（计算机应用技术专业论文）主动防火墙系统及其网元化管理的研究.pdf

硕士学位论文 夕 峨 s t e r， s t i 任 s i s 元化管理模型和系统。通过设计和实现主动防火墙各安全成员的私有 s n mp 代理和私有s n mp mi b ， 成功的将主动防火墙各安全成员作为可管理的基本网 元集成到网络管理平台中， 实现了主动防火墙的通用管理， 提高了系统的可管 理 性 于 丫一 最后，本文对用于主动防火墙各安全成员之间交互信息的安全策略进行了 讨论， 在理论上提出了一种可以自 动检测策略一致性以及自 动解决策略冲突的 网 络 安 全 策 略 语 言 一 基 于 角 色 的s d l . 陇循 这 种 语 言 规 范 的 安 全 策 略 ， 不 仅 可以按照 s d l中逻辑公理来判断策略的一致性问题，还可以通过定位角色所 应采 用真 正 采用的 行 为 规 范 集来 解决 策略 冲突问 题。 八 一 - 关键词: 主动 防 火 墙、 入 侵检 测、 安 全策 略、 角 色、 s d l , s n m p 硕士学位论文 ma s t e r s t h e s i s ab s t r a c t a s t h e m o s t i m p r e s s i v e p r o d u c t i o n o f in f o r m a t i o n a lr e a d y b e c o m e a n i n t e rna l p a rt o f o u r s o c ia l l i v e s . n o e r a , c o m p u t e r n e t w o r k s h a v e m a t t e r i n p o l i t i c s , t e c h n o e c o n o m y o r c u l t u r e l i f e , n e t w o r k h a s p l a y e d a m o re a n d m o r e im p o r ta n t r o l e o g y , bu t w i t h t h e t r a n s f o r m i t b r o u g h t w i t h u s , n e t w o r k a l s o p o s e s o n u s s o m e u n e x p e c t e d p r o b le m s . o n e f o c u s a m o n g t h e m i s t h e s e c u r i t y o f t h e n e t w o r k b e c a u s e i t d ir e c t l y i n fl u e n c e s t h e d e v e l o p m e n t s p e e d o f t h e n e t w o r k t e c h n o l o g y . a s o n e o f t h e m o s t c o m m o n l y u s e d m a n n e r s i n d e a l i n g w i t h s e c u r i t y i s s u e s , f i r e w a l l c o n t r ib u t e s a l o t i n i m p r o v i n g t h e s e c u r i t y l e v e l o f t h e n e t w o r k . b u t , w i t h t h e d e v e l o p m e n t o f m o d e m n e t w o r k t e c h n o l o g y , t r a d i t i o n a l f i re w a l l s , s u c h a s s i n g l e c h e c k p o i n t f i r e w a l l o r p a s s i v e d i s tri b u te d fi r e w a l l , c a n n o l o n g e r s a t i s f y t h e r e q u i re m e n t o f t h e n e t w o r k . b u t w e s h o u l d n t a b a n d o n t h e c o n c e p t o f f i r e w a l l s i n c e i t i s t h e m o s t e ff e c t i v e m e a s u r e m e n t t o s e p a r a t e t r u s t e d a n d u n t r u s t e d p o rt i o n o f t h e n e t w o r k w h e n e v e r i n t h e p a s t o r f u t u r e a ft e r c a r e f u l i n v e s t i g a t i o n i n t h e c u r r e n t s e c u r i t y p r o b le m s i n t h e n e t w o r k , t h e i m p l e m e n t a t i o n p r in c ip l e s a n d s h o rt c o m in g s o f s e v e r a l k i n d s o f c u r r e n t w i d e - u s e d f i re w a l l s a r e p r e s e n t e d . a ft e r w a r d s , t h e c o n c e p t o f a c t i v e f i re w a l l i s d e f i n e d , w h i c h d i ff e r s g r e a t l y w it h t r a d i t i o n a l f i r e w a ll s . t h e n , a p r o t o t y p e o f t h e a c t i v e fi r e w a l l , w h i c h i n c l u d e s s e c u r i t y v u ln e r a b il it y s c a n n e r , i n t r u s i o n d e t e c ti o n m o n i t o r , v i r t u a l p r i v a t e n e t w o r k i n g s o l u t i o n s , fi re w a l l - b a s e d v i r u s s c a n n e r , i s p re s e n t e d . b a s e d o n t h e p r o t o t y p e , a d e m o o f t h e a c t i v e f i r e w a l l 厂 f x - d e f e n d in g l .0 , w h i c h i n c l u d e s p a c k a g e f i l t e r fi r e w a l l , re a l - t i m e in t r u s i o n d e t e c t i o n , c e n t r a l e v e n t m a n a g e r t o 硕士学位论文 m 八 s 7 王 r s t i 压 s i s a n d n e t w o r k s e c u r i t y p o l i c y d a t a b a s e , i s d e s i g n e d a n d i m p l e m e n t e d . u p o n t h e i m p l e m e n t a t i o n o f t x - d e f e n d i n g l . 0 , t h e a u t h o r p u t s f o r w a r d a n i d e a o f e x p r e s s i n g n e t w o r k s e c u r i t y p o l i c y i n a f o r m a l l o g i c la n g u a g e . t h e l a n g u a g e d i s c u s s e d h e r e i s r o l e - b a s e d s t a n d a r d d e o n t i c l o g i c . t h i s l a n g u a g e c a n n o t o n l y d e t e c t p o l i c y c o n s i s t e n c y , b u t a l s o r e s o lv e p o l i c y c o n fl i c t s . e x a m p l e s a r e f o l l o w e d . k e y w o r d s : a c t i v e f i r e w a l l , in t r u s i o n d e t e c t i o n s y s t e m , n e t w o r k s e c u r i t y p o l i c y , r o l e , s t a n d a r d d e o n t i c l o g i c , s n mp 第一章网络安全现状 1 . 1 引言 人类文明历史的发展总是以革命性的技术发展为前进动力的。 从1 8 世纪的 工业革命所带来的机械时代，到 1 9 世纪的蒸汽机时代， 再到2 0 世纪后期的计 算机时代，无不应验着这个真理。而毫无疑问的，2 1 世纪将是网络的时代。 i n t e rn e t 起源于冷战时期美国国防部的高级研究计划局 a r p a实验室的实 验网络 a r p a n e t 。 该网建立于 1 9 6 9 年， 由4 台计算机互联而成。 到了 1 9 7 6 年， 该网的节点机已 经发展到5 7 个，连接不同类型的计算机 1 0 0多台。a r p a n e t 最初采用“ 主机一 主 机” 协议， 后改为“ 网络控制协议” n c p . 1 9 8 2 年， a r p a n e t , mi l n e t 等几个计算机网 络互联， 并决定采用网络互联协议i p ( i n t e m e t p r o t o c o l ) 并由此称之为i n t e rn e t 。 到了1 9 8 6 年， n s f n e t 取代a r p a n e t 成为i n t e rn e t 的主 干网。 n s f n e t 是美国国家可许基金会n s f 建立的美国国家科学基金网。由于 n s f n e t 对社会开放， 使得i n t e me t 进入了以资源共享为中心的使用服务阶段并 得到了迅速的发展。到了1 9 9 2 年 1 月，与n s f n e t 相连的局域网己 超过4 5 0 0 个。 1 9 9 2 年i n t e m e t 进入商业化阶段， 它的用户向全世界扩展， 平均以每月1 5 % 的速度递增。 其主干网 从原来的政府部门 资助转化为由 计算机公司经营d 1 i n t e r n e t 提供的服务多种多样，例如:远程登陆服务t e l n e t 、文件传输服务 f t p 、电子邮政服务、邮件服务器程序、名址服务、文档查询服务、网络新闻 服务、 g o p h e r 服务 以 及w a i s 服务 12 1 从上面的数据可以很清楚的看到，从上个世纪6 0年代中期 a r p a网络的 产生到现在，不到短短 5 0年，计算机网络从最初的仅适用于政府、军事部门 的神秘技术发展到进入千家万户普通人的日 常生活中，不可不说是一种奇迹! 世界在网络中互联、 距离消失在网络中。 人们欣喜的看到计算机网络为人类已 经带来，或将要带来巨大的变化。 但是任何事情都是具有其两面性的。在网络为我们人类社会、经济生活带 来翻天覆地的变化的同时， 也为我们带来了一些以前预计不到的问 题。 这些问 题对人类而言是全新的， 而在这些问题中， 网络安全问题成为人们关注的焦点， 这不仅仅是因为政府、 军事等机密部门需要考虑网络安全问题， 作为普通的网 络使用者， 网络安全问 题也关系到我们的日 常生活。 计算机网 络的安全向 题已 成为一个越来越引 起世界各国关注的重要问 题，也是一个十分复杂的课题3 1 随着计算机网络在人类生活各领域中的广泛应用， 计算机网络被非法侵入， 重 要情报资料被窃取， 甚至由此造成网络系统的 瘫痪等， 己给各个国家以 及众多 公司造成巨大的经济损失，甚至危害到国家和地区的安全。因此计算机网络的 安全问题是一个关系到人类生活与生存的大事情， 必须给予充分的重视并设法 l .;af * ti imaster s thesis 解决。 1 .2网络安全现状 最初的 a r p a 网络的研究中并没有关于网络安全的考量措施，这是因为 a r p a n e t 的使用者都是网络内部受信用户， 并且范围不大。 但是， 如果再用这 种眼光来看待现在i n t e rne t 中的网络安全问题，那就会产生巨大的消极影响。 从下面的例子中，就可以看出网络安全问题的重要性了。 1 9 8 8 年1 1 月2 0日，是i n t e m e t 历史上最不光彩的一天。 在美国东部时间 上午6 点， 康奈尔大学的一个学生向i n t e m e t 发送了一个蠕虫程序一第一个攻 击 i n t e m e t 的重要病毒。旋即，这个蠕虫侵入全美各地的计算机:从 l i n c o l e 实验室到美国国家高级计算中心， 从波士顿大学到加利福尼亚大学。 在 1 个小 时以内， 病毒使很多的美国或国际重要的研究基地被迫关闭。 所幸的是这些受 害者基地的计算机总数约有4 0 0 0 到6 0 0 0 台，只占整个i n t e m e t 的极小一部分 4 1 上述事件只是众多网络安全事故中一个很普通的例子，但是却是网络历史 上第一个安全事故。从这以后， 每年都会产生成千上万的安全事故， 造成各种 损失不计其数。 尽管安全事故的不断发生， 使用网络却成为任何力量都无法阻 拦的趋势。 在现今这种高效社会中， 一个内部网络没有与外部公众网或其他未 授权网络相连接的公司是无法保持强有力的竞争力的。 公司的职员需要能够快 速的访问和共享客户、供应商的信息以确保能够保持强劲的竞争力。 但是，这 样的连接却为外部未授权者提供了一条渗透到公司内部， 访问 甚至破坏公司内 部 信息 和 资 源的 通 道 3 1 所以，面对网络化无法避免的趋势，对于网络安全的研究也成为当今学术 界重点研究的课题。因为它影响的不仅仅是网络中的设备， 而是由网络互联所 带来的共享信息资源，是关系到每个人切身利益的大事。 1 . 3 解决方案 网络安全问题的出现并没有阻挡人类使用网络的热情。面对这突如其来的 威胁， 人们在不断的抵御及预防网络不安全隐患的过程中， 创造出各种各样的 安全防护手段。 防火墙作为目前使用最为普遍的安全防护措施， 在实际的应用 中发挥了巨大的作用。 防火墙是一个安全执行点，将受信网络和未受信网络相分离，其网络拓扑 结构如图i . 1 所示。防火墙监测两个网络之间的所有连接，它根据由安全管理 者事先制定好的某些安全策略来决定哪些数据是可以被传输的， 哪些是不允许 图 1 . 1防火墙是一个用来隔离受信与非受信网络的安全执行点 防火墙通常是用来保护内部网络免受外部公众网攻击的，但是现在防火墙 也被用来分隔内部不同部门之间的网络， 或者禁止获得访问权限的外部网络用 户访问内部防火墙所保护内容。 在内部网络中使用防火墙， 可以让安全管理员 能够针对不同的工作组和子网使用相应的、 合适的访问控制策略。内部防火墙 通过对内部安全事故提供分级保护，从而提高了安全性。 例如， 在人力资源部 前建立一个单独的防火墙， 就能够使得其他部门的员工很难轻易访问到敏感的 人力资源数据，图 1 .2 给出网络拓扑图。 图1 .2防火墙扩展到隔离同一网络中不同部门之间的网络 根据c o m m u n i c a t i o n we e k ， 盛弗朗西斯科的计算机安全研究机构去年的调 查结果表明， 防火墙的需求量很大， 所调查的所有组织几乎有一半已经采用了 防火墙，那些未采用防火墙的公司中有7 0 %正在计划安装13 1 硕士学位论文 a l m i e r s i i i bi s 由此可以看出，防火墙作为保护网络信息安全的产物，其独有的保护方式 以及所达到的效果都受到了网络用户们的青睐， 是目前为止使用最为广泛， 最 具发展潜质的网 络安 全技 术6 硕士学位论文 a l a s t g r s r 1 i e s i s 第二章防火墙发展及现状 2 . 1 防火墙的产生 随着基于 i n t e rn e t 网络技术的迅速发展，使得越来越多的公司开始发展与 客户、 供应商和远端职员之间的密切联系变得可能。 大多数公司现在都意识到 他们可以 通过扩展他们的物理网络来获得可观的 成本降低和巨大的竞争优势。 一个公司如果越虚拟化， 实际上， 它就在竞争中具有更大的 市场灵活性， 并且 能够在竞争中保持在最前列。 那些没有采纳这种趋势的公司会发现他们自己己 经不能够在这个新的世界中取得竞争的优势了。 不幸的是， 虚拟公司对于商业活动来说也是一个非常危险， 不安全的地方。 电 子商务应用通常提供对于公司内 部网络结构中无法预见的深度访问 7 7 ，正 是 在这种矛盾中产生了防火墙。 防火墙一词来自 于建筑业，原指在设计建筑物时须考虑到如何有效的在发 生火灾的时候控制火势的蔓延 。防火墙是采用特殊原材料搭建，位于房间之 间、 或建筑物之间的， 不易燃的特殊墙面。 采用防火墙的建筑物在发生火灾的 时候，能够有效的阻止火势的扩大， 拖延火势的蔓延， 减少财产和生命安全的 损失。防火墙多用于干燥地区的易燃建筑，如仓库等。 在考虑网络安全问题的时候，可以借鉴建筑中的防火墙概念。那么在网络 中采用防火墙的概念， 其用意在于体现出通过防火墙能够将受保护网络与其他 未知网络相隔离， 在未知网络发生安全事故时， 抵挡来自 未知网络的不安全攻 击， 从而达到安全保护的目的。 这里防火墙的作用是保护公司内部网络， 使之 免遭i n t e m e t 上各种危险的侵犯。 防火墙这个名称，单从字面上理解，就会给人一幅生动的代表力量和安全 的画面 。可想而知， 每个网 络的负责人都希望在其网 络周围安装上这样的 钢 铁长城以 确保其网络不受到来自 公众网 络中不明 成员的 伏击。 但是，这种幻想不再符合实际了。在最近几年中， 越来越多的企业都开始 逐渐拆除曾经将公司与外界隔离的墙壁。基于i n t e rn e t 的 技术允许企业只使用 很少的成本， 就可以与客户， 远端雇员， 供应商以 及生意合伙人之间保持一种 极为密切的祸合关系。 在很多工业企业中，如果继续保持原有公司的界线， 就 不可能保持强大的竞争力8 1 通过最近的统计可以清楚看到，在现今急速发展的网络连接的情况下，依 赖于传统被动式安全系统是非常危险的。 根据美国f b i 的统计， 去年企业所报 告的安全事故所造成的 直接经济损失高达$ 5 7 0 , 0 0 0 ，比 前年上升了3 6 %。 并且 由 于大多数安全事故并没有报告，因而实际损失可能比 这个数据还要高9 1 但是，网络的发展并不会因为上述问题的出现而停滞，这些问题的出现只 硕士学位论文 ,ma s i 以 s川esn 会促使我们去研究相应的解决方法来解决这些问题。 造成现在这个局面的原因在于，随着越来越多的用户急速的从各个不同的 接入口进入企业网络中， 以往的安全技术就再也不能满足充分保护内部网络不 受外部未 授 权的访问 的 需 求了 1 0 。 从后面的 讨 论就可以 知道， 现今广泛 使用的 防火墙， 无论是单一访问点防火墙还是分布式防火墙， 都是一种被动执行点防 火墙。 它仅仅只是简单的站在网络入口处， 对流经它们的数据， 按照事先制定 的规则进行处理。 它们无法观测可疑行为， 也不能按照观察结果修改它们的安 全规则。 它们也没能力阻止那些已存在于网络中的攻击， 也不能够在没有手工 操作的情况下与网络中的其他安全系统交换信息 。下面就简单介绍几种典型 防火墙的实现原理、以及各自的不足。 2 . 2 现有传统防火墙 现有的传统防火墙可以按照起基本工作原理分为以下几种: . 网络级防火墙: 在t c p i i p网 络上， 所有往来的信息都被分割成许许多 多的具有一定长度的数据包，包中包含发送者的i p 地址、端口号和接 受者的 i p地址、端口号。当这些信息包被送上 i n t e r n e t 时，路由 器会 读取接受者的 i p 地址并选择一条合适的物理线路发送出去， 信息包经 过不同的路线抵达目的地， 当所有的包抵达目的地后会重新组装还原。 网络级防火墙会检查所有通过的信息包中的i p 地址和端口号， 并按照 实现设定的过滤规则进行过滤。 如果防火墙设定某个i p 地址的站点为 不允许访问的话，那么从这个地址来的所有信息都会被该防火墙屏蔽 掉。这种网络级防火墙，也称为包过滤防火墙，是一种快速且透明的 防火墙，易于实现，并具有很好的性能价格比 p 1 . 应用级防火墙:这种防火墙通常是运行在防火墙之上的软件部分。这 一类的设备成为网关，它是运行代理服务器软件的计算机。由于代理 服务器在同一级上运行，故它对采集访问信息并加以控制是非常有用 的。 这类防火墙的特点是将所有跨越防火墙的网络通信链路分为两段。 防火墙内外计算机系统间应用层的 “ 链接”是由两个终止于代理服务 器上的 “ 链接”来实现的，来自内外部连接只能到达防火墙，从而起 到了 隔离内 外计算机系统的作用4 1 。 因 此， 此类防火墙能提供关于出 入 站点访问的详细信息，从而比网络级防火墙有更强的安全性。 . 分式防火墙:所谓分布式防火墙，从字面理解就是分布在受保护系统 上的防火墙系统。在上一章中所说的在内部网络中安置的防火墙实际 上就是分布式防火墙的雏形。也就是说，它是区别于上述的堡垒主机 型防火墙的另外一种防火墙，其具体含义可以从下面的定义中看出: 硕士学位论文 h t a s 产 1 e r s t i e s l t 这里用 m代表受保护网络中的防火墙个数，而 n代表受保护网络 中的受保护主机数 2 1 . m = 1传统堡垒主机型防火墙系统 1 n m弱分布式防火墙系统 1 +m n强分布式防火墙系统 m-n全分布式防火墙系统 从上面的关于分布式防火墙系统的定义不难看出， 分布式防火墙同 前面两种防火墙之间的区别。分布式防火墙是由多个子防火墙系统有 机结合在一起的，具有分级、分层功能的防火墙系统。 前两种防火墙尽管在实现的网络层次以及应用时操作手段的不同，但其在 整个网络中所处的拓扑位置是相同的。 即处于网络入口处也被称之为堡垒主机 1 3 1 。 所以 ， 通过上 述定义， 我们可以 简单 的 将防火墙系统按 照设计防火 墙系统 时不同的网络拓扑结构划分为两类， 即单一访问点防火墙和分布式防火墙。 下 面就针对这两类防火墙具体的描述一下。 2 .2 . 1 单一访问点防火墙 单一访问点防火墙是在两个网 络之间执行访问控制策略的系统( 包括硬件 和软件) ，目 的是保护网 络不被可疑人侵扰。本质上， 它遵从的是一种允许或 阻止业务来往的网络通信安全机制， 也就是提供可控制的可滤网络通信， 只允 许授权的通信2 l 通常单一访问点防火墙就是位于内部网或we b 站点与i n t e m e t 之间的一个 路由 器或一台计算机( 通常称为堡垒主 机) 。其目 的如同 一个安全门，为门内的 部门提供安全， 控制那些可被允许出 入该受保护环境的 人( 或物) 。 就象工作在 前门 的 安全卫士， 控制并检查站点 的访问 者13 1 。 单一访问 点防火 墙配置如图2 . 1 所示: 网关或路由器 。 过滤器过滤器: i三 一防火 墙硬 件和软件 一 图2 . 1单一访问点防火墙配置示意图 单一访问点防火墙是由 i t管理员为保护自己的网络免遭外界非授权的访 硕士学位论文 abt g r s * 1 1 i r -ns 问但又允许与i n t e r n e t 联接而发展起来的。从网际角度，单一访问点防火墙可 以看成是安装在两个网络之间的一道栅栏， 根据安全计划和安全策略中的定义 来保护其后面的网络。 由软件和硬件组成的单一访问点防火墙应该具有以下功 育 eg = . 所有进入网络的通讯流都应该通过防火墙。 . 所有穿过防火墙的通讯流都必须有安全策略和计划的确认和授权。 . 理论上说 ， 防 火 墙是穿 不透的 1 3 1 利用单一访问点防火墙能保护站点不被任意连接，甚至能建立跟踪工具， 帮助总结并记录有关正在进行的联接来源、 服务器提供的通信量以及试图闯入 者的任何企图。 2 .2 .2 分布式防火墙 分布式防火墙的整体结构如图2 .2所示。其基本概念是由位于防火墙系统 逻辑中心的防火墙主机针对不同受保护主机的不同安全要求和级别， 制定不同 的安全规则，并将这些安全规则以某种标准语言的方式发送到受保护主机中 1 1 4 1 。 在受保护主 机接受 到来自 中 心主 机的安全 规则以 后， 交由 位于其上的安 全 规则执行器来执行这些安全规则。 在分布式防火墙中主要涉及到以下3 个基本 概念。 规则描述语言一用来描述哪些连接是允许的，哪些是禁止的。 系统管理工具一可以 是任何一种，例如m i c r o s o ft 的s m s 或a s d . .i p s e c 一是t c p i ip 网 络 层的 一 种加密 机 制 l a 一个编译器将规则描述语言所描述的内容转换成一种内部可执行的格式。 系统管理工具将这个转换后的内容传输到防火墙所保护的 所有的主机上。 所有 进入受保护主机的 i p包是否接受或拒收都由内部的每台主机根据收到的规则 控制文件来决定， 并且 采用密码验证的方式识别每一个发送者 1 4 1 这种分布式防火墙突破了传统防火墙依赖于整个网络拓扑结构的局限性， 采用层次化管 理的 体 系结 构 1 6 1对受 保护主 机进行管理。 图2 . 2分布式防火墙拓扑图 从图 2 .2可以看出，分布式防火墙的设计，其基本出发点是为了解决单一 访问点防火墙所存在的问题而进行的口在整个保护对象以及保护者一 即受保 护主机与分布式防火墙之间存在的是一种松散祸合的组织关系。 由于采用了规 则的具体执行是在受保护主机上进行的方式， 所以原来由于使用单一访问点防 火墙而带来的网络速度的瓶颈问题得到了根本的解决: 并且， 在单一访问点防 火墙中存在的内部攻击问题也得到了根本的解决， 也就是说解除了单一访问点 防火墙对于网络拓扑结构的依赖性。 最后， 单一访问点防火墙在报文采用了加 密机制以 后就失效的问题也得到了 解决。 因为分布式防火墙中采用的是端到端 的安全保护机制， 因而防火墙技术可以 和i p s e c技术很好的结合在一起， 从而 比单一访问点防火墙具有更高的安全保护级别。 2 .3 存在问题 根据也许是最令人沮丧的统计，大约9 5 %的计算机安全事故是在完全未被 察觉的情形下发生的。 在一个非常著名的调查中， 美国国家保安部组织了一些 安全专家对本部门的网络进行攻击，并报告他们各自的攻击结果。 几个月过去 了，结果发现，在被攻破的系统中只有少于 4 %的系统能够检测到攻击。更令 人感到惊奇的是， 只有少于1 % 的系统能 够采取相应的防范措施1 5 1 由上可知。传统防火墙并不能断绝网络安全事故的发生，其目的只是加强 安全性，而不是保证安全。但是，随着网络技术的不断发展，网络应用的不断 变化， 传统防火墙在面对这些发展与变化的时候，出现了各种各样的、无法预 计的问题。 同样， 单一访问点防火墙以及分布式防火墙均存在各自 不同的问题。 2 . 3 . 1 单一访问点防火墙存在问 题 在现在普遍使用的单一访问点防火墙机制存在以下一些主要问题: 第一，在单一访问点防火墙机制中对其保护的对象有两个不成文的假定: . 在单一访问点防火墙保护的内部所有的访问是可靠的、安全的; . 而来自 单一访问点防火墙外部的每一个访问都是带有攻击性的， 或者至少是有潜在攻击的危险。 这也就是说单一访问点防火墙机制主要是依赖严格的网络拓扑结构和受控 制实体点进行工作的。 但是随着 i n t e r n e t 的迅猛发展， 越来越多的i n t e rn e t 的接 入，使得这种假设的 科学性受到了 质疑 1 4 1 第二，在用户方面，由于对于网络访问需求的不同，使得对于不同用户的 安全保护也是不同的。 在这种情况下， 单一访问点防火墙虽然可以 做到， 但是 其实现是比较烦琐的，并且在内部机器的 i p经常变化的情况下就更难控制了 f ul 第三， 单一访问点防火墙在数据传输使用加密机制后其安全保护就失效了。 第四，通常单一访问点防火墙对于在网络拓扑结构内部的攻击无能为力。 一旦用户位于防火墙之后，操作系统、 应用服务、数据库或通信软件的安全漏 洞将会导致整个网 络陷入危机 1 5 因为，单一访问点防火墙只能对那些经过他们的数据流起作用。如果一个 内部职员或者内部雇员试图取得对本地服务器的未授权访问， 公司的防火墙绝 对没有办法检测或者制止。因为试图访问者和被访问对象都位于防火墙之后。 除开公众所知的网络黑客，绝大多数研究调查表明， 超过一半的网络安全事故 是由 雇员、 顾问或其他内 部用户所造成的 1 8 ，图2 .3 给出了各种安全事故发生 来源的比例。 5 8 % 3 7 % 员知 雇未 外部黑客 1 4 % 前 雇 员 1 3 % 合 作 者 9 % 图2 . 3安全事故的发生来源 面对众多来自 单一访问点防火墙后的安全事故来源的这种情况，单一访问 点防火墙显然己经没有办法继续为网络应用提供高效、安全的保护了。 2 . 3 .2 分布式防火墙存在问 题 作为单一访问点防火墙的一种替代方案，分布式防火墙针对单一访问点防 火 墙存 在的 不 足， 提出 了自 己 特有的 解 决 方 案。 其 主 要目 的 就 是为了 解决 单 一 访问点防火墙的某些缺陷，所以它和单一访问点防火墙相比有自己的优点。 首先，它解决了传统防火墙对于网络拓扑结构的依赖; 第二，解决了由于使用传统防火墙而带来的网络流量瓶颈问题，即安全与 速度之间的矛盾; 第三，解决了传统防火墙与i p s e c之间的冲突; 第四， 解决了 传统防火墙无法抵御内 部攻击的问 题1 1 6 1 所以 这种分布式防火墙同单一访问点防火墙相比较具有更高的效率和安全 级别。但是，分布式防火墙却仍然没有办法摆脱被动防御的尴尬局面。 从分布式防火墙的拓扑结构可以看出， 位于受保护主机上的规则执行器仍 然只是被动执行预先由 系统管理员或用户自 己制定的安全规则。 这样的方式是 阻止到受保护网络的恶意企图连接的最好方法， 但是仅仅依靠在受保护主机前 端建立被动防护己 经不能够满足保护现代网络安全的要求了。 尽管分布式防火 墙采用的是具体安全规则的执行是在受保护对象自己身上， 其执行的规则仍然 由位于逻辑结构中心的中心主机发送过来。 而对于这些规则， 只能由具有安全 常识的系统安全管理员根据经验来制定。很显然， 精力再充沛， 经验再丰富的 系统安全管理员 也无法保持一天2 4小时高 度紧张准确的实时监控整个网 络中 所有受保护对象的安全情况。所以在面对纷繁的网络安全状况时， 分布式防火 墙依旧是一种被动等待攻击的防御性防火墙， 无法根据网络中瞬息万变的情况 主动，及时的更新自己的安全策略。 在这种情况下，一些人建议最合适的方法应该是完全抛弃防火墙的概念。 因为， 他们觉得防火墙的概念太晦涩了， 并且在使 用加密 后就失效了 f + 1 。 但是 实践证明， 防火墙还是一个强大的保护机制。 大多数不安全的因素在于那些拙 劣的代码。还有被认为是引起不安全的几个因素是缓冲区的溢出、 还有由加密 机制引出的问题一 并且是不能由加密和认证所保护的。防火墙在保护系统免 受敌意的连接方面的功效是非常卓著的。 因此，为了在解决以上单一访问点防火墙和分布式防火墙所存在的问题的 同时又保留防火墙的特性的基础上，本文提出了一种主动防火墙概念。 第三章主动防火墙 3 . 1 主动防火墙的定义 由于传统防火墙不能保护网络免受日 渐增长的越来越复杂的网络攻击，过 去几年中， 研究发现了很多有用的新技术。 类似的技术有:安全脆弱点扫描技 术( s e c u r i t y v u l n e r a b i l i t y s c a n n e r ) 、入侵检测监控技术( i n t r u s i o n d e t e c t i o n m o n i t o r ) ， 虚拟专用网络技术( v ir t u a l p r i v a t e n e t w o r k i n g s o l u t i o n s ) 和基于防火墙 的病毒扫描技术( f i r e w a l l - b a s e d v i r u s s c a n n e r ) 。 这些技术都被研究用来补充传 统防火墙漏洞的。 这个道理就和在家里的门锁上安装了报警系统以后， 整个家 的安全性提高了的道理是一样的 t 1 9 当 采用了 新的网络安全技术以 后， 网络受 到安全事故的威胁就相应的减少了。 但是，为了能够真正达到切实有效， 用这 些安全技术实现的产品必须要和网络防火墙无缝的集成起来。 当这些新的对防火墙的补充技术变得慢慢成熟时，防火墙的角色也从单纯 的执行访问控制策略的独立系统进化为一种由物理上按照安全目的的需要分 布在不同网络节点上，但在逻辑上却紧密结合在一起的复杂系统( 如图 3 . 1所 示) 。当网络攻击渗透到了i n t e r n e t 网关， 对于防火墙的定义也应该做相应的扩 展 。 图3 . 1多种安全成员无缝集成的综合网络防火墙 解决这些正在逐渐增加的问题，仅仅依靠简单的对现有被动防火墙系统的 升级或是购买最新的最热门的安全产品， 是不能解决问题的。 真正需要的是一 种采用全新结构的具有多重安全功能的，集成多种安全防范系统的综合性系 统。 这个系统要拥有防火墙作为执行点的功能， 并使其具有主动与其他网络安 全系统主动通信功能，以达到能对新的攻击有灵敏的反映， 并相应的更改安全 规则的功能。那么，按照这个理解，主动防火墙的定义为: 分布在不同的网络位置的，具有报警、扫描和一个用于执行安全策略和有 硕士学位论文 m a s t e r s t h e s 巧 效阻止内部或外部网 络安全事故的中心监测点的防火墙， 这种防火墙称为主动 防火墙。 以后，不特别申明，传统防火墙代表传统的单一访问点防火墙，而主动防 火墙则是包括多种安全成员的集成系统。 3 . 2 主动防火墙的体系结构 从主动防火墙的定义，可以 看出来主动防火墙系统与传统防火墙最大的区 别在于， 主动防火墙并不是一个单一的功能系统， 而是具有多重功能的复杂的、 综合系 统【2 0 1 。 主 动防 火 墙 这种 概念的 提出 是因为 任何 一 种单一的网 络安全技术 都不足以维护一个网络的安全。 要在最大程度上保护网 络， 就需要多种安全成 员相互协作，共同作用。其整体结构如图3 .2 所示: 安全事件安全策略 图3 .2主动防火墙整体结构 中心事件管理者作为所有网络安全成员之间的唯一连接桥梁，在主动防火 墙中起到了指挥、 协调的作用。中心事件管理者左边的安全成员， 包括隐患扫 描、 入侵检测以及病毒扫描等。 这些安全成员是用来监视网络目 前所处安全状 态的。 在主动防火墙系统中， 这些成员并不一定要全部具备， 这要根据实际的 需要来决定。 而位于中 心事件管理者右边的则是网 络中用来真正执行网络安全 策略的成员， 如包过滤防火墙或者是向网络安全管理者发送网络安全报等的设 备。 中心事件管理者在接受到来自 受保护网络中安全成员， 如隐患扫描、入侵 检测等， 发送来的安全事件后， 将这些事件与预先定义好的安全策略集中的策 略进行比 较， 看是否有与之匹配的策略。 如果存在这样的策略， 那么中心事件 1 3 管理者将按照策略中的规定来启动相应的安全措施， 例如向包过滤防火墙发送 一条即时更新的过滤策略，以断绝危险来源的数据流。 若不存在与当前安全事 件相匹配的策略，则通过系统告警设施向网络安全管理员发送网络安全告警， 以提示网络安全管理员注意正在发生的事情。 下面将分部分介绍各个不同安全 成员的不同作用。 3 .2 . 1 网络数据过滤 在计算机网络中，传统被动防御性防火墙扫描所有经过的数据以决定哪些 可以通过， 哪些被拒绝通过。由于采用了对安全成员分布式的拓扑结构，所以 位于网络内部的传统单一访问点防火墙可以 起到隔离内部网络、 分等级实施安 全策略的功能。这种结构不仅解决了单一访问点防火墙的缺点，而且，由于使 用了多种安全成员，所以比传统的分布式防火墙具有更高的安全级别。 3 . 2 .2网络安全扫描 网络扫描包括很多不同类型的扫描， 例如网络安全隐患扫描、 病毒扫描等。 网络安全隐患扫描技术就是一种允许网络管理员定期测试网络中的弱点和安 全漏洞的技术， 也就是用来定期扫描是否有违反安全策略或网络弱点存在。 相 同的是，病毒扫描就是用来定期测试恶意代码的。在每个i n t e r n e t 网关处添加 病毒和内容的扫描以 检测恶意代码，例如病毒， t o r j a n s或者是有敌意的j a v a 和a c t iv e x a p p le t 2 11 。 当 一 个 携 带 病 毒 的 邮 件 经 过 这 些网 关时 ， 病 毒 将 被 清 除 ， 只允许邮件原文安全的进入。 采用这些技术实现的工具还产生报告来确定任何 潜在的隐患，按照这些隐患的重要性排序，并提供如何解决这些隐患的建议。 由于网络是经常变化的， 每天都会产生新的隐患， 定期有规律的提前主动扫描 这些隐患对于一个网络安全解决方案来说是非常重要核心的组成部分。 3 . 2 . 3 网络入侵检测 在一个网络环境中，实时入侵检测监控( r e a l - t i m e i n t r u s i o n d e t e c t i o n m o n i t o r ) 就是检测网 络数据，以确定是否有威胁的产生。 入侵检测监控者实时 观察内 部网 络数据流以 及指定的服务器上的 攻击信息叫。如果发现一个攻击， 这些系统就可以触发一个告警者向安全管理者提供一个正在发生入侵的警告 阎。 入侵检测监控者同 样也为安全管理者提供作为内 部安全审计资料的日 志文 件 (24 1 。 入 侵检 测 ( i n t r u s io n d e t e c t io n ) 检 测 来自 外 部的 通过不正 确配置的 防 火 墙 而获得访问的黑客。 3 . 2 .4 系统中 心控制 网络中各个不同的安全成员之间需要进行高效且统一的信息交换。实现这 硕士学位论文 入 八 s 上 只 51 1 l s s 种通信的最有效的方法是为分散的安全成员之间提供一个唯一中心事件管理 者( c e n t r a l e v e n t m a n a g e r ) 。 采用中心事 件管理者， 网络中的 所有的监视器、 感 应器和扫描器都向它报告事件。 如果需要一个响应， 事件管理者启动一个事先 由安全管理者指定的安全策略集中的相应操作。 使用中心事件管理者可以为安全管理者提供更大的对网络安全的控制权 利，而不必打断普通的网络操作过程。 没有哪个管理员能够顾及到那些每天产 生的，大量的，来自公司网络中防火墙、隐患扫描、入侵检测监控、流量分析 和感应器的日志报告。 但是， 采用中心事件管理者和应用一套安全策略过滤器 就可以定期过滤事件报告。这样就可以自 动搜寻那些可能被遗漏的相关事件。 通过研究， 以开放式的中心事件管理系统将所有安全元素集成在一起的这种方 式具有以下几个优点: . 灵活的安全规则管理机制。通过使用中心事件管理接受各种告警和协 调所有相应的行为，管理员可以采用单一的安全策略就可以将全部扫 描器、传感器和监视器的行为同时考虑在一起。而固化在这些单独安 全产品中的代码是没有办法这么灵活方便的。 . 单一集成点。如果不采用中心事件管理机制实现主动防火墙，那么在 加入新的安全成员， 与其他不同的安全成员通过固化代码集成在一起， 就很成问题。在通常的情况下，维持生产上的集成需要多个不同的生 产商相互协作制定产品计划，并且还要对彼此的商品有相当的了解。 如果通过一个独立的开放性事件管理者就可以消除这些问题。只要所 有的安全产品都和事件管理者通信，这样实现的集成就可以不用考虑 其他成员是否存在的问题2 s . 实现简单。通过中心事件管理者，对安全成员的唯一要求就是保持与 中心事件管理者之间保持标准的通信。这种实现方式无论是对于开发 新的安全成员或在已有安全成员