（计算机应用技术专业论文）分布式防火墙结构模型关键技术的研究.pdf

硕士学位论文 m a s t c r s t h e s i s a b s t r a c t w i t h t h e h i g h - s p e e d d e v e l o p m e n t o f i n t e r n e t , i n t e r n e t a p p l i c a t i o n s h a v e b e e n a m o r e a n d m o r e i n t e g r a t e d p a r t o f t h e d a i l y l i v e s o f p e o p l e . t h e t r u s t r e l a t i o n s h i p s h a v e b e e n m o r e a n d m o r e c o m p l e x a n d t h e t r a d i t i o n a l f i r e w a l l i n f r a s t r u c t u r e b u i l t o n t h e t r a d i t i o n a l t r u s t m o d e l i n w h i c h a l l t h e h o s t s i n s i d e p o i n t o f a f i r e w a l l i s t r u s t e d i s n o t e n vi ron me nt. a r e t r u s t e d a d a p t a b l e i n a n d t匕 e n o n e o f t h e h o s t s c u r r e n t i n t e r n e t e n f o r c e m e n t f r o m o u t s i d e a p p l i c a t i o n t h i s t h e s i s f i r e w a l l c o n c e p t o n t h e b a s i s o f s t e v e n m . b e l l o v i n s d i s t r i b u t e d a n a l y s e s t h e p r o b l e m s a t r a d i t i o n a l f i r e w a l l f a c e s , d e s c r i b e s a d v a n t a g e s o f d i s t r i b u t e d f i r e w a l l , p u t s f o r w a r d t h e d e t a i l e d o b j e c t s o f d i s t r i b u t e d f i r e w a l l , a n d b u i l d s u p a r e l a t i v e l y c o m p l e t e p r o t o t y p e o f d i s t r i b u t e d f i r e w a l l . i n t h e t e c h n o l o g i e s d i s t r i b u t e d e n f o r c e m e nt p r i n c i p a l a d o p t e d b y f i r e w a l l p a r t o f t h e d i s s e r t a t i o n , t h e t w o k e y t h e p r o t o t y p e , t h e m a n a g e m e n t m e c h a n i s m o f s y s t e m a n d i p s e c n e t w o r k l a y e r m e c h a n i s m w i t h t r u s t m a n a g e m e n t a p p r o a c h ,are c o n t r o l a n a l y z e d a n d d i s c u s s e d i n d e t a i l . i n d e s c r i b i n g p o l i c y m a n a g e m e n t m e c h a n i s m o f d i s t r i b u t e d f i r e w a l l s y s t e m , m a n a g e m e n t , p u t s t h i s d i s s e r t a t i o n a n a l y s e s c o m p l e x i t y o f s y s t e m a n d f o r w a r d ar e a s o n a b l e d i s c u s s e s s y s t e m m a n a g e m e n t m o d e l e x p l a i n s k e y n o t e t r u s t s y s t e m ,d i s t r i b u t e d m a n a g e m e n t p o l i c y c o m p o s i t i o n , rev oc ati o n. a n d d e s c r i b e s t h e p r o b l e m o f p o l i c y u p d a t ea n 贾 a f l 口 k e y w o r d s n e t w o r k s e c u r i t y k e y n o t e d e c e n t r a l i k e f i r e w a l ld i s t r i b u t e d t r u s t m a n a g e m e n t i p s e c 第一章 绪论 1 . 1概述 在 当今快节奏的商业环境中，没有把你的私有网络接入公用的 i n t e r n e t 而想赢得竞争， 这实际上是不可能的u 。 如果你想处于这一竞争的 前列， 你的雇员需要能够快速的访问， 同合作伙伴、 顾客甚至大到整个世界 一起共享信息。 不幸的是， 这样的连接很容易提供给不受信任的外部一种窥 探公司虚拟专网、访问 或篡改内部信息和资源的途径12 1 防火墙是一种必不可少的安全实施机制， 它将不可信网络同可信网络隔 离开3 1 。防火墙筛选两个网络间所有的连接，决定哪些传输应该被允许， 哪 些应该被禁止。这一决定是基于安全管理者制定的一定形式的安全策略。 防火墙的基本工作是隔离网络，采用规则集实施安全策略4 1 。 最普通的 防火墙特性包括: 用边缘防御使网络访问安全， 控制所有的网络输入、 输出 连接，通过预先定义的规则过滤数据，“ 认证”用户和应用程序以确保允许 它们访问内部网， 为安全审计目的记录行为， 在可疑事件发生时积极通知相 应的人。 防火墙通常用来保护处于公众 i n t e r n e t 上的内部合作网络，但也可适 用于隔离内 部网 络中的 独立部门 15 1 。 在整个网 络上 使用防火墙可以 赋予 管理 者运用不同的访问控制规则来控制各种工作组和相应的网络子网的能力 6 1 i n t e r n e t防火墙也通过提供一层防范内部缺口的保护以增强安全。例如， 在 a部门的前面设立一个独立的防火墙能使得内部软件开发组的工程师窥 探敏感的 a 数据变得十分困难。 1 . 2防火墙技术发展史 防火墙的定义是一个置于两个网络之间， 根据安全策略过滤网络间通信 流 量的 组 件 集 7 1 第一代防火墙开始出现在大约十几年前， 它是一种简单的包过滤路由器 形式。 当今， 有多种防火墙技术供网络安全管理者选择。 有三种基本的防火 ， 本论文研究工作受到国家教育部重点科技项目 “ 新型中小企业网管代理服务器的开发 研究 ( 9 9 0 8 5 ) 资助 墙结构构造技术， 然而现在他们的区分界线不再明显。 这三种是: 标准包过 滤19 ;状态包检测(9 1 ;应用级代理n o t . 包过滤防火墙 最早的防火墙采取简单的包过滤形式。 术语“ 包过滤”最常用于描述通 过将每一个输入或输出包中发现的信息同访问控制规则相比较来决定阻塞 或通过包 川 。 这种防火墙着眼于每一个独立的进入头部， 并和它的规则集比- 较 工 p 地址和源、目的端口。若地址和端口信息是允许的，包继续通过防火 墙直接的到达它的目的。如果包在这一测试中失败，将在防火墙处丢弃它。: 我们将网关宿主机同守卫的行为做个类比。当载有包的运输卡车到达， “ 包过滤”守卫快速的察看正确的住户地址， 检查卡车方的标示己确保它是 正确的， 接着送卡车通过关卡传递包。 虽然这种方法毕竟比没有关卡更安全， 但是它还是比较容易通过并且会使整个团体暴露于危险之中。 包过滤防火墙时最快的防火墙， 这是因为它们的操作处于网络层并且只 是粗略检查特定的连接的正确性p 2 1 。 例如 h t t p 通常为 w e b 连接使用 8 0 号端 口。 如果公司的安全策略允许内部职员访问网站， 包过滤防火墙可能设置允 许所有的连接通过8 0 号这一缺省端口。不幸的是象这样的假设会造成实质 上的安全危机。当包过滤防火墙假设来自8 0号端口的传输通常是标准 w e b 连接时， 它对于应用级上实际发生事件的能见度为零。 任何意识到这一缺陷 的人都可使用 8 0号端口在没有被认证的情况下进入私有网络而不会被侦测 到。 许多安全专家也批评包过滤防火墙， 因为它们允许端点间的直接连接通 过防火墙1 1 3 1 。 一旦防火墙允许某一连接， 就会允许外部源直接连接到防火墙 后的目标目的地，从而潜在的暴露了内部网络，使之容易遭到攻击。 . 应用代理防火墙 在包过滤防火墙出现不久， 许多安全专家开始寻找更好的防火墙安全机 制1 1 4 1 。 他们相信真正可靠的防火墙安全仅仅发生在禁止所有通过防火墙的直 接连接， 在协议栈的最高层检验所有的输入数据 15 1 。 为测试这一理论， d a r p a ( d e f e n s e a d v a n c e d r e s e a r c h p r o j e c t s a g e n c y ) 同 在 华 盛 顿 享 有较 高声 望 的以研究受信信息系统著称的先进安全研究机构签订了合同以开发安全的 “ 应用级代理”防火墙。这一研究最终造就了 g a u n t l e t ，它是第一代为 d a r p a 和国防部的最高标准设计的商业化的应用级代理防火墙。 应用级代理防火墙模式提供了十分先进的安全控制。 因为它通过在协议 栈的最高层检查每一个东西而提供了足够的应用级连接的信息1 1 6 1 。 因为在应 用层中它有足够的能见度， 应用级代理防火墙能很容易看见前面提及的每一 . . . 个连接的细节从而实现安全策略。 例如这种防火墙能很容易运用适当的策略 区 分 重 要的 应 用 程 序 命 令 ， 象f t p 1 1 6 1 的“ p u t ” 和“ g e t 。 应用级代理防火墙也具有内建代理功能的特性一一在防火墙处终止客 户连接并初始化一个新的连接到受保护的内部网络。 这一内建代理机制提供 额外的安全， 这是因为它将内部和外部系统隔离开来， 对于系统外部的黑客 在防火墙内部系统上进行探测变得更困难。 考虑前面的安全守卫类比。和刚才在输入包中查找地址不同的是，“ 应 用级代理”安全守卫打开内一个包， 检查它的整个内容并将发送者的信任书 同己明确建立的评价标准集相比对。 如果每个传输通过这种细致的检查， 签 署传送标记， 送卡车司机去他的路径并在内部送一份受信快递以传递该包到 合适的住户。 这种安全检查不仅更可靠而且司机不可能看到内部。 尽管这些 额外的安全机制花费更多的处理时间， 但可疑行为绝不会允许通过“ 应用级 代理”安全守卫。 由于它们先进的安全特性， 应用级代理防火墙很快成为政府、国防、 医 疗等有安全意识工业的标准。 . 状态包检测 为了克服基本包过滤模式所带有的明显的安全问题， 一些包过滤防火墙 厂商发明了被称为 “ 状态包检测”的概念! 1 8 ) 。基于上面提到的包过滤技术， 状态包检测模式增加了更多的安全检查以达到与应用级代理防火墙相类似 的安全特性。 和简单的查看每一个单一的输入包的地址不同的是， 状态包检 测防火墙在网络层拦截输入包直到有足够多关于企图连接的 “ 状态”信息， 通过这些信息防火墙做出决策。 这些包在操作系统内核的特有“ 检测”模块 中检测。 安全决策所需的状态相关信息在检测模块中检测， 然后保留到为评 价后续连接企图的动态状态表中。 被检查通过的包发往防火墙内部， 允许直 接连接内部、 外部系统。因为大部分检测发生在内核， 因而状态包检测防火 墙通常比应用级代理防火墙更快。c h e c k p o i n t的f i r e w a 1 1 - 1 是当今市场 上最广泛使用的状态包检测防火墙。 尽管状态包检测防火墙方法显著的增强了简单包过滤防火墙的安全， 但 它仍然不能提供和前面提及的应用级检测相似的充足能见度。 例如， 在需要 收集的包多到象u r l s 或文件的安全检测时， 状态包检测防火墙就难以胜任。 但应用级代理防火墙有足够的能见度可以准确的知道它在协议栈的最高层 的意图， p c 而 状 态 包检 测防火 墙必须 在 没有 这 些信息的 情况下做出 安 全决 策。例如，当应 用级代理防火墙厂商声 称他支持 m i c r o s o f t s q l s e r v e r , 你就知道任何远程连接到内部 s q l s e r v e r 服务器必须在应用层通过专门的 m i c r o s o f t s q l 代理接受全面的检测。 对于状态包检测防火墙，允许远端办 公室的职员访问在防火墙后面重要的s q l 数据库肯定是要冒更大风险的。 假设我们的安全守卫是“ 状态包检测”守卫。 这次当包到来时， 和仅简 单的检查地址所不同的是， 守卫检测装货单看是否包内有任何东西是被禁止 的。 虽然它比简单的包过滤好， 但它还是不如真正打开包检测它的内容安全。 如果包看起来是可接受的，守卫打开关卡，允许运货卡车进入。 和大多数安全工业专家一样，h u r w i t z g r o u p 资深分析家s t e v e n f o o t e 认为状态包检测防火墙的安全性比应用级代理的要少。“ 应用级代理防火墙- 本质上提供了比包过滤防火墙更多的安全，不管它是有状态的还是无状态 的。”f o o t e说， “ 带有状态检测的包过滤防火墙仍然允许外部用户直接访 问商业应用程序和系统， 而这些可能配置在拥有众所周知的安全弱点的操作 系统上。 应用级代理就通过一个代理自身具有的有限、 明确的任务集来限制 访问应用程序或计算机系统从而掩盖了这些同样的弱点。” 1 . 3防火墙技术的发展方向 随着时间的推移， 防火墙技术也不断向前发展口 新的理论在不断提出和 逐步完善。 1 . 3 .1自适应的代理服务防火墙 “ 自 适应代理”是一种新的防火墙设计【 1 9 1 。它将前 几代防火墙的优点 合成到一个单一的完整系统中并使它们的弱点缩减到最小。 作为自 适应代理 服务器， 基本安全检测仍在安全应用层进行， 但一旦安全检测后续包能重新 直接通过网络层。因此自适应防火墙基本上和标准代理服务防火墙一样安 全，并且比状态包检测有更快的性能。 自适应代理防火墙也比标准的代理防火墙更灵活，给安全管理者更明 确的控制以满足他们的特殊需求从而使“ 速度和安全”的折衷处于最佳状态 12 0 1 。 采用包过滤还是代理， 防火墙管理者不需要做出决定。因为它们的配置 是自 动适应。 在我们的安全守卫的例子中，我们假设守卫现在是 “ 自 适应代理”守 卫。 在一些情况下， 原来的“ 应用级代理” 守卫比“ 状态确认” 守卫更安全。 例如， 我们假设张师傅是一个有着十年工作经验邮递员， 每天要送大量的信 件给某大厦住户。 原来的应用级代理保安每一次都打开邮件袋检查一下， 看 是不是本大厦住户的邮件。 接着他在标明他的投递名单并由大厦内受信的邮 件分捡员安排投递之前，检查张师傅的i d( 虽然他认识张师傅多年) 。 这种 方法是十分牢靠的。但在特定情况下增加额外延时是不值得的。 采用新的自适应代理机制，速度和安全的 “ 平衡点”一开始就能由防 火墙管理员设置。 防火墙可以确切的知道在各种假定中， 究竟什么级别的风 险是可以接受的。 一旦这样的决定作出后，自适应防火墙管理所有处于这一 规则下的连接企图，自动的“ 适应” 传输流，从而获得与所选择的安全级别 相适应的尽可能快的性能。 例如， 在这种情况下 “ 自适应代理”守卫也许被 告知检查张师傅的 工 d ，检查邮件投递单，检查邮件收件人，接着处理包。 但当下一个投递到来时， 守卫在整个安全模式下按照策略简化处理过程， 增 强守卫的处理能力。 1 . 3 . 2 新型混 合防火墙2 1 1 大型企业分布在不同地理位置的子公司通过 i n t e r n e t 传递业务信息己 成为 i n t e r n e t 上的一个新的发展趋势， 因而人们提出了“ e x t r a n e t 概念。 通常 “ e x t r a n e t ”是通过虚拟专网 ( v p n )技术来实现的。传统防火墙设计 是难以适应这一需要的。 分级的安全策略管理能力在传统防火墙设计中显得非常差。 其通常采用 的方式是基于i p 地址的管理模式。 基于i p 地址的管理模式有两大缺陷: 1 p 地址盗用( 虽然可以建立一个a r p 服务器将 i p 地址与网络适配器地址锁定， 但这需要额外的计算、 查询开销， 必将降低整个系统的运行效率) 难以支 持用户级的分级安全策略管理 ( 在现实环境中有着广泛的应用价值) 。 防火墙技术领域中速度与安全是永恒的主题。 通常高安全性的传统防火 墙必然构成整个企业网的瓶颈。 其原因是安全计算过度集中， 大量的应用级 检测、 过滤计算使防火墙的吞吐能力大幅下降。 降低了传统防火墙在大型网 络中的应用效能。 新型混合防火墙结构融合了 i p s e c技术2 2 1 和分布式概念， 在一定程度 上解决了当前所面临的问题。 新型混合防火墙主要运用了i p s e c 技术和分布式计算思想。 i p s e c 技术 运用到新型防火墙结构中， 从根本上解决了企业网内部的不安全因素， 大大 降低了企业网内窥探和欺骗的可能性。 i p s e c 技术的应用也解决了企业对安 全与“ e x t r a n e t ” 的双重需求。 防火墙运用了一次一密的认证方式 ( 认证模 块可以根据用户的实际需要采用其他安全等级更高的认证方法) ，很好的支 持了用户级的分级安全策略管理。 分布式概念的引入， 使得防火墙有效的降 低了中心防火墙模块的计算负载， 大大缓解了中心防火墙模块吞吐能力的瓶 颈。 同时在用户端布置的个人防火墙模块处理原来在传统防火墙中进行的应 用级安全处理，这提高了新型混合防火墙的安全处理能力。 在这样一个有防御纵深的立体防火墙结构中， 如果能够很好的用集群解 决好中心防火墙模块负载均衡的问题， 安全策略管理人性化问题， 应用级检 测与过滤细节上的问题，此新型混合防火墙结构将有非常光明的发展前途。 1 . 3 . 3分布式防火墙 该理论是近几年才提出的全新概念。它的设计理念顺应了工 n t e r n e t 的 发展及其产生的广泛应用。 本文将围绕这一理论展开阐述， 这里就不再赘述 了。 1 . 4本文的研究工作和本文的结构 在阅读和研究当前防火墙技术面临的问题后， 本文在s t e v e n m. b e l l o v i n 提出的分布式防火墙概念2 3 1 的基础上，建立了一个完整的分布式防火墙系 统框架， 并详细论述了分布式防火墙系统的策略管理机制和带有信任管理机 制的i p s e c 网络层控制实施机制。 在分布式防火墙的系统结构上，采用全新的部署方式; 本文提出了一个可伸缩的策略管理机制; 在策略管理 机 制中 引 入k e y n o t e 信任管 理 机 制 2 a 作为其 低级安 全 策略实施机制。 . 在网络层的安全控制上采用了更为有效、 更安全的 i p s e c 协议作为 网络层的安全控制机制。 本文的结构安排如下: 第二章，回顾了传统防火墙面临的问题，介绍分布式防火墙基本概念， 及其产生的优点，提出了分布式防火墙系统的结构模型; 第三章，提出了分布式防火墙系统策略管理模型; 第四章，论述了带有信任管理机制的i p s e c ; 第五章，总结全文并对今后的工作提出建议。 第二章 分布式防火墙结构 2 . 1传统防火墙面临的问题 传统防火墙作为受控入口把网络分割成内部和外部两个网络。 由于防火 墙不能过滤未通过它的通信流量， 因此要假设内部网络中的所有主机都是可 信任的而外部网络的所有主机都是不可信任的12 5 1 当网络处于有限的拓扑结构时， 这种模式可以很好的工作。 但随着网络 连接的拓展，比如 e x t r a n e t ，高速线路，多入口以及远程通信等等，这种 模式就面临巨大的挑战四: . 防火墙不保护网络免遭内部攻击。由于内部网络中的每一个人都是 受信任的并且这些受信任的网络间的通信流量不通过防火墙，因而 传统防火墙不能过滤内部通信流量，那么它也就不能保护系统免遭 内部威胁了。对于传统防火墙，解决上面问题的唯一途径是在内部 网络中布置多个防火墙。由于不得不在这些防火墙上使用不同的安 全策略，因而管理的负荷及复杂性都显著提高。 . 巨幅拓展的i n t e r n e t 连接使得这一模式变得陈旧。 外部的e x t r a n e t 和远程通信者访问全部或部分内部网络是应该允许的。与此同时， 如果远程通信用户的计算机没有使用加密的隧道进行通信 2 7 1 ， 特别 是在 c a b l e m o d e m和 x d s l日见普及的情况下，这些计算机在使用 工 n t e r n e t 连接时也需要保护。当前，大部分远程通信用户通过 v p n 隧道连接组织的内部网络。如果他们也使用 v p n隧道访问普通的 i n t e r n e t资源，这不仅仅是低效的 ( 它会产生 “ 三角路由” )如果 他们不使用 v p n隧道，那么就会敞开一个安全漏洞或者会增加众多 布置在不同位置的个人防火墙的工作量。 . 端到端加密是对防火墙的另一个威胁。 在 i n t e r n e t 上有许多外部的 w e b 代理服 务 2 8 1 ，比 如w w w . a n o n y m i z e r . c o m 。 用户能够很容易的 在 他们的主机和外面的机器间设置加密隧道2 9 1 。而他们的主机在组织 内部网中。由于防火墙没有查看加密报文的密钥，因而它不能根据 其安全策略适当的过滤通信流量。假设这样的隧道由怀有恶意的黑 客控制，这几乎是无法侦测到的，因为所有的报文都是加密的。 . 有一些协议不容易为防火墙所处理。由于防火墙缺乏某种知识，像 f t p , r e a l a u d i 。 这样的协议需要使用应用级代理以设法通过防火墙。 硕士学位论文 m a s t e r s i i i g s i s 一个防火墙是一个单一的入口。这是传统防火墙执行其安全策略、 过滤通信流量的位置。这一点也是一个脆弱点。如果防火墙由于某 种原因死机，那么整个内部网络就和外界隔绝开了。即使有一些高 可靠性措施，比如防火墙配置的热备份等等，但它们的价格却高得 惊人。 防火墙越来越成为网络的瓶颈。由于日益增快的网络速度通过的数 据量以及防火墙必须支持协议的复杂性，这些都可能使防火墙成为 网络的拥塞点。 未授权的入口可以绕过防火墙安全防范措施。对于任何人来说，建 立一个连接到网络而管理员不知道或不需其同意的未得到授权的新 入口是十分容易的。多种多样的隧道，无线以及拨号访问方式允许 个人建立后门， 这样可以绕过传统防火墙提供的安全机制进行访问。 防火墙通常是不注意防止内部的错误行为的，这样在内部对连接方 式更多需求和采用中心式防火墙很难满足这种需求之间就形成了一 种矛盾。 2 . 2分布式防火墙概述 在典型的组织化环境中，每个人不一定是他们所使用计算机的管理者。 为了简化系统管理和允许一定程度的中心控制， 系统管理包用以管理各个机 器。我们是用同样的机制来控制防火墙四。 在分布式防火墙中， 每一个部署了这种类型防火墙的独立主机实施策略 训。 安全管理者根据主机标识符来定义安全策略。 他们不再必须是本地的管 理者， 因为在分布式防火墙中不再有拓扑结构的约束。 制定的策略 ( 可能不 必被编译成适当的内部形式) 被分发。 在处理输入、输出信息之前， 要查询 策略以验证这些信息的传输行为是授权的。 很自然我们会想到这种处理可以 在网络层或传输层。 如果对等主机是由证书所标识的， 那么这种策略实施就特别有用。 如果 这样， 每个主机就有更可信的标识， 在传统防火墙中是靠极不安全的i p 地址 来标识的， 而i p 地址是极容易被盗用的。 在传统防火墙中， 所有的内部主机 都是同等地位的。 如果这些机器中的任何一台被攻占， 那么攻击者很容易通 过这台机器向内 部的其他主机发起攻击，继而掌控所有未授权的资源。 而在现 实中，这种攻击是十分常见的，并且传统防火墙是无法解决这一问题的。分布 式防火墙引入了证书作为标识符，这就从根本上杜绝了这一潜在的威胁。 硕士学位论文 m a s t e r s i i i e s i s 分布式防火墙不再存在单一的阻塞点。 从性能和可用性两方面来说这都 是十分重要好处， 吞吐量不再受到防火墙速度的限制， 同样地， 不再存在可 能孤立整个网络的单一故障点。 有人试图用多个防火墙来解决这些问题， 但 往往这种冗余要求有很复杂的( 并且可能是不安全的) 防火墙到防火墙的协 议。 今天的防火墙无法了解主机的意图， 它们只能依赖于各种协议的外部可 见属性来分析。因此，如果进入的 t c p 报文置了 “ a c k ”位，可能会被认为 是合法的。 但是经伪装的a c k 报文可能实际上来自于“ s t e a l t h s c a n n i n g . 同样地， 防火墙也很难正确对待u d p 报文， 因为它们不能区分自己是输出查 询的合法应答， 还是进入的攻击。 然而发送的主机知道。因此依赖于主机来 作出适当的决定更为安全。 缺省情况下，f t p客户使用 p o r t命令来指定用于数据通道的端口号， 这是一个应该被允许的动作，但却是一个一般不被允许穿越防火墙的操作。 今天的防火墙一一即使是有状态的包过滤器一一一般采用一个应用级网关 来处理这种命令。而采用分布式防火墙，当主机正在监听某一数据连接时， 主机自己能够判断合法的连接，并能拒绝随机的探测器。 最重要的是分布式防火墙可以保护不在拓扑边界内的主机。 例如一个远 距离工作者 ( t e l e c o m m u t e r ) 会以普通方式访问i n t e r n e t 和以隧道方式连 接公司网络 3 2 1 。 如何保护这台主 机呢?一种传统的方法是在隧道连接时对 机器进行保护，但这样就要求普通的i n t e r n e t 访问也要通过隧道进入公司 网络， 然后再回到 工 n t e r n e t 上。 除了效率问题， 这种对 工 n t e r n e t的使用通 常会与公司条例发生冲突。 而且当隧道未建立时， 对机器没有任何保护。 相 比之下，无论隧道是否建立，分布式防火墙都一直保护着机器。由 工 p s e c 认证的公司报文被授予更多的特权，从随机 i n t e r n e t 主机发出的报文根据 检查可能被拒绝。 2 . 3分布式防火墙的优点 . 拓扑结构独立性i; i 。分布式防火墙最重要的优点是他们能保护主机 又不受拓扑结构的约束。 对于那些既使用 工 n t e r n e t 进行一般访问又 使用 工 n t e r n e t和公司网络进行隧道通信的远程通信用户就能够得 到更好的保护。采用分布式防火墙，主机随时都得到保护，无论是 否使用了隧道机制。再也不需要 “ 三角路由”去访问那些普通资源 了。 防止内部攻击。分布式防火墙摆脱了拓扑结构的约束后，对于内部 攻击主机不再显得脆弱。对于主机，再也没有内部和外部网络的区 别。主机能够通过其加密的证书标识，这减少了标识欺骗的机会。 减少单一点的脆弱。传统防火墙需要单一入口执行策略。这不仅造 成了单一点的脆弱而且防火墙的速度限制了整个网络的性能。多重 负载均衡的防火墙集群虽然可以解决这样一个问题，但它的价格十 分高昂，部署也十分的繁杂。假设部署分布式防火墙，这些问题都- 可以减少到较低的水平。这样性能、可靠性、有效性不再依赖于某 个机器。 主机可以做出更好的决定。传统防火墙在主机的真实意图这方面没 有足够的知识。一个例子是端到端的加密通信流量。它能很容易的 绕过传统防火墙的规则，因为防火墙没有必需的密钥。还有，许多 防火墙被设置成用置 a c k 位来传递外来的 t c p 报文。因为它们认为 这些报文是给那些初始化一个会话的主机的回应。非常不幸的是， 这不总是对的。欺骗性的 a c k报文能作为 “ 窃取性扫描”的一个部 分来使用。与之类似的，传统防火墙不能恰当的处理 u d p报文。与 此相反，初始化会话的主机准确的知道什么报文是它期望的，什么 报文不是。因为它有足够的知识来决定输入的t c p或 u d p 报文是不 是合法的，在端到端加密的情况下它也有必需的密钥。 2 . 4分布式防火墙的结构模型 分布式防火墙的设想很显然极大的增强了各种分布式应用的安全性。 在 上一节中所讲述分布式防火墙的优点正是现在我们防火墙安全所急需的。 本 节将在该设想的基础上提出分布式防火墙的结构模型的设计目标， 并定义一 个实际意义上的分布式防火墙结构模型。 2 . 4 . 1分布式防火墙结构模型的设计目 标 很显然分布式防火墙结构模型的目标应该充分考虑当前以及今后一段 时间网络应用的现状及趋势。分布式防火墙结构模型的目标是: . 标识符应基于证书。 只有采用证书作为分布式防火墙系统用户的标 识符才能充分体现该系统带来的好处。 因为分布式防火墙的一大优 势就是摆脱了对拓扑结构的依赖。采用 i p作为用户标识符已不再 适合。当然，为了和以前的系统兼容，部分的允许 i p作为用户标 示符也应该允许，但这会带来一定的安全风险。 要能支持多点实施。这一系统应该能在不同网络层次上布置控制 点。 众所周知的是， 只在一个网络层次上布置控制点是难以解决所 有的控制问题3 毛 r e t u r n o k ) s i g n a t u r e : r s a - m d 5 - p k c s l - h e x : f 0 0 f 5 6 7 3 图3 . 9 k e y n o t e 声明示例 策略和信任证书 ( 合称为声明) 具有相同的格式， 它们的唯一区别就是 策略 ( 即在 a u t h o r i z e r 域中带有关键字 p o l i c y的声明) 是本地受信的 ( 受 一致性检查器信任) ，因此无需签名。 k e y n o t e声明是结构化的，l i c e n s e e s 域明确地指定受权限委托的负责 人。在语法上，l i c e n s e e s域是一个公式，其参数为公钥，其操作为合取 ( c o n j u n c t i o n ) 、 析取 ( d i s j u n c t i o n ) 和阀 值 ( t h r e s h o l d ) . k e y n o t e 中的 程序在c o n d i t i o n s 域中 编码， 这些程序本质上是行为环境 变量的条件运算。 这些条件运算有: 字符比较， 数字操作和比较， 及模式匹 配操作。 硕士学位论文 ma s i e r s t i i g s i s k e y n o t e 声明 之所以 选 择如 此 简单的 语言 4 2 是基于以 下的 原因 : . 早期的声明语言之一 a wk被批评为对于大多数相关的应用来说太 重量级 ( h e a v y w e i g h t )了。由于 a wk的复杂性，解释器的负担过 重，这阻碍了应用开发者将它集成到信任管理组件中去。k e y n o t e 声明语言简单，具有最小规模的解释器。 . 在允许循环和递归的语言 ( 包括a wk)中很难实施资源使用限制， 但是运行信任管理声明 ( 由未知资源编写)的应用通常需要限制其 内存和 c p u的使用。 不包含循环、 动态内存分配和某些其它操作的 语言具有足够的表达力。 k e y n o t e声明的语法被限制，以使资源使 用与 程序大小 成比 例 4 3 1 . 声明应该能被人阅读和理解，并易于用工具由一种高级表达生成得 到。而且，声明应该易于自动分析，以便进行自动验证和一致性检 查。这是目前一个很活跃的研究领域。 . 我们的目 标之一是用k e y n o t e 作为交换策略和分布访问控制信息的 方式，在不使用k e y n o t e 时这些信息将以 应用自己的格式表达。因 此声明语言必须易于映射到多种这样的格式( 例如， 从一个k e y n o t e 声明到包过滤规则) 。 . 所选语言对于k e y n o t e 的评估模型来说是够用的。 有一点需要解释， k e y n o t e 采用深度优先 ( d f s ) 算法来尝试 ( 递归地) 满足至少一个策略声明。满足一个策略声明要求必须同时满足 c o n d i t i o n s 域和l i c e n s e e s 密钥表达式。由 程序运算返回的接受记录被k e y n o t e 评估器 内部使用，且对其它声明不直接可见。由于k e y n o t e 具有较小的评估模型， 一致性检查是可保证的。 是否更强的限制能得到更强的保证则是一个尚未解 决的问题，需要进一步研究。 根本上来说， 对于一个需被证实的请求， 声明图必须在一个或多个策略 声明和签署该请求的一个或多个密钥之间构造。 根据评估模型， 委托图中的 一个声明能有效地仅仅提取 ( 或)传递由图中的前一个声明授予它的权力。 最后，注意 k e y n o t e 像其它信任管理引擎一样，不直接实施策略;它 仅对调用它的应用提供建议。 k e y n o t e 假定应用自 身是受信的， 且策略声明 是正确的。没有什么能够阻止应用向 k e y n o t e发送误导的声明，或者完个 忍略 k e y n o t e a 3 . 4 . 2基于k e y n o t e的策略管理 本文引入k e y n o t e 信任管理作为分布式防火墙策略管理模型的 信任管 理机制， 使各个管理员发布的安全策略描述实现分布式的、 层次化的管理结构。 adm i n 1 d e l e g a t e w e b ma n a g e me n t d e l e g a t e i p s e c ma n a g e me n t adm i n 2 adm i n 3 !lesesra山下 au t ho r i z e us e ra t oa c c e 8 s t o a c c e s s u a c x u y w e b s e r v e d e l e g a t e o f ma i n、 d e l e g a t e i p s e c ma n a g e me n t 、 、 、 f o r f i r e wa l l s a, -i n 4 t ho r i z e us e r b o n n e c t t o t he we b 声d -4 .3 e r u s i n g i p s e c a u th o r iz eu s e r s a 或者不同的 管理者可以被授权发布不同服务的安全策略描述。 可通过在同一种管理层次结构中结合这两种机制来解决管理瓶颈问题。 在每一层中， 一个管理者只需简单的知道委托授权给她的管理者， 以及 那些由她委托授权的管理者或用户。 以这种方式可以构造任意复杂度的授权 图来映射命令链。 在不同管理域之间需要一定程度的资源暴露这一特定情况 下 ( 比如一个公司的合作伙伴) ，每一个域的管理者可以简单的把另一个域 的各个管理者当作自己系统的用户来处理， 委托给他们权利， 使之能再委托 给那个域的用户。 3 . 4 . 3信任证书的更新和撤销 增加一个新用户或授予一个己存在的用户更多的权力只需简单的发布 一个新的信任证书即可。 象删除一个用户或撤销给予的权力这些逆操作就意味着要通知那些可 能试图使用它的实体，这些信息不再有效，即使信任证书本身并没有过期。 这类撤销操作主要应用在用以签署信任证书的管理者密钥被盗或丢失( 在这 种情况下，所有由此密钥签署的证书都要被撤销) ，委托给用户或管理者的 关键权力的被盗或丢失，或是发现证书中包含的信息发生错误。 更新操作可以看作撤销和创建操作的组合， 因此解决了撤销操作 ( 创建 操作在我们的系统中很容易实现) ，也就解决了更新操作。 证书的撤销有四种主要的实现机制: 1 .信任证书自身的有效期。假设有效期足够的短，那么撤销时间窗就 有效的局限在其间。 另一方面， 一个短的生命期意味着用户的信任证书必须 更频繁的重新发布， 这显然会增加管理者的工作负担( 在信任证书的生成和 分发方面) 。极端的情况下， 信任证书仅仅只有几分钟的有效期， c a 则需高 效的处理几乎每一个身份验证协议交换。 这种机制在信任证书以一种临时方式使用 ( 比如资源的临时访问) 时比 较有效。 另一方面， 如果在一给定的已部署的系统中信任证书的撤销比较罕 见， 这样系统所做的无用功( 重新发布短生命期的安全策略描述) 就非常多。 2 .证书撤销列表 ( c r l c e r t i f i c a t i o n r e v o c a t i o n l i s t )及其变量。它的 原理是管理者编辑一个必须撤销的信任证书列表，然后将其分发到实施点 ( 或者，像更典型的，实施点定期从库中检索这一列表) 。这一c r l 由管理 者签署并带有时间戳。 实施点能够通过验证签名和时间戳来确定它收到一个 有效的、非常新的c r l 副本。 一旦要撤销的信任证书超过有效期， 这一信任 证书就可以从c r l 中删去。 一般来说，这种机制仅在要撤销的信任证书比较少的情况下才比较有 效。 3 .刷新信任证书 ( r e f r e s h e r c r e d e n t i a l ) 。这种方式中，长生命期信任证 书的所有者必须周期性的检索和这个长生命期信任证书相关联的短生命期 信任证书。 他们可以简单的通过与信任证书的发布者( 或者持有较新信任证 书的其它实体) 通信即可。 这种方式的好处是较新的信任证书只在用户确实 需要时刁 发布。另一方面，就信任证书所有者来说它需要一些通信。 4 . 在 线证书 状态协 议( o n li n e c e r t i f i c a t i o n - s t a t u s p r o t o c o l ) 14 4 1 。由 信 任 证书验证器向信任证书的发布者( 或其他受信实体) 查询信任证书的有效性。 它的一个缺点是信任证书验证器必须作状态检查，如果信任证书验证器是 w e b 服务器，这种方式会给它造成额外的负担。另一方面，这种方式不需要 同步时钟， 而前三种都需要。 但是由于交换需要是安全的， 这种协议肯定代 价很大。 在2 - 4 中，信任证书的发布者 ( 或其他受信实体)必须发布关于己发布 的信任证书有效性的描述。 由于这些描述必须是可验证的， 因此这些机制需 要发布者的私钥 ( 特别是3 , 4 两种情况) 。但是我们可以使用不同的密钥来 发布和撤销信任证书， 两个密钥都可以出现在信任证书中。 在存有撤销密钥 的机器被威胁时， 攻击者能够将任何已发布的使用被威胁撤销密钥的信任证 书的生命期延长至最大有效期; 但攻击者不能发布新的信任证书， 也无法影 响在侦测到入侵后发布的信任证书的撤销( 因为那时会使用一个新的撤销密 钥) 。 决定使用哪一种撤销机制有赖于系统的情况， 特别是信任证书撤销的频 率有多高 ( 什么原因) ，撤销请求有多紧迫，通信和处理开销以及容量是多 大?对于不需要快速撤销的环境， 基于时间的有效期机制就足矣. 而需要快 速撤销时， 就需要用到证书状态检验协议以提供近似实时的撤销服务。 幸运 的是， 对任何特定信任证书的实际撤销需求可以编码进信任证书自身， 因此 管理者的信任证书可能要求每次使用时都作在线状态检查， 而用户的撤销需 求就可能更宽松一些。 另外， 这些需求可能随着时间改变 ( 在发布新版本的 信任证书时作出不同的需求定义) 。 由于安全策略撤销机制和系统其他部分相对独立， 因此我们能够根据分 布式防火墙系统实现时的不同需求来决定使用哪一种撤销机制， 这并不影响 分布式防火墙系统系统的其他部分。 3 . 5小结 本章详细论述了分布式防火墙系统策略管理机制。 首先第 1 节详尽的分 析了系统复杂性问题。 第2节详细分析了管理复杂性问题。 第 3 节提出了一 个与分布式防火墙结构相适应的策略管理模型。 第4节详细论述了分布式防 火墙策略管理模型中的k e y n o t e 信任管理问题。 第四章 带有