（计算机应用技术专业论文）分布式防火墙的策略分发与执行.pdf

摘要 目前，我国存在着大量的中小型企业、实验室等单位，这些机构内部拓扑简单、通过 网关上嘲，网络中存在着w e b 服务器、f t p 服务器等用于对外提供服务。这类网络中可 能有远程用户要求接入，对内部网资源进行存取，需要对不同的内部子网采用不同的访 问控制，这些需求都是针对网络中的部分用户进行的网络安全管理，采用传统的防火墙 不能很好的达到要求。本文针对这种实际需求，将分布式防火墙技术应用于小型网络环 境中，利用其分布性特征来解决小型网络条件下对特定服务的需求，并实现了一个分布 式防火墙的模型系统。 当前分布式防火墙的发展还不成熟，很多方向还没有形成统一的解决方案，面对小型 网络用户群的产品也比较少，采用分布式防火墙技术满足这种需求具有良好的实用价值 和应用前景。 本文比较了传统防火墙与分布式防火墙的优缺点，对将分布式防火墙技术应用于小型 混合网络下存在的问题进行研究，设计并实现了一个w i n d o w s 系统下的分布式防火墙原 型系统h y w a v e g u a r d ，并详细阐述了实现其中策略分发与执行机制采用的关键技术。 策略分发机制采用了一种“推”、“拉”式的策略分发协议，节点防火墙按照协议与策 略控制中心建立连接，确认身份，采用加密通信“拉”回安全策略。而策略服务器更新 策略之后，可直接“推”到网络边界进行执行。 策略执行机制由网络主机上的节点防火墙完成，节点防火墙可以与控制中心及其他节 点防火墙通信，并接收控制中心的安全策略，将安全策略解析成规则后载入内核进行访 问控制，节点防火墙采用了多规则链的包过滤方法。 分布式防火墙的分布性可以很好的满足用户对服务的特定需求，而分布性就表现在策 略在中心统一定义后分发，由散布在网络各处的节点分布执行，h y w a v e g u a r d 原型系统 中策略分发和执行的实现正是这种分布性的具体体现。 关键词：安全：防火墙：分布式防火墙；策略分发；策略执行 a b s tr a c t a t p r e s e n t ，t h e r ea r el a r g en u m b e r s o fs m a l l s c a l ee n t e r p r i s e sa n dl a b o r a t o r y t h e yh a v es o m e c h a r a c t e r i s t i c s s u c ha st h et o p o l o g yo f t h e s eu n i t si ss i m p l e ，t h e yc o n n e c t t oi n t e r a c tt h r o u g ha g a t e w a y , a n dt h e r ea r eo f t e ns o m ew 曲s e r v e r o rf t ps e r v e ri nt h en e t w o r kt op r o v i d es e r v i c e i nt h i sk i n do fn e t w o r k ，t h e r ea r eo f t e ns o m el o n g - d i s t a n c eu s e r sw h ow a n tt oc o n n e c t t oa c c e s s i n t e r n a lr e s o u r c e sa n dd i 岱：t e n ta o c e s sc o n t r o l sa r ea d o p t e do nd i f i e r e n ti n t e r n a ls u b n e t w o r k s t h e s er e q u i r e m e n t sa i ma tp a r t so f u s e r si nt h en e t w o r k ，s ot h ec o n v e n t i o n a lp e r i m e t e rf i r e w a l l s c a n n o tf i l lt h e s en e e d s 砥sp a p e ra i m sa t 也ea c t u a lr e q u i r e m e n ta n da p p f i e sd i s t r i b u t e d f i r e w a l lt e c h n o l o g i e st os m a l l s c a l en e t w o r k u s i n gt h ed i s t r i b u t e dc h a r a c t e r i s t i c st os o l v et h e r e q u i r e m e n t so f d i s t r i b u t e ds e r v i c e a n di m p l e m e n t sad i s l x i b u t e df i r e w a l lm o d e ls y s t e m c u r r e n t l y , t h ed e v e l o p m e n to fd i s t r i b u t e df i r e w a l i i si m m a t u r ea n dt h e r ea r en ou n i f o r i l l s o l u t i o n si nm a n yf i e l d se s p e c i a l l yi nt h es m a l l s c a l em i x e dn e t w o r k n l ct e c h n o l o g i e so f d i s t r i b u t e df i r e w a l l sc o u l dm e a tt h er e q u i r e m e n t sa n dh a v ef a v o r a b l ea p p l i e df o r e g r o u n d t i l i sp a p e rc o m p a r e sc o n v e n t i o n a lf i t e w a l l sw i t hd i s l f i b u t e df i r e w a l l si nm a n yr e s p e c t s 。 r e s e a r c h e st h e t e c h n o l o g i e s o fd i s t r i b u t e df i r e w a l l so ns m a l l s c a l e n e t w o r k ，d e s i g n sa n d i m p l e m e n t sad i s t r i b u t e df i r e w a l lp r o t o t y p em o d e ls y s t e mh y w a v e g u a r db a s e do nw i n d o w s o p e r a t i n gs y s t e ma n de x p o u n d s t h e k e yt e c h n o l o g i e s o fp o l i c yd i s t r i b u t i o na n dp o l i c y e n f o r c e m e n tw h i c ha r ek e y p a r t si nh y w a v e g u a r d t h em e c h a n i s mo f p o l i c yd i s t r i b u t i o ni si m p l e m e n t e db y ap u s ha n dp u l lp o l i c yd i s t r i b u t i o n p r o t o c 0 1 d i s w i b u t e dn o d ef i r e w a l i se s t a b l i s hac o n n e e f t o n a n dt h e nc o n f i r mt h ec e r t i t i c a t et o p o l i c yc o n t r o lc e n t e rt op u l li t sp o l i c y n l ep o l i c yc o n t r o lc e n t e rc a np u s hp o l i c yt ot h ee d g eo f n e t w o r ka f t e ri tu p d a t e st h e p o l i c y t h em e c h a n i s m o f p o l i c ye n f o m e m e n t i sa c c o m p l i s h e d b yn o d ef i r c w a l io nn e t w o r ke n d p o i n t h o s t s n o d ef i r e w a l ic a r lc o m m u n i c a t ew i t hp o l i c yc o n t r o lc e n t e ra n dt a k eo v e rs e c u r i t yp o l i c y f r o mi t n o d ef i r e w a l l sl o a dt h ep o l i c i e si n t ot h ek e r n e ld y n a m i c a l l ya i t e rt r a n s l a t et h e mi n t o i n t e r n a lf o r m u l a ，a n dt h e nu s et h e mt oa c t u a l i z ea c c e s sc o n t r 0 1 n ek e m e lo fn o d ef i r e w a l l s a d o p t sp a c k e tf i l t e rm e t h o du s i n gm u l t i - r u l el i n k s t h ed i s t r i b u t e dc h n r a c t e r i s f i c so fd i s t r i b u t e df i r e w a l lc o u l d s a r i s f yt h er e q u i r e m e n t so f d i s t r i b u t e ds e r v i c e s ，a n dt h ed i s t r i b u t i o nc h a r a c t e ri se x p r e s s e dt h a tp o l i c i e sa r eb a n d e do u ta f t e r t h e y a r ed e f i n e d c e n t r a l l a n d e n f o r c e d b y d i s t r i b u t e dn o d et l o s to nt h en e t w o r k n 坨 i m p l e m e n t a t i o no f p o l i c yd i s t r i b u r i o na n d e n f o r c e m e n ti nh y w a v e g u a r di sj u s tt h ee m b o d i m e n t o f i t sd i s t r i b u t i o nc h a r a c t e r k e yw o r d s ：s e c u r i t y ：f ir e w a iis ：d i s t r i b u t e df ir e w a lls ：p o fi c yd is t r i b u t i o n p olic ye n f o r c e m e n t 分布式防火墙的策略分发与执行 0 前言 网络的迅速普及带来了日益严重的网络安全，也促使更多入关注网络安全技术的发 展，防火墙作为使用量最大的安全产品其技术也得到不断发展。 我国为数众多的o e 4 , 型企业、实验室等采用小型混合网络的单位，具有分布式服务的 需求，而目前国内这方面防火墙产品比较少。针对当前网络安全现状和现实需要，本文 将分布式防火墙技术应用于小型网络环境中，利用其分布性特征满足用户网络安全可管 理的要求，实现小型网络条件下对可定制策略的分布执行以及向远程用户提供特定服务， 并在w i n d o w s 平台上实现了一个分布式防火墙的模型系统。 分布式防火墙概念是在传统边界防火墙的缺陷不断显露的基础上提出的，它将分布式 技术引入防火墙，继承了传统防火墙的优点而又克服了它的缺陷，是新一代的网络安全 解决方案。目前，分布式防火墙已形成了多个理论模型，也出现了一些产品，但在很多 地方如策略语言、加密传输方法、信任管理机制等方面，都没有形成统一的方法。 本文从分布式防火墙的理论模型出发，描述了一个在小型混合网络条件下的分布式防 火墙系统h y w a v e g - u a r d 的设计实现过程，并着重介绍了其策略分发与策略执行部分的关 键技术。 本文第一部分介绍了分布式防火墙项目的课题来源和研究意义，防火墙技术的发展概 况，网络安全产品的现状以及本文所做的主要工作。 第二部分主要描述了一般防火墙的体系结构及其实现技术，对传统防火墙和分布式防 火墙进行比较，分析了传统的边界防火墙的缺点，介绍了分布式防火墙的解决方法和它 的优点。 第三部分主要介绍分布式防火墙模型h y w a v e g u a r d 的设计。该部分首先提出 h y w a v e g u a r d 的设计目标、特点，描述了它的系统结构和部署方案。 一 第四部分详细阐述了策略分发部分的设计思想，介绍了“推”、“拉”结合的策略分发 的协议及其实现方法。 第五部分详细介绍了h y w a v e g u a r d 策略执行部分的设计及实现方法，着重分析介绍 了其实现的关键技术。策略执行部分从用户空间守护进程的通信模块、安全策略的动态 加载、内核驱动模块以及对数据包进行访问控制的方法等几个方面进行描述的。 第六部分总结了本文解决的问题，并提出了进一步需要解决的问题和未来工作的方 向。 1 绪论 1 1 课题来源和研究意义 计算机的网络化和全球化使得i n t e r n e t 进入了社会的各个领域，也进入了人们的日常 生活。网络使得人们生活、工作更加便捷，它消除了地域的差别，让人与人之间可以不 受地理限制而自由通讯。 信息化的迅速普及，在给人们生活带来方便的同时也给一些人以可乘之机，他们利用 信息技术非法侵入他人的计算机系统窃取机密信息、篡改和破坏数据，据统计，约7 0 以上的网络信息主管人员报告因机密信息泄露而受到了损失，一些专业的著名网站，如 y a h o o ! 、c n n 等多个w e b 站点都遭到了来自i n t e m e t 的分布式d o s 攻击。现在无论企业 还是个人用户，信息安全问题都日益成为被关注的焦点。 网络安全涉及到通信和网络、密码学、芯片、操作系统、数据库等多方面技术。目前 的网络安全产品，主要分为以下几类：安全操作系统、安全隔离与信息交换系统、安全 w e b 、反病毒产品、i d s 、防火墙、v p n 、保密机、p k i 等。其中，防火墙是网络安全的 第一道屏障，它是最早出现的网络安全产品和使用量最大的安全产品，所占市场最大， 安全技术也比较成熟。 防火墙是一类防范措施的总称，它可以在内部网与i n t e m e t 或其他外部网之间设立唯 一的通道，将两者隔离、监视并限制网络访问以保护内部网络。防火墙筛选两个网络间 所有的连接，决定哪些访问是允许的或者应该被禁止，这些决定是网络安全管理员根据 一定原则制定的安全策略。 传统防火墙通过划分网络拓扑结构和控制网络入口实施强制数据过滤，这种工作方式 决定了它不能满足网络规模和结构发展的需要，传统防火墙依赖于网络拓扑结构，它通 过部署在网络边界来保护内部主机，这有时候是考虑对防火墙内外通信的效率和安全性 的一种折衷。随着网络攻击的多样化，传统防火墙为了对付外部攻击而加入了一些安全 检测和防御的内容，这种负担极大的影响了防火墙的性能，并使得防火墙可能成为网络 数据通信的瓶颈。另外，传统防火墙信任被保护的内部网内的每一个成员，它不能抵御 来自内部的攻击。 随着网络技术的发展，传统安全模型的弊端日益显露。为了克服传统防火墙的欠缺， 出现了新型的防火墙体系结构。新的防火墙技术的发展有如下几个方向：自适应的代理 服务防火墙、新型混合防火墙、分布式防火墙等。其中分布式防火墙将防火墙技术与分 布式理论相结合，它的设计思想合乎i n t e m e t 的发展趋势，给防火墙技术注入了新的活力。 分布式防火墙具有拓扑独立、可防止网络内部攻击等传统防火墙不可相比的优点。而且， 分布式防火墙从根本上消除了传统防火墙的数据通信瓶颈问题，可见，分布式防火墙更 符合网络安全应用的发展需要。 目前分布式防火墙的研究还不够成熟，而且在国内成熟的分布式防火墙的产品还较少 ”j ，但是，随着市场需求的不断扩大，可以预见市场上将会出现功能强大的分布式防火墙 产品。 2 针对当前网络安全现状和现实需要，我们开展了网络安全领域的研究工作，在对防火 墙技术的学习和防火墙产品的市场调查过程中，我们发现很多优秀的防火墙产品都是部 分集成在硬件中实现的，通常需要专门的安装、配置人员，而且造价较高，不适合我国 企业尤其是中小型企业采用；而要在软件防火墙方面达到技术上的突破，除了结合先进 的防火墙构件技术之外，防火墙的体系结构也是决定防火墙效率和安全性的关键a 目前，我国广大中小型企业采用一种小规模的混合型网络结构，这种网络规模较小， 对外服务较少，网络边界不确定，具有分布式的结构特征，同时可能需要为不同组的用 户配置不同的安全策略和访问控制策略而当前能够满足这种需求的产品还很少见到。针 对这种网络结构的特点，我们采用了分布式的防火墙技术来满足用户的需求，这是考虑 到分布式防火墙可以有效的解决传统防火墙的种种弊端，而其分布性的特点可以很好的 满足用户对特定服务的需求。 通过对分布式防火墙的实验模型以及对现有产品的分析可以看出，分布式防火墙共有 的特征在于集中管理、分散执行，也就是通常都由一个策略控制中心管理、制定和分发 安全策略，管理节点防火墙，而安全策略的执行则在端点主机的节点防火墙上进行，整 体形成一个分布式系统。但是，在分布式防火墙的策略语言的统一、策略语言与网络管 理的融合、策略分发、加密认证以及执行过滤方法等问题上，仍有待进一步研究来形成 统一有效的解决方案。 本文从分布式防火墙的理论模型出发，描述了一个适用于小型混合网络的分布式防火 墙原型系统，分析了它的设计实现过程，学习并研究分布式防火墙的工作原理及其优势 所在，并着重研究分布式防火墙的策略分发机制、策略执行方法及其实现的关键技术等 方面，为解决中小型企业的网络安全问题，探索一个更安全有效的分布式解决方案，并 为进一步研发商业化产品打下基础。 1 2 国内外研究发展现状 1 2 1 防火墙技术发展 防火墙的历史并不长，第一代防火墙技术几乎与路由器同时出现，采用了包过滤路由 器的技术。1 9 8 9 年，贝尔实验室的d a v ep r e s o t t o 和h o w a r d t r i e k e y 推出了第二代防火墙， 即电路层防火墙，同时提出了第三代防火墙应用层防火墙( 代理防火墙) 的初步结 构。1 9 9 2 年，u s c 信息科学院的b o bb r a d e n 开发出了基于动态包过滤( d y n a m i cp a c k e t f i l t e r ) 技术的第四代防火墙，后来演变为目前所说的状态监视( s t a t e f u l i n s p e c t i o n ) 技术。 1 9 9 4 年，以色列的c h e c k p o i n t 公司开发出了第一个基于这种技术的商业化的产品。1 9 9 8 年，美国n a i 公司推出了一种自适应代理( a d a p t i v ep r o x y ) 技术，并在其产品g a u n t l e t f i r e w a l lf o r n t 中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代 防火墙。 防火墙的发展与网络安全技术息息相关，从防火墙的发展过程看，可将基本的防火墙 构造技术分为三种，这三种是：简单包过滤、状态包过滤及应用级代理。防火墙技术的 不断的发展让它们的区分界线已经不十分明显了。 目前来看，状态包过滤技术因为其安全性较好，速度快，得到最广泛的应用。应用代 坌查苎堕坐塑塑苎堕坌垄兰垫堑 理虽然安全性更好，但它需要针对每一种协议开发特定的代理协议，对应用的支持不够 好。但关键的是，它的性能较差，从国外公开的防火墙测试报告来看，代理类型防火墙 的最突出的优点就是安全，但代理防火墙性能表现比较差，因此在网络带宽迅猛发展的 情况下，已经不能完全满足需要。 按照防火墙对内外来往数据的处理方法，大致可以将防火墙分为两大体系：包过滤防 火墙和代理防火墙( 应用层网关防火墙) 。前者以c h e c k p o i n t 防火墙和c i s c o 公司的p i x 防火墙为代表，后者以g a u n t l e t 防火墙为代表。 1 包过滤防火墙的发展。 第一代：静态包过滤。这种类型的防火墙根据定义好的过滤规则审查每个数据包，以 便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。包 头信息中包括i p 源地址、i p 目标地址、传输协议( t c p 、u d p 、i c m p 等等) 、t c p 九j d p 目标端口、i c m p 消息类型等。 第二代：动态包过滤。这种类型的防火墙采用动态设置包过滤规则的方法，可动态根 据实际应用请求，自动生成或删除相应包过滤规则，而无需管理员人工干预。避免了静 态包过滤所具有的问题。这种技术后来发展成为包状态监测技术。采用这种技术的防火 墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或 更新条目。 2 代理防火墙 第一代：代理防火墙。代理防火墙也叫应用层网关( a p p l i c a t i o ng a t e w a y ) 防火墙。 这种防火墙通过一种代理( p r o x y ) 技术参与到一个t c p 连接的全过程。从内部发出的数 据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏 内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。 其核心技术就是代理服务器技术。 第二代：自适应代理防火墙。自适应代理技术是最近在商业应用防火墙中得到广泛应 用的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度 等优点，在不损失安全性的基础之上大大提高代理型防火墙的性能。组成这种类型防火 墙的基本要素有两个：自适应代理服务器( a d a p t i v ep r o x ys e r v e r ) 与动态包过滤器 ( d y n a m i cp a c k e tf i l t e r ) 。在自适应代理服务器与动态包过滤器之间存在一个控制通道。 在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应的管 理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用 代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤 器增减过滤规则，满足用户对速度和安全性的双重要求。 除了对防火墙的实现构件进行改进外，防火墙的系统结构也有了长足的发展，如自适 应的代理服务防火墙、新型混合防火墙、多层防火墙及分布式防火墙等都属于新的防火 墙体系结构的类型。 自适应的代理服务防火墙结构前面已经介绍过了。状态检测包过滤和应用代理这两种 防火墙市场中普遍采用的主流技术正在形成一种融合的趋势，新型混合防火墙正是一种 组合了状态信息包检查防火墙和代理防火墙的新型防火墙技术。其防火墙的核心是集成 了应用代理的模块和状态检测的模块。 n e s s e t t 和h u m e n n 提出了新的多层防火墙翻，把边界防火墙、交换机及路由器等可以 坌塑苎堕坐些塑丝堕坌垄兰垫堑 一 实施过滤的设备都包含进来了，这种做法可以一定程度上克服传统防火墙的不足。 分布式防火墙由于通常嵌入系统核心进行工作也称为嵌入式防火墙，它是一整套防火 墙系统，可由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间， 既对内、外部网络之间通信进行过滤，又对网络内部各主机问的通信进行过滤a 它属于 最新的防火墙技术之一，也是本文要研究实现的防火墙结构州。 分布式防火墙系统比较完整的结构是由b e l l o v i n ( 4 在1 9 9 9 年提出的。他从传统防火墙 的弊端出发，提出了一种分布式的解决方案，即策略在中心进行定义，而执行则“推” 至网络端点主机上进行。2 0 0 0 年，i o a r m i d i s 等在b e l l o v i n 的基础上，在o p e n b s d 系统下， 实现了一个分布式防火墙原型s t r o n g m a n 【5 l ，s t r o n g m a n 采用了k e y n o t e t 6 1 1 7 1 召勺信 任管理系统，是分布式防火墙方面较为典型的一个原型系统。但是，s t r o n g m a n 没有 考虑对移动用户的支持，仍然采用i p 地址来标识内部主机，另外，在o p e n b s d 系统下 实现的主机防火墙的执行机制也并不适合w i n d o w $ 等其它系统。2 0 0 1 年，c h a r l e sp a y n e 和t o mm a r k h a m 提出了一个分布嵌入式防火墙的结构及其应用【8 】，这是通过由嵌入式防 火墙加固的网卡间的安全通信实现的。随着分布式防火墙技术的不断发展，目前仍存在 一些问题，比如没有统一的策略描述和管理语言，大规模网络下的策略管理等问题，仍 需要进一步的解决方案。 随着网络安全技术研究的推进及防火墙技术不断向前发展，新的理论在不断提出和完 善，也逐步应用到实际中，同时，用户也对未来防火墙技术提出更高的期望和想法。 从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够。应 用a s i c 、f p g a 和网络处理器是实现高速防火墙的主要方法，其中以采用网络处理器最 优。实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单 元，因此比较容易实现高速。 目前，受现有技术的限制，还没有有效的对应用层进行高速检测的方法，因此，防火 墙不适宜于过多集成内容过滤、防病毒和i d s 功能。对于d s 目前最常用的方式还是 把网络上的流量镜像到i d s 设备中处理，这样可以避免流量较大时造成网络堵塞。此外， 应用层漏洞很多，攻击特征库需要频繁升级，对于处在网络出口关键位置的防火墙，如 此频繁地升级也是不现实的。 多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环 境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的 需要。 新型的网络安全产品应该能够提供有效的访问控制，并对网络的整体状况实施全面而 细致的监控还可以为管理人员提供活动分析的基础。此外，在系统的安装与升级方面， 新型产品应该进一步贴近用户，帮助他们方便顺利地完成安装、配置过程，具有更友善 的使用界面。 、 总之，未来防火墙的发展趋势是赣高速、多功能化、更安全、易管理的方向发展，随 着网络应用的多元化发展，网络安全产品必然会在功能与特性方面不断地充实自己，以 诠释更新的网络安全概念。 1 2 2 防火墙产品 作为企, l k f l g p 首选的网络安全产品，防火墙一直是用户和厂商关注的焦点。信息化建 坌塑茎堕墨堡塑丝堕坌茎兰垫堑 设对网络安全的需求成就了一个新兴的市场。防火墙市场几乎已占据整个网络安全市场 份额的一半，而预计未来其整体趋势仍将快速增长。防火墙渐渐地成为整体解决方案中 不可缺少的一部分。防火墙在进入信息系统新建领域的同时，也积极有力地补充着已有 的网络环境。 网络防火墙市场是一个充满机会和竞争的市场。在国际防火墙市场上，c h e c k p o i n t s o f t w a r e 公司和c i s c o 公司占有的市场份额最多，都在2 0 左右。目前，我国的防火墙高 端产品市场仍由国外的防火墙厂商占领，中低端市场则参差不齐，各有份额。国外的 c h e c k p o i n tf i r e w a l l 1 防火墙、c i s c op i x 防火墙、n e t s c r e e n 防火墙等在产品功能和质量 方面的优势，使得国内许多大型客户纷纷采用。目前，国内的防火墙产品也越来越多， 出现了许多专业防火墙公司。 对于网络安全研究人员，及时了解国外防火墙产品的性能与发展，有利于了解网络安 全技术方向及发展概况。当前，国外知名的防火墙厂家主要有n e t s e r e e n 、c i s c o 、c h e c k p o i n t 及s o n i cs y s t e m 公司等。 n e t s c r e e n 防火墙 n e t s c r e e n 公司的n e t s c r e e n 防火墙产品是一种新型的网络安全硬件产品，目前其发展 状况良好，可以说是硬件防火墙领域内的后起之秀。n e t s c r e e n 的产品完全基于硬件a s i c 芯片，它安装使用简单。同时它还是一种集防火墙、虚拟专用网( v p n ) 、流量控制三种功 能于一体的网络产品。 n e t s c r e e n 把多种安全功能集成在一个a s i c 芯片上，将防火墙、v p n 、网络流量控 制和宽带接入这些功能全部集成在专有的一体硬件中，该项技术能有效消除传统防火墙 实现数据加密时的性能瓶颈，能实现最高级别的i p s e c 协议。 c h e c kp o i n tf i r e w a l l 1v 4 1 防火墙 c h e c k p o i n tf i r e w a l l 1 是一个老牌的软件防火墙产品，它是软件防火墙领域中名声很 好的一款产品，市场占有率已超过4 4 ，在世界范围内的软件防火墙中销售量排名第一。 目前该产品支持的平台有w i n d o w sn t 、w i n 9 x 2 0 0 0 、s u ns o l a r i s 、i b m a i x 、l i p u x 等。 新版本的f i r e w a l l 1 主要增强的功能是在安全区域支持e n t r u s t 技术的数位证明解决 方案；以公用秘钥为基础，使用x 5 0 9 的认证机制i k e 。f i r e w a l l 1 支持l d a p 目录管理， 可帮助使用者定义包罗广泛的安全政策。 c i s c o p i x 防火墙 c i s c op i x 是状态检测性的硬件防火墙，它采用了专用的操作系统，因此减少了黑客 利用操作系统漏洞攻击的可能性，就性能而言，c i s c op i x 是同类产品中最好的，对1 0 0 b a s e 可达线遽。 另外，c i s c o 公司在c i s c os e c u r i t ym a n a g e rv 1 0 的产品介绍中也提到了分布式防火墙 的概念，指出“c i s c os e c u r i t ym a n a g e r 推出了基于策略的管理基础，可以在未来扩展支持 新增的c i s c o 安全解决方案”，这说明c i s c o 产品也正朝分布式防火墙方向发展。 c y b e r w a l l p l u s 系列防火墙 n e t w o r k 一1 公司是分布式防火墙技术的领先厂商，它的c y b e r w a l l p l u s 系列防火墙包括 c y b e r w a l l p l u s 主机防火墙、c y b e r w a l l p l u s a p 保护内部网络防火墙、c y b e r w a l l p l u s i p 包 过滤防火墙三种产品，其中c y b e r w a l l p l u s 又包含c y b e r w a l l p l u s w s 工作站防火墙和 c y b e r w a l l p l u s s v 服务器防火墙两个类别。目前c y b e r w a l l p l u s 系列防火墙运行的平台是 分布式防火墙的策略分发与执行 n t 系统。 s o n i c w a l l 系列防火墙 s o n i c w a l l 系列防火墙是s o n i cs y s t e m 公司针对中小企业需求开发的产品，有着很高 的性能和极具竞争力的价格，适合中小企业用户采用，它是一款硬件防火墙。 其主要的功能是阻止未授权用户访问防火墙内网络；阻止拒绝服务攻击，并可完成 i n t e m e t 内容过滤；实现口地址管理，网络地址转换( n a t ) ；制定网络访问规则，规定 对某些网站访问的限制等。 天融信网络卫士 天融信公司的网络卫士是我国第一套自主版权的防火墙系统，是一种基于硬件的防火 墙，目前有f w - 2 0 0 0 和f w - 3 0 0 0 等产品。网络卫士防火墙由多个模块组成，包括包过滤、 应用代理、n a t 、v p n 、防攻击等功能模块，各模块可分离、裁剪和升级，以满足不同 用户的需求。管理器的硬件平台为能运行n e t s c a p e4 0 浏览器的i n t e l 兼容微机，软件平 台采用w i n 9 x 操作系统。 从对防火墙产品的分析可以看出，各厂商都有向分布式防火墙发展的趋势，丽且有些 也具有了分布式系统的特征，比如，c y b e r w a l l p l u s 系列防火墙中已经分为网络防火墙、 主机防火墙和中心管理等产品，而且也把执行防火墙策略的位置分布在网络端点上；而 c i s c o 的产品中也提出了基于策略的管理方式等，可见分布式防火墙是网络安全发展的方 向，而定义高效统一的策略语言、设计更完善的系统结构、采用更完善的加密认证措施 也是新一代分布式防火墙产品努力的方向。 1 3 本文的工作 本文分析了一个面向小型混合网络的分布式防火墙原型系统h y w a v e g u a r d 的设计和 实现过程，并具体介绍了其中的一些关键技术。 h y - w a v e g u a r d 项目是多人合作的，与本文作者一起进行研究实现的还有何荣盛、李海 等同学。本文作者参与了h y w a v e g u a r d 系统的节点防火墙的设计与实现过程，并具体实 现了其中的策略分发与策略执行部分。 本文的主要内容包括： 1 策略分发方法及策略控制中心与节点防火墙的通信方法。 2 内核驱动原理。 3 内核安全策略的加载。 4 协议分析与数据包过滤机制。 7 分布式防火墙的靖略分发与执行 2 分布式防火墙概述 2 1 防火墙 i n t e m e t 的飞速发展使得网络安全面临前所未有的严峻局面，防火墙作为一种行之有 效且应用广泛的网络安全产品，是公认的网络存取控制的最佳安全解决方案，成为当前 计算机网络的重要组成部分。 2 1 1 防火墙概述 防火墙是用来保护网络安全的一种措施，不严格地说，防火墙指拒绝末授权的外部用 户访问内部特定主机或服务的任何设备和方法；较严格的说，防火墙指强加于两个网络 之间边界处，保护内部网络免遭来自外部网络的威胁的系统或系统组合，这种系统或系 统组合实际上是网络通信监控系统 9 1 。通常把被保护的网络称为内部网络，不被信任的一 方则被称为外部网络。 一般认为它具有以下三个方面的基本特性： 内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络 位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通 道才可以全面、有效地保护企业的内部网络不受侵害。 只有符合安全策略的数据流才能通过防火墙。这是防火墙的工作原理特性。防火墙之 所以能保护企业内部网络，就是依据这样的防护机制进行的。它可以由管理员自由设 置企业内部网络的安全策略，使允许的通信不受影响，而不允许的通信全部拒绝于内 部网络之外。 防火墙自身应具有较强的抗攻击免疫力。这是防火墙之所以能担当企业内部网络安全 防护重任的先决条件。 防火墙控制数据访问及传输，既可以保护内部网络的信息不受外部非法用户的访问和 入侵，也可以限制内网访问不良信息。防火墙通过定义一个规则组合或安全策略来控制 网络间的通讯，并可以记录各种i n t e m e t 应用服务的存取信息、隐藏企业内部资源、减少 企业网络暴露的危险。 防火墙是一个集成多种安全技术的网络安全解决方案，它不是一个单独的程序或设 备。防火墙是软硬件的结合体，它也可以由软件和硬件两部分组成，防火墙产品也分为 软件防火墙和硬件防火墙，通常硬件防火墙只是将软件防火墙的一部分固化在硬件设备 里实现的。 2 1 2 防火墙的系统结构 目前，防火墙的体系结构一般有以下几种：双重宿主主机体系结构、被屏蔽主机体系 结构、被屏蔽子网体系结构f l o l 。 1 双重宿主主机体系结构。 双重宿主主机体系结构相当简单，双重宿主主机位于两者之间，并且被连接到i n t e m e t 分布式防火墙的策略分发与执行 和内部的网络。整个体系结构是围绕具有双重宿主的主机计算机而构筑的，该计算机至 少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器；实现双 重宿主主机的防火墙体系结构禁止从一个网络到另一个网络发送i p 数据包。因而，p 数 据包并不是从一个网络直接发送到另一个网络的。夕卜部网络和内部网络都可以和双重宿 主主机通信，但是它们之间不能直接通信，必须经过双重宿主主机的过滤和控制。双重 宿主主机的结构如图2 1 所示。 图2 - 1 双重宿主主机体系结构 f i g u r e2 - 1t h ea r c h i t e c t u r eo f d u a l - h o m e dh o s t 2 被屏蔽主机体系结构。 被屏蔽主机体系结构防火墙使用一个路由器把内部网络和外部网络隔离开，如图2 - 2 。 。弯黧1 4 臻楚均胄，主要的安全由数据包过滤提供。这种体系结构涉及到堡垒主机。 芸苎妄墼垄宴笪塑圭塑主机能连接到的唯一的内部网络上的系统。任何外部爵；i ；穗谤 阜内塑塑委鲁冀望爹都必须先连接到这台主机。因此堡垒主机要保持量篙辱冱萌至莸妥 全。数据包过滤容许堡垒主机对外根据站点的安全策略开放可允许的莲接。羞磊矗翁蠢 坌塑苎堕奎苎塑茎堕坌茎皇垫堑 由器中数据包过滤配置可以按下列方案之一执行：允许其它的内部主机为了某些服务开 放到i n t e m e t 上的主机连接( 允许那些经由数据包过滤的服务) ；不允许来自内部主机的 所有连接( 强迫那些主机经由堡垒主机使用代理服务) 。 3 被屏蔽子网体系结构。 被屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络 进一步把内部网络和外部网络隔离开。被屏蔽子网体系结构的最简单的形式为，两个屏 蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边 网与外部网络之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。非授权 用户要侵入用这种体系结构构筑的内部网络，必须通过两个路由器，即使侵入堡垒主机 仍须通过内部路由器，其结构如图2 3 所示。 图2 - 3 被屏蔽予网体系结构 f i g u r e2 - 3t h e a r c h i t e c t u r eo f s c r e e n e ds u b n e t 从防火墙的几种体系结构可以看出，防火墙依赖于网络拓扑结构，它通过部署在网络 边界来保护内部主机，没有考虑到对局域网外移动用户的保护，也不能抵御来自内部的 攻击。 2 1 3 防火墙的实现技术 实现防火墙的主要技术有：数据包过滤和代理服务器等“”。 1 数据包过滤技术 包过滤( p a c k e tf i l t e r ) 技术是在网络层中对数据包实施有选择的通过，它具备良好的 效能和延伸能力。它工作在网络层，只能提供邛地址的过滤功能。依据系统内事先设定 的过滤逻辑，检查数据流中每个数据包后，根据数据包的源地址、目的地址、t c p 加d p 源端口号、t c 啪p 目的端口号及数据包头中的各种标志位等因素来确定是否允许数据 包通过，其核心是安全策略即过滤算法的设计。 包过滤技术的应用非常广泛，因为包过滤技术相对较为简单，只需对每个数据包与相 应的安全规则进行比较即可得出是否通过的结论，所以防火墙主机c p u 用来处理包过滤 l o 坌塑壅堕查撞塑篓堕坌垄皇垫堑 的时间非常短，执行效率也非常高。而且这种过滤机制对用户来说完全是透明的，根本 不用用户先与防火墙取得任何合法身份，符合规则的通信，用户根本感觉不到防火墙的 存在，使用起来很方便。 封包过滤可知道每一个i p 的来源地址，但不知道使用者为何人。同样的，它会检测网 络层的封包，而不会去管是什么应用程序，所以封包过滤的功能不够安全，因为他们不 会监测到应用程序，无法知道封包传送内容，易被非经授权的使用者侵入，而且这种包 过滤防火墙技术方案配置比较复杂，对网络管理员的要求比较高。 2 代理服务器技术 代理服务器( p r o x ys e r v e r ) 作用在应用层，它用来提供应用层服务的控制，起到内 部网络向外部网络申请服务时中间转接作用。内部网络只接受代理提出的服务请求，拒 绝外部网络其它节点的直接请求。 具体地说，代理服务器是运行在防火墙主机上的专门的应用程序或者服务器程序；防 火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主主机，也可以是 一些能够访问因特网并被内部主机