（计算机应用技术专业论文）网络防火墙对抗技术研究.pdf

南京邮电大学硕士研究生学位论文 摘要 摘要 随着计算机网络在现实社会中各个领域的广泛应用，网络的安全问题受到了越来越多 的关注。在众多的计算机网络安全策略中，防火墙技术的使用率最高，因此成为了计算机 网络安全对抗的研究重点。防火墙是实现网络和信息安全的基础，是被设置在不同网络或 网络安全域之间的一系列部件的组合，是不同网络或网络安全域之间信息的唯一出入口， 能根据安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。 在防火墙对抗技术的发展过程中，攻击和防御技术作为其不可或缺的两个领域，相辅 相成，相互借鉴。一方面防火墙的攻击技术在不断地发展和创新：另一方面防火墙的防御 技术从机密性、完整性、真实性、可用性、可靠性以及不可否认性等各个方面不断地加强 网络安全体系。 首先，本文在分析了现有防火墙攻击技术的基础上，提出了一种基于信任主机的防火 墙穿透技术，并且构建了一种防火墙穿透评估模型，从穿透级别、穿透质量以及穿透隐蔽 性这三个方面对穿透技术进行性能评估。利用该模型，对本文提出的基于信任主机的防火 墙穿透技术本身进行理论评估和性能分析。结果表明，该技术实现了防火墙穿透功能，并 具有良好的穿透质量和隐蔽性。 此外，本文在分析i p v 6 网络安全的基础上，重点研究了防火墙与i p s e c 协议协同工作 的解决方案，提出了基于i p s e c 协议的分层防火墙安全机制。其核心思想是使用网关级防 火墙和终端级防火墙相互协作，利用基于s a 的防火墙规则库完成对数据包的检测，使防 火墙在基于i p s e c 协议的网络中有效的保护内部网络安全。和现有的解决方案相比，该机 制减少了对网络的影响，有效地将i p s e e 协议和防火墙机制结合，共同保护网络的安全。 南京邮电大学硕士研究生学位论文 a b s 硼丸艇t a b s t r a c t w i mt h ew i d e s p r e a da p p l i c a t i o no fc o m p u t e ri nv a r i o u sf i e l d s ，n e t w o r ks e c u r i t yh a s r e c e i v e di n c r e a s i n ga t t e n t i o n a m o n gt h e s es e c u r i t ys t r a t e g i e s ，f i r e w a ut e c h n o l o g yi su s e dm o s t f r e q u e n t l y t h e r e f o r e ，m a n yr e s e a r c h e r sb e n dt h e m s e l v e st oi tf r o mt h ea s p e c to fc o m p u t e r n e t w o r k sc o n f r o n t a t i o n f i r e w a l li sas e r i e so fc o m p o n e n t st or e a l i z en e t w o r ka n di n f o r m a t i o n s s e c u r i t y , w h i c hi st h eo n l yi n g r e s sa n de g r e s sa n ds e tu pb e t w e e nd i f f e r e n tn e t w o r k so rn e t w o r k s e c u r i t yf i e l d s n e t w o r kt r a f f i ci sc o n t r o l l e db yf i r e w a l la c c o r d i n gt os e c u r i t yp o l i c e s t h eo f f e n s i v ea n dd e f e n s i v et e c h n o l o g ya r et w oi n d i s p e n s a b l ep a r t si nt hd e v e l o p m e n to f f i r e w a l lc o n f r o n t a t i o n o nt h eo n eh a n d ，a t t a c kt e c h n o e l o g yi si nt h ec o n t i n u o u si n n o v a t i o n ；o n t h eo t h e rh a n d ，d e f e n s es t r e n g t h e n sn e t w o r ks e c u r i t ys y s t e mf r o mc o n f i d e n t i a l i t y ，i n t e g r i t y ， a u t h e n t i c i t y ，a v a i l a b i l i t y ，r e l i a b i l i t ya n da u t h e n t i c i t y f i r s to fa l l ，o nt h eb a s i so fa n a l y z i n gt h e e x i s t i n gf i r e w a l la t t a c kt e c h n o l o g i e s ，an e w f i r e w a l l - p e n e t r a t c dt e c h n o l o g yb a s e do nt r u s t e dh o s ti sp r o p o s e d t h e n ，t h ef i r e w a u - p e n e t r a t e d e v a l u a t i n gm o d e la n di t sf o r m a l i z e ds t a t e m e n ta r ee s t a b l i s h e db yq u a n t i z i n gp e n e t r a t e dl e v e l ， p e n e t r a t e dq u a l i t ya n dp e n e t r a t e dh i d i n g f i n a l l y , t h ef i r e w a l l - p e n e t r a t e dt e c h n o l o g yb a s e do n t r u s t e dh o s ti sa n a l y z e du n d e rt h i se v a l u a t i n gm o d e l ，a n dt h ee x p e r i m e n t a lr e s u l t ss h o wt h a tt h i s t e c h n o l o g yh a so b v i o u sp e n e t r a t i n ge f f e c ta n dh i 曲p e n e t r a t i n gq u a l i t y i na d d i t i o n ，g r o u n d i n go ni n v e s t i g a t i n gi p v 6n e t w o r ks e c u r i t y ，e s p e c i a l l yf o c u s i n go n c o o p e r a t i o nb e t w e e nf i r e w a l la n di p s e cp r o t o c o l ，an e wl a y e r e df i r e w a l ls e c u r i t ym o d e lb a s e do i l i p s e ep r o t o c o li s p r o p o s e d ，w h i c hm a k e su s eo fg a t e w a yf i r e w a l la n dt e r m i n a lf i r e w a u c o o p e r a t i v e l yt oi n s p e c tp a c k e ta c c o r d i n gt os a _ b a s e dp o l i c yd a t a b a s e c o m p a r e dw i t he x i s t i n g s o l u t i o n s ，t h i sn e wm e c h a n i s mc a l lr e d u c ea f f e c tt on e t w o r k ，a n dp r o t e c tn e t w o r ks e c u r i t y e f f e c t i v e l y i i 南京邮电大学硕士研究生学位论文 缩略词表 缩略词表 缩略词英文全称中文说明 a ha u t h e n t i c a t i o nh e a d e r报头认证( 协议) d ad e s t i n a t i o na d d r e s s 目的地址 d a c d i s c r e t i o n a r ya c c e s sc o n t r o l 任意访问控制 d d o sd i s t r i b u t e dd e n i a lo fs e r v i c e 分布式拒绝服务( 攻击) d m zd e m i l i t a r i z e dz o n e 非军事区 d o sd e n i a lo fs e r v i c e拒绝服务( 攻击) e s p e n c a p s u l a t i n gs e c u r i t yp a y l o a d 封装安全负载( 协议) f hf o r b i d d e nh o s t禁用主机 f t pf i l et r a n s f e rp r o t o c o l文件传输协议 g f g a t e w a yf i r e w a l l网关级防火墙 g s o g e o s t a t i o n a r ys a t e l l i t eo r b i t同步轨道( 卫星) h e o h i g he a r t ho r b i t高轨道( 卫星) h t t p h y p e r t e x tt r a n s f e rp r o t o c o l 超文本传输协议 h t t p ss e c u r eh y p e r t e x tt r a n s f e rp r o t o c o l安全超文本传输协议 i c m pi n t e m e tc o n t r o lm e s s a g e sp r o t o c o l 网间控制报文协议 i c v i n t e g r i t yc h e c kv a l u e完整性校验值 i e t fi n t e m e te n g i n e e r i n gt a s kf o r c e 网际工程任务组 i k ei n t e r n e tk e ye x c h a n g e 密钥交换( 协议) i m a pi n t e m e tm e s s a g ea c c e s sp r o t o c o l 网际消息访问协议 i p s e ci n t e m e tp r o t o c o ls e c u r i t y网际安全标准 i p v 4i n t e m e tp r o t o c o lv e r s i o n4网际协议( 版本4 ) i p v 6 i n t e m e tp r o t o c o lv e r s i o n6网际协议( 版本6 ) i r c i n t e m e tr e l a yc h a t t i n g网际在线聊天系统 i s o i n t e r n a t i o n a ls t a n d a r d i z a t i o no r g a n i z a t i o n国际标准化组织 l e ol o we a r t h0 r b i t低轨道( 卫星) - v 南京邮电大学硕士研究生学位论文缩略词表 l rl o s s r a t e 丢包率 l s rl o o s es o u r c er o u t i n g松散源路由选择 m a c m a n d a t o r ya c c e s sc o n t r o l强制访问控制 m e om e d i u me a r t ho r b i t中轨道( 卫星) n c cn e t w o r kc o n 仃o lc e n t e r网络控制中心 n d a c n o n d i s c r e t i o n a r ya c c e s sc o n t r o l非任意访问控制 n n t pn e t w o r kn e w st r a n s f e rp r o t o c o l 网络新闻传输协议 o s i o p e ns y s t e mi n t e r c o n n e c t 开放式互联系统 p e h p e n e t r a t i n gh o s t 穿透主机 p hp e n e t r a t e dh i d i n g穿透隐蔽性 p lp e n e t r a t e dl e v e l 穿透级别 p o p 3p o s t0 伍c ep r o t o c o lv e r s i o n3邮局协议( 版本3 ) p p p e n e t r a t i n gp a c k e t穿透数据包 p q p e n e t r a t e dq u a l i t y 穿透质量 p r h p r o t e c t e dh o s t保护主机 q o sq u a l i t yo fs e r v i c e 服务质量 r f c r e q u e s tf o rc o m m e n t s网际标准( 草案) s a s e c u r i t ya s s o c i a t i o n 安全关联 s a d b s e c u r i t ya s s o c i a t i o nd a t a b a s e安全关联数据库 s a p d s a b a s e dp o l i c yd a t a b a s e基于s a 的规则库 s f s e c u r i t yf i e l d安全域 s m t p s i m p l em e s s a g et r a n s f e rp r o t o c o l简单邮件传输协议 s p s e c u r i t yp r o t o c o l安全协议( a h e s p ) s p d s e c u r i t yp o l i c yd a t a b a s e安全策略数据库 s p i s e c u r i t yp a r a m e t e r si n d e x ，安全参数索引 s r s u c c e s sr a t e 成功率 s s l s e c u r i t ys o c k e tl a y e r加密套接字协议层 s s rs t r i c ts o u r c er o u t i n g 严格源路由选择 v 1 南京邮电大学硕士研究生学位论文缩略词表 t c pt r a n s f e rc o n t r o lp r o t o c o l传输控制协议 t ft e r m i n a lf i r e w a l l终端级防火墙 t ht 1 s t e dh o s t 信任主机 v l i 南京邮电大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名：至骂翁日期：筮! z 。生，皇 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电大学研究生部办理。 研究生签名：三叠堡导师签名：戳期：三塑z 。生：2 南京邮电大学 硕士学位论文摘要 学科、专业： 工学计算机应用技术 研究方向： 计算机通信与网间互连技术 作者：2 0 0 4 级研究生 王倩倩指导教师张登银 题目：网络防火墙对抗技术研究 英文题目： r e s e a r c ho nf i r e w a l lc o n f r o n t a t i o nt e c h n o l o g y 主题词： 防火墙信任主机穿透主机穿透评估模型 i p s e c 协议分层防火墙模型 k e y w o r d s ： f i r e w a l l t r u s t - h o s t p e n e t r a t i n g - - h o s t p e n e t r a t i o ne v a l u a t i o nm o d e li p s e cp r o t o c o l l a y e r e d f i r e w a l lm o d e l 课题来源： 国家8 6 3 项目“通信网络安全技术研究” ( 编号2 0 0 5 a a 7 7 5 0 5 0 ) 南京邮电大学硕士研究生学位论文 第一章绪论 第一章绪论 1 1 课题研究背景 随着信息技术的普及，计算机网络在现实社会中的应用越来越广泛，网络安全问题也 慢慢显现出来。军事专家们曾经预言：2 1 世纪的战争将是一场别开生面的信息战，这种信 息战的主要表现形式包括网络攻击与安全防御两个方面。 本论文的研究课题来源于国家8 6 3 项目一一“通信网络安全技术研究 ( 编号 2 0 0 5 a a 7 7 5 0 5 0 ) ，该项目着眼于空间信息网的网络安全问题，对目前存在的安全对抗问题 进行了深入的研究。结合现有的实验条件，课题组在对基于计算机的空间信息网对抗技术 研究的基础上，提出了将空间信息网的对抗技术由空间转为地面的思想，将对抗的重点集 中在空间信息网测控中心的地面网络，并在实验环境下进行了网络对抗仿真。 1 空间信息网技术 空间信息网是一个由不同轨道上多种类型的卫星系统，按照空间信息资源的最大有效 综合利用原则，互通互连，有机构成的智能化体系【1 2 1 。它是一个复杂、庞大的系统工程， 无论从网络技术的深度和广度上，还是从网络的规模上来说，都是前所未有的。空间信息 网主要由沿不同轨道绕地球周期性旋转的卫星群、关口站、各种运动个体组成。其中空间 信息网卫星节点充当路由器的作用，负责空间信号的处理和转发，关口站实现空间网络和 地面网络的联系，各种运动个体是空中网络或地面网络的单个接入点。 空间信息网已经得到越来越广泛的应用，如何在空间信息对抗中占有优势成为空间信 息体系关注的焦点。这种由卫星通信网组成的空间信息网一般由空间段、用户段和地面段 三部分组成，如图1 1 所示。其中空间段可以是g s o 卫星或非g s o ( 如l e o 、m e o 、h e o 等) 卫星，主要由天线分系统、通信分系统( 转发器) 组成。用户段由各种用户终端组成， 可以是各种地面移动通信终端，也可以是固定站。地面段一般包括卫星测控中心及相应的 卫星测控网络、网络控制中心( n c c ) 和关口站等。卫星测控中心及相应的测控网络负责 对卫星的轨道、位置及姿态进行监视和管理；网络控制中心负责处理网络的管理功能。这 两部分系统不直接用于通信，而是用于保障通信的正常进行。 南京邮电大学硕士研究生学位论文 第一章绪论 空同段 用户段 地面段 图1 - 1 空间信息网体系结构 2 空间信息网攻击技术 空间信息网的攻击方法【3 】按攻击对象的不同可以分为：对卫星本体的攻击，使卫星 本身或其电子系统失效；对卫星传输信道的攻击，阻断信息在信源与信宿之间的传播； 对信息收发设备的攻击，对其进行电磁覆盖等。 从攻击的手段来说，可以分为“硬”攻击和“软 攻击【4 1 。目前卫星攻击使用较多的 是“硬 攻击，就是从物理角度对卫星造成破坏。“硬 攻击主要有“摧毁型 攻击系统 和“干扰型”攻击系统。“摧毁型”攻击系统对卫星直接炸毁或是利用外层空间核爆炸产 生的高电磁效应使卫星的电子系统彻底失效，无法恢复使用。“干扰型攻击系统主要是 使用强电波对卫星系统进行战时的干扰，不会对卫星造成永久性的破坏，攻击过后卫星系 统仍然可以继续使用。 “软”攻击是一种基于电子技术的攻击( 5 】。相对于“硬 攻击，“软攻击并不需要从 物理上对卫星造成破坏，而是对卫星通信中传输的信号内容进行攻击，使卫星无法正常工 作，从而达到攻击的效果。因此，“软 攻击具有低成本高效率的特点，本项目所研究的 基于计算机的空间信息网对抗技术就是一种“软”攻击。 3 基于计算机的空间信息网对抗技术 如图1 1 所示，空间信息网从结构上分为空间段、用户段以及地面段。现有的空间信 息网攻击技术多注重在空间段，但在较多情况下空间段只起中继作用，整个通信网的运作 则是由地面段来进行控制的。可以说，将空间信息网的对抗重心由空间转为地面会更加有 效。 2 南京邮电大学硕士研究生学位论文 第一章绪论 空间信息网的地面段一般包括卫星测控中心及相应的卫星测控网络、网络控制中心 ( n c c ) 和关口站等【6 1 。其中，卫星测控中心是卫星技术控制网的心脏，它具有控制卫星 整个运转过程的功能。卫星测控中心装有大型计算机，在各个分中心装有小型计算机，并 相互连通形成计算机通信网。因此，计算机成为地面段测控系统的神经中枢，在我国导弹、 航天测控工程中，将计算机系统称为测控计算机系统，并简称测控计算机。一旦测控中心 的计算机网络受到破坏，控制信号无法在各个控制站点间正常传输、处理，那么将会导致 整个卫星通信网的瘫痪。这种攻击方法更具有隐蔽性、突然性，从成本上来说也不高，并 且可以不受时间和空间的限制。 这种通过攻击地面段卫星测控中心来破坏整个空间信息网的方法是一种将计算机攻 击应用到卫星通信系统中的新型技术。随着信息时代的不断发展，网络融合将是大势所趋， 这也使得空间信息网的计算机攻击技术变得更加有效。国际计算机安全应急响应小组的统 计显示，现在每月世界范围内发现的计算机系统漏洞已经达到约4 0 0 0 例，中国计算机用 户遭受黑客攻击次数年均上升至少1 0 ，这些数据足以说明本文提出的基于计算机的空间 信息网攻击技术具有巨大的研究价值。 从理论上来说，如此重要的控制网络应该是一个独立的网络，就如同电信网、移动通 信网中的信令系统一样。但实际上，这些网络往往会利用骨干网进行传输，只是在接入骨 干网时要通过一定的接口，这个接口一般是具有一定安全功能的网关或代理服务器。因此， 我们研究的攻击技术是建立在卫星测控中心的传输网络与外界网络有一定物理连接的基 础之上。这样的前提并非毫无基础，早在1 9 9 9 年2 月，英国的一个“黑客 小组就利用 计算机破译了“天网 系统中一颗间谍卫星的电脑密码，并对卫星测控中心实行指挥控制， 切断卫星与地面控制站的所有联系，甚至改变了卫星的飞行轨道。此外，具有高效保护措 施的美国五角大楼的计算机网络系统也在2 0 0 1 年受到过一种名为“红色代号的计算机 病毒的袭击，并造成其网络瘫痪。这些案例，都说明了这些网络与骨干网存在一定的物理 连接，因此本文提出的基于计算机的攻击技术【7 1 在空间信息网中具有一定的可行性。 利用计算机对卫星控制中心的测控中心网络进行攻击圈大致分为下面三个步骤：踩点 ( f o o t p r i n t i n g ) 、扫描( s c a n n i n g ) 、攻击( a a a c k ) 。但是测控中心网络与外界网络并不会是 简单的物理连接，而是利用具有安全措施的关口相连，地面计算机通信网采用的安全措施 主要是防火墙设备。因此，想要成功地攻击一个计算机网络首先要做的就是穿透网络前的 3 南京邮电大学硕士研究生学位论文第一章绪论 这道防火墙。 1 2 本文主要工作 防火墙在i p v 4 网络的成功应用，使其成为了网络安全强而有力的保障机制之一。在现 代信息战中，网络攻击与防御是不可分割的两个方面。因此，本文的研究也是从防火墙攻 与防两个方面展开的。 本论文首先深入研究了防火墙的工作机制，结合项目需求，针对目前普遍应用的i p v 4 网络提出了一种新的防火墙穿透技术，并在实验环境下验证了该技术的可行性。随着网络 的快速发展，i p v 4 网络暴露出越来越多的问题，研究人员开始了下一代网络协议i p v 6 协议的研发，网络安全仍然是不可或缺的部分。但研究人员发现防火墙与i p v 6 网络在应用 方面存在冲突，作者在研究现有的解决方案的基础上，提出了一种新的防火墙协作机制用 于解决在i p v 6 网络中防火墙与i p s e c 协议之间存在的应用冲突问题。 目前，i p v 4 网络的攻击技术中对防火墙的攻击研究并未形成规模。现有的网络攻击技 术大多停留在计算机网络未使用防火墙或者防火墙使用存在问题的阶段。真正针对防火墙 的穿透攻击技术即使存在，也是利用其本身或配置上存在的漏洞。但是，作为一种网络安 全防护工具，防火墙自身存在的漏洞较少且不易发现，即使被发现也会很快得到完善。可 以说，利用漏洞穿透只能针对某一类或是某一些版本的防火墙，一旦漏洞被弥补，这些方 法也就随之失效。因此，目前存在的防火墙穿透技术大多无法与防火墙保护的主机进行长 期、稳定的通信。 针对上述防火墙穿透技术存在的不足，本文提出了一种基于信任主机的防火墙穿透技 术。这种技术能够穿透起保护作用的防火墙，即使是主机不存在漏洞，也能与之正常通信， 并且具有较高的隐蔽性。在防火墙穿透技术研究中，大多专注于追求高效的穿透技术，普 遍忽略了对穿透方案可行性以及穿透效果的评估。因此，迫切需要建立一种用于防火墙穿 透评估的通用模型，以便对穿透技术本身进行理论评估和性能分析。本文提出了一种防火 墙穿透评估模型，从穿透级别、穿透质量以及穿透隐蔽性这三个方面对穿透技术进行性能 评估。 防火墙作为一种非常有效对抗网络攻击的方法，它通过访问控制机制保证内部网络的 安全，被成功地应用在了i p v 4 网络中。对于i p v 6 网络安全，i p s e c 安全协议是其中非常重 4 南京邮电大学硕士研究生学位论文 第一章绪论 要的改进。在网络层，i p s e c 协议通过加密认证技术保障数据在传输过程中的安全。因此， i p s e c 协议与防火墙技术结合将有效的保证数据在整个通信过程的安全。但是，i p s e c 协议 的加密技术会导致防火墙无法解析数据包中报头信息，出现问题。 针对上述问题，本文在分析现有解决方案的基础上，提出了一种基于i p s e c 协议的分 层防火墙安全机制。其核心思想是使用网关级防火墙和终端级防火墙相互协作，利用基于 s a ( s e c u r i t y a s s o c i a t i o n ) 的规则库完成对数据包的检测。在网关级防火墙实现对非i p s e e 报文的检测以及对i p s e e 报文s a 的检测，在终端级防火墙实现对i p s e c 报文的检测。两者 结合，使防火墙在基于i p s e e 协议的网络中有效的保护内部网络安全。 本文下面章节的内容组织如下： 第二章首先概述了现有的网络安全技术，介绍了防火墙的基本原理。然后对目前常见 的网络攻击技术进行了总结归纳，并分析了这些技术应用于防火墙攻击时具有的优势以及 存在的问题。最后分析了针对防火墙的常见攻击工具，并总结了它们在实际应用中存在的 不足。 第三章在前一章理论分析的基础上，针对应用于i p v 4 网络应用的防火墙提出了一种基 于信任主机的穿透技术。为了评估防火墙穿透技术的性能，本文还提出了一种防火墙穿透 评估模型，并给出了形式化表述。最后在试验平台上，利用该模型对本文提出的穿透技术 进行了性能分析。 第四章在介绍i p v 6 协议的基础上，总结了i p v 6 协议在安全方面的改进以及存在的问 题。随后重点研究了其中的一个问题_ i p s e c 协议与防火墙存在的冲突问题，并总结了 现有的解决方案，归纳了它们的利弊。 第五章针对i p s e e 协议和防火墙的冲突问题提出了基于i p s e e 协议的分层防火墙安全 机制，详细描述该机制的理论模型，并给出了该机制的实现方案。最后对本文提出的基于 i p s e c 协议的分层防火墙安全机制进行了性能分析。 5 南京邮电大学硕士研究生学位论文 第二章防火墙对抗技术综述 第二章防火墙对抗技术综述 随着互联网应用的普及，信息战呈现出愈演愈热的趋势，网络安全成为人们关注的焦 点。在网络攻击和防御的相互较量中，防火墙成为网络对抗双方研究的重要目标之一。本 章在概述了现有网络安全技术的基础上，分析了现有i p v 4 网络中防火墙的攻击与防御技 术，为本文提出新的防火墙穿透技术提供理论基础。 2 1 网络安全概述 国际标准化组织i s o 于1 9 8 9 年在对o s i 开放系统互联环境的安全性进行深入研究的 基础上提出了i s o 7 4 9 8 2 【9 1 和。( ( s e c u r i t y a r c h i t e c t u r e f o r t h e i n t e m e t p r o t o c 0 1 ) ) o o 】。同时，国家标 准信息处理系统开放系统互联基本参考模型一一第二部分：安全系统结构 ( g b t 9 3 8 7 2 1 9 9 5 ) 给出了基于o s i 参考模型七层协议之上的信息安全体系结构，如 图2 1 所示。 o s i 参考模型 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 鉴别服务 访问控制7 数据完整性7 数据机密性7 抗抵赖歹 安全服务 加数访数鉴业路公 密据问据别务由证 签控完交流控 名制整换填制 性充 图2 - 1 基于o s i 参考模型的信息安全体系结构 安全机制 o s i 安全系统结构的最终目标是保证计算机系统进程之间远距离交换信息的安全，其 基本思想是为了实现系统的安全需求，在o s i 的7 个层次上提供必要的安全服务、安全机 制和技术管理，并给出其在系统上的合理部署和关系配置。安全服务( s e c u r i t ys e r v i c e ) 6 南京邮电大学硕士研究生学位论文 第二章防火墙对抗技术综述 是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输 安全的服务；安全机制( s e c u r i t ym e c h a n i s m ) 是指设计用于检测、预防安全攻击或者恢复 系统的机制。整个安全系统通过8 种安全机制提供5 大类安全服务。 o s i 中的5 大类安全服务包括：鉴别服务( a u t h e n t i c a t i o n ) 、访问控制( a c c e s sc o n t r 0 1 ) 、 数据机密性服务( c o n f i d e n t i a l i t y ) 、数据完整性服务( c o m p l e t e n e s s ) 以及抗抵赖 ( n o n - r e p u d i a t i o n ) 。前四种安全服务用于保障数据来自合法用户，并且在传输过程没有被 非法获取、篡改，而抗抵赖服务则是保护通信实体免遭来自其他合法实体的威胁。 o s i 给出了8 种基本的安全机制，将它们设置在7 层结构的适当位置，用以提供相应 的安全服务。这8 种安全机制分别是：加密( e n c r y p t i o n ) 、数字签名( d i g i t a ls i g n a t u r e ) 、 访问控制( a c c e s sc o t r 0 1 ) 、数据完整性( c o m p l e t e n e s s ) 、鉴别交换( a u t h e n t i c a t i o r i ) 、通 信业务填充( t r a f f i cp a d d i n g ) 、路由选择控制( r o u t i n gc o n t r 0 1 ) 以及公证( n o t a r i z a t i o n ) 。 加密用于提供机密性服务，还能够对其他安全机制起补充作用。数字签名和鉴别交换 机制多用于鉴别服务。访问控制能够对资源访问或操作加以保护。数据完整性机制的目的 是避免未授权的数据乱序、丢失、重放、插入和篡改。路由选择控制机制可以保护敏感数 据只在具有适当保护级别的路由上传输。而公证机制是通过可信的第三方来提供数据完整 性、数据源、时间和目的等的认证和保证。这8 种安全机制所提供的安全服务各有侧重点， 它们可以单独使用，也可以相互结合提供某种安全服务。 本文研究的防火墙技术是一种访问控制机制。访问控制是一种实施对资源访问或操作 加以限制的策略，决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。 适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制包括用户识别 代码、口令、登录控制、资源授权( 例如用户配置文件、资源配置文件和控制列表) 、授 权核查、日志和审计。 访问控制模型是用于规定如何作出访问决定的模型。传统的访问控制模型包括一组由 操作规则定义的基本操作状态。典型的状态包含一组主体( s ) 、一组对象( o ) 、一组访问权 ( 包括读、写、执行和拥有) ( a s ，o 】) 。 访问控制有三种常见模型：任意访问控锘u ( d i s c r e t i o n a r y a c c e s sc o n t r 0 1 ) 、强制访问控制 ( m a n d a t o r ya c c e s sc o 蛐吣1 ) 以及非任意访问控制( n o n d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 。d a c 允 7 南京邮电大学硕士研究生学位论文第二章防火墙对抗技术综述 许主体对访问控制施加特定限制；而m a c 是一种不允许主体干涉的访问控制类型，它是 基于安全标识和信息分级等信息敏感性的访问控制；n d a c 是为满足安全策略和目标而采 用的一系列集中管理的控制手段。 2 2 防火墙基本原理 近来，随着网络安全问题的日益严重j 网络安全产品正被人们重视起来。作为最早出 现和使用量最大( 达到8 1 ) 的网络安全产品，防火墙通过访问控制机制为网络提供安全 服务，受到了越来越多的关注。 1 防火墙概述 防火墙的本义是指古代人们房屋之间修建的那道墙，这道墙可以防止火灾发生的时候 蔓延到别的房屋。而这里所说的防火墙当然不是指物理上的防火墙，而是指隔离在本地网 络与外界网络之间的一道防御系统，是这一类防范措施的总称。图2 ，2 给出了一种典型的 防火墙的基本结构模型。 】9 2 1 6 9 5 01 9 2 t 6 9 心4 41 9 2 1 6 9 0 11 9 2 1 6 9 o 5 i ) hs c r , c t r 图2 - 2 防火墙基本结构模型 从逻辑上来看，防火墙是分离器、限制器和分析器；从物理上来看，各个防火墙的物 理实现方式可以多种多样，但是归根到底它们都是一组硬件设备( 路由器、主机) 和软件 的组合体：从本质上来看，防火墙是一种保护装置，它用来保护网络数据、资源和合法用 户的安全；从技术上来看，防火墙是一种访问控制技术，它在某个内部网络与不安全的外 部网络之间设置障碍，阻止对网络信息资源的非法访问。 8 南京邮电大学硕士研究生学位论文 第二章防火墙对抗技术综述 一般来说，防火墙是指设置在不同网络( 如可信任的企业内部网和不可信任的公共网) 或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入 口，能根据企业的安全策略控制( 允许、拒绝、监测) 出入网络的信息流，且本身具有较 强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。 2 防火墙结构 防火墙的基本结构【1 2 】主要有以下四种： 1 ) 屏蔽路由器：屏蔽路由器是防火墙的最基本的构件。它可以由厂家专门生产的路由 器实现，也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都 必须在此通过检查。 2 ) 双宿主机防火墙：这种配置是用一台装有两块网卡的堡垒主机作防火墙。两块网卡 分别与受保护网络和外部网络相连。堡垒主机上运行着防火墙软件，可以转发应用程序， 提供服务等。 3 ) 屏蔽主机防火墙：屏蔽主机防火墙易于实现也很安全，因此应用广泛。例如，一个 分组过滤路由器连接外部网络，同时一个堡垒主机安装在内部网络上，通常在路由器上设 立过滤，并使用这个堡垒主机成为从外部网络唯一可以直接到达的主机，这确保了内部网 络不受未被授权的外部用户的攻击。 4 ) 屏蔽子网防火墙：这种方法是在内部网络和外部网络之间建立一个被隔离的子网， 用两台分组过滤路由器将这一子网分别与内部网路和外部网络分开。在很多实现中，两个 分组过滤路由器放在子网的两端，在子网内构成一个非军事区( d m z ) 。有的屏蔽子网中 还设有一个堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。这种配置的 危险区域仅包括堡垒主机、子网主机以及所有连接内网、外网和屏蔽子网的路由器。 此外，国际标准化组织i s o 的计算机专业委员会根据网络开放系统互连七层模型 ( i s o r m ) 制定了一个网络安全体系结构【1 2 】，该模型主要用于解决网络系统中的信息安 全问题，如表2 1 所示。 9 南京邮电大学硕士研究生学位论文第二章防火墙对抗技术综述 表2 1o s i 网络安全体系结构 淤二 物理层数据链路层网络层传输层会话层表示层应用层 安全服务 对等实体鉴别 访问控制 连接保密 选择字段保密 报文流安全 数据源鉴别 数据的完整性 禁止否认服务 防火墙的目的在于实现安全访问控制，因此按照i s o r m 模型及表2 1 的安全要求， 防火墙可以在i s o r v l 七层中的五层设置，如图2 3 所示。 o s i r m防火墙 应用层网关级 表示层 会话层 传输层电路级 网络层路由器级 数据链路层网桥级 中继器级 中继器级 i _ 一安全区域叫_ 一防火墙系统卜非保护区一 图2 3 防火墙与o s i r m 模型 3 防火墙的核心技术 目前防火墙的核心技术【1 3 1 包括：简单包过滤防火墙、状态检测包过滤防火墙、应用代 理防火墙以及核检测防火墙。 1 ) 简单包过滤防火墙 第一代防火墙和最基本形式的防火墙检查每一个通过的网络包，或者丢弃或者放行， 取决于所建立的一套规则，这称为包过滤防火墙。防火墙的任务，就是作为，通信警察 ， 放行正常数据包和拦截那些有危害的数据包。 包过滤防火墙检查每一个传入包，检查保存可用的基本信息( 源地址和目的地址、端 口号、协议等) 。然后，将这些信息与设立的规则相比较。如果规则允许其通过，则数据 1 n 南京邮电大学硕士研究生学位论文第二章防火墙对抗技术综述 包就会被放行；否则该数据包将会被丢弃。多个复杂的规则的组合也是可行的。通常，为 了安全起见，与传入规则不匹配的包就会被丢弃，但如果需要让该包通过，就要建立规则 来处理它。 2 ) 状态检测包过滤防火墙 状态检测包过滤防火墙，试图跟踪通过防火墙的网络连接和数据包，这样防火墙就可 以使用一组附加的表征，以确定允许或拒绝通信。状态检测包过滤防火墙是在使用了简单 包过滤防火墙的基础上应用一些技术来做到这一点的。 包过滤防火墙见到的每一个网络包，都是独立存在的，并没有防火墙所关心的即时信 息或未来状态。允许或拒绝数据包的决定完全取决于数据包自身所包含的信息，如源地址、 目的地址、端口号等。一个状态包检查防火墙跟踪的不仅是数据包中包含的信息，为了跟 踪数据包的状态，防火墙还记录有用的信息以帮助识别包，例如已有的网络连接、数据请 求等。 3 ) 应用代理防火墙 应用代理防火墙接收来自内部网络特定用户应用程序的通信，然后建立与公共网络服 务器单独的连接。网络内部的用户不直接与外部的服务器通信，因此服务器不能直接访问 内部网的任何一部分。 另外，如果不为特定的应用程序安装代理程序代码，这种服务是不用会被支持的，不 能建立任何连接。这种建立方式拒绝任何没有明确配置的连接，从而提供了额外的安全性 和控制性。代理防火墙通常支持的一些常见的应用程序有：h t t p ，h t t p s s s l ，s m t p ， p o p 3 ，i m a p ，n n t p ，t e l e n t ，f t p ，i r c 等。 4 ) 核检测防火墙 不管是简单包过滤防火墙、状态动态检测防火墙还是应用代理防火墙，他们共同的 不足是对一个完整会话的保护还不够，而这一点恰恰是核检测防火墙技术最大的特点。 核检测防火墙可以将不同报文在防火墙里模拟成典型的应用程序客户端或者服务器 端，对整个报文进行重组，并将其组合成一个会话来进行理解以及实现访问控制。因此核 检测防火墙可以提供更为细致的访问控制，同时也可以输出详细的日志信息。因此，从这 1 1 南京邮电大学硕士研究生学位论文第二章防火墙对抗技术综述 个方面来说，它的上下文是相关的。它不仅具备包过滤应用代理防火墙的全部特点，还增 加了对会话的保护，显然核检测防火墙在综合安全性方面占有更大的优势，通过使用核检 测技术可以