（计算机应用技术专业论文）防火墙技术研究—透明代理服务器的实现.pdf

摘要 摘要 学科专业：计算机应用技术 论文题目： 防火墙技术研究一透明代理服务器的实现 硕士生：李海聪( 0 0 s 0 6 0 8 1 ) 导师：袁宏春教授 本课题目标是完成一套基于l i n u x 操作系统的透明代理型防火墙软件， 为在内部网的主机提供安全保护。透明代理是指内网受保护主机需要访问外 部网络时，不需要做任何设置，完全意识不到防火墙的存在，就能完成内外 网的通信。它的引入可以对出入防火墙的应用层数据进行强制过滤，这一过 程是对用户透明的。透明代理能提供强大的应用层安全功能，同时能有效地 减小用户使用的复杂度和部署难度，是种优秀的网络安全产品的实现形式。j r 首先，论文陈述了防火墙的相关技术基础，分析了透明代理作为一种先 进易用的防火墙技术的原理，阐述了l i n u x 操作系统网络数据包拦截技术和 h t t p 、f t p 、t e l n e t 、n n t p 、p o p 3 、s m t p 等应用层协议的协议规范和具体的 工作流程。 接着叙述了本透明代理服务器的系统总体设计方案，将系统分为以下几 个部分：透明通道建立、代理服务实现、g u i 配置管理程序以及过滤功能( 如 u r l 过滤、命令过滤和曰志审计等) 。论文然后分别介绍各个关键部分的具 体实现要点，解释了相互间的接口关系，列出了主要数据结构和实现流程。 r ，论文最后详细阐述了其核心模块的设计实现及测试结果，并在现有基础 上对后继扩展与开发进行了展望。 【关键字】网络安全) 防火墙蹲明代理 a b s t r a c t m a j o rs u b j e c t ：c o m p u t e ra p p l i c a t i o nt e c h n o l o g y s u b j e c t ： r e s e a r c ho ft h ef i r e w a l lt e c h n o l o g y i m p l e m e n to ft h e t r a n s p a r e n t p r o x ys e r v e r m a s t e rc a n d i d a t e ：l ih a i c o n g ( 0 0 s 0 6 0 8 1 ) t u t o r ：p r o f y u a n h o n g c h u n t h ep u r p o s eo ft h i ss u b j e c ti st oi m p l e m e n tat r a n s p a r e n tp r o x ys e r v e rb a s e do nl i n u x o sw h i c hc a n p r o v i d e i n t r a n e th o s tn e t w o r k s e c u r i t y t h e t r a n s p a r e n tp r o x y i st h e t e c h n o l o g yt h a ti n n e rh o s t sc a nv i s i tt h ei n t e r n e tw i t h o u ta n yu s e ri n t e r v e n t i o no ra w a r e n e s s o ff i r e w a l lw o r k i n gp r o c e s s a l la p p l i c a t i o nl a y e rd a t aa r ef o r c e dt ob ef i l t e r e db yp r o x y w h e nt r a n s p a r e n t p r o x y i s w o r k i n ga n d t h e p r o c e s s s e e m st r a n s p a r e n tf o ru s e r st h e t r a n s p a r e n tp r o x yp r o v i d e sap o w e r f u lf u n c t i o nf o rt h ea p p l i c a t i o nl a y e r ss e c u r i t y ；i tc a n a l s or e d u c et h e c o m p l e x i t y o fu s i n ga n d d e p l o y m e n te f f i c i e n t l y i t s o n eo ft h eb e s t i m p l e m e n t o fn e t w o r ks e c u r i t yp r o d u c t s a tt h ev e r yb e g i n n i n g ，t h i sp a p e ri n t r o d u c e sf i r e w a l lt e c h n o l o g yr e l a t i n gt ot h et o p i c ， a n a l y s e st h et r a n s p a r e n tp r o x ya so n ec o n v e n i e n tf i r e w a l lt e c h n o l o g yw i t hf u l la d v a n t a g e s t h e nt h i sp a p e rc o n c e r n sa b o u tt h en e t w o r kp a c k e ti n t e r c e p t i n gt e c h n o l o g yo fl i n u xo sa n d g i v e sat h o r o u g h l yo v e r v i e wo fn e t w o r kh a c k i n gm e t h o d sa n ds o m ea p p l i c a t i o np r o t o c o c r i t e r i o n ，i n c l u d i n g h t t p 、f t p 、t e l n e t 、n n t p 、p o p 3 、s m t p e t c t h e nt h es y s t e md e s i g ns c h e m eo ft h et r a n s p a r e n tp r o x yh a sb e e nd i s c u s s e d ，t h i ss y s t e m c a nb ed i v i d e dt o4m o d u l e sb e l o w ：e s t a b l i s h m e n to ft r a n s p a r e n tc h a r n e l ，i m p l e m e n to f p r o x y s e r v i c e ，g u i c o n f i g u r a t i o n a n d m a n a g e m e n ta p p l i c a t i o n ，a c c e s s o r y f i l t e r f u n c t i o n s ( s u c ha su r lf i l t e r ，c o m m a n df i l t e ra n dl o g g e re t c ) w ee x p l a i nk e yt e c h n i q u e si n a l l4m a i np a r t so fl h i ss y s t e m ，d e f i n et h ei n t e r f a c e so fe a c hm o d u l e ，w h a ti sm o r et h em a i n d a t as t r u c t u r e sa n ds o f t w a r ei m p l e m e n t sc o d e sa r ea l li l l u s t r a t e d a l b s t r a c t i ns u c c e s s i o na l lt h ei m p l e m e n td e t a i l so f rec o r em o d u l e sh a v eb e e ni l l u s t r a t e d t h e t e s t i n gr e s u l t o ft h i ss o f t w a r ea l s oh a sb e e nd i s c u s s e d a t1 h ee n do ft h i s p a p e r , ab r i e f p r o s p e c tf o rt h ef u t u r ee x t e n d e dd ev e l o p m e n to nb a s i so fe x i s t i n gs y s t e mh a sb e e ns h o w n 【k e y w o r d s 】n e t a v o r ks e c u r i t y f i r e w a l j t r a n s p a r e n tp r o ，y 1 1 1 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为 获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与 我同工作的同志对本研究所做的任何贡献均已在论文中作了明确的 说明并表示谢意。 签名；熊日期；脚年月- 1 日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘， 允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全 部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描 等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 避盗云至 日期：狐；年弓月i 旧 防火墙技术研究一透明代理服务器的实现 第一章引言 1 1 代理服务器技术国内外研究情况 随着i n t e r n e t 的迅速普及，t c p i p 协议群的应用迅速扩展到日常生活、商 业和军事等社会的各个领域。然而，由于t c p i p 协议本身及其网络服务存在着 些安全缺陷，以及主机安全管理方面的漏洞，使i n t e r n e t 安全问题亦日益突 出，网络安全技术己成为网络的关键技术之一。随着对网络安全研究不断深入， 各种网络安全技术应运而生，如：信息加密技术、防火墙技术、入侵检测技术等。 在各种网络安全技术中，防火墙技术以其对内部网络的安全防护而成为构建网络 安全的流行解决方案。 所谓“防火墙”，就是指一种将内部网络和i n t e r n e t 从直接连接转换为间 接连接的隔离技术。防火墙可以根据网络安全的规则设置，允许经过授权的数据 包进出内部网络，同时将阻止不许可的通信。最大限度地阻止来自于i n t e r n e t 中的黑客更改、拷贝、摧毁内部网络的重要信息。防火墙大致可分为两类。 1 ) 包过滤型防火墙，它作用于网络层上。它能针对往来内、外网之间的数据包 进行过滤。功能相对较弱，现单独使用较少。 2 ) 代理型防火墙，也就是所谓的代理服务器网关。它的任务是在切断内外网间 的直接连接同时针对应用层的各种协议( 如f t p 、t e l n e t 等) 进行访问控制检查 和协议过滤。它又可分为应用代理和透明代理两类，后者的应用已得到迅速普及。 国外对防火墙技术的系统研究起步较早，代理服务器产品的系列化程度较 高，更新较快。现在国外硬件防火墙产品基本上都是整合两种类型防火墙功能的 产品，典型的产品如n e t g u a r d 公司的g u a r d i a nf i r e w a l l 防火墙以及c i s c o 公 司的p i x 系列防火墙等。国外的纯软件型代理服务器有t i sf i r e w a l l 公司基于 l i n u x 的f w t k 应用代理服务器，微软公司基于w i n d o w sn t 平台的m sp r o x ys e r v e r 和i s as e r v e r ，q b i k 公司的w i n g a t e 以及s y g a t e 等产品。国外的基于w i n d o w s 平台的代理服务器一般利用s o c k e t 4 代理完成各种协议的数据中继实现基于i p 的控制，基于l i n u x 虽然实现了对常用应用层协议的控制，但是普遍是基于应用 代理，使用不便。 国内方面虽然也注意了跟踪国外防火墙技术与产品的发展状况，但总体上 仍存在相当差距，近年来国内厂商陆续推出了一些硬件型防火墙产品，比如东软 公司的n e t e y e 防火墙，联想的网御防火墙等，通过公安部信息安全检测产品的 第1 页 第一章引言 也不少。不过产品多是基于包过滤融合一定代理服务器技术的一体化硬件产品， 而单独的软件型透明代理产品尚没见面世。这种状况忽视了个人和小型网络用 户，特别是单独购买的功能复杂的高端硬件防火墙产品存在成本高、可管理性差， 难于应用，还造成了广大有迫切安全防范需求的中低端用户的可选网络安全产品 型号少，网络攻击事件频繁发生。 1 2 课题来源及意义 由于当前防火墙技术方面的研究发展迅速，国内虽也取得了相当成果，但在 研究成果的产品化上亦有诸多缺陷，比如集中关注硬件型防火墙，忽视个人用户 和小型网络的产品。相对个人和小型网络用户来说，功能复杂的高端防火墙成本 控制难、专业知识要求高、实际部署使用困难造成网络安全防范措施差，最终不 幸成为网络攻击的受害者。为了适应目前中小型网络和个人用户对网络安全问题 的需求但又受限于成本控制的现实，开发一套宜用并覆盖常用应用层协议的安全 管理功能软件是有其实用性和可行性的。实现易于管理、功能合适的透明代理型 防火墙可以利用高性价比和高可用性的特点吸引中低端用户，反过来有效的提升 用户的实际利用率从而促进网络安全。本课题源于电子科技大学计算机学院和深 圳桑达信息技术有限公司合作研制s e 0f 一2 0 0 3 硬件防火墙项目的后继开发。本 课题的开展，在跟踪先进网络安全技术发展的同时，对于积极采用现有技术和成 果，推进科研成果系列化和产品化的进程也具有一定意义。同时，本项目开发完 成将直接产生经济效益和社会效益。 1 3 课题的内容和目标 本课题是在完成s e df - 2 0 0 3 硬件防火墙的项目基础上的后继技术研究。其 目标是深层次地利用原有开发成果，将原来在专用硬件防火墙上基本实现的外挂 代理服务器移植到通用l i n u x 操作系统平台上，并结合研究国内外同类技术取长 补短，完成一台功能完备的透明代理服务器产品软件。 课题的研究和需完成的内容是：对透明代理服务器所涉及的原理进行了深 入地研究和剖析；包括透明代理的设计与实现；所涉及的应用层协议包括：h t t p 、 t e l n e t 、f t p 、n n t p 、p o p 3 、s m t p 等，以及用户认证、日志审计和命令过滤等多 个部分。同时，对本系统将进行整合与测试，最后形成一个功能完备的软件防火 墙系统。 第2 页 防火墙技术研究一透明代理服务器的实现 2 1 代理服务器概述 第二章相关技术基础 2 1 1 i n t e m e t i n t r a n e t 的安全问题和防火墙的引入 网络上一般存在两种安全性问题：一种是各种真正的攻击，无论来自外界还 是内部的h a c k e r 企图侵入并破坏系统；另一种来自软件硬件和程序过程本身的 脆弱性，网络安全问题体现以下几个方面： 1 ) 操作系统本身的问题：如w i n d o w s 和l i n u x 系统本身的一些缺陷。 2 ) 各种应用服务存在的安全问题：t e l n e t 、f t p 、n f s 、r p c 、r l o g i n 、x 1 1 、d n s 、 j a v a 、w e b 、a c t i v e x 等都有安全问题。例如t e l n e t 协议在用户认证时密码以 明文方式传送；x 1 l 的终端可能被接管；w e b 服务器很难设置安全等等。 3 ) t c p i p 协议最初设计时主要考虑数据传输的可靠性和完整性，对于安全因 素几乎没有考虑。 4 ) 攻击可能来自于i n t e m e t 上的任何一个地方。它可以是匿名攻击，回溯追查 起来非常困难。 5 ) 对于一组相互信任的主机，其安全程度由最弱的一台主机决定。一个薄弱环 节被攻破，则会殃及其它主机。 总之，当内部网络暴露在黑客面前时，基于h o s t 的安全很容易被攻破，正是 因为内部主机不安全，且对每台主机分别进行孤立单独保护又不现实下，对整个 内部网络安全保护成为关键问题。防火墙( f i r e w a l l ) 技术就是针对此需求而建 立的有效防范措施。 2 1 2 防火墙概念和作用 2 。1 2 1 防火墙概念和核心技术 所谓“防火墙”是指一种将内部受保护网络和公众n n ( 立ni n t e r n e t ) n n n 的 技术。防火墙综合采用适当的技术，确保内部网络能与外界通信，又减少来自外 界的侵害。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同 意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，晟大限 第3 页 第二章相关技术基础 度地阻止网络中的黑客来访问你的网络。 2122 防火墙的基本功能 从逻辑上说，防火墙是一个分离器，是一个限制器，是一个分析器，建立防 火墙至少要提供下面几项功能： 1 ) 防火墙是网络安全的屏障 作为阻塞点、控制点的防火墙能极大地提高一个内部网络的安全性，并通过 过滤不安全的服务而降低风险。由于只有经过选择的应用协议才能通过防火墙， 所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击，如 i p 选项中的源路由攻击和i c m p 重定向中的重定向路径。防火墙能拒绝所有以上 类型攻击的报文并通知系统管理员。 2 ) 防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置，能将所有安全功能( 如口令、加密、 身份认证、审计等) 配置在防火墙上。对比把网络安全问题分散到多个主机上的 方案，防火墙的集中安全管理更经济。 3 ) 对网络存取和访问进行监控审计 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并登记日 志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能 进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，防火墙能 方便的收集一个网络的使用和误用情况。从而保证管理员清楚的知道防火墙是否 能够抵挡嗅探和攻击，防火墙的控制是否充足，并进行网络需求分析和威胁分析。 4 ) 防止内部信息的外泄 利用防火墙对内部网络的划分，可实现内部网段级的隔离，从而限制了局部 重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关 心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起 外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。使用防火墙就 可以隐蔽那些可能透漏内部细节服务如f i n g e r ，d n s 等，防火墙可以阻塞有关内 部网络中的d n s 信息，这样内部主机的域名和i p 地址就不会被外界所了解。 除了安全作用，防火墙还支持具有i n t e r n e & 服务特性的企业内部网络技术 体系y p n ( 虚拟专用网) 。防火墙本身作为网关直接完成中继多个不同网段的客 户机之间的通信。 第4 页 防火墙技术研究一透明代理服务器的实现 2 2 防火墙的网络拓扑结构及安全策略 2 2 1 防火墙的网络拓扑结构 一般来说，将防火墙结构可归纳成以下四种： 1 ) 包过滤路由器结构： 它是最简单但最常用的防火墙结构，它仅由一个位于内部网络和i n t e r n e t 连接处的包过滤路由器构成，其风险区域( 能从外部网络直接探测或访问到的主 机和路由器的集合) 取决于过滤规则允许的数量和服务类型。 2 ) 双穴( d u a l h o m e d ) 网关结构： 它由一个位于内部网络和i n t e r n e t 连接处的应用网关构成，一般具有两个 或多个网络接口，并且其正常的i p 路由功能被关闭，只能通过其应用代理程序 提供服务和访问，它是个堡垒主机。正常情况下，风险区域仅为网关本身，但如 果攻击者能登录到网关上，便能从它向内部网络发起攻击，其风险区域就为整个 内部网络。它实行第二种基本防火墙设计策略，即拒绝所有没有明确允许的服务， 因为它只转发具有代理的服务。 3 ) 屏蔽主机结构： 它由一个屏蔽路由器和一个堡垒主机构成。通常堡垒主机放置在内部网络中 的一个网络接口，通过配置位于内外网连接处的屏蔽路由器使其成为从i n t e r n e t 上唯一可访问的主机，而且仅允许少数指定的服务与之通讯。这种结构比前两种 结构更灵活更安全：内部主机访问i n t e r n e t 是直接访问还是通过代理，可由安 全策略决定；屏蔽路由器可允许直接转发一些可靠的服务到内部网络中的其它主 机；攻击者必须刺穿彼此分离的屏蔽路由器和堡垒主机两个系统后，才能攻击内 部网络。一般情况下，该结构的风险区域为该屏蔽路由器和堡垒主机，但如果能 登录到堡垒主机上，其风险区域就为整个内部网络。屏蔽主机结构如图2 - i 所示： 图2 - 】屏蔽主机结构 第5 页 第= 章相关技术基础 4 ) 屏蔽子网结构： 它由两个屏蔽路由器和一个堡垒主机构成，通过这两个屏蔽路由器，在 i n t e r n e t 和内部网络之间建立一个屏蔽子网，被称为d m z ( d e m i l i t a r i z e dz o n e ) ， 用以实现多层次的过滤。一般，将堡垒主机和信息、访问等公共服务器放在d m z 中，配置内外屏蔽路由器，限制和管理j n t e r n e t 向d m z 的访问和i n z 向内部网 络的访问，并阻塞从i n t e r n e t 直接访问内部网络的通讯。该结构的风险区域一 般为外部屏蔽路由器和d m z 。其结构如图2 2 所示： 2 2 2 防火墙的安全策略 l 蹴 图2 - 2 屏蔽子网结构 安全策略是防火墙系统的重要组成部分和灵魂，而防火墙设备是它的忠实执 行者和体现者，二者缺一不可。安全策略决定了受保护网络的安全性和易用性， 一个成功的防火墙系统首先应有一个合理可行的安全策略，这样的安全策略能够 在网络安全需求及用户易用性之间实现良好的平衡。如稍有不慎，就会拒绝用户 的正常请求的合法服务或者给攻击者制造了可乘之机。对防火墙而言有两种层次 的安全策略： a ) 服务访问策略。它是高层的策略，明确定义了受保护网络应允许和拒绝的网 络服务及其使用范围，以及安全措施( 如认证等) 。作为管理者，应首先进 行需求分析，了解本系统打算使用和提供的i n t e r n e t 服务，再对网络服务 进行安全分析、风险估计和可用性分析，最后经综合平衡比较，得到合理可 行的服务访问策略。有两种典型的服务访问策略，它们是： 1 不允许外部网络访问内部网络，但允许内部网络访问外部网络。 2 允许外部网络访问部分内部网络服务。 b ) 防火墙设计策略。它是低层的策略，描述了防火墙如何根据高层定义的服务 访问策略来具体地限制访问和过滤服务等，即它必须针对具体的防火墙，考 第6 页 防火墙技术研究一透明代理服务器的实现 虑其本身的性能和限制来定义过滤规则等，以实现服务访问策略。在设计策 略前，应先从以下两个防火墙设计的基本策略中选择其一，并根据它和服务 访问策略以及经费，选择合适的防火墙结构和组件。 1 允许所有除明确拒绝之外的通讯或服务进行。 2 拒绝所有除明确允许之外的通讯或服务进行。 规则1 假设防火墙一般应转发所有的通讯，但个别的潜在有害的服务应予以 关闭。它偏重于易用性，带给用户一个更方便和宽松的使用环境，但它同时带来 许多风险，难于保证系统安全，需要管理员及时对防火墙进行监控和管理。规则 2 则假设防火墙一般应阻塞所有的通讯，但个别的期望服务和通讯应予以转发。 它偏重于安全性，建立了一个很安全的环境，因为只有经过仔细选择的服务才被 支持，但同时它对用户的使用带来了许多不便和严格的限制。 广义上讲，安全策略是对安全内容特征及行为定义的抽象，过滤规则描述单 个安全策略的特征和行为，防火墙设备则起到一个获得安全策略特征和执行安全 策略行为的作用。它们之间的关系如图2 - 3 。 麟火墙设番 图2 - 3 安全策略与过滤规则之间的关系图 任何类型的防火墙系统都是由过滤规则所确定的一系列安全措旋所决定的。 本课题所涉及的透明代理服务器系统也是如此，只有管理员正确、详尽、合理的 设置了各种代理协议的规则，系统才能有效的发挥作用。 2 3 防火墙的分类及功能比较 防火墙从其实现的原理和方法上，可分为两大类：包过滤防火墙和代理服务 器防火墙 1 ) 包过滤防火墙：一般是指能根据数据包的包头信息进行访问控制的防火墙。 第7 页 第二章相关技术基础 2 ) 代理服务器防火墙：它需要采用诸如安全操作系统、只安装少数必要的服务 和代理服务，并以非特权用户身份运行、严格限制该机用户权限及其登录， 使用用户认证、审计等措施进行安全强化，并抵御攻击。 包过滤防火墙和代理服务器防火墙相互并不矛盾，它们既可单独使用，也可 把它们结合起来构成复合型的防火墙。 2 3 1 包过滤防火墙 包过滤防火墙一般在网络边界由具有过滤功能的路由器上实现，其原理如图 2 - 4 所示。 图2 - 4 包过滤防火墙 包过滤工作在网络层和数据链路层之间，通过对i p 数据包的转发实现地址 映射，并实现防火墙功能即通过安排地址的映射方式，利用从数据报中获得的 i p 地址或其他物理地址确定数据包对应的源、目的地址信息。包过滤截获所有 流经的i p 包，从其i p 数据包包头信息、以及传输层协议包头、甚至应用层协议 数据中获取过滤所需的相关信息，系统内设置有访问控制表( a c c e s sc o n t r o l l i s t ) ，系统根据控制表的过滤规则，依次按顺序与事先设定的访问控制规则进 行一匹配比较，如果与某条规则相匹配，便顺次执行其规定的动作( 如： a c c e p t d e n y r e j e c t 并记录日志) 。为迫使每一个i p 包都能在访问规则集中找 到与其匹配的规格，一般在访问规则中都要定义一条缺省规则以实现某种缺省动 作。 2 3 2 代理服务器防火墙 代理服务器防火墙，也就是所谓的代理网关，本课题所涉及的题目即是属于 此类。这是从结构原理和实现技术来分的，从应用范围和拓扑结构代理服务器仍 属于网关设备，也被称为代理网关。其结构如图2 - 5 所示。 第8 页 防火墙技术研究一透明代理服务器的实现 图2 5 代理服务器防火墙与内外部网络的连接图 代理服务器是应用层的防火墙，与包过滤( 其允许数据包在内部系统和外部 系统之间直接流入和流出) 不同，应用层网关允许信息在系统间流动，但不允许 直接交换数据包。代理工作在应用层是特殊的应用服务程序，本质上它是作为内 外网之间的一个网关，个应用代理针对一种或多种网络应用服务，在客户和服 务方之间充当中继，通讯双方实际上不存在直接的网络连接，而代理服务器为此 要维护两个连接：客户方一代理服务器、代理服务器一服务方，对客户方它充当应 用服务器，同时又作为客户与目的服务器连接。工作过程概括如下： 1 ) 当客户请求连接某个外部服务器时，它首先与代理服务器建立传输层的 t c p 连接，代理服务器上守护在t c p 知名端口上的代理进程接收到客户发出 的连接请求后，提取检查源和目的i p 地址，并根据事先设定的访问控制规 则来决定是否接收该连接。 2 ) 按约定的方式与客户交互信息首先对客户进行身份认证，如果认证成功则取 得客户要求连接的真实服务器地址或名字。 3 ) 代理为该客户建立一条与其请求访问的真实服务器的连接，并在这两个连接 之间根据预定的语法和过程交换和转发数据。 4 ) 当一方关闭连接时，代理同时关闭对应的另一连接，并对本次连接进行日志 记录。 代理服务器是针对不同网络服务提供细致而安全的网络保护，它接受外来的 应用连接请求，进行安全检查后，再与被保护的网络应用服务器连接，让外部服 务用户在受保护的前提下使用内部网络服务，而内部网络到外部网络的服务连接 也可以通过代理服务器进行访问权限控制，工作过程如图2 6 所示。 图2 - 6 代理服务器工作过程图 第9 页 第二章相关技术基础 2 4 透明代理的相关知识 2 4 1 应用代理与透明代理 代理服务器是在应用层实现防火墙功能，具有状态性特征，它能提供部分与 传输有关的状态，能完全提供与应用相关的状态和部分传输方面的信息，代理也 能处理和管理信息。代理服务器也分为透明代理和应用代理服务两种。 2 4 1 1 应用代理 传统的应用代理使用代理服务器前，需要先把请求主机的相关参数设置为代 理服务器的i p 地址和侦听端口号，在发起对目的服务器连接以前，必须先连接 到代理服务器，由代理服务器发起挑战应答过程，用户通过复杂的命令交互确 认，才能将真正请求的目的服务器的i p 地址和端口信息告诉应用代理，由代理 向真正服务器发起连接。 在典型的应用代理软件f w t k 中，代理需要客户机上的i n t e r n e te x p o r e r 等网络客户端软件做相应的配置。把代理服务器相关参数设置为代理服务器的 i p 地址和侦听端口号，用户先登陆到f w t k 代理的字符界面，在f w t k 的提示字 符下，手工输入请求得真正目的服务器的i p 地址和端口信息，才能进行应用代 理的服务。这样的代理让用户使用感到使用十分不便。 2 41 2 透明代理 透明代理是指内部受保护网络的主机需要访问外部网络主机时，不需要做任 何设置，用户完全意识不到防火墙的存在，而完成内外网的通信。它的引入可以 对出入防火墙的应用层数据进行“透明”的强制过滤。由于受保护网络中的用户 感觉不到代理的存在，这样不必改变客户端配置，就能在授权范围内与外网通信， 减少了网络管理员的工作量，同时极大地方便了用户的使用。 透明代理可以灵活装载、卸载而不影响其它功能模块，透明代理作为防火墙 实施访问控制功能的一种主要手段，利用其对应用层的理解能力，代理应用程序 向网络传递请求。由于代理机制完全阻断了内部网络与外部网络的直接联系，保 证了内部网络拓扑结构等重要信息被限制在代理网关内侧，不会外泄，从而减少 第l o 页 防火墙技术研究一透明代理服务器的实现 了黑客攻击时所需的必要信息。除了有对外隐藏内部系统的信息功能，它也对接 收与发送的信息进行验证和记录，确保能事后审计。最重要的是透明代理保证了 客户在不改变标准命令访问方式的前提下访问相应应用层服务器，极大的降低了 用户使用防火墙的门槛。 2 4 2 透明代理与应用代理的比较 以上两种技术是代理型防火墙功能的两种表现形态，它们均实现了在应用 层中继客户机与服务器的连接，权限控制，用户身份鉴别，过滤非安全性数据， 记录日志等防火墙功能，它们的区别主要是对于用户的“透明”性。 透明代理实质是防火墙截获内外网通信的数据包，并将数据包重定向到代理 服务器中，由代理服务器自身完成与外网主机通信，然后把结果传回到内网主机。 在这个过程中，内网受保护主机意识不到网关的存在，而以为是在和真正服务器 进行通信，连接的重定向处理由防火墙监控完成。可以说透明代理是对于原有应 用代理在功能上的扩充，它的实现包括透明通道的建立和应用代理实现两个部 分。由于省略了由客户机显式向代理服务器告知目的站点信息这一过程，传统的 应用代理使用的消息格式和透明代理可能不同。如：h t t p 协议中，透明代理使 用u r l 同普通h t t p 请求是相同的，都是使用相对格式u r l ，而应用代理必须使 用绝对格式u r l ，这两种形式的u r l 的区别是相对1 j r l 不包括主机名和端口号。 而应用代理必须靠绝对u r l 来解析出客户想与之连接的目的服务器的地址和端 口，透明代理得到真正目的站点信息必须靠其它办法。另外，透明代理使用的头 部域同普通服务器是致的，而应用代理则可能不同。如：h t t p 协议中，应用 代理使用p r o x y a u t h o r i z a t i o n 代替a u t h o r i z a t i o n ，p r o x y c o n n e c t i o n 代替 c o n n e c t i o n 等。 2 4 3 课题实现的透明代理服务器系统的优点 设计和部署防火墙从来就没有唯一正确的答案。经综合比较，可归纳出本课 题实现的透明代理服务器相较其他类型防火墙有以下优点： 1 额外延迟 a 额外延迟包含客户方发出请求和代理服务器处理请求的时间。使用任何 一种防火墙都不可避免的要出现额外延迟和网络效率降低的问题。 b 使用高层的透明代理协议时，客户方应用将代理服务器作为服务器，发 出请求时几乎不产生延迟。在处理代理服务时，数据报将经过相应的过 第1 l 页 第二章相关技术基础 滤处理后才被送往代理程序，但由于只需要对连接请求的数据包进行处 理，以后的数据采用转发方式，因而速度更快。另外，借助一定的缓存 方式，可以减少访问远程服务器的时间，因而平均延迟较小。 i i 软件功能 a 透明代理提供“透明”的服务，可以在提供应用级的安全控制高层实现 时采用许多新的安全保护方式，具有严格的用户认证功能和密码识别等。 b 代理服务器有专门产生唯一的身份识别码的认证机制，每种代理也可进 行单独的使用授权。代理的过滤机制可利用配置可以完成应用协议的具 体命令过滤，使其只支持标准应用的方法集合的子集。 c 当用户通过代理服务器连接i n t e r n e t 时，在代理服务器上添加适当的用 户，也能对用户进行有效管理，可针对不同用户开放不同的应用功能， 设置用户不同的权限。还可以对i n t e r n e t 上的一些站点进行过滤，只能 访问一定i p 范围内或者某个域内的服务器。节省连入i n t e r n e t 的i p 地址，减少出口流量。 d 每个代理都通过记录所有的代理进程运行信息，以及每次连接的持续时 间并维护详细的审计信息。实时监控日志记录和审计，显示所有被拦截、 放行的访问纪录，并能根据需要监控出入代理的各个用户主机的操作， 详细的日志对网络事件的事后查询和分析具有决定性作用。 e 代理转发和过滤特定的应用服务，如t e l n e t 、f t p 等服务的连接。只允 许有代理的服务通过，也就是说只有那些被认为“可信赖的”服务才被 允许通过防火墙。另外代理服务还可以过滤协议，如过滤f t p 连接、拒 绝使用f t p 放置命令等。 1 i i 代理设计和运行效率 a 从程序设计的角度来看，应用网关中每个服务对应个程序，整个系统 的结构清晰，程序处理的数据层次分明。适合软件的升级、扩展和重用。 应用程序按设定的通信规程交互信息在修改上具有一定的优势，可以随 着技术的发展而采用新的方式。 b 每个代理都是一个简短的程序，专门为网络安全目的而设计。因此可以 对代理应用的源程序代码进行检查，以确定其是否出现安全漏洞并可以 及时找出问题进行修改。比如说，典型的u n i x 邮件应用可能包括2 0 万 行代码，而邮件代理只有小到i 0 0 0 行的程序。 c 代理系统中每个代理都与所有其它代理无关，它对每一种服务分别进行 安全隔离。网络管理员只需要安装他认为必需的服务。如果任何代理的 第1 2 页 防火墙技术研究一透明代理服务器的实现 工作产生问题，或在将来发现脆弱性，只需简单的卸出，不会影响其它 代理的工作。如果有用户要求支持新的应用，管理员能轻易的安装卸载 所需新应用。 d 代理程序与后台支持的操作系统无关，每个代理都以非特权用户的身份 运行在自己专属的安全目录中。代理除了读取初始化配置文件之外，一 般不进行磁盘操作，这使得入侵者很难在堡垒主机上安装特洛伊马程序 或其它的危险文件。 i v 易用性 a 对受保护用户来说透明方式的方便易用性是显而易见的：用户使用时只 需要把受保护内网主机的网关i p 地址设置为代理服务器i p 地址即可， 进行访问时候根本无需感觉到防火墙的存在和管理。代理服务器针对某 一具体的协议进行访问控制并不妨碍其它协议的正常执行，系统对某些 内外网地址进行限制也同时提供对其他地址的正常访问。系统可以对出 入代理服务器的进程进行统一的管理，具有很高的系统效率。 b 对于管理员来说透明代理系统的管理也十分方便：代理服务器可以根据 实际情况适应各种内外网连接，代理服务器可直接安装放置在网络的内 外网边界上运行。系统安全规则启用后能长时间稳定运行，不需要管理 员干预。透明代理以统一的策略和集成的平台对受保护网络进行安全配 置和管理。使用友好用户配置管理界面，可以解除终端命令行配置文件 的困难，减少了网络管理员的工作量。透明代理的设置只需要管理员提 供i p 和关键字信息。 v 费用 a ，一般来说使用专用的硬件防火墙会带来附加的花销，比如购买网关硬件 平台；代理服务应用、配置网关所需的时间和知识；提供给用户的服务 水平的下降；缺少易用性而导致缺少友好性的系统。需要网络管理员在 机构安全需要和系统的易于使用性上进行平衡。而透明代理服务器为一 种软件防火墙，直接利用现有的设备和操作系统，能有效的节省成本， 便于用户方便的升级和维护。 综上所述，透明代理服务器方式具有很强的访问控制能力，还将在未来的网 络安全体系结构中发挥着极其重要的作用。本课题设计的t r a n s p a r e n tp r o x y f o r l i n u x 透明代理服务器系统具有良好的应用前景。 本课题设计的系统实现了从应用协议数据连接的截取、传输、解码、整理和 重构，完成安全过滤和代理服务，分析两条连接及其相互关系，利用日志审计监 第1 3 页 第二章相关技术基础 视系统行为，了解运行状态，及时发现安全漏洞，有针对性地修改配置，弥补缺 陷，迸一步提高整体性能，保证防火墙系统的安全性和可靠性。本文论述的内容 就是基于使用透明代理的实现技术，针对其能提供高安全性和高易用性优点，全 面阐述了防火墙子系统的设计与实现。 2 5 代理服务器相关技术 2 5 1 n a t 技术原理 实现外部访问的反向地址转换和端口重定向技术都属于n a t ( 网络地址转换) 技术。n a t 技术的基本功能就是用一个或几个i p 地址来实现t 个局域网络上的 所有主机都可以访问i n t e r n e t 。n a t 技术可以为t c p 、u d p 以及i c m p 的部分信息 进行透明中继。n a t 具备端口重定向功能，透明代理利用它来解决透明通道建立 问题。当代理网关接收到个包后，不是转发这个包，而是将其重定向到代理机 器上的某一个应用程序。 n a t 工作原理：t c p 是建立在所谓的连接抽象( c o n n e c t i o na b s t r a c t i o n ) 之上的，它所对应的对象不是t c p 的一个单独的端口而是1 条虚电路连接，也就 是说，t c p 是使用连接而不是使用协议端口号作为基本的抽象概念。在t c p 中连 接是用1 对端点来标识的。t c p 把端点( e n d p o i n t ) 定义为一对整数( h o s t ，p o r t ) ， 因此可以将1 条t c p 连接用1 个4 元组( s o u r c ea d d r e s s ：s o u r c ep o r t ； d e s t i n a t i o na d d r e s s ：d e s t i n a t i o np o r t ) 来定义，该4 元组唯一的标识1 条 连接。这样的一个连接抽象允许多个连接共享1 个端点，例如2 条连接 ( 1 9 2 1 6 8 1 1 ：1 1 8 4 ；1 9 2 1 6 8 1 3 ：8 0 ) 、( 1 9 2 1 6 8 1 2 ：1 1 8 4 ：1 9 2 1 6 8 1 3 ： 8 0 ) 共享同1 个端点( 1 9 2 1 6 8 1 3 ：8 0 ) ，但又并不会引起歧义，从而可以看出 这种基于连接的抽象为利用1 个i p 地址进行外部世界的访问提供了基础。u d p 协议和? c p 协议一样是通过一对i p 地址和端口号来区分一对通信节点，这使得 n a t 的实现对于这两种协议是透明的，即实现这两种传输层协议的n a t 处理方法 是一致的。 具备n a t 功能的网关上运行的t c p i p 网关软件与常规的网关软件并不相同。 通常，常规路由器只是机械地根据i p 包中的目的i p 地址以及路由表，将i p 数 据报从个网络转发给另一个网络，而n a t 网关在i n t e r n e t 和i n t e r n e t 之间中 继i p 数据报并非凭借目的i p 地址，它的中继是面向连接的，如图2 7 所示。 第1 4 页 防火墙技术研究一透明代理服务器的实现 ，h lgl ，珊t 匮怒口匝鬻圈 ii “l3llj 1 i jl逐圈 图2 7 网关在i n t r a n e t 和i n t e r n e t 之间中继i p 数据报的连接 假设在局域网l a na 接入i n t e r n e t 处有1 个n a t 网关，网关处理所有网络 内外之间的t c p i p 连接。n a t 网关具有内网和外网接口，2 个接口各被分配1 个i p 地址，其中外网接口的i p 地址是合法的全球唯一的i p 地址 2 0 0 2 0 0 2 0 0 2 0 0 ，内网接口的i p 地址般为保留地址，如设为1 9 2 1 6 8 1 1 。 当内部网络中的i 台主机( 例如a ) 要访问i n t e r n e t 上