机网络安全现状 根据我国国家计算机网络应急技术处理协调中心c e 砌吣c 州a t i o n a l c 伽n p l l l t 盯n e 咐o r l 【e m e r g e n c yr 雠i p s et e c h n i c a lt c 锄c o o r d i m 畸o nc e m e r ) 2 0 0 4 中南大学硕士学位论文第一章绪论 年上半年的网络安全报告【2 l ，我国网络安全总体状况仍然不容乐观。2 0 0 4 年上 半年我国互联网上多次爆发大范围蠕虫传播事件，影响最大的当属利用微软视 窗l s a s s l 漏洞的“振荡波”系列蠕虫，感染用户数量达到数以百万计，截至 6 月3 1 日，n c e r l 佗c 监测发现国内约有1 3 8 1 万台主机被感染。此外，m y d o o m 蠕虫等事件都对网络造成一定规模的影响。木马程序带来的危害愈加严重，据 抽样监测统计，我国有大量计算机中被放置木马程序，所开放的后门一旦被人 恶意利用后果将十分严重。针对网络欺诈( p m s h i n g ) 事件投诉显著增加， 大多投诉是因为我国境内主机被欺诈者利用来提供虚假网页。利用m 浏览器的 漏洞攻击增加，由于其具有隐蔽性，很难被一般用户发现，造成的后果难以预 料。 尽管网络安全的研究得到越来越多的关注，然而，随着网络不断扩大，各 种系统及其应用程序本身出现的各种各样的安全漏洞越来越多( 如图l - 2 所示) ， 出于各种目的的盗用资源、窃取机密、破坏网络的肇事者也越来越多，网络安 全事件呈迅速增长的趋势，造成的损失也越来越大，美国国家计算机网络应急 技术处理协调中心c e r l l c c 所报告的1 9 9 8 年2 0 0 3 年的安全事件统计数字清 楚的证明了这一点，如图1 1 所示。 c e r t c c 安全事件报告 一事件数 爹孵4 删饼嘞一 il 嬲 i l j i 哆 l ； ； 哆 ! 孥警譬z ? t ? 鬯。z 竺。s 竺sz 攀! ：三二j 。+ 。；i 图1 1c e r t c c 安全事件报告统计 2 ik 中南大学硕士学位论文第一章绪论 f 一一一”1 、2 ，r a l、i 一= v ：。：i = a b m ： 瓣矿弋 i i2 0 0 4 0 1 罗i i 。惦瓤。t 押 k 一一；h m * t 一一* h * c * k k “一“# 一一 1 9 9 51 9 9 61 9 9 71 9 9 81 9 9 92 0 0 02 0 0 l2 0 0 22 0 0 32 0 0 4 图卜2c b r t c c 漏洞统计报告 2 0 0 4 年1 月“月，我国c e r t c c 及其各省分中心共接受来自国内外的网 络安全事件报告总计1 3 6 3 0 件，与2 0 0 3 年上半年4 6 7 5 件相比上升了2 倍多， 也比2 0 0 3 年下半年8 6 3 9 件上升了近5 8 ，安全事件报告数量持续大幅增长。 2 0 0 4 年上半年网络安全事件报告按照月份和分类统计【2 1 如下： 表卜12 0 0 4 年上半年我国网络安全事件报告统计表 网页拒绝 月份蠕虫恶意木马 网络 服务 网页 扫描 主机垃圾 其他总计 代码 欺诈篡改入侵邮件 攻击 1 月1 3 0i9 1 72 21 4 32 81 2 4 l 2 月 6l41 7 6 335 73 5l s 6 9 3 月7 l 2l2 2 6 8 4 l 1 1 63 5 7 0 2 5 4 月6l22 08 5 231 3 3 2 6 1 0 4 3 5 月 3 ll241 0 4 2l1 7 44 01 2 9 5 6 月 1 7 2l lll o 9 9 l 1 0 02 5 1 1 5 7 统计 1 9 7322 055 61 2 4 0 62 97 2 3i 神1 3 6 3 0 根据2 0 0 4 年计算机安全协会与美国联邦调查局c s 卯b i ( c o m p u t e fs e c 谢t ) r h 北i t 咖f e d e r a ib u r 伽o f i n v e s t i g a l j o n ) 联合对4 9 4 个企业、金融、政府机关、 医疗机构、大学及科研所等部门的网络安全负责人进行的调查报告【3 】。从1 9 9 9 年到2 0 0 4 年，其中每年有3 3 以上的部门发生过l 一5 次安全事件，有2 0 以 上的部门发生过6 一l o 次安全事件，有1 1 以上的部门发生过1 0 次以上安全 事件，具体情况如表1 2 所示。 3 o 刚吣砌嘞的砌 出4 3 3 2 2 l l 中南大学硕士学位论文第一章绪论 表卜2 安全事件次数统计表 黝 年份 l 一5 次6 一l o 次 l o 次不清楚 2 0 0 44 7 2 0 1 2 2 2 2 0 0 33 8 2 0 一：- 1 6 。 2 6 2 0 0 24 2 +2 0 1 5 2 3 2 0 0 13 3 2 4 i l 3 1 2 0 0 03 3 2 3 1 3 3 1 1 9 9 93 4 2 2 1 4 2 9 另外，根据c s i f b i 调查报告可以发现，危害网络安全的几大问题依然是： 内部用户越权或滥用网络、病毒、拒绝服务攻击、未授权访问。其中最突出的 是病毒，其次是未授权访问( 内部用户) ，如图l 3 所示 1 9 9 92 0 0 02 0 0 12 0 0 22 0 0 32 0 0 4 图卜3 未授权访问入侵统计 1 2 2 信息安全与网络安全 根据国际标准化组织i s 0 的定义，信息系统安全就是为数据处理系统建立 和采取的技术和管理的安全保护，保护计算机的硬件、软件数据不因偶然和恶 意的原因而遭到破坏，更改和泄露。信息系统安全的内容应包括两个方面：物 理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、 丢失等。逻辑安全包括确保信息的完整性、保密性和可用性。在本论文的研究 领域中，主要考虑的是信息的逻辑安全。 ( 1 ) 完整性( j n t e i 野t y ) ：是指信息在存储或传输过程中保持不被遭受非授权篡 改或破坏的特性。破坏信息的完整性是对信息安全发动攻击的目的之 4 l l 涨粥涨妻；螂i善狲螂傩 中南大学硕士学位论文 第一章绪论 ( 2 ) 保密性( c o n 矗d e m i a l i 哆) ：是指信息不泄漏给非授权的个人和实体或进程， 不为其所使用。 ( 3 ) 可用性( a v a i l a b i l i 劝：是指信息可被合法用户访问并按要求顺利使用的 特性，即根据授权实体的请求可以访问和使用所需求的信息。 在当今的信息社会中，信息系统的安全对于整个社会都具有极其重要的意 义，大到一个国家，小到个人以及公司、企业? 其信息系统的安今性都需要得 到充分的保护。 、 但是随着网络的发展，大部分的信息系统都连接到网络上了。信息安全问 题已经突出表现在网络安全方面。网络安全c 经媵函信息系统安全中一个重要 的组成部分，在很多时候，网络安全已经成为信息系统安全的代名词。如何在 一个开放的网络环境中保证信息的安全，保证整个信息系统的正常运行。这正 是本文论述的重点。 1 2 。3 安全威胁与入侵简介 所谓安全威胁，是指某个人、物或事件对某一资源的保密性、完整性、可 用性或合法使用造成的威胁。在计算机领域中，入侵攻击就是威胁的具体实现。 针对安全性的定义，攻击目标包括信息泄漏、完整性破坏、拒绝服务和非法使 用。从攻击与入侵的手法角度分析，对于在网络上的计算机系统而言，主要的 安全威胁有： ( 1 ) 链路攻击 网络数据通信链路都是通过一些传输媒介相互连接通信，通过使用窃听，截 获、阻塞等手段可以获取在传输链路中的敏感信息。 ( 2 ) 身份攻击 网络服务通常需要通过一定的访问控制措施确认用户的身份，从而提供相应 的访问权限。身份攻击是攻击者通过欺骗系统、伪装、窃取等手段冒充合法用 户进入系统的攻击手段。这种攻击手段是常见的网络攻击。 ( 3 ) 特殊代码 恶意软件是一类程序或代码，可在特定的条件下执行，对攻击目标主机造 成各种破坏。常见的方式包括：病毒、代码炸弹、特洛伊木马和蠕虫等。 ( 4 ) 系统陷阱 计算机网络这个大系统是由各种型号的计算机、各种版本的服务和各种类型 的协议构成，必然导致系统内软硬件、协议、配置等方面的缺陷。攻击者可以 5 中南大学硕士学位论文 第一章绪论 利用这些缺陷发动攻击最典型的就是利用缓冲区溢出( b u f f e r0 v e r f l 0 w ) 漏 洞。 ， ( 5 ) 拒绝服务 ， 拒绝服务攻击是指攻击者利用各种手段占据服务提供者大量的共享资源， 使系统没有剩余的资源给其他合法用户可用，使其服务请求被拒绝的一种攻击 方式。拒绝服务攻击是对系统的可用性进行攻击。 髓着计算机与网络技术的发展，计算机的处理能力也迅速增长，内存大大 增加，千兆级以上的网络普遍架设，这使得传统d o s 攻击的困难程度增大了 分布式拒绝攻击( d d o s ) 便是在这种情况下，在传统的d o s 攻击基础上发展的一 类攻击方式。在这种方式下，攻击者在发动对目标主机攻击之前，先通过别的 手段控制多台傀儡主机，然后才使多台攻击主机同时向目标主机进行拒绝服务 攻击，使目标主机的系统资源大量消耗，从而使目标主机出现一种拒绝服务状 态。 为了实现对攻击目标的攻击，攻击者通常综合采用多种方法进行攻击，方 法的运用往往非常灵活。 一 1 3 论文研究内容及结构安排 ， 确保网络信息安全是一个涉及面广的系统工程，全面涉及各个方面是非个 人能力所及。本论文在调查计算机网络安全现状，分析防火墙和入侵检测技术 及其在网络安全中的功能和局限性的基础上，试图以防火墙和入侵检测为主要 手段来构建一个安全防御体系互动模型。并在此理论模型指导下，结合基于 m s 协议的加密和认证技术，构建了一个安全防御系统。并针对系统的入侵检 测模块进行了优化，提出了一种新的入侵检测算法全文的结构安排如下： 第一章绪论：提出了本课题的研究背景和意义，分析了计算机网络安全现 状，并对当前网络所面临的威胁和入侵方法进行了介绍。为安全防御系统研究 的内容指明了方向。 第二章防火墙技术基础：研究了防火墙的基本原理及其关键技术，对防火 墙的各种体系结构及其功能进行了详细分析，为互动模型的提出以及防御系统 的构建提供基础。 第三章入侵检测技术及系统基础：研究了入侵检测系统的国内外发展状 况；详细研究分析了异常和误用检测技术及其各自的优缺点，对两种检测技术 进行了比较。为互动模型的提出以及防御系统的构建提供基础。 第四章网络安全防御系统的设计：详细研究了防火墙与入侵检测的功能互 补性，提出了一个互动模型。在此基础上，结合基于i p s c c 协议的加密和验证 6 1 1 中南大学硕士学位论文第一章绪论 技术提出了一个网络安全防御系统，并对该安全防御系统的安全性能进行了客 观评价。并且对该防御系统中的防火墙代理服务器的实现进行了详细的分析， 对m s e c 协议进行了深入的研究。 第五章系统与算法的研究与实现：针对网络攻击主要来自网络内部及其伪 装用户的事实，在本章中提出了一种高效的伪装入侵检测算法一s m 算法，并 对基于该算法的入侵检测系统模拟实现，对试验结果进行了分析。其次，对口 压缩进行了初步研究。 第六章结束语：对全文进行了总结，并提出下一步努力的方向。 、 7 中南大学硕七学位论文 第二章防火墙技术摹础 2 1 防火墙概论 2 1 1 防火墙的定义 第二章防火墙技术基础 砌棚1 e t 的迅速发展为我们更方便地提供了发布信息和检索信息的场所，但 同时它也带来了信息污染和信息破坏的危险。人们为了保护其信息资源的安全， 出现了防火墙。防火墙从本质上说是一种保护装置，它保护的是数据、资源和 用户的声誉。 防火墙原意是建筑物大厦设计用来防止火灾从大厦的一部分传播到另一部 分的设施。从理论上讲i m e m e t 防火墙服务也属于类似目的。它防止i n t 锄e t 上 的危险( 病毒、资源盗用等) 侵入到你的网络内部。 从网络安全角度上讲，防火墙是一种安全有效的防范技术，是访问控制机 制、安全策略和防入侵措施。从狭义上来讲，防火墙是指在两个网络之间加强 访问控制的一个或一系列网络设备，是安装了防火墙软件的主机、路由器或多 机系统；从广义上讲，防火墙还包括了整个网络的安全策略和安全行为，是一 整套保障网络安全的手段。它是通过在内部受保护网络和外部公众网之间的界 面上建立起来一个相应网络安全检测系统来隔离内部和外部网络，强制所有的 连接都必须经过这一检测系统的检查，以确定哪些内部服务允许外部访问，以 及哪些外部服务可以被内部访问，只有被授权的通信才能通过，从而阻挡来自 外部网络的非法入侵，达到保护内部网络的目的。 防火墙可以是路由器或堡垒主机( 一个高度安全的计算机系统) 。通常因为 它放置在外部网与内部网的边界上，作为连接内部网络与外部网络的桥梁暴露 在h 1 据m c t 之上。因此，防火墙容易受到攻击。当然，从完全意义上讲，防火墙 系统不只是一种路由器、主机系统或一批向网络提供安全性的系统装置，它是 一种获取安全、保护网络的方法和手段，它通过网络配置、主机系统、路由器 以及诸如身份认证等手段来实现网络安全协议和机制，以便确定允许提供的服 务和访问。 2 1 2 防火墙的主要功能 防火墙作为内部网与外部网之间的一个保护层，使得内部网与外部网之间 所有的信息流都必须通过防火墙，并通过检测、限制、更改所有流经防火墙的 8 中南大学硕士学位论文 第二章防火墙技术摹础 数据流，达到保护内部网络免受非法入侵。从逻辑上说，防火墙是一个分离器， 是一个限制器，是一个分析器，建立防火墙至少要提供下面几项功能： ( 1 ) 防火墙是网络安全的屏障 作为阻塞点、控制点的防火墙能极大地提高一个内部网络的安全性，并通 过过滤不安全的服务而降低风险。由于只有经过选择的应用协议才能通过防火 墙，所以网络环境变得更加安全。防火墙同时可以保护网络免受路由技术的攻 击，如p 选项中的源路由攻击和i c m p 重定向中的重定向路径。防火墙能拒绝 所有以上类型攻击的报文并通知系统管理员。 。 ( 2 ) 防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置，能将所有安全功能( 如口令、加密、 身份认证、审计等) 配置在防火墙上。与把网络安全问题分散到多个主机上的 方案相比较，防火墙的集中安全管理更经济 ( 3 ) 对网络存取和访问进行监控审计 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并登记 日志记录，同时也能提供网络使用情况的统计数据。当发生可以动作时，防火 墙能进行适当的报警，并提供网络是否受到检测和攻击的详细信息。另外，防 火墙能方便的收集一个网络的使用和误用情况。从而管理员通过分析这些日志 信息就可以清楚地知道防火墙是否能够抵挡嗅探和攻击、防火墙的控制是否充 足，并进行网络需求分析和威胁分析。 ( 4 ) 防止内部信息的外泄 利用防火墙对内部网络的划分，可实现内部网段级的隔离，从而限制了局 部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非 常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索 而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。使用 防火墙就可以隐蔽那些可能透露内部细节的服务，如f i i 埕黟，d n s 等。防火墙 还可以阻塞有关内部网络中的d n s 信息，这样内部主机的域名和i p 地址就不 会被外界了解。 除了安全作用外，防火墙还支持具有i n t 黜t 服务特性的企业内部网络技术 体系n ( 虚拟专用网) 。防火墙本身作为网关直接完成中继多个不同网段的 客户机之间的通信 2 2 防火墙的基本原理与关键技术 2 2 1 包过滤技术 9 中南大学硕十学位论文第二章防火墙技术摹础 数据包过滤技术是防火墙最常用的技术，是一种基于网络层的安全防护技 术，对于一个充满危险的网络，过滤路由器提供了一种方法，用这种方法可以 阻塞某些主机和网络连入内部网络，也可以用它来限制内部人员对一些危险和 色情站点的访问。 。 数据包过滤技术，顾名思义是在网络中适当的位置对数据包实施有选择的 通过，选择依据为系统内设置的过滤规则( 通常称为访问控制表a c c e s sc o n 打o l l i s t ) ，只有满足过滤规则的数据包才被过滤路由器转发到相应的网络接口，其 余数据包则被从数据流中删除。 包过滤防火墙主要是通过伊数据包过滤模块来实现。包过滤防火墙既可以 由过滤路由器或者普通路由器加包过滤软件来实现，也可以在一个双宿网关上 安装包过滤软件来实现，还可以在一台服务器上来实现。根据用户事先定义好 的过滤规则，禁止或允许数据包的通过，从而达到对站点与站点、站点与网络、 网络与网络之间的相互访问控制，但是不能控制传输的数据内容，因为内容是 应用层数据，不是包过滤系统所能辨认的。 包检查模块应该深入到操作系统的核心，在操作系统或路由器转发数据包 之前拦截所有的数据包。通过检查模块，防火墙能拦截和检查所有出站和进站 的数据。防火墙检查模块首先验证这个数据包是否符合过滤规则，不管是否符 合过滤规则，防火墙一般要记录数据包的情况，对于不符合过滤规则的数据包 进行过滤丢弃或者报警通知管理员，对于符合过滤规则的数据包就按照正常路 由规则转发到相应的接口。对丢弃的数据包，防火器可以给发送方一个i c m p 消息，也可以不给，这要取决于包过滤策略。如果都返回一个消息，攻击者可 能会根据回送数据包的类型猜测包过滤规则的大致情况，所以对是否发送一个 返回消息给发送者要谨慎。包检查模块能检查数据包中的所有信息，一般是网 络层的头和传输层的t c p 头，包过滤一般要检查下面几项【4 】【5 l ： i p 源地址； 口目标地址； 协议类型( t c p 、u d p 、i c m p 、i g m p ) ； t c p 或u d p 的源端口； t c p 或u d p 的目标端口； i c m p 消息类型； t c p 报头中的a c k 位和f 玳位。 此外，t c p 的序列号、确认号、口校验和分段偏移也往往是要检查的选项。 包过滤防火墙作为安全防御系统有简单实用、实现成本低等优点，在应用 环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。对 1 0 中南大学硕士学位论文第二章舫火墙技术基础 于小型的、不太复杂的网络，可以直接在现有操作系统上运行包过滤软件就可 以实现包过滤功能，而且包过滤防火墙具有很好的传输性能和扩展性，与具体 的应用无关，不要求客户端程序做任何改动就可以做到对用户透明服务。 包过滤技术是一种完全基于网络层的安全技术，它只能根据数据包的源地 址、目标地址、端口号、协议类型以及状态信息等进行过滤，无法对应用层的 数据进行过滤，因此对于基于应用层的恶意入侵就无能为力了。并且，基于包 过滤技术的防火墙只能阻止外部主机伪装成内部主机的口，对于外部主机伪装 成其他外部主机的口却不可能阻止，所以容易遭受m 欺骗攻击。 2 2 2 代理技术 代理( p 碍) 技术也称为应用网关( a p p l i c a t i q n 州a y ) 技术，代理技 术与包过滤技术完全不同，包过滤技术是在网络层拦截所有的信息流，代理技 术是针对每一个特定应用都有一个程序。代理是企图在应用层实现防火墙的功 能，代理的主要特性是有状态性。代理能提供部分与传输有关的状态，能完全 提供与应用相关的状态和部分传输方面的信息，代理也能处理和管理信息。 代理是工作在应用层上特殊的应用服务程序。本质上，它是作为内外网之 间的一个网关，一个应用代理针对一种网络应用服务，在客户和服务器之间充 ，当中继，通信双方实际上不存在直接的网络连接，而代理服务器为此要维持两 个连接：客户方代理服务器与代理服务器服务器方。对客户方，它充当应用 服务器，同时又作为客户与目的服务器连接；对服务提供方，它充当服务访问 客户端。实质上代理服务器分为两部分：一个为客户代理，完成与客户方的连 接通信；另一个为服务器代理，完成与服务器方的连接与通信。其工作过程为： 1 ) 当客户请求连接某个外部服务器时，它首先与代理服务器建立一个传输 层的t c p 连接，代理服务器上的守护进程接收到客户发出的连接请求后，提取 并检查源地址与目的地址，并根据事先设定的访问控制规则来决定是否接受该 连接。 2 ) 按约定的方式与客户交互信息，首先对客户进行身份认证，如果认证成 功则取得客户要求连接的真实服务器地址或名字 3 ) 代理为该客户建立一条与其请求访问的真实服务器的连接，并在这两个 连接之间根据预定的语法和过程交换和转发数据。 4 ) 当一方关闭连接时，代理同时关闭对应的另一连接，并对本次连接进行 日志记录。 代理服务器是针对不同网络服务提供细致而安全的网络保护，它接受外来 中南大学硕七学位论丈第二章防火墙技术基础 的应用连接请求，进行安全检查后，再与被保护的网络应用服务器连接，让外 部服务器用户在受保护的前提下使用内部网络服务，而内部网络到外部网络的 服务连接也可以通过代理服务器进行访问权限控制，工作过程如图2 1 所示。 图2 1 代理服务器工作过程图 另一种情况是，外部网通过代理访问内部网，内部网只接受代理提出的服 务请求，拒绝外部网络其它节点的直接请求，代理服务器接受外部网络节点提 出的服务请求过程为【6 i ；首先，它对该用户的身份进行验证，若为合法用户， 则把该请求转发给真正的某个内部网络的主机( 真正的网络服务提供者) ，而且 在整个服务过程中，应用代理一直监控用户的操作，一旦发现非法操作，就可 以干涉，并对每一个操作进行记录；若为不合法的用户，则拒绝访问。 代理使得网络管理员能够实现比包过滤路由器更严格的安全策略。应用层 网关不用依赖包过滤工具来管理h i t e = r t l e t 服务在防火墙系统中的进出，而是采用 为每种所需服务安装在网关上的特殊代码( 代理服务程序) 的方式来管理 h i 劬喊服务，应用层网关能够让网络管理员对服务进行全面的控制。如果网络 管理员没有为某种应用安装代理服务程序，那么该项服务就不支持并不能通过 防火墙系统来转发。 提供代理服务的可以是一台双宿网关，也可以是一台堡垒主机。允许用户 访问代理服务是很重要的，但是用户是绝对不允许注册到应用层网关中的。假 如允许用户注册到防火墙系统中，防火墙系统的安全就会受到威胁，因为入侵 者可能会在暗地里进行某些损害防火墙有效性的操作。例如，入侵者获取r 0 0 t 权限后，安装特洛伊木马来截取口令，并修改防火墙的安全配置文件。 2 2 3 地址翻译( n a t ) 技术 随着网络的飞速发展，世界上每时每刻都有新的系统连接到胁锄e t ，截止 到2 0 0 4 年6 月3 0 日，我国的上网计算机总数己达3 6 3 0 万台，是1 9 9 7 年l o 月 第一次调查结果2 9 9 万台的1 2 1 4 倍1 1 0 1 。由于开始设计h t e r n c t 网的时候并没 有考虑到发展到今天这么大的规模，所以随着网络的发展，连入i n t 锄e t 的主机 数不断的增长，h l 呦喊面临着两个不可回避的问题嗍：路由表剧增和整个m 地 中南大学硕士学位论文第二章防火墙技术基础 址耗尽的危机。网络地址转换( n 和无类域问路由( c m r ) 就是为了暂时解决 这些问题而开发的一种直接解决方案。 n a t 英文全称为：n e t w 0 出a d d r e 端1 h 璐l a l i o n ，也即地址翻译，它作为一 个砸t f 标准在r f c l 6 3 l 中定义。n t 技术可以将局域网中节点的地址( 公用 地址或保留地址) 转换成( 映射到) 一个外部公用地址【8 】 9 】，反之亦然。它应用 到防火墙技术中，从而实现一个机构内部局域网内多个主机以一个地址出现在 i 舭m c t 上，把内部地址隐藏起来不被外界发现，使外界无法直接访问内部 网络设备。同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公 有口地址和私有口地址的使用。n a t 有三种类型：静态n a t 、动态n a l 和端 口映射n a t 。 一、静态n a t 。静态地址转换是将给内网主机分配的私有地址与注册的合 法地址进行一对一的映射转换，并且这种映射关系是静态分配的。如表2 一l 所 示，因为这种映射关系是一一对应关系，所以它并没有达到节约m 地址的作用， 但是它能够对外较好地隐藏内部网络地址。 表2 一l 静态映射表 转换表项内部保留地址公用地址 l1 9 2 1 6 8 1 7 2 1 02 0 2 1 9 7 “5 21 9 2 1 6 8 1 7 2 1 l2 0 2 1 9 7 6 4 6 31 9 2 1 6 8 1 7 2 1 22 0 2 1 9 7 “7 二、动态n j a t 。动态地址转换也是将内网私有地址与注册的合法地址进行 一对一的转换。但是，动态地址转换是从合法地址池中动态地选择一个未使用 的地址来对内部本地地址进行转换的。 采用n a ：r 动态地址分配也就意味着可以在内部网络中给很多主机分配私 有地址，通过动态分配的办法，