（计算机应用技术专业论文）分布式防火墙的设计与研究.pdf

分布式防火墙的设计与研究 摘要 随着i n t e r n e t 的飞速发展，网络安全问题越来越受到人们的关注，防火墙已经成 网络安全的重要产品，边界防火墙作为一种有效的网络安全技术，提供了对企业内部 络的保护，但在不断扩大的网络规模和日益多样化的网络技术面前，边界防火墙的缺 也日益突出，它很难实现网络的安全性和网络性能之间的均衡。 为了克服传统防火墙的缺陷，两又保留其优点，人们提出了分布式防火墙的概忿 分布式防火墙的本质特征可概括为“策略集中制定分散实施，日志分散产生集中保存+ 安全策略必须有管理员统一制定，策略必须被推到网络的边缘即主机上实施，日志必 统一收集、集中管理。 本文首先分析了目前传统防火墙的作用和存在的问题，接着对分布式防火墙的绑 构、关键技术以及优势进行了深入地研究，并对分布式防火墙的相关技术以及研究领 较有代表性的几种模型进行了比较总结。 其次，通过对防火墙策略的定义、实施和分发机制的研究，对分布式防火墙的 略管理进行了探讨，并对策略执行器的功能、特点和相关技术做了系统的分析。 再次，通过对策略执行器的实旄方案的比较，以及结构，处理流程和稳定性的分 并结合我国目前网络的实际状况，提出了一个分布式防火墙系统，给出了系统中包趟 模块的软件实现。 最后总结了全文并提出了一些值得研究的问题。 关键字：分布式防火墙，包过滤，策略执行器，n d i s t h ed e s i g na n dr e s e a r c ho ft h ed is t ri b u t e df ir e w a ii a b s t r a c t w i t ht h eh i g h s p e e dd e v e l o p m e n to fi n t e r n e t ，t h ep r o b l e mo fn e t w o r ks e c u r i t y b e c o m e sm o r ea n dm o r ei m p o r t a n t t h ef i r e w a l lh a sc o m et ot h em o s ti m p o r t a n t s e c u r i t yp r o d u c t ，b e i n ga sak i n do fe f f e c t i r en e t w o r ks e c u r i t yt e c h n o l o g y ， t r a d i t i o n a lp e r i m e t e rf i r e w a l lr e a l i z e st h ep r o t e c t i o no ft h ei n s i d en e t w o r k b u tw i t ht h ed e v e l o p m e n to fi n t e r n e t ，i ti sn o ta d a p t a b l et ot h ei n t e r n e t a p p l i c a t i o ne n v i r o n m e n ta n di sq u i t ed i f f i c u l tt ob a l a n c et h es e c u r i t ya n d n e t w o r kp e r f o r m a n c e i no r d e rt oo v e r c o m et h ed e f e c to ft h et r a d i t i o n a lp e r i m e t e rf i r e w a 1a n d k e e pi t sa d v a n t a g e ，p e o p l eh a v ep u tf o r w a r dt h ec o n c e p to ft h ed i s t r i b u t e d f i r e w a l l ，t h ee s s e n t i a lc h a r a c t e r i s t i co ft h ed i s t r i b u t e df i r e w a l lc a nb e s u m m a r i z e da s “m a k i n gt h es t r a t e g yc e n t r a l i z e da n di m p l e m e n t i n gi td i s t r i b u t e d k e e p i n gt h el o g sm a d ed i s p e r s e d ”t h es a f e t yp o l i c ym u s tb em a d eb yt h e a d m i n i s t r a t o ra n dm u s tb ep u s h e dt ot h eh o s t sa tt h ee d g eo ft h en e t w o r k a t t h es a m et i m et h ei o g sm u s tb ec o l l e c t e da n dc e n t r a l i z e dm a n a g e di n u n i s o n f i r s to fa l i ，t h i sp a p e ra n a l y z e st h ee f f e c t sa n dp r o b l e m so ft h et r a d i t i o n a l p e r i m e t e rf i r e w a l l ，t h e n l u c u b r a t e st h es t r u c t u r e ，k e y t e c h n o l o g i e s a n d a d v a n t a g e so ft h ed i s t r i b u t e df i r e w a l l sa n d h a d t h er e p r e s e n t a t i v et ot h e d i s t r i b u t e df i r e w a l lr e l a t e dt e c h n o l o g ya sw e l la st h er e s e a r c ha r e ao fs e v e r a l m o d e l st oc a r r yo nt h ec o m p a r i s o na n ds u m m a r y s e c o n d l y ，t h r o u g ht ot h ef i r e w a l1s t r a t e g yd e f i n i t i o n ，t h ei m p l e m e n t a t i o n a n dt h ed i s t r i b u t i o nm e c h a n i s mr e s e a r c h ，w ec a r r i e do i lt h ed i s c u s s i o no ft h e d i s t r i b u t i o n a lf i r e w a l ls t r a t e g ym a n a g e m e n t a n dm a d et h es y s t e ma n a l y s i so f i t ss t r a t e g ye x e c u t i o nf u n c t i o n ，t h ec h a r a c t e r i s t i ca n d t h ec o r r e l a t i o n t e c h n o l o g y a n dt h e n ，t h r o u g ht ot h es t r a t e g ye x e c u t i o ni m p l e m e n t a t i o np l a nc o m p a r i s o n ， a sw e l la si t ss t r u c t u r e ，t h ep r o c e s s i n gf l o wa n dt h es t a b l ea n a l y s i sc o m b i n e d w it ht h en e t w o r ks t a t eo fo u rc o u n t r y 。w ep r o d u c e dt h es y s t e mw it ht h ep a c k e t f i l t e r i n gm o d u l e f i n a l l ys u m m a r i z e dt h ef u l lt e x ta n dp r o p o s e ds o m eq u e s t i o n sw h i c ha r ew o r t h s t u d i e d k e y w o r d s ：d i s t r i b u t e df i r e w a l l ，p a c k e t f i i t e r i n g ，r u l ee x e c u t e r ，n d i s 原创性声明 本人郑重声明：所呈交的学位论文，是本人在指导教师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本论文 不包含其他个人或集体已经发表或撰写过的科研成果。对本文的研究 作出重要贡献的个人和集体，均已在文中以明确方式标明。本声明的 法律责任由本人承担。 论文作者签名： 一丝盈一一 i e t 搿j ：驾业址一 关于学位论文使用权的说明 本人完全了解中北大学有关保管、使用学位论文的规定，其中包 括：学校有权保管、并向有关部门送交学位论文的原件与复印件； 学校可以采用影印、缩印或其它复制手段复制并保存学位论文； 学校可允许学位论文被查阅或借阅；学校可以学术交流为目的，复 制赠送和交换学位论文；学校可以公布学位论文的全部或部分内容 ( 保密学位论文在解密后遵守此规定) 。 日期：嗥虹l 一 导师签名：童主兰鍪日期： 中北大学学位论文 1 1 研究的意义 i 绪论 随着互联网的飞速发展和网络应用的普及，计算机网络已经成为人们生活中必不可 少的一部分，但是由于互联网的开放性和跨区域等特点，使它在安全性上存在一些隐患。 并且互联网作为电子商务和电子政务运行的重要平台，其安全性越来越受到各级用户的 普遍关注。人们在享受信息化带来的众多好处的同时，也面临着日益突出的信息安全问 题，比如：网络环境中国家机密和商业秘密的保护，特别是政府上网后对机密敏感信息 的保护；网上各种行为者的身份确认；高度网络化的各种业务信息系统的正常运行并不 受破坏；网络银行、电子商务、各类资金管理系统中的支付与结算的准确真实和金融机 构数据保护与管理系统的不被欺诈，都将成为企业形象、商业利益、国家安全和社会稳 定的焦点。所以研究和开发网络安全技术已是项必不可少和非常迫切的任务。 在目前的网络安全产品中，使用最多的是“边界防火墙”。作为网络安全的第一道 屏障，它是最早出现的网络安全产品，实现技术也最为成熟。但是面对不断扩大的网络 规模和越来越复杂的网络拓扑结构，边界防火墙的缺陷也日益突出。为了切实保障网络 的安全，不断满足网络中不断出现的最新需求，迫切需要对传统的边界防火墙体系结构 进行改造。分布式防火墙将分布式技术和防火墙技术相结合，扩展了边界防火墙系统架 构，在保留边界防火墙优势的同时，弥补了边界防火墙的不足，作为一种新型的网络安 全解决方案，受到了广泛的关注。 1 2 国内外研究现状 目前总的来说国外的一些著名的网络设备开发商在分布式防火墙技术方面更加先 进，所提供的产品性能也比较高，主要采用“软件+ 硬件”形式，如美国网络安全系统 公司开发生产了集成分布式防火墙技术的硬件分布式防火墙、3 c o m ，c i s c o 开发了嵌入 式防火墙p c i 卡或p c 卡，但负责集中管理的还是一个服务器软件。如3 c o m 公司就开发了 一整套分布式防火墙系统，防火墙服务器管理软件安装于服务器上，其它各种防护工作 中北大学学位论文 或成员服务器就只需安装防火墙功能网卡，这些网卡的防火墙功能受中心管理软件统一 配置和管理。国内的一些分布式防火墙技术方面略逊一筹。主机防火墙可以是集成了分 布式防火墙技术的硬件产品，而防火墙服务器则采用软件形式，以适应更加灵活和高智 能的要求，不过也有许多是以纯软件形式提供的，如北京安软科技有限公司e v e r l i n k d i s t r i b u t e df i r e w a l l 就是一款分布式防火墙软件系统。e v e r l i n k 分布式防火墙依靠 包过滤、特洛伊木马过滤和脚本过滤的三层过滤检查，保护个人计算机在正常使用网络 时不会受到恶意的攻击，提高了其网络安全属性；同时，为方便管理，所有分布式防火 墙的安全策略由统一的中央策略管理服务器进行设置和维护，服务器由系统管理员专人 监管，这样就降低了分布式防火墙的使用成本，同时提高了安全保障能力。这里，安全 策略包括安全级别以及相关的安全属性。 关于分布式防火墙的很多方面的研究工作还在进行当中，目前对分布式防火墙的研 究主要集中在两个方面： ( 1 ) 分布式防火墙系统的策略管理和信任管理，确保策略分发的安全性。 ( 2 ) 主机防火墙的实现机制和功能扩展。 主机防火墙是分布式防火墙系统的重要组成部分，它驻留在每个受保护的主机上， 执行由管理中心统一制定和分发的安全策略。从部署的位置来看，主机防火墙和个人防 火墙比较相似，但是作为分布式防火墙系统的策略执行节点，它与个人防火墙在管理方 式、运行及实现机制上又有着本质的区别。目前的主机防火墙在设计和实现上还有许多 不足之处，主要体现在以下方面： ( 1 ) 实现机制有待改进 分布式防火墙运行在企业( 或其他组织) 的环境中，它既防范外部的恶意攻击，也对 内部人员的行为加以约束，然而内部的用户可能不会给予配合，错误的操作、甚至恶意 的行为可能造成对主机防火墙的破坏，另外来自网络的攻击( 一些特殊的木马、蠕虫等) 也使主机防火墙的正常运行面临威胁，主机防火墙在运行期间一旦被破坏或关闭，将使 整个分布式防火墙体系出现安全漏洞，从而造成分布式防火墙系统节点失效的问题，因 此主机防火墙在实现机制上必须有一定的抵御攻击的能力，并且应该提供对节点失效的 发现和响应机制，这是主机防火墙设计和实现过程中所面临的主要困难。 现有的主机防火墙产品主要有两种实现方式：一种是硬件实现，把主机防火墙的策 一2 中北大学学位论文 略执行机制嵌入到网络接口设备中。这种主机防火墙提供了较高的性能和安全性，但功 能非常有限，成本很高，并且仍然存在驻留主机的软件部分的安全性问题；另一种是软 件实现，现有的软件实现的主机防火墙产品大都沿用了个人防火墙的设计思想和实现技 术，虽然功能相对丰富，但在设计和实现上很少考虑自身的安全性。改进主机防火墙的 实现机制，特别是软件实现机制，提高主机防火墙自身的安全性和抵御攻击的能力，确 保主机防火墙持续、有效、稳定的运行是主机防火墙在设计和实现过程中急需解决的一 个问题。 ( 2 ) 功能有待扩展 在分布式防火墙系统中，主机防火墙是策略的执行者，其所提供的控制功能也直接 体现了整个分布式防火墙系统的控制能力，同时也影响到管理中心对策略的制定。在不 使策略的制定过于复杂的情况下，应该充分利用驻留在终端系统的优势，丰富主机防火 墙的控制功能。其中一个比较突出的问题就是如何提供对单机多用户的支持。分布式防 火墙的策略分发是针对主机而不是针对用户的，用户无法更改本机所执行的安全策略。 这种针对主机的策略执行机制在一些环境中限制了分布式防火墙的应用，例如在组织中 如果存在单机多用户的情况，主机防火墙就无法根据不同的用户实施不同的安全策略。 分布式防火墙为大型网络加入了一层防范入侵的分布式保护层，其主机防火墙能够 集成到移动p c ，桌面系统和各类服务器中，为企业构建网络安全解决方案提供了良好的 基础。随着网络应用的发展和普及，各种大型的企业、组织，例如政府机构、金融机构 以及各类的医疗机构等等，将对可靠的网络安全解决方案产生巨大的需求，因此对分布 式防火墙的研究与应用是十分必要的，而且有着重要的现实意义。 3 中北大学学位论文 2 1 防火墙概述 2 分布式防火墙技术基础 所谓防火墙就是一个或组网络设备( 计算机或路由器等) ，用来在两个或多个网络 间加强访问控制。它的实现有好多种形式，有些实现还很复杂，但基本原理却很简单。 你可以把它想象成一对开关， 一个开关用来阻止传输， 另一个开关用来允许传输1 。 设立防火墙的主要目的有多个： ( 1 ) 限制访问从一个特别的节点迸入 ( 2 ) 防止攻击者接近防御措施 ( 3 ) 限制访问从一个特别的节点离开 ( 4 ) 有效的阻止入侵者对内部网络中的计算机系统进行破坏 通常，被保护的网络属于我们自己，或者是我们负责管理的，而所要防备的网络则 是一个外部的网络，防火墙认为该网络是不可信赖的，因为可能有人会从该网络上对我 们的网络发起攻击，破坏网络安全。其对网络的保护包括以下工作：拒绝未经授权的用 户访问，阻止未经授权的用户存取敏感数据，同时允许合法用户不受妨碍地访问网络资 源“。 不同的防火墙侧重点不同。从某种意义上来说，防火墙实际上代表了一个网络的访 问原则。如果某个网络决定设定防火墙，那么首先需要由网络决策人员及网络专家共同 决定本网络的安全策略，即确定哪些类型的信息允许通过防火墙，哪些类型的信息不允 许通过防火墙。防火墙的职责就是根据本单位的安全策略，对外部网络与内部网络交流 的数据进行检查，符合的予以放行，不符合的拒之门外。 在设计防火墙时，除了安全策略以外，还要确定防火墙类型和网络拓扑结构。一 般来说，防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间。防火墙相当于 控制器和监视器，用来监视或拒绝应用层的通信业务，防火墙也可以在网络层和传输层 运行，在这种情况下，防火墙检查进出相应接口的报文分组的i p 和t c p 头部，根据预先 设计的报文分组过滤规则来拒绝或允许报文分组通过“”。 4 中北大学学位论文 2 2 传统防火墙的体系结构和实现技术 2 2 1 防火墙的体系结构 ( 1 ) 双宿主机结构( d u a l - h o m e dh o s t ) 在t c p i p 网络中，多宿主机被用来描述一台配有多个网络接口的主机。通常，每一 个网络接口与一个网络相连。在以前，这种多宿主机也可以用来在几个不同的网段间进 行路由，网关用来描述由多宿主机执行的路由功能。目前人们般用术语路由器来描述 这种路由功能，而网关则用于描述o s i 模型高层中所进行的路由功能。如果在一台多宿 主机中路由功能被禁止了，则这个主机可以隔离与它相连的网络之间的通信流量，然而 与它相连的每一个网络都可以执行由它所提供的网络应用，如果这个应用允许的话，它 们还可以共享数据。 ( 2 ) 屏蔽路由器( s c r e e n i n gr o u t e r ) 屏蔽路由器可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器 作为内外连接的唯一通道，要求所有的报文都必须在此通过并接受检查。路由器上可以 安装基于i p 层的报文过滤软件，实现报文过滤功能。许多路庙器本身带有报文过滤配置 选项，但一般比较简单。单纯由屏蔽路由器构成的防火墙的危险包括路由器本身及路由 器允许访问的主机。 ( 3 ) 被屏蔽主机网关( s c r e e n e dg a t e w a y ) 被屏蔽主机网关易于实现也最为安全。一个堡垒主机安装在内部网络上，通常在路 由器上设立过滤规则，并使这个堡垒主机成为从外部网络惟一可直接到达的主机，这确 保了内部网络不受未被授权的外部用户的攻击。如果受保护网是一个虚拟扩展的本地 网，即没有子网和路由器，那么内部网的变化不影响堡垒主机和屏蔽路由器的配置。 ( 4 ) 被屏蔽子网( s c r e e n e ds u b n e t ) 被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过 滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中，两个分组过滤路 由器放在子网的两端，在子网内构成一个d n s ，内部网络和外部网络均可访问被屏蔽子 网，但禁止它们穿过被屏蔽子网通信。有的屏蔽子网中还设有一堡垒主机作为唯一可访 5 一 中北大学学位论文 问点，支持终端交互或作为应用网关代理。这种配置的危险仅包括堡垒主机、子网主机 及所有连接内网、外网和屏蔽子网的路由器。如果攻击者试图完全破坏防火墙，他必须 重新配置连接三个网的路由器，既不切断连接又不要把自己锁在外面，同时又不使自己 被发现，这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问 它，则攻击会变得很困难。在这种情况下，攻击者得先侵入堡垒主机，然后进入内网主 机，再返回来破坏屏蔽路由器，并且整个过程中不能引发警报。 2 2 2 防火墙实现技术 ( 1 ) 分组过滤( p a c k e tf i l t e r i n g ) 技术 根据系统事先设定好的过滤规则，检查数据流中每个数据包，根据数据包的源地址、 目的地址、t c p 端口、路径状态等来确定是否允许数据包通过。包过滤器可在路由器之 外单独设置，也可与路由器做成一体，在路由设备上实现包过滤，还可在工作站上用软 件进行包过滤。这种类型的网络安全策略决定了筛选路由器将被最于何处，以及如何进 行编程用来执行分组过滤。良好的网络安全在实现的同时，也应该使内部用户难以妨害 网络安全，但这通常不是网络安全工作的重点。网络安全策略的一个主要目标是向用户 提供透明的网络服务机制。由于分组过滤执行在o s i 模型的网络层和传输层，而不是在 应用层，所以这种途径通常比防火墙产品提供更强的透明性。 当前，几乎所有的分组过滤装置都按下面方式进行操作： 1 ) 对于分组过滤的相关端口必须设置分组过滤规则。 2 ) 当一个分组到达过滤端口时，将对该分组的头部进行分析。大多数分组过滤装置 只检查i p 、t c p 或u d p 头部内的相关字段。 3 ) 分组过滤规则按一定的顺序存储。当一个分组到达时，将按分组规则的存储顺序 依次运用每条规则对分组进行检查。 4 ) 如果某一条规则阻塞传递或接收一个分组，则不允许该分组通过。 5 ) 如果某一条规则允许传递或接收一个分组，则允许该分组通过。 6 ) 如果一个分组不满足任何规则，则该分组被阻塞。 从规则4 和5 我们可以看到将规则按适当的顺序排列是非常必要的。在配置分组过滤 规则时常犯的错误就是将分组过滤规则按错误的顺序排列。如果一个分组过滤规则排序 6 中北大学学位论文 有错，我们就有可能拒绝某些合法的访问，而又允许本想拒绝的服务。规则6 遵循以下 原则：未被明确允许的就将被禁止。这是一个在设计安全可靠的网络时应该遵循的失效 安全原则。与之相对的是一种宽容的原则，即没有被明确禁止的就是允许的。如果采用 后一种思想来设计分组过滤规则，就必须仔细考虑分组过滤规则没有包括的每一种可能 的情况来确保网络的安全。当一个新的服务被加入到网络中时，我们可以很容易地遇到 没有规则与之相匹配的情况。 ( 2 ) 代理服务和应用层网关 代理服务使用的方法与分组过滤器不同，代理( p r o x y ) 使用一个客户程序与特定的中 间结点连接，然后这个中间结点与期望的服务器进行实际连接。与分组过滤器所不同的 是，使用这类防火墙时外部网络与内部网络之间不存在直接连接。因此，即使防火墙发 生了闯题，外部网络也无法与被保护的网络连接。中间结点通常为双宿主机。代理服务 可提供详细的日志记录及审计功能，这大大提高了网络的安全性，也为改进现有软件的 安全性能提供了可能性。代理服务器可运行在双宿主机上，它是基于特定应用程序的。 代理服务通常由两部分构成：代理服务器程序和客户程序。相当多的代理服务器要 求使用固定的客户程序。如果网络管理员不能改变所有的代理服务器和客户程序，系统 就不能正常工作。代理使网络管理员有了更大的能力改善网络的安全特性。然而，它也 给软件开发者、网络管理员和最终用户带来了很大的不便，这就是使用代理的代价。也 有一些标准的客户程序可以利用代理服务器通过防火墙运行，如m a i l 、f t p 和t e l n e t 等。 即便如此，最终用户也许还需要学习特定的步骤以通过防火墙进行通信。透明性对基于 代理服务器的防火墙显然是一个大问题。即使是那些声称是透明性防火墙的代理也期望 应用程序使用特定的t c p 或u d p 端口。如果一个节点在非标准端口上运行一个标准应用程 序，代理将不支持这个应用程序。许多防火墙允许系统管理员运行两个代理拷贝，一个 在标准端口运行，另一个在非标准端口运行，常用服务的最大数目取决于不同的防火墙 产品。 基于代理服务的防火墙厂商正在开始解决这个问题。基于代理的产品开始改进成能 够设置常用服务和非标准端口。然而，只要应用程序进行升级，基于代理的用户会发现 他们必须发展新的代理。一个明显的例子就是许多的w e b 浏览器中加入了大量的安全措 施。 7 中北大学学位论文 应用层网关可以处理存储转发通信业务，也可以处理交互式通信业务。通过适当的 程序设计，应用层网关可以理解在用户应用层( 通常指0 s i 模型第七层) 的通信业务。这 样便可以在用户层或应用层提供访问控制，并且可以用来对各种应用程序的使用情况维 持一个智能性的日志文件。采用应用层网关的主要优点是能够记录和控制所有进出的网 络通信业务。在需要时，在网关本身中还可以增加额外的安全措施。对于所中转的每种 应用，应用层网关需要使用专用的程序代码。由于有这种专用的程序代码，应用层网关 可以提供高可靠性的安全机制。每当一个新的需保护的应用加入网络中时，必须为其编 制专门的程序代码。正是如此，许多应用层网关只能提供有限的应用和服务功能。 ( 3 ) 状态监视技术 状态监视可通过提取相关数据来对网络通信的各层实施监视并作为决策时的依据。 监视功能支持多种网络协议，可以方便地实现应用和服务的扩充，特别是可监视r p c ( 远 程进程调用) 和u d p ( 用户数据报文) 端口信息，这是其它安全服务所不能完成的。 2 2 3 防火墙的作用 ( 1 ) 网络安全的屏障 防火墙作为阻塞点、控制点能极大地提高一个内部网络的安全性，并通过过滤不安 全的服务来降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环 境变得更安全。如防火墙可以禁止众所周知的不安全的n f s 协议进出受保护网络，这 样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网 络免受基于路由的攻击，如p 选项中的源路由攻击和i c m p 重定向中的重定向路径攻 击。防火墙可以拒绝所有以上类型攻击的报文并通知管理员【3 8 】。 ( 2 ) 强化网络安全策略 通过以防火墙为中心的安全方案配置，能将所有安全软件如口令、加密、身份认证、 审计等配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全 管理更经济。例如在网络访问时，一次加密口令系统和其它的身份认证系统完全可以不 必分散在各个主机上，而集中在防火墙身上。 ( 3 ) 对网络存取和访问进行监控审计 因为所有的访问都经过防火墙，所以防火墙能记录下这些访问并做出日志记录，同 8 中北大学学位论文 时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警， 并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也 是非常重要的。管理员可以清楚了解防火墙是否能够抵挡攻击者的探测和攻击，并且清 楚防火墙的控制是否充足。此外，网络使用统计功能对网络需求分析和威胁分析等而言 也是非常重要的。 ( 4 ) 防止内部信息的外泄 利用防火墙对内部网络的划分，网络管理员可实现内部网络重点网段的隔离，从而 限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非 常关心的问题，一个内部网络中不引入注意的细节就可能包含了有关安全的线索从而引 起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就可以 隐蔽那些内部细节如f i n g e r 、d n s 等服务。 ( 5 ) 阻塞有关内部网络中的d n s 信息 通过这种方法一台主机的域名和i p 地址就不会被外界所了解。 ( 6 ) 提供网络地址转换( n a t ) 网络地址转换是对i n t e r n e t 隐藏内部地址，防止内部地址公开m “”1 。这一功能可以 克服i p 寻址方式的诸多限制，完善内部寻址模式。把未注册i p 地址映射成合法地址，就 可以对i n t e r n e t 进行访问。对于n a t 的另一个名字是i p 地址隐藏。r f c l 9 1 8 概述了私有地 址并且因特网域名分配组织i a n a 建议使用内部地址机制。以下地址作为保留地址： 1 0 0 0 0 l o 2 5 5 2 5 5 2 5 5 1 7 2 1 6 0 0 1 7 2 3 1 2 5 5 2 5 5 1 9 2 1 6 8 0 0 1 9 2 1 6 8 2 5 5 2 5 5 如果你选择上述列表中的网络地址，那么不需要向任何互联网授权机构注册即可使 用。使用这些网络地址的一个好处就是在互联网上永远不会被路由。互联网上所有的路 由器发现源或目标地址含有这些私有网络i d 时都会自动地丢弃数据包。 ( 7 ) 提供非军事化区域( d m z ) d m z 是一个小型网络，存在于公司的内部网络和外部网络之间。这个网络由路由器 建立。d m z 用来作为一个额外的缓冲区以进一步隔离公网和你的内部私有网络，从物理 上和内部网隔开，并在此部署w w w 和f t p 等服务器，将其作为向外部发布内部信息的地点。 9 一 中北大学学位论文 但是这种实施的缺点在于存在于d m z 区域的任何服务器都不会得到防火墙的完全保护。 ( 8 ) 其他 除了安全作用，防火墙还支持虚拟专用网v p n 。通过v p n ，将企事业单位分布在全世 界各地的l a n 或专用子网有机地联成一个整体。不仅省去了专用通信线路，而且为信息 共享提供了技术保障。 2 2 4 边界防火墙的局限性 从安全角度讲：传统边界防火墙只在网络边界具有安全保障功能，作用范围有限， 而当前的网络犯罪又多源于网络内部；传统防火墙位于网络边界，容易产生并形成单一 故障点，边界防火墙一旦被攻破，将成为黑客攻击内部网络的最佳平台；传统防火墙采 用i p 地址表示内部网络可信任节点，难以抵御i p 伪装“1 。 从技术角度讲：所有对外流出和对内流入的网络数据都必须经过防火墙，容易产生 流量瓶颈；传统防火墙的实现是基于人为地将网络分为了内部可信任网络和外部不可信 网络，这种针对特定的网络拓扑实现的防火墙难以满足网络多元化的发展要求；虽然代 理防火墙可以解决会话的上下文关系，但必须对不同的服务编写不同的程序，实现起来 十分复杂；传统防火墙不是信息的最终用户，对于加密数据由于没有信息解密密钥而无 法进行检测，难以抵御隧道攻击。上述缺陷严重制约了网络技术的应用和发展。传统的 防火墙均是集中式的，主要缺陷在于嘲： ( 1 ) 边界防火墙设置在网络边界，在内部企业网与外部互联网之间构成一道屏障， 对网络数据流进行访问控制。由于边界式防火墙把检查机制集中在网络边界处的单点 上，产成了网络的瓶颈和单点故障隐患。从性能的角度来说，防火墙极易成为网络流量 的瓶颈。从网络可达性的角度来说，由于其带宽的限制，防火墙并不能保证所有请求都 能及时响应，所以在可达性方面防火墙也是整个网络中的一个脆弱点。边界防火墙难以 平衡网络效率与安全性设定之阃的矛盾，无法为网络中的每台服务器订制规则，它只能 使用一个折衷的规则来近似满足所有被保护的服务器的需要，因此或者损失效率，或者 损失安全性。 ( 2 ) 边界防火墙建立在受限拓扑和受控入口点的概念上，准确地说，它们建立在这 样的假定之上，处于防火墙内部的用户是可信的，外部的用户至少是潜在的敌人。其对 1 0 中北大学学位论文 网络内部数据流无法进行监控，但在实际环境中，越来越多的攻击和越权访问来自于网 络内部。上述工作模型能很好地工作在中小网络中，但当网络规模增大、网络新技术不 断出现时，这种工作模型的缺陷日益暴露出来。 ( 3 ) “单点失效”问题：防火墙将所有任务集于一身，所以一旦防火墙配置错误或 出现问题，则全网会暴露在攻击者面前。 ( 4 ) 未授权访问问题：多种连接技术的实现，比如说现在常用到的拨号、v p n 等隧 道技术可以很容易的绕过防火墙建立与外网之间的连接，给网路留下“后门”，造成网 络安全隐患。 ( 5 ) 数据加密对防火墙造成威胁：传统的网络协议没有使用加密，因而防火墙能对 数据流实施过滤。当加密技术和新一代网络协议被使用的时候，防火墙因为没有密钥而 不能理解流过的数据包的内容，从而不能实旌检查。 ( 6 ) 安全模式单一：传统防火墙的安全策略是针对全网制定的，全网中的所有主机 遵从单一的安全模式，网络中的主机和服务器在安全性上不具体针对个性特点。“。 2 3 分布式防火墙的提出 由于传统防火墙的缺陷不断显露，于是有人认为防火墙与现代网络的发展是不相容 的，并认为加密的广泛使用可以废除防火墙。但加密不能解决所有的安全问题，防火墙 依然有它的优势，比如通过防火墙可以关闭危险的应用，通过防火墙管理员可以实施统 一的监控，也能对新发现的漏洞快速做出反应等。也有人提出了对传统防火墙进行改进 的方案，如多重边界防火墙，内部防火墙等，但这些方案都没有从根本上摆脱拓扑依赖， 因而也就不能消除传统防火墙的固有缺陷，反而增加了网络安全管理的难度。为了克服 以上缺陷而又保留传统防火墙的优点，美国a t & t 实验室研究员s t e v e n m b e l l o v i n 在他 的论文“分布式防火墙”中首次提出了分布式防火墙( d i s t r i b u t e df i r e w a l l ，d f 哪 的概念，给出了分布式防火墙的原型框架，奠定了分布式防火墙研究的基础。按照s t e v e n 的说法，分布式防火墙是由一个中心来制定安全策略，并将安全策略分发到主机上执行。 它使用一种策略语言( 如k e y n o t e ) 来制定安全策略，并被编译成内部形式存于策略数据 库中，系统管理软件将安全策略分发到被保护的主机上，而主机根据这些安全策略和加 密的证书来决定是接受还是丢弃数据包，从而对主机实施保护。分布式防火墙要负责网 1 1 中北大学学位论文 络边界，各子网和网络内部各节点的安全防护，所以它是套完整的系统，而不是单一 的产品0 1 “。 根据其所需要完成的功能，分布式防火墙可以认为是由三部分组成的立体防护系统 嘲：一部分是网络防火墙，它承担着传统边界防火墙看守大门的职责；一部分是主机防 火墙，它解决了传统边界防火墙不能解决的问题( 例如来自内部的攻击和结构限制等) ； 还有一部分是集中管理，它解决了由分布技术而带来的管理问题。分布式防火墙最重要 的优势在于它能够保护物理拓扑上不属于内部网络、但位于逻辑上的“内部”网络的那 些主机。 2 4 分布式防火墙性能分析 在新的安全体系结构下，分布式防火墙代表新一代防火墙技术的潮流，它可以在网 络的任何交界和节点处设置屏障，从而形成了一个多层次、多协议、内外皆防的全方位 安全体系。主要性能如下删m 1 ： ( 1 ) 增强了系统安全性，增加了针对主机的入侵检测和防护功能，加强了对来自内 部网络的攻击防范，实施全方位的安全策略“。 在传统边界式防火墙应用中，企业内部网络非常容易受到有目的的攻击，一台已经 接入了企业局域网中的某台计算机，一旦获得对这台计算机的控制权，他们便可以利用 这台机器作为入侵其他系统的跳板。而最新的分布式防火墙将防火墙功能分布到网络的 各个子网、桌面系统、笔记本计算机以及服务器上。分布于整个公司内部的分布式防火 墙使用户可以方便地访问信息，而不会将网络的其他部分暴露在潜在非法入侵者面前。 凭借这种端到端的安全性能，用户不论通过内部网、外联网、虚拟专用网还是通过远程 访问实现与企业互联都不再有任何区别。分布式防火墙还可以便企业避免发生由于某一 台端点p c 的入侵而导致病毒向整个网络蔓延的情况发生，同时也使通过公共账号登录网 络的用户无法进入那些限制访问的计算机系统。另外，由于分布式防火墙使用了i p 安全 协议，能够很好地识别在各种安全协议下的内部主机之间的端到端网络通信，使各主机 之间的通信得到了很好的保护。所以分布式防火墙有能力防止各种类型的被动和主动攻 击。特别在当使用i p 安全协议中的密码凭证来标志内部主机，基于这些标志的策略对主 机来说无疑更具可信性。 1 2 中北大学学位论文 ( 2 ) 提高了系统性能，消除了结构性瓶颈问题。 传统防火墙由于拥有单一的接入控制点，无论对网络的性能还是对网络的可靠性都 有不利的影响。从网络性能角度来说，传统防火墙是一种在性能和安全之间寻求平衡的 方案；从网络可靠性角度来说，采用多个防火墙冗余也是一种可行的方案，但是它们不 仅引入了很多复杂性，而且并没有从根本上解决该问题。分布式防火墙则从根本上去除 了单一的接入点，而使这一问题迎刃而解。另一方面分布式防火墙可以针对各个服务器 及终端计算机的不同需要，对防火墙进行最佳配置，配置时能够充分考虑到这些主机上 运行的应用，如此便可在保障网络安全的前提下大大提高网络运转效率。”。 ( 3 ) 系统的扩展性 因为分布式防火墙部署在整个企业的网络或服务器中，所以它具有无限制的扩展能 力。随着网络的增长，它们的处理负荷也在网络中进一步分布，因此它们的高性能可以 持续保持住。而不会像边界式防火墙一样随着网络规模的增大而不堪重负。 ( 4 ) 实施主机策略，对网络中的各节点可以起到更安全的防护。 现在防火墙大多缺乏对主机意图的了解，通常只能根据数据包的外在特性来进行过 滤控制。虽然代理型防火墙能够解决该问题，但它需要对每一种协议单独地编写代码， 其局限性也显而易见的。在没有上下文的情况下，防火墙是很难将攻击包从合法的数据 包中区分出来的，因而也就无法实施过滤。事实上，攻击者很容易伪装成合法包发动攻 击，攻击包除了内容以外的部分可以完全与合法包一样。分布式防火墙由主机来实施策 略控制，毫无疑问主机对自己的意图有足够的了解，所以分布式防火墙依赖主机做出合 适的决定就能很自然地解决这一问题。 ( 5 ) 应用更为广泛，支持v p n 通信 其实分布式防火墙最重要的优势在于，它能够保护物理拓扑上不属于内部网络，但 位于逻辑上的“内部”的那些网络主机，这种需求随着v p n 的发展将会越来越多。对 这个问题的传统处理方法是将远程“内部”主机和外部主机的通信依然通过防火墙隔离 来控制接入，而远程“内部”主机和防火墙之间采用“隧道”技术保证安全性，这种方 法使原本可以直接通信的双方必须绕过防火墙，不仅效率低而且增加了防火墙过滤规则 设置的难度。与之相反，分布式防火墙的建立本身就是基本逻辑网络的概念，因此对它 而言，远程“内部”主机与物理上的内部主机没有任何区别，它从根本上防止了这种情 1 3 中北大学学位论文 况的发生。 2 5 分布式防火墙的基本原理 分布式防火墙的基本思想是：安全策略的制定采用由中心策略服务器集中定义方 式，而安全策略的执行则由相关主机节点独立实施；安全日志由主机节点分散产生，而 安全日志的保存则集中到中心策略服务器上。由此，我们可以看出分布式防火墙规则 的制定还是采用集中定义和更新的方式，然后将这些定义好的规则策略分发到各个相关 节点，最后再在每个受保护的主机节点上独立实施执行“儿删。 分布式防火墙打破了边界防火墙对网络拓扑的依赖关系，将内部网的概念由物理意 义转变成逻辑意义。在分布式防火墙系统中，每个主机节点都有一个标识该主机身份的 证书，通常是一个与该节点所持有的公钥相对应的数字证书，内部网络服务器的存取控 制授权根据请求客户的数字证书来确定，而不再是由节点所处网络的位置来决定。一般 情况下由于证书不易伪造，并独立于网络拓扑结构，所以只要拥有合法的证书，不管 它处于物理上的内网还是外网都被分布式防火墙系统认为是“内部”用户，这样就彻底 打破了传统防火墙对网络拓扑的依赖但各主机节点在处理数据包时，还是必须根据中 心策略服务器所分发的安全策略和加密的证书来决定是接受还是丢弃包。这样不但可以 对主机实施护，还能保证与整个系统的安全策略一致。由于在分布式放火墙系统中安全 策略的执行被推向了网络的边缘终端节点，这样不仅保留了传统防火墙的优点，同 时又解决了传统防火墙的问题。其中最主要的是解决了对网络拓扑结构的依赖、内部攻 击以及网络瓶颈问题；同时还实现了分级策略的制定、加密技术应用的支持“”。 综上所述，可以看出分布式防火墙系统主要依赖于以下三个概念： ( 1 ) 能够不依赖于网络拓扑结构进行规则定义的策略语言。 ( 2 ) 能将策略服务器形成的策略文件安全分发给被防火墙保护的所有主机的系统 管理工具。注意：这里所指的防火墙并不是传统意义上的边界防火墙，而是逻辑上的分 布式防火墙。 ( 3 ) 能够保障数据安全传输的安全协议。 基于这三个概念构建的分布式防火墙工作流程如下： 1 4 中北大学学位论文 第一步，安全管理员制定安全策略。安全策略的制定可以使用各种策略定义语言， 定义的策略被放入策略数据库中。同时，由编译器将策略语言的描述转换成内部格式， 形成策略文件。策略的组织方法有多种，可以按域或工作组来组织策略，也可按策略本 身的类型来组织啪1 。 第二步，分发策略。就是策略服务器用系统管理工具把策略文件分发给各台“内部” 主机。策略的分发有多种方法，如策略服务器主动分发、主机主动到策略服务器上去取 等。但是必须要能做到一旦策略服务器中的策略被更新，则相应主机的策略文件也应该 及时更新。 第三步，主机执行策略。 第四步，上传安全日志到策略服务器。在运行期间主机根据管理员( 或用户) 配置的 方法将日志数据上传到中心服务器日志数据库中。日志的上传方法也有多种，如实时传 送、定期传送或用户控制传送等。 分布式防火墙服务器系统管理工具用于将形成的策略文件分发给被分布式防火墙 保护的所有主机。i p 安全协议是一种对t c p i p 协议簇的网络层进行加密保护的机制，包 括a