（计算机应用技术专业论文）基于linux的综合型防火墙研究与实现.pdf

摘要 摘要 防火墙作为一种重要的网络安全技术，有着十分重要的研究意义，本文开发 了一个适合中小型用户的具有基本包过滤、动态包过滤、内容过滤，日志管理等 混合功能的防火墙产品。该防火墙以l i n u x 的n e t f i l t e r 架构为基础，用n e t f i l t e r 来 实现基本包过滤功能。本文在n e t f i l t e r 的基础上添加了三个功能模块，分别是： 1 动态包过滤模块：n e t f i l t e r 自带的动态包过滤机制比较简单：只是将源目地 址和源目端口保存在一张连接表中。其检查的连接信息较少，安全性不高。因此 本文重新开发了一个动态包过滤模块，其在连接状态表中增加了连接序号，应答 号，窗口大小等表项，不但检测包是否属于合法连接，判断其t c p 状态转换是否 正确，而且还对包进行序号检查，判断包在这条连接上的合法性，即保证收到的 包不是伪造的包，从丽增强了防火墙的安全性。 2 内容过滤模块：采用基于协议分析的内容过滤算法对数据包进行内容过滤， 解决了包过滤和动态包过滤不能防止基于内容级的攻击问题。该算法在协议分析 的基础上检测数据包是否包含危险字符串，其性能优于一般的模式匹配算法，具 有检 贝| l 快，时延较小等特点。 3 日志管理模块：该模块可以将防火墙日志信息分离出来，插入数据库进行 保存和管理，有利于日后对防火墙日志的审计和检测。 本文还对所设计的防火墙进行了测试。结果表明该防火墙完全满足了设计要 求。文章最后总结了该防火墙的优缺点并对防火墙技术的发展作了展望。 关键字：防火墙l i n u x n e t f i l t e r 动态包过滤 内容过滤日志管理 一些! 三坠坚 a b s t r a c t a sa l l i m p o r t a n tt e c h n o l o g y o fn e t w o r ks e c u r i t y f i r e w a l l h a sg r e a tr e s e a r c h s i g n i f i c a n c e t h i sp a p e rd e v e l o p e daf i r e w a l lp r o d u c tw i t hc o m p o s e dc a p a b i l i t i e so f b a s i cp a c k e t f i l t e r ，d y n a m i cp a c k e tf i l t e r ，c o n t e n tf i l t e ra n dl o gm a n a g e ，w h i c h a p p l i e s t o m e d i u m - s i z e da n ds m a l l - s i z e du s e r s t h i sf i r e w a l lb a s e do nt h en e t f i l t e rs t r u c t u r eo f l i n u x ，i ti m p l e m e n t e dt h eb a s i cp a c k e tf i l t e rf u n c t i o nu s i n gt h en e t f i l t e ro f l i n u x ，b a z e d o nw h i c ht h r e eb a s i cm o d e l sa r ea d d e d 1 d y n a m i cp a c k e tf i l t e rm o d e l ：t h ed y n a m i cp a c k e tf i l t e rc o m ew i t hn e t f i l t e ri s r e l a t i v e l ye a s y ，w h i c ho n l ys a v e t h es o u r c ea d d r e s sa n dp o r t ，o b j e c ta d d r e s sa n d p o r ti na c o n n e c t i o ns t a t et a b l ew i t hl i t t l ec o n n e c t i o nm e s s a g ea n dl o w s e c u r i t y t h e r e f o r e , a n e u ， d y n a m i cp a c k e tf i l t e rm o d e lw a sd e v e l o p e d ，i nw h i c hs o m e t a b l ei t e m sa r ea d d e d ，s u c h a ss e q u e n c en u m b e r ，a n s w e rn u m b e ra n dt h es i z eo ft h ew i n d o w i tn o to n l yc a nc h e c k w h e t h e rt h e p a c k e t i sa l e g a l c o n n e c t i o na n dd e t e r m i n ew h e t h e rt h et c ps t a t e t r a n s f o r m a t i o ni sr i g h t ，b ma l s oc a nt h ec h e c kt h es e q u e n c eo ft h ep a c k e ta n da s s u r e t h a tt h ep a c k e td dt h i sc o n n e c t i o ni st h er i g h to n e t h a ti st os a yt h ep a c k e ti sn o ta f o r g e r yo n e s ot h i sm o d e l c a l li m p r o v et h es e c u r i t yo f t h ef i r e w a l l 2 c o n t e n tf i l t e rm o d e l ：t h i sm o d e lu s e st h ec o n t e n tf i l t e ra l g o r i t h mb a s e do n p r o t o c o la n a l y s i st of i l t e rt h ep a c k e t ，w h i c h c a ns o l v et h ep r o b l e mt h a tt h ep a c k e tf i l t e r a n dd y n a m i cp a c k e tf i l t e rc a n tr e s i s tt h ea t t a c k sb a s e do nt h ec o n t e n t t h i sa l g o r i t h m c a nd e t e c tw h e t h e rt h ep a c k e t sc o n t a i ns o m ed a n g e r o u ss t r i n g so nt h eb a s i so fp r o t o c o l a n a l y s i s i ti sf a s ti nd e t e c t i o na n dh a sl i f f i et i m ed e l a y ，w h i c hi sb e t t e rt h a nc o m m o n p a t t e r nm a t c h i n ga l g o r i t h m 3 l o gm a n a g em o d e l ：i tc a ns e p a r a t et h ef i r e w a l l sl o gf r o mo t h e r s a n di n s e r t t h e s el o g si n t ot h el o gd a t a b a s et os a v ea n dm a n a g e ，w h i c hm a k e sf o rl a t e ra u d i t i n ga n d d e t e c t i o n a l s o ，e x p e r i m e n t so nt h ef i r e w a l ld e s i g n e di n t h i sp a p e rh a v eb e e nc a r r i e do u t ， w h i c hp r o v e dt h a tt h ef i r e w a l ls a t i s f i e st h ed e s i g n sr e q u i r e m e n t s t h ep r o s p e c to f t h e f i r e w a l lt e c h n i q u ea n di t sr e l a t i v em e r i t sw e r ec o n c l u d e d a tl a s t k e yw o r d s ：f i r e w a l i l i n u x n e t f i l t e r d y n a m i cp a c k e t f i l t e rc o n t e n t f i l t e r l o gm a n a g e 独创- 眭( 或创新性) 声明 木人卢明所呈交的论文是我个人在导师指导下进行的研究l 作及取得的研究 成果。尽我所知除了义中特剐1 ) 1 以标注和致谢中所罗列的内窬以外，论文哼；不 包含其他人已经发表或撰写过的研究成果；也不包含为获得谣安l 乜了科技人学或 其它教育机构的学位或汪二衔 陡用过的材料。与我一同工作的删志对奉研究所做 f 一任何贡献均已存论文。f l 做了明确的既明并表示r i f | 意。 t i 请学位论文与资料若有不史之处，本人承担一剀相关费任。 本人签名 关于论文使用授权的说明 本人完全了解两安电子科技大学有关保留和使用学位论文的规定，即：研究 q - d ! 校攻读学位期i 1 4 j 论文工作的知识产权单位属两安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名堆位仍然为两安f 也予科技人学。 学校有权保留送交论文的复e j 4 - i ：，允的：查阅和借蒯论文；学校r j 以公柑论文的个 都或部分内容，可以允许采捌影印、缩印或其它复制手段保存沦文。( 保密的论文 和解密后遵守此舰定) 小学伯：论义心：保密z 【：年解暂厉适用本授权l s 。 ：搏 凑圈 叭身帅f ，劢 翌丝 ! 第一章绪论 防火墙作为一种重要的网络安全技术， 介绍了本课题的研究背景以及选题的意义， 出了全文的内容安排。 有着十分重要的研究意义。本章主要 列举了本文的主要研究工作，最后绘 1 1 背景 出于互联网络的发展，整个世界经济正在迅速地融为一体，而整6 1 玉1 家犹如 一部巨大的网络机器。计算机网络己经成为国家的经济基础和命脉。计算机网络 在经济和生活的各个领域币在迅速普及，整个社会对网络的依赖程度越来越大。 众多的企业、组织、政府部门与机构都在组建和发展自己的网络，并连接到i n t e r n e l 上，以充分共享、利用网络的信息和资源。网络已经成为社会和经济发展强大动 力，其地位越来越重要。伴随着网络的发展，也产生了各种各样的问题，其中安 全问题尤为突出。 计算机紧急事件响应队( c e r t ) 近年收到的计算机安全事故报告的数量直呈 e 升趋势，1 9 9 9 年该中心收到了约1 0 ，0 0 0 份计算机安全事故报告，2 0 0 0 年达到 了2 1 ，7 5 6 份而2 0 0 1 年更上升到了5 2 ，6 5 8 份。2 0 0 0 年2 月上旬，y a h o o ，e b a y ， c n n g o r e ，a m a z o n ，b u y ，t o m 和e t r a d e 等著名商业网站连续遭到黑客攻击，造成 了数以十亿美元的损失，向世人再一次敲晌了网络并不安全的警钟。2 0 0 1 年的 n i m d a 蠕虫病毒在短短2 4 小时内即感染超过2 2 0 万台的计算机，并导致约5 亿美 元以上的损失。到了2 0 0 3 年，s q ls l a m m e r 蠕虫，在短短五天内就造成全球1 0 亿美元的损失影响。2 0 0 3 年的“冲击波”病毒和2 0 0 4 年5 月的“震荡波”都造成 了巨大的经济损失。这些都证明了网络并不安全。 基于网络上存在的安全威胁和用户对网络安全方面的要求，相应的洲络安全 技术也不断发展，出现了各种各样的网络安全技术。综合起来有以下儿种： v p n 与i p s e c 技术 网络加密技术 操作系统安全内核技术 数字签名与认证技术 入侵检测技术( i d s ) 网络防病毒技术 防火墙技术 防火墙是综合了多种技术的一种极其重要的网络安全设备。由于其处在网络 基于l i n u x 的综台型防火墙研究与实现 的边缘，直接面对来自于网络上的各种威胁，因此对防火墙的研究也成为当前网 络安全研究的一个重要组成部分。 防火墙是一项非常重要的安全技术，在网络安全体系中起到了安全门的作用。 它能提供身份认证和访问控制，是网络的第一道安全防线，与防毒、i d s ，v p n 及 其他身份认证产品船比，防火墙是各类网络安全产品中最受入瞩目的，也是最早 成熟、最早产品化和最多被大家使用的。目前，由于防火墙产品的逐渐普及，防 火墙己成为企业网络建设是否采取网络安全措施的标志。 目前国外知名的防火墙品牌有c h e c kp o i n t 公司的f i r e w a l l 1 ，c y b e r g u a r d 公 司的c y b e r g u a r df i r e w a l l ，w a t c h g u a r dt e c h n o l o g y 公司的w a t e h g u a r ds e c u r i t y s y s t e m ，c i s c o 的p i x 等。国内防火墙生产厂商众多，比较著名的有北京天融信、 上广电、上海华依、广州天网、清华得实、东大阿尔派等。 下面就国内外两种有代表性的防火墙产品的性能特点徽概括韵比较。 ( 1 ) c h e c kp o i n t 公司的f i r e w a l l 1 ：c h e c kp o i n t 公司是最早将状态检测技术应 用到防火墙产品的公司，其f i r e w a l l 1 系列防火墙也在全世界的市场占有率最商。 f i r e w a l l 1 防火墙具有支持多种认证手段、提供n a t 地址转换、内容的安全管理 ( h t t p ，f t p ，s m t p ) 、病毒扫描以及详尽而灵活的网络审计等功能。f i r e w a l l 一1 防火 墙的价格在几十到上百万元，属于高档次的防火墙类型。 ( 2 ) j 。州天网公司的s k y n e tf i r e w a l l 系列防火墙：天网系列防火墙分为工作组 级、企业级及电信级等多种应用等级，分别适于小型、中型与大型的网络应用。 灭网防火墙采用硬件集成设计，采用专用的网络操作系统s n o s ( s k y n e to s ) ，防 火墙与系统内核融为一体。它采用了w b m ( w e bb a s em a n a g e m e n t ) 管理界面，具 有通用直观的特点。系统采用中国化的设计，不单是界面全中文化，还提供了符 合中国国情的全文过滤系统。系统还具有透明代理、u r l 统计拦截、双机热备份 及可选的v p n 虚拟专网等功能。天网防火墙的价格在几万到十几万之阳j ，属于中 档防火墙产品【2 1 。 t 叮以看出，这些防火墙产品功能部十分强大，但是对于数十人以下的小型应 用来说价格都很高，而在这一应用规模上可以选择的防火墙产品并不多。因此， 在确立本课题目标时，把开发方向定为：面向企事业中小型部门或办公室与家庭 用户，开发具有包过滤、动态包过滤、内容过滤、闩志管理等混合功能的防火墙 产品，使其具有可靠的安全性、完备的防火墙功能、较短的开发周期及性价比高 等特点。 本文设计并实现了一个基于l i n u x 下的n e t f i l t e r 架构的综合型防火墙，其用 n e t i l t e r 架构来实现基本的包过滤功能，并在n e t f i l t e r 架构之上添加了动态包过滤模 块、内容过滤模块和日志管理模块，使该防火墙具有了基本包过滤功能、动态包 过滤功能、内容过滤功能以及日志管理功能。由于其使用了l i n u x 自带的n e t f i l t e r 第一常绪论 槊构，所以可以缩短开发周期，降低开发成本。 本课题对基于l i n u x 下的n e l f i l t e r 架构的综合型防火墙进行丌发的意义在于： ( 1 ) 防火墙研究具有较高的实用价值，虽然现在市场上早己出现了多种成熟的 防火墙产品，但是对于中低端的应用来说，提供性能可靠、价格低廉的防火墙选 择还不多。开发基于l i n u x 的综合型型防火墙具有开发速度快、成本低廉的优点， 可以很好地满足这类需求。 ( 2 ) 防火墙技术综合了多种网络安全技术，分析、研究、跟踪目前翻际、国内 最新的网络安全技术与防火墙技术，对于自身网络及网络安全知识是一次系统而 深入的学习，本课题的研究与丌发也是在网络安全领域安全产品设计的一次有益 探索。 ( 3 ) l i n u x 操作系统为防火墙的研究提供了一个很好的切入点。它是，f ：放源码 没有如人们对微软w i n d o w s 系统那样的安全隐忧，本身具有较高的安全性，且便 于学习与进一步丌发，通过在其上进行防火墙项目的开发，对l i n u x 内核与t c p i p 协议栈的分析与认识可以更加彻底与深化，对于国外系统软件的研究也会更加深 入，这对今后设计我们自己的具有知识产权的系统软件产品也不无借鉴意义。 1 2 本文工作 本文设计并实现了一种基于l i n u x 下n e t f l l t e r 架构的综合型防火墙，其具有包 过滤、动念包过滤、内容过滤、同志检测等混合功能。主要工作如下： 】) 分析了防火墙技术的基本概念、发展现状等。 2 1 深入研究了l i n u x 下的n e t f i l t e r 机制，并详细分析了其h o o k 函数机制， 最后讨论了n e t f i l t e r 实现的防火墙基本机制：连线跟踪、包过滤、网络地 址转换以及包处理。 孙设计了一种基于l i n u x 下n e t f i l l e r 架构综合型防火墒。该防火墙在n e t f i | t e r 絮构之上添加了兰个模块：动态包过滤模块、内容过滤模块以及h 志管理 模块。 4 1 本文设计并实现了动念包过滤模块，对一般的动念包过滤技术作了改进， 增加了状态转换和连接序号检查。在理想状况下，能够通过防火墙的是那 些符合正确t c p 状态转换而且序号也证确的数据包。这种动态包过滤能 够过滤掉连接中出现的非正常的包，而且有可能抵御目前未知的攻击。 5 、针对于基本包过滤和动态包过滤对内容级的攻击无能为力的闻题，本文设 计并实现了内容过滤模块，采用基于协议分析的内容过滤算法对数据包进 行内容过滤，其检j 9 l | i 快，时延较小。 基于l i n u x 的综合型舫火墙研究与实现 现。 6 ) 本文设计并实现了日志管理功能，将防火墙日志信息分离出来，并采用 p e r l 脚本将其插入数据库进行保存和管理。有利于同后对防火墙日志的审 计和检测。 7 ) 对防火墙的各个功能进行了测试。首先对防火墙的动态包过滤功能进行了 测试，结果证明该防火墙能有效防止网络扫描攻击并能识别具有错误序号 的伪造数据包。其次最后对防火墙的内容过滤功能进行了测试，结果证明 浚防火墙能对基于高层协议的内容级的攻击进行有效防御，并且其分析检 测快，时延较小。最后对f l 志管理功能进行了测试，结果证明该模块能够 很好的将防火墙日志插入数据库进行管理。 8 ) 最后总结了本文设计的防火墙的优缺点并展望了防火墙技术的发展趋势。 1 3 论文结构 本文共分为六章，各章的安排如下： 第一章介绍了选题的背景以及研究意义。 第二章介绍了防火墙的关键技术和拓扑结构， 第三章设计了一种基于l i n u x 下的n e t f i l t e r 架构的综合型防火墙。 第四章主要对l i n u x 下n e t f i l t e r 框架的进行详细分析。 第五章主要对动态包过滤模块、内容过滤模块和日志管理模块进行设计与实 第六章主要对综合型防火墙系统进行功能测试。 第七章是全文的总结以及展望。 第二章防火墙技术概述 第二章防火墙技术概述 防火墙是一种重要的网络安全技术，本章主要分析了防火墙的分类，防火墙 的关键技术以及防火墙的拓扑结构。 2 1 防火墙技术 防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲，i n t e m e t 防火墙服务也属于类似的用来防止外界侵入的。它可以防止i n t e m e t 上的各种危险 ( 病毒资源盗用等) 传播到你的网络内部。概括地说，防火墙是位于两个( 或多个) 网 络问实施网间访问控制的一组组件的集合。 2 1 1 防火墙的分类 随着i n t e m e t 和i n t r a n e t 的发展。防火墙的技术也在不断发展，其分类和功能 不断细化，但总的来说，可以分为以下三大类【3 1 ：分组过虑路由器，应用级网关， 电路级网关。 1 ) 分组过滤路由器 分组过滤路由器也称为包过滤防火墙，又叫网络级防火墙，因为它是工作在 网络层。有静态和动态两种工作方式。路由器便可以看作一个网络级防火墙。这 种防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的离容，把判 断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝 数据包的通过。包过滤防火墙检查每一条规则直至发现包中信息与某规则相符。 如果没柯一条规则能符合，防火墙就使用默认规则。一般情况下，默认规则就是 要求防火墙丢弃该数据包。其次，通过定义基于t c p 或u d p 数据包的端口号，防 火墙能够判断是否允许建立特定的连接，如t e l n e t ，f t p 连接等。一些专门的防火 墙系统在此基础上又对其功能进行了扩展，如状态监测等。状态监测又称为动态 包过滤，是在传统包过滤上的功能扩展，最早是由c h e c k p o i n t 提出来的。传统的 包过滤在遇到动态端口的协议时会发生困难，如f t p ，防火墙事先无法知道哪些 端口需要打丌，而如果采用原始的静态包过滤，又希望用到此服务的话，就需要 实现将所有可能用到的端口打开，而这往往是个非常大的范围，会给安全带来不 6 捧于l i a u x 的练台型骑火躲砷 究! j 实观 必要的隐患。而动态包过滤通过检查应用程序信息( 如f t p 的p o r t 和p a s v 命令) 米判断此端口是否需要临时打丌，而当传输结束时，端口又马上恢复为关闭状态。 网络级防火墙的优点是简洁、速度快、费用低，并且对用户透观。但它也有 不少的缺点：如定义复杂，容易出现因配置不当带来问题：它只检查地址和端口， 允许数据包直接通过，容易造成数掘驱动式攻击的潜在危险：不能理解特定服务 的上f 文环境，相应控制只能在高层出代理服务和应用层嘲关束完成。 2 ) 应用级网关 应用级网关主要工作在应用层。应_ 【 级网关往往又称为应用级防火墙。应用 级嘲关检查进出的数据包，通过自身( 嘲关) 复制传递数掘，防止在信任主机与非信 任主机间直接建立联系。应用级网关能够j f 确理解应用层上的协议，能够做一些 复杂的访闯控制，并做精细的注册和审核。其基本工作过程式：当客户机需要使 用服务器上的数撮时，首先将数据请求发给代理服务器，代理服务器再根据这一 请求i 句服务器索取数据，然后再山代理服务器将数据传输给客户级。出于外部系 统与内部服务器之间没有直接的数据通道，外部的恶意侵略者也就很难伤害到内 部网络。 常删的应用线网关已有相应的代理服务软件，如h t t p ，s m t p ，f t p ，t e l n e t 等，但是埘于新丌发的应用，尚没有相应的代理服务，它们将通过网络级防火墙 和一般的代理服务( 如s o c k 代理) 实现。 应用缴网关有较好的访慨控制能力，是目朗最安全的防火墙技术。但实现麻 烦，而鼠有的应用级网关缺乏“透明度”。在实际应用中，用户在受信任网络l 通过1 5 方火墙访问i n t e m e t 时，经常会出现延迟和多次登录：4 能访问外部丽络台问题。 此外，应用级婀关每一种协议需要相应的代理软件，使用时 ：作量大，效率明显 不如网络缄防火凿。 3 、f 乜路级网荚 电路级网关时防火墙的第三种类型，它不允许端到瑞的t c p 连接，相反，网 关建立了两个t c p 连接，一个是在网关本身和内部主寿j l 上的一个t c p 用户之间， 一个是在网关和外部主机上的一个t c p 用户之间。一旦两个连接建立了起来，网 关典型地从一令连接向另一个连接转发t c p 撮文段，而不检查其内容。安全功能 体现在决定哪些连接是允许的。电路级网关的典型应用场合是系统管理员信任内 部用户的情况。网关可以配置成在进入连接上支持应用级或代理服务，为输出连 笙三童堕盔塑垫查堡整 ! 接支持电路级功能。在这种配置中，网关可能为了禁止功能而导致检查进入的应 用数据的处理开支，但不会导致输出数据上的处理开支。 电路级网关实现的一个例子是s o c k s 软件包。 此外，除了上述类型的防火墙，有时还把混合型防火墙( h y b i r df i r e w a l i ) 作为 一种防火墙类型。混合型防火墙把过滤和代理服务等功能结合起来，形成新的防 火墙，所用主机成为堡垒主机，负责代理服务。 各种类型的防火墙各有其优缺点。当前的防火墙产品已不是单一的包过滤型 或代理服务型防火墙，而是将各种防火墙安全技术结合起柬，形成一个混合的多 级防火墙，以提高防火墙的灵活性和安全性。般采用以下几种技术：动态包过 滤、内核透明技术、智能r 志、审计监测和实时报警等。 2 1 2 防火墙的关键技术分析 防火墙有三类基本模型：包过滤路由器、应用层网关和电路层网关。它们涉 及的关键技术主要是包过滤、代理、s o c k s 、状态检测、n a t ，v p n 等。 1 ) 包过滤技术1 4 】 包过滤模块工作在网络层，准确的位置在传统的链路层之上，t c p i p 协议栈 之下。它在链路层向i p 层返回i p 报文时，于i p 协议栈之前截获i p 包。它通过检 奁每个报文的源地址、目的地址、传输协议、端口号、i c m p 的消息类型等信息与 预先配置的安全策略( 过滤逻辑规则) 匹配情况，来决定是否允许该报文通过。 还可以根据t c p 序列号、t c p 连接的握手序列( 如s y n ，a c k ) 的逻辑分析等进行判 断，可以较为有效地抵御类似i ps p o o f i n g 、s y nf l o o d i n g 、s o u r c ei p a d d r e s s s p o o f i n g 、s o u r c er o u t i n g 、t i n yf r a g m e n t 等类型的攻击。 包过滤技术的优点：标准的路由软件中都内置了包过滤功能，因此无需额外 费用。另外对于用户和应用透明，也就是说不需要用户名和密码来登录，用户无 须改变使用习惯。运行速度快。 包过滤技术的缺点：配置访问控制列表比较复杂，要求网络管理员对j n t e r n e t 服务有深入了解；没有跟踪记录能力，不能从日志记录中发现黑客的攻击记录； 不能在用户级别上进行过滤，即不能鉴别不同的用户和防止i p 地址盗用；只检查 地址和端口，对通过网络应用链路层协议实现的威胁无防范能力；无法抵御数据 驱动型攻击；能够或拒绝特定的服务，但是不能理解特定服务的上下文环境和数 据；包过滤规则数目增加会消耗路由器的内存和c p u 的资源，使路由器的吞吐量 下降。 堆于l i n u x 的综台型胁火_ i ；! j 研究1 实现 2 ) 代理技术 代理实际是设置在l m e r n e t 防火墙网关上有特殊功能的应用层代码，是在网管 员允许下或拒绝的特定的应用程序或者特定服务，还可应用于实施数掘流监控、 过滤、记录和报告等功能。 代理的工作原理比较简单，首先是用户与代理服务器建立连接，然后将目的 站点告知代理，对于合法的请求，代理以自己的身份( 应用层网关) 与目的站点建立 连接，然后代理在这两个连接中转发数据【5 1 。 其 要特点是有状念性，能完全提供与应用相关的状态和部分传输方面的信 息，能提供全部的审汁和f 1 志功能，能隐藏内部i p 地址，能够实现比包过滤路由 器更严格的安全策略。它针对每一个特定应用都有一个代理模块，管理员可以根 据自己的需要安装相应的代理。一般情况下每个代理相互无关，即使某个代理工 作发生问题，只需将它简单地卸出，不会影响其它的代理模块，也保证了防火墙 的失效安全。 代理的一个显著缺点就是处理信息量方面有瓶颈。出于代理要处理入和出的 通信量，因而要比简单的包过滤程序慢得多。而且每增加种新的媒体应用，还 必须剥代理进行新的设置。 3 1s o c k s 技术 s o c k s 是n e c ( 美国) 公司1 9 9 8 年提出并应用于防火墙技术的新协议标准【圳。 s o c k s 是一个电路层到关的标准，目前的版本为v e r s i o n5 。s o c k s 主要由一个 运行f 防火墙系统上的代理服务器软件包和一个连接到各种网络应用程序的库文 件包组成。它只中继基于t c p 数据包，只需要改变客户端的程序，这样的结构使 得用户能根掘自己的需要定制代理软件，从而有利于增添新的应用。许多公司的 产品已经支持s o c k s ，如n e t s c a p e 和1 e 浏览器。 4 ) 状态检测技术 状念检测又称动态包过滤，是在传统包过滤上的功能扩展，最早山c h e c k p o i n t 提州”。状态检测作为防火墙技术其安全特性最佳，它采用了。个在刚笑上执行网 络安全策略的软件引擎，称为检测模块。检测模块在彳：影响网络正常工作的前提 下，采用抽取相关数掘的方法对网络通信的各层实施监测，抽取部分数据，即状 态信息，并动态地保存起来作为以后制定安全决策的参考。 检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。 但其配置非常复杂，而且会降低网络的速度。 5 1 网络地址转换技术j 网络地址转换的主要功能就是通过将i p 报头上的未经注册的i p 地址替换为合 法的、己获注册的i p 地址，使整个局域网的上的所有主机都可以防问i n t e r n e t 。 n a t 技术有3 种类型：静念n a t ( s t a t i cn a t ) ，n a t 池( p o o l e dn a t ) 和端口级n a t 第一二章防火墙技术檄述 ( p o r t - l e v e ln a t ) p j 。地址转换主要用在内部网络的i p 地址是无效地址和网络管理 员希望隐藏内部网络的l p 地址时，这种技术既解决了i p 地址不足的问题，同时又 隐减了内部网络真正的i p ，使黑客无法直接攻击内部网络，加强了内部嘲的安全 性。 6 1 虚拟专用网技术【l 叫 虚拟专用网技术是通过一些公共网络( 如因特网) 实现的具有授权检查和加 密技术的通信方式。v p n 可以帮助远程用户、公司分支机构、商业伙伴及供应商 同公司的内部网建立可信的安全连接，并保证数据的安全传输。基丁防火墙的v p n 为了保证安全性，通常采用国际标准i p s e c 作为加密、认证的协议，加强对通信 双方身份的认证，保证数据在加密、传输过程中的完整性。基于i n t e r n e t 建立的 v p n ，可以保护刚络免受病毒感染，防止欺骗，防商业问渫，增强访问控制，增 强系统管理，加强认证等j 。 2 2 防火墙拓扑结构 防火墙的拓扑结构与防火墙系统的性能密切相关，一般采用以下三种结构 双宿主主机结构、屏蔽主机结构和屏蔽子网结构i ”1 。 2 2 1 双宿主主机结构 双宿主主机是指具有至少两个网络接1 2 1 的通用计算机系统。这种主机可以配 置成两个刚络之间的路由器，即它能将一个网络的l p 包在无安全控制下传递给另 一个网络。但是当一台双宿主主机被配置成防火墙的时候，它的路由功能将首 先被禁止。内外网络均可以与双宿主主机通信，但内外网络之间不可以直接通信。 凼此，这种结构的防火墙通常使用应用代i 里功能。其结构如图2 1 所示： 工作站工作站工作站 图2 - 1双宿主主机结构 双宿主主机结构的优点是防火墙结构简单，能有效隔离内部与外部网络的连 皋fl i n u x 的综台型防火墙研究，实规 接。缺点是只有用代理服务的方式或者让用户直接注册到双宿主主机上爿。能提供 安全控制服务，而用户帐户本身就会产生很大的安全阚题。如果用户非法获得双 宿主主机的管理权限，则可以改变防火墙的配置，使防火墙失效。例如丌通路由 功能将使内外部网络直接连通。 2 2 2 屏蔽主机结构 与舣宿主主机结构不同，在屏蔽主机结构中，提供安全保护的堡垒主机完全 放在了内部网络。此外，还需一台单独的路由器作为内外部网络的过滤路由器。 屏蔽主机结构如图2 2 所示。这种结构中的堡垒主机位于内部网络，而过滤路出器 按如下观则过滤数据包：任何外部网的主机都只能与内部网的堡垒主机建立连接， 任何外部系统对内部网络的操作都必须经过堡垒主机；同时，禁止内部主机对外 部网络的苴接访问。 堡壁土d i 幽2 - 2土机过滤结构 主机过滤结构与双宿主主机结构最大的不同是把提供安全服务的堡垒主机移 到了内i 咄上，但是主机过滤结构能够提供比双宿主主机结构更高的安全性。因为 般束、兑，存台路由器f ：施加保护，比在一台主机l 施加保护要容易得多。在 这种情况下，对路出器配置的汇确与否成为防火墙是否安全的关键，如果路n ，j 衰 被修改，则堡垒主机町能被超越，使内= 【l 网完全暴露。 2 2 3 屏敞子网结构 屏蔽子网结构就是在主机过滤结构中再增加一层隔离措施，使得内部刚与外 部网之闽有两层隔断。这两层之间被称为非军事区( d m z ) 。在这种结构中，有两台 都与d m z 相连的过滤路由器，分别位于内部和外部网的边缘。路由器的配置规则 使内、外部网络都能访问d m z ，但禁止内、外部网络直接通信。非军事区放置堡 垒主机，以提供内、外部网络的安全服务。另外，允许外部直接访问的服务器如 h t t p 服务器、邮件服务器等也放在非军事区。如图2 3 所示。 筘二章防火瑞技术擞述 剀2 - 3屏敞子阿结构 屏蔽子网防火墙能提供较高的安全保护。即使入侵者攻克了堡垒主机，他还 必须通过内部路由器j 能到达内部网络。这样，整个网络安全机制就不会因为一 点被攻破而全部瘫痪。 本章首先分析了防火墙的三种基本类型：分组过虑路由器，应用级刚关，电 路级网关。其次分析了包过滤、代理、s o c k s 、状态检测、n a t ，v p n 等防火蔷 的关键技术，最后简要介绍了防火墙的拓扑结构。 生一一 茎主! 虫竺堕壁垒竺些垄些婴塑! 壅型 第三章基于l i n u x 的综合型防火墙设计 目前防火墙的产品很多，而且其功能都十分强大，但是对于数十人以下的小 型应用来说价格都很高，而在这应用规模上可以选择的防火墙产品并不多。因 此，设计一个适合于企事业中小型部门或办公室与家庭用户的具有包过滤、动态 包过滤、内容过滤等混合功能的防火墙是很有必要的。 3 1 操作系统的选择 操作系统作为防火墙的运行平台其安全性非常重要。l i n u x 操作系统是开放源 码的操作系统，没有如人们对微软w i n d o w s 系统那样的安全隐忧，本身具有较高 的安仝性，因此本文选择l i n u x 操作系统作为防火墙的运行平台，在l i n u x 基础上 丌发自己的防火墙产品。 另外为了使l i n u x 操作系统适合于防火墙的安全要求，本文尽可能地裁减了 l i n u x 内核中的不必要的功能，仅保留对c p u ，i d e 设备、网络接口设备、串口设 备及嘲络功能等的支持，l 司时对l i n u x 内核的安全性能进行了增强。 l i n u x 操作系统的n e t f i l t e r 架构是l i n u x 自带的防火墙架构，其本身是一个具 骨包过滤功能的防火墙，本文在l i n u x 的n e t f i l t e r 架构之上丌发防火墙产品可以利 用其本身的包过滤功能，缩短丌发周期，降低丌发成本。 3 2 综合型防火墙设计 本文设计的综合型舫火墙是一种软件防火墙，它基于l i n u x 下的n e t f i l t e r 框架， 在n e t f i l t e r 框架之上添加了动态包过滤模块、内容过滤模块和f 1 志管理模块。系统 的结构如蚓3 ，1 所示： 应用柙序 t n 志管理模块l 动态包过滤模块l 内窑过滤模块 n e t f i l t e r 架构 网络接口 图3 - 1综合型防火墙系统结构 笙三垦蒌主生堕坚塑箜垒墼堕叁些 ! i n e t f i l t e r 是l i n u x 自带的防火墙架构。本文用n e t f i l t e r 实现基本的包过滤功能。 由于包过滤技术有很大的局限性，其主要缺陷在于：( 1 ) 只对当前f 在通过 的单一数据包进行检测，而没有考虑前后数据包之问的联系；( 2 ) 只检查包头信 息，而没有深入检测数据包的有效载荷。因此他不能对网络扫描攻击和基于内容 级的攻击进行有效防御。 为了解决这个问题，在设计这种综合型防火墙时设计了动念包过滤模块和内 容过滤模块。 动态包过滤模块的主要功能是防火墙的核心部分建立状态连接表，并将进 = j 网络的t c p 数据包当成个个的会话，利用状念表跟踪每一个会话状态。在很多 包过滤机制中，包括l i n u x 下的n e t f i l e r 的连线跟踪机制，其动态包过滤的实现十 分简单：只是将源目地址和源目端口保存在一张连接表中，这样的连接状态表保 存的连接信息很少，安全性不高。于是本文重新设计了动态包过滤模块，对一般 的动态包过滤技术作了改进，重新设计了连接状态表，增加了数据包的序号，应 答号，窗口大小等表项，由此可以对数据包进行更一步的检查，不但检测包是否 属于合法连接，判断其t c p 状念转换是否正确，而且还对包进行序号检查，保证 收到的包不是伪造的包，判断包在这条连接上的合法性。在理想状况下，能够通 过防火墙的是那些符合正确t c p 状态转换而且序号也正确的数据包。这种动态包 过滤能够过滤掉连接中出现的非f 常的包，而且有可能抵御目前未知的攻击。 内容过滤模块的主要功能是处理通过了基本包过滤和动态包过滤的数据包， 根据内容过滤规则对数据包进行处理，如果数据包包含危险字符串则将该包丢弃， 不包含则将包发给上层协议处理。本文在内容过滤模块中采用了基于协议的内容 过滤算法，在协议分析的基础上按照内容过滤规则进行内容过滤。采用基于协议 分析的内容过滤算法方法可以大大减少危险字符串匹配的计算量，提高内容匹配 的精确度，减少过滤时延。 h 志管理功能是防火墙必备的重要功能。l i n u x 防火墙本身提供了一定的t - i 志 功能，主要是把防火墙模块的包过滤记录通过s y s l o g d 服务输_ i _ i 到系统只志，这样 会造成使用与维护的不便，用户无法将防火墙的记录同其他系统信息区分丌米。 另外防火墙日志包含重要的安全信息，必须将防火墙同志存储起来以供以后的检 查。因此本文设计了一个单独的防火墙同志管理模块，作用是对系统h 志信息进 行再处理，将防火墙记录与系统记录区分开来，然后将防火墙日志信息插入防火 墙日志数据库，进行统一的存储和管理。 3 3 防火墙安全策略 安全策略的制定受到多种因素的影响，对每一个具体的网络环境- 应根据各 基于l i n u x 的综合型防火墙研究与实现 自的具体情况制定不同的安全策略。总的来说有两种策略：没有被列为允许的服务 都是禁止的策略和没有被列为禁止的服务都是允许的策略。前者拒绝一切未经许 可的服务，防火墙封锁所有信息流，然后逐项使能每一种许可的服务。而后者允 许一切没被禁止的服务，防火墙转发所有的信息，然后逐项删除所有被禁j t 的服 务。 采用哪种安全策略要看具体应用。在本文中，对k i n u x 防火墙的包过滤规则采 用了缺省拒绝的策略；对内容过滤则采用了缺省允许的策略。 3 4 小结 本章设计了一个基于l i n u x 下n e t f i l t e r 架构的综合型防火墙，在n e t f i l t e r 架构 之上添加了动态包过滤模块、内容过滤模块和闩志管理模块。该防火墙利用n e t f i t e r 架构米实现基本的包过滤功能。本文设计的动态包过滤模块对一般的动态包过滤 技术作了改进，增加了连接序号检查。在理想状况下，能够通过防火墙的是那些 符合j 下确t c p 状态转换而且序号也正确的数据包。这种动态包过滤能够过滤掉连 接中出现的非正常的包，而且有可能抵御目前未知的攻击。本文在内容过滤模块 中采用了基于协议的内容过滤算法，在协议分析的基础上按照内容过滤规则进行 内容过滤。采用基于协议分析的内容过滤算法方法可以大大减少危险字符串匹配 的计算量，提高内容匹配的精确度，减少过滤时延。本文设计的同志管理模块的 主要功能是将防火墙日志信息分离出来，存储到r 志数据库进行统一管理。 在本课题设计中，对l i n u x 防火墙的包过滤规则采用了缺省拒绝的策略；对内 容过滤则采用了缺省允许的策略。 第四童生虫u x 的n e t f i l t e r 架构分析 第四章l i