（计算机应用技术专业论文）基于流过滤技术的ipv6防火墙的研究.pdf

基于流过滤技术的i p v 6 防火墙的研究 摘要 随着i n t e r n e t 在世界范围内的迅速发展和广泛应用，i p v 4 正面临地址枯竭等问题。由 i e t f 开发的i p v 6 协议，不但解决了旧版本的问题，而且还给p 带来了一些新特性。在应 用i p v 6 的下一代网络中，网络信息安全问题依然严重，必将成为影响网络技术进一步发展 和应用的关键因素之一。防火墙作为网络安全的重要手段，已经成为应用最广泛的网络安 全解决方案。然而，传统防火墙的核心技术在应用层保护和内容监控等方面存在许多缺点。 作为一种全新的防火墙技术，流过滤技术克服了传统防火墙核心技术的诸多缺陷，而且融 合了它们的优点。因此，对一个基于流过滤技术且支持i p v 6 协议的防火墙系统进行研究是 很有必要的。 本文首先介绍了基于流过滤技术的i p v 6 防火墙的研究背景和意义，阐述了该问题的现 状，然后对防火墙的功能、分类、体系结构和其它一系列主要性能指标进行了深入研究。 本文重点研究了“流”的概念，以及流过滤的定义、实现原理、报文处理策略和机制等问 题，并将流过滤技术与其它防火墙技术在安全性、实现原理、工作效率、和控制能力等方 面进行了比较，分析得到作为一种新型的防火墙技术，流过滤技术性能十分优越。最后本 文描述了流过滤的实现过程。 本文的创新点和所做的工作如下： 1 、在研究流过滤实现的基础上，提出了基于i p v 6 流标识的报文分类，给出了在报文 重组的过程中由于数据量过大或数据分组过多而产生问题的解决方法。 2 、全面论述了基于i p v 6 设计防火墙需要解决的问题；在采用屏蔽子网防火墙系统结 构的基础上，提出了利用i p v 6 扩展报头解决i p s e c 与防火墙兼容问题的设计策略；同时对 基于流过滤技术的聃6 防火墙进行了详细设计，阐述了防火墙各个功能模块的实现过程。 3 、构建了系统测试环境，对防火墙进行了i p v 6 数据包的过滤功能的实验测试。实验 结果表明该防火墙基本上实现了预期的设计目标。 关键字：网络安全；i p v 6 ；i p s e c ；流过滤技术；防火墙 基于流过滤技术的i p v 6 防火墙的研究 a bs t r a c t w i t ht h er a p i dd e v e l o p m e n ta n dw i d ea p p l i c a t i o no fi n t e m e ti nt h ew o r l d ，i p v 4h a sb e e n f a c i n gt h ep r o b l e m ss u c ha sa d d r e s se x h a u s t i o n t h ei p v 6a g r e e m e n tw h i c hi sd e v e l o p e db y i e t fn o to n l yh a ss o l v e dt h eo l de d i t i o np r o b l e mb u ta l s ob r o u g h to u ts o m en e wc h a r a c t e r i s t i c s w i t ht h ea p p l i c a t i o no ft h ei p v 6i nt h en e x tg e n e r a t i o nn e t w o r k ，t h en e t w o r ki n f o r m a t i o ns e c u r i t y i ss t i l ls e r i o u s ，w h i c hw i l l c e r t a i n l yb e c o m eo n eo ft h ek e ya s p e c t st o i n f l u e n c ef u r t h e r d e v e l o p m e n to ft h en e t w o r k a st h ei m p o r t a n tm e t h o dt os o l v et h en e t w o r ks e c u r i t yp r o b l e m s ， t h ef i r e w a l lh a sa l r e a d yb e c o m et h em o s tp o p u l a rw a y h o w e v e r , t h e r ea r es o m es h o r t c o m i n g s s u c ha sa p p l i c a t i o nl a y e rp r o t e c t i o na n dt h ec o n t e n tm o n i t o r i n gi nt h ec o r et e c h n o l o g i e so f t r a d i t i o n a lf i r e w a l l s a sab r a n d n e wf i r e w a l la r c h i t e c t u r e ，f l o wf i l t e r i n gh a so v e r c o m em a n y f l a w si nt h ec o r e t e c h n o l o g i e s o ft r a d i t i o n a lf i r e w a l l sa n di n t e g r a t e ds o m ea d v a n t a d g e s t h e r e f o r e ，i ti sn e c e s s a r yt os t u d yt h ef i r e w a l lw h i c hi sb a s e do nf l o wf i l t e r i n gt e c h n o l o g ya n d s u p p o r t st h ei p v 6a g r e e m e n t f i r s t ，t h et h e s i si n t r o d u c e st h er e s e a r c hb a c k g r o u n da n dt h es i g n i f i c a n c eo ft h ei p v 6f i r e w a l l s y s t e mb a s e do nf l o wf i l t e r i n gt e c h n o l o g y , a n de l a b o r a t e st h ep r e s e n ts t a t u s t h e nt h et h e s i s g i v e si n t e n s i v er e s e a r c h e s o nt h ef u n c t i o n s ，c l a s s i f i c a t i o n s ，a r c h i t e c t u r e sa n do t h e rm a j o r p e r f o r m a n c ei n d e xo f 血ef i r e w a l l s t h i st h e s i sm a i n l ys t u d i e st h en o t i o no ft h e “f l o w ”，t h e d e f i n i t i o na n db a s i cp r i n c i p l eo ff l o wf i l t e r i n gt e c h n o l o g y , t h es g a t e g ya n dm e c h n i s mo fm e s s a g e p r o c e s s i n g ；c o m p a r e sw i t ho t h e rf i r e w a l lt e c h n o l o g i e si nt h es e c u r i t y ，i m p l e m e n t a t i o np r i n c i p l e ， t h ew o r k i n ge f f i c i e n c y , a n dt h ec o n t r o l l i n ga b i l i t y ；c o n c l u d e st h a ta san e wf f u e w a l ls t r u c t u r e ，t h e f i l t e r i n gt e c h n o l o g yh a se x c e l l e n tp e r f o r m a n c e t h el a s ts e c t i o nr e p r e s e n t st h ei m p l e m e n t a t i o n p r o c e d u r eo f f l o wf i l t e r i n gt e c h n o l o g y t h ei n n o v a t i o n e so ft h et h e s i sa r ea sf o l l o w s ： 1 b a s e do nt h er e s e a r c ho nt h ef l o wf i l t e r i n g ，t h i sp a p e rp r o p o s e st h em e s s a g ec l a s s i f i c t i o n a c c o r d i n gt ot h ei p v 6f l o wm a r k m e t h o d sa r ep r o v i d e dt ot h ep r o b l e mc a u s e db yt h ee x c e s s i v e d a t ao rd a t ag r o u p sd u r i n gt h em e s s a g er e s t r u c t u r e 2 t h et h e s i sg i v e sac o m p r e h e n s i v ee x p l a n a t i o no nt h ep r o b l e m st ob es e t t l e di nd e s i g n i n g f i r e w a l lb a s e do ni p v 6 b a s e do nt h ef i r e w a l ls y s t e ms t r u c t u r eo fs h i e l d i n gs u b n e t w o r ki t p r o p o s e sas t r a t e g yo fs o l v i n gt h ec o m p a t i b i l i t yo ft h ei p s e ca n df i r e w a l lb yu s i n gt h ei p v 6 e x p a n d i n gm e s s a g eh e a d e r t h i sp a p e ra l s og i v e sad e t a i l e dd e s i g no nt h ei p v 6f i r e w a l ls y s t e m b a s e do nf l o wf i l t e r i n gt e c h n o l o g ya n ds t a t e so nr e a l i z a t i o np r o c e s so fe a c hf u n c t i o nm o d e li n f i r e w a l l 3 t h et h e s i sb u i l d st h es y s t e mt e s t i n ge n v i r o n m e n ta n dt e s t st h ef i l t e r i n gf u n c t i o no fi p v 6 p a c k a g e s t h er e s u l t so ft h ee x p e r i m e n tp r o v et h a tt h es y s t e mc o n f i r m st ot h ef i r e w a l ls t a n d a r d 基于流过滤技术的i p v 6 防火墙的研究 a n dr e a l i z e st h ee x p e c t e dg o a l s k e y w o r d s ：n e t w o r ks e c u r i t y ；i p v 6 ；i p s e c ；h o wf i l t e r i n gt e c h n o l o g y ；f i r e w a l l i 曲阜师范大学博士硕士学位论文原创性说明 ( 在口划“”) 本人郑重声明：此处所提交的博士口硕士曰论文基于流过滤技术 的i p v 6 防火墙的研究，是本人在导师指导下，在曲阜师范大学攻读博士口 硕士曰学位期间独立进行研究工作所取得的成果。论文中除注明部分外不 包含他人已经发表或撰写的研究成果。对本文的研究工作做出重要贡献的个 人和集体，均已在文中已明确的方式注明。本声明的法律结果将完全由本人 承担。 作者签名：补风歹 ；( 【 日期： 乒d d 只f 3 曲阜师范大学博士硕士学位论文使用授权书 ( 在口划“、 ) 基于流过滤技术的i p v 6 防火墙的研究系本人在曲阜师范大学攻读博 士口硕士母学位期间，在导师指导下完成的博士口硕士回学位论文。 本论文的研究成果归曲阜师范大学所有，本论文的研究内容不得以其他单位 的名义发表。本人完全了解曲阜师范大学关于保存、使用学位论文的规定， 同意学校保留并向有关部门送交论文的复印件和电子版本，允许论文被查阅 和借阅。本人授权曲阜师范大学，可以采用影印或其他复制手段保存论文， 可以公开发表论文的全部或部分内容。 作者签名：耶) 无歹气 导师签名：；- 6 4 呻考 日期：钾六6 日期：劫卵6 ，弓 基于流过滤技术的i p v 6 防火墙的研究 1 1 研究背景和意义 第一章引言 因特网( i n t e m e t ) 是将分布于不同地点的不同物理网络进行互连而形成的网间网，目标 是建立一个统一协作的、向用户提供相同服务的通信系统。计算机网络具有资源共享性和 可扩充性【1 】，它能提高系统的可靠性，并通过分散工作负荷提高工作效率。但这些特点却 给网络安全增加了复杂性和脆弱性以及网络受威胁和攻击的可能性。随着计算机网络规模 不断发展，人们的生活和工作与网络的关系越来越密切。与此相关的网络安全问题也随之 显现出来，并逐渐成为计算机网络应用所面临的主要问题，因此网络安全技术越来越受到 广泛重视。 网络安全技术涉及到加密认证、入侵监测、防火墙技术等复杂而广泛的领域。市场上 存在的各种各样的网络安全工具中，防火墙是最早发展起来的安全技术，目前仍然是防御 网络入侵者最有效的机制和最成熟、最早产品化的技术。由于防火墙技术的针对性很强， 它已成为实现i n t e m e t 网络安全最重要的保障之一。从本质上说，防火墙是一种保护数据、 资源以及用户声誉的装置，可以用来限制人们从一个特别的控制点进入和离开，防止侵入 者接近本地的其它设施，并有效的阻止破坏者对本地计算机系统进行破坏。因此，防火墙 通常被安装在受保护的内部网络与i n t e r n e t 之间的点上。 但随着i n t e r n e t 在全世界范围内的迅速发展和广泛应用，越来越多的网络和设备与 i n t e m e t 联网，全世界将面对i p v 4 地址空间缺乏的局限性，同时还要面对i p v 4 不具备的很多 功能不能满足新的应用需求等问题，这都制约着网络应用的进一步发展【2 】。i e t f 新开发出 来的i p v 6 协议，不但解决了旧版本的问题，而且还给m 带来了一些新特性。这些新特性使 得p 协议在地址分配、移动性、安全性及多媒体支持方面都有巨大的灵活性，未来的网络 将主要采用i p v 6 协议【3 】。不过在应用i p v 6 的下一代网络中，网络信息安全问题依然严重， 这一问题必将成为影响网络技术进一步发展和应用的关键因素之一。因此进行针对i p v 6 网 络防火墙技术的研究，对于我国的网络安全工作具有十分重要的意义。 现在市场上主流的防火墙产品要么使用特殊的操作系统，要么使用特殊的硬件配置， 或者两者兼而有之。但主流的防火墙产品存在价格高，易遭受攻击等问题，所以主流的防 火墙并不是首选之举。同时，虽然我国在防火墙技术的研究发展比较快，但在一些关键技 术上仍无法与国外的先进技术相比。本论文着眼于研究一种维护简便、实用性强、具有对 应用层保护功能的轻量级防火墙，它能有效地防止内部和外部的网络攻击。 本论文通过探索和研究一些比较新的技术，在一定程度上促进了防火墙的研究和应 用，同时也为流过滤技术的研究提供了一定的借鉴经验。 基于流过滤技术的i p v 6 防火墙的研究 1 2 研究现状 随着网络安全技术的发展，防火墙技术取得了很大的进步。特别是近几年，在国外防 火墙发展迅速，产品众多且更新快，在防火墙的开发上不断有新的信息安全技术和软件技 术等被应用；同时国内的防火墙技术也有了很大发展，但与国外技术相比，还是存在一定 距离。传统的防火墙技术在防止网络攻击发面取得了一定的效果，并已成为流行的防火墙 技术。但随着网络攻击技术不断提高，传统的防火墙技术就显得力不从心了。而流过滤技 术作为东软集团提出的一种新型的防火墙技术架构，它融基于传统的防火墙技术，提供了 一个较好的应用防御解决方案。 虽然下一代网络协议i p v 6 利用i p s e c 实现了网络层的加密与认证，但是相关的密钥交 换、加密算法等标准都不成熟，造成了不同国家、地区和运营商之间在这方面的互相冲突。 这些问题如何解决也都是未知数。i p s e c 并不是完全解决了网络安全问题，它的提出仍然替 代不了传统安全设剖4 1 。一些开始采用i p v 6 的企业担心新协议没有足够的安全工具，包括 防火墙，并且还担心是由于i p v 6 允许每个系统有唯一的p 地址，黑客也许会针对企业内部 的某个系统发动攻击。目前，为了解决i p v 6 使用者遇到的网络安全问题，针对i p v 6 下的防 火墙己经有很多科研机构和厂商做了相当的研究工作。f 12 0 0 0 年安奈特发布第一款i p v 6 路 由器以来，现在安奈特的系列路由器与多层交换机系列产品己全面支持i p v 6 ，并且可以同 时支持i p v 4 和i p v 6 。思科在圣迭哥召开的北美i p v 6 全球峰会上演示了其开发的可以进行 i p v 6 通信量的全状态检测的i o s 防火墙软件。日立以及j u n i p e rn e t w o r k s 的路由器产品也支 持i p v 6 过滤。c h e c k p o i n t 在2 0 0 2 年9 月也宣布他们准备要提供i p v 6 的防火墙【5 】。我国也积 极参与矾6 的研究与试验，c e 啪于1 9 9 8 年加入口v 6 实验床6 b o n e 计划，2 0 0 3 年启动下 一代网络示范工程c n g i 【6 】，国内的网络运营商与网络通信产品制造商纷纷支持i p v 6 协议的 软件技术与网络产品。2 0 0 6 年全球i p v 6 高峰会议在北京举行，中国的i p v 6 的骨干网已经宣 告建成，i p v 6 试验网已开始在1 0 多个高校中试运行。但中国还处于i p v 6 发展的初期，尽管 i p v 6 试验工作己在国内开展，l p v 6 的设备也在试制中，部分设备已可以商用，但大多数产 品还不成熟，还没有形成i p v 6 网络设备规范和网络设备测试规范的标准化，还有大量工作 要做，特别是防火墙软、硬件设备的开发，在某种程度上制约了i p v 6 网络的推广，因此从 保障网络安全，促进i p v 6 网络进一步发展的角度来说，更有必要加大这方面的理论与实践 的研究。 1 3 研究目标 本文研究的目的在于通过研究流过滤技术的特点和i p v 6 防火墙的体系结构，设计出基 于流过滤技术的i p v 6 防火墙，以更加有效保障i p v 6 网络安全性。 本文的主要研究目标： ( 1 ) 研究流过滤技术，提出基于i p v 6 流标识的报文分类，解决报文重组数据量过大或 2 基于流过滤技术的i p v 6 防火墙的研究 数据过于分散重组时间太长的问题： ( 2 ) 研究i p v 6 环境中防火墙需要考虑的问题，提出i p v 6 防火墙的设计策略，以解决i p s e c 与防火墙的兼容问题； ( 3 ) 实现对流过滤防火墙的结构设计，分析各个模块的实现功能，并设计出功能模块 处理流程图； ( 4 ) 研究系统设计平台，恢复系统开发环境； ( 5 ) 实现防火墙系统的各个功能模块； ( 6 ) 实施防火墙系统的实验、分析； 1 4 组织结构 本文共分六章，按照如下方式组织： 第一章引言 介绍i p v 6 防火墙研究背景和意义、研究现状、研究目标以及本论文的组织结构。 第二章防火墙概述 从防火墙的功能、特性、分类、主要技术、防火墙体系结构和防火墙的主要性能指标 等方面介绍防火墙。 第三章流过滤技术研究 本章简述“流”的概念，详细阐述流过滤的定义、实现原理、报文处理策略和处理机制； 并将流过滤技术与其它防火墙技术在综合安全性、实现原理、工作效率、工作层次和控制 能力进行比较，得出流过滤技术代表了一种新型防火墙技术架构，性能优越；最后分析流 过滤的实现过程，提出了基于n 6 流标识的报文分类，同时对报文重组出现的问题提出解 决方法。 第四章l p v 6 防火墙的结构设计与分析 本章研究i p v 6 环境中防火墙需要考虑的问题，提出解决i p s e c 与防火墙兼容问题的i p v 6 防火墙设计策略，设计出l p v 6 防火墙的结构，并分析防火墙各个功能模块。 第五章基于流过滤技术的i p v 6 防火墙的实现与测试 本章研究分析系统实现平台，恢复系统开发环境，实现各个功能模块，最后对防火墙 系统进行实验测试和分析。 第六章总结与展望 总结本文所做的工作以及分析工作存在的不足之处和有待进一步研究的工作。 基于流过滤技术的i p v 6 防火墙的研究 第二章防火墙概述 防火墙是目前使用最为广泛的一种综合性网络安全技术，涉及到计算机网络技术、密 码技术、安全技术、软件技术、安全协议、网络标准化组织的安全规范及安全操作系统等 多方面，它通过监测、限制、更改跨越防火墙的数据流，对外部尽可能地屏蔽网络内部的 信息、结构和运行情况，以实现网络安全保护，即在内部网络和外部网络之间形成一道安 全保护屏障，防止了非法用户访问网络上的资源和非法向外传递内部信息，同时也防止了 这类非法和恶意的行为导致内部网络运行遭到破坏。 2 1 防火墙的功能 防火墙是在网络之间执行控制策略的系统，是安装在内网和外网之间的软硬件的集 合。人们把防火墙保护的内部网络称为“可信赖的网络 ，而把外部网络称为“不可信赖 的网络 ，如图2 1 所示。信赖的网络与不可信赖的网络通信必须通过防火墙，且只有内部 访问策略授权的通信才允许通过；防火墙系统本身具有高可靠性和较强的抗攻击能力。 防火墙通过检测所有进出可信赖网络的数据包，检查数据包的合法性，判断是否对网 络安全构成威胁，为信赖网络建立安全边界。只有符合安全策略的数据包才能通过防火墙， 并记录相关的连接来源、服务器提供的通信量以及任何企图闯入的试探，以便用户监测和 管理。 。，。一。、。，。一。、。、。 ( 匝垂每逦趣) i 、可信任网络 、不可信任网络 、一、一 图2 - 可信赖网络和不可信赖网络 防火墙的功能主要包括以下几点： ( 1 ) 对进、出网络的数据进行过滤； ( 2 ) 对进、出网络的访问行为进行管理； ( 3 ) 执行安全策略，限制所有不符合安全策略要求的分组通过； ( 4 ) 对通过防火墙的信息内容和活动进行记录； ( 5 ) 具有防攻击能力，并对攻击进行报警； 2 2 防火墙特性 一个成功的防火墙应该具备以下特性： 本原则7 1 ，即除非明确允许，否则就禁止； 一是防火墙的设计策略应该遵循安全防范的基 二是所有信息都必须通过防火墙：三是只有在 4 基于流过滤技术的i p v 6 防火墙的研究 安全策略中允许的通信才能通过防火墙；四是可以加入新的服务；五是具备日志记录功能， 能检测网络攻击并报警；六是防火墙自身高可靠性和较强的抗攻击能力。 2 3 防火墙的分类 随着网络安全技术的发展，防火墙也在不断发展，其分类和功能不断细化，但总的来 说，依据采用技术的不同，防火墙可分为软件防火墙、硬件防火墙和软硬一体化防火墙； 按照应用对象的不同，防火墙可分为企业级防火墙与个人防火墙：根据防御方式的不同， 防火墙可分为以下四类：分组过滤路由器、代理应用级网关、电路级网关和复合型防火墙。 分组过滤路由器( 包过滤防火墙或网络级防火墙) 工作在网络层，工作方式有静态和动 态两种。它一般基于源地址、目的地址、应用协议以口包的端口与一些设定好的过滤规则 来对过滤信息做出通过与否的判断。其中这些过滤规则可根据包中的信息或根据路由器 知道的信息如数据包源、目的端口由屏蔽路由器进行强制设置。当数据包与已定义好的某 条规则相符合时，则执行相应操作，决定数据包的接收、转发或者丢弃；如果没有规则符 合，防火墙就使用默认规则，这就是静态包过滤。一些专门的防火墙在传统包过滤的功能 上进行了扩展，即状态检测包过滤( 动态包过滤) 。防火墙通过状态检测包过滤所建立的每 一个连接都进行跟踪，并且根据需要动态地增加或更新过滤规则的条目。分组过滤路由器 的优点是简洁、方便、速度快、费用低，并对用户透明，但它对网络的防护能力有限，因 为它只能检查地址和端口，对网络更高协议层的信息不能理解，存在数据驱动式攻击的潜 在危险，不能防止地址欺骗。 代理应用级网关( 应用级防火墙) 主要工作在应用层，是应用层通信的中继站。它检查 进出的数据包，通过自身复制传递数据，防止在受信主机与非受信主机间直接建立联系； 并且还能正确理解应用层协议，能够进行复杂的访问控制。代理应用网关可看作是运行于 要求特定业务的客户机与提供所需业务的服务器之间的中间过程。在这类防火墙中，它既 有服务器的功能，又充当一个客户机。因此，外网与内网之间没有直接的连接，外部的恶 意入侵者不易对内部网络构成威胁。代理应用级网关易配置，有较好的访问控制能力，但 实现麻烦，缺乏透明性，速度较慢，影响了网络性能，还需要针对每一种协议开发特定的 代理协议。 电路级网关工作在会话层，用来监控受信任的客户或服务器与不受信任的主机间的 t c p 握手信息，以决定会话是否合法，即决定哪些连接是允许的，哪些连接是禁止的。它 不允许内部主机与外部主机之间直接的t c p 连接，而是分别与内部主机和外部主机建立 t c p 连接。但无法检查应用级数据包。 复合型防火墙集成了包过滤和代理服务功能，并利用多种安全防护技术形成混合的多 级防火墙，由堡垒主机( b a s t i o nh o s t ) 提供代理服务。它具有较高的灵活性和安全性。 基于流过滤技术的i p v 6 防火墙的研究 2 4 防火墙的主要技术 防火墙技术有很多种，其中有的技术已广泛应用，但更多新技术正在研究和改进之中。 2 4 1 包过滤技术 包过滤技术是防火墙最早采用的技术，它在系统内设置数据过滤规则，只有满足过滤 规则的数据包才被转发到相应的网络接口，而其余数据包则从数据流中被丢弃，也被称为 访问控制表( a c c e s sc o n t r o ll i s t ) t s 】。该技术通过检查数据流中的每个数据包的源地址、目的 地址、源端口、目的端口及协议状态，或它们的组合来确定是否允许该数据包通过。因此， 数据包结构是包过滤技术的基础，包过滤技术的核心问题就是如何充分利用数据包中各个 字段的信息来实现数据包的转发与丢弃。 这种技术应用在路由器上，具有过滤效率高、成本低、易于安装和使用等特点，它最 主要的优点在于其速度和透明性。正是由于此，包过滤技术经历发展演变而未被淘汰【9 】。 但包过滤技术是基于p 的认证，不具备身份认证功能，同时不支持应用层协议，无法理解 高层协议，并且过滤规则集具有相当的复杂性，无严格的测试工具来检验其正确性，难免 会出现安全漏洞。 2 4 2 代理技术 代理技术也称为应用层网关技术，是以存储转发方式向一些标准的服务应用提供代 理。在实际应用中，应用代理的功能是有代理服务器( p r o x ys e r v e r ) 去实现的，且应用代理 是双向的。其工作原理是：首先客户与代理服务器建立连接，代理服务器接受客户请求后 会检查并验证其合法性，若合法，代理以一台客户机的身份与服务器建立连接并向其发送 请求，取回所需的信息，最后转发给客户。它将内部系统与外界完全隔离，从外面只能看 到代理服务器；而且代理服务器只允许代理的服务通过。代理服务器对它们支持的协议提 供深入的安全分析，这样就能做出更好的决策；同时它们一般都具有日志记录功能。因此， 代理技术通常被认为是最安全的防火墙技术。 代理技术的优点是安全性较高，可以针对应用层进行侦测和扫描。其缺点是缺乏应用 透明性，因为它只有位于应用会话的中间环节，才会对会话进行控制，这对于应用协议来 说实现代理是相当困难；处理速度慢，不能支持大规模的并发连接，不适合使用在对速度 敏感的行业。同时，代理技术另一个缺陷是性能差。代理防火墙必须建立在操作系统提供 的s o c k e t 服务接口之上，其对每一个访问实例的处理代价和资源消耗大。 但是，自适应代理技术的出现让应用代理防火墙技术出现了新的转机，因为它结合了 代理防火墙的安全性和包过滤防火墙的高速度等优点。自适应代理技术可以根据用户定义 的安全策略，动态适应传送分组流量。如果安全要求较高，则最初的安全检查仍在应用层 6 基于流过滤技术的l p v 6 防火墙的研究 完成；而一旦代理明确了会话的所有细节，那么其后的数据包就可以直接经过速度较快的 网络层。这样既保证防火墙具有较高的安全性，又将大大提高了防火墙的性能。 2 4 3 状态检测技术 状态检测技术【10 】在网络层实现。它的核心部分是建立状态表，并将进出网络的数据当 成一个个的会话，利用状态表跟踪每个网络会话的状态，对每个包的检查不仅根据规则表， 还考虑了数据包是否符合会话所处的状态。因此提供了完整的对传输层的控制能力。 状态检测技术的优点是安全性非常好，具有高效性、伸缩性和易扩展性，并且状态监 测技术采用了一系列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤 其是在一些规则复杂的大型网络上。 2 4 4 流过滤技术 流过滤技术【l l 】工作在链路层或p 层，是融合了包过滤技术和应用代理技术安全性的 一种全新的防火墙技术，不但克服了包过滤和应用代理的诸多缺陷，而且融合了它们的优 点。其基本原理是以状态包过滤的形态实现对应用层的保护，通过内嵌专门实现的t c p 协 议栈，在状态检测包过滤的技术上实现了透明的应用信息过滤机制。具体来说，就是客户 端在规则允许下，两端可以直接访问，但是对于任何一个被规则允许的访问在防火墙内部 都存在两个完全独立的t c p 会话，数据以“流”的方式从一个会话流向另一个会话，有防 火墙应用层策略位于流的中间，因此可以在任何时候代替服务器或客户机端参与应用层的 会话，从而起到了与应用代理防火墙相同的控制能力，产生了代理防火墙的功效。 流过滤的结构继承了包过滤防火墙和应用代理的特点，因而非常容易部署，消耗资源 少、效率高且抗攻击能力也高。并且由于应用层安全策略与网络层安全策略是紧密的，所 以在任何一种部署下都能够起到相同的保护作用。 2 5 防火墙的体系结构 防火墙体系结构对防火墙性能有重要的影响，其体系结构主要分为双重宿主主机体系 结构、屏蔽主机体系结构、屏蔽子网体系结构等三种类型【l2 1 。 双重宿主主机体系结构是围绕着具有两块网卡的双宿主主机而构成的，如图2 2 所示。 它至少有两个网络接口，其中一个是内部网络接口，另一个是外部网络接口。主机可以充 当这两个接口之间的路由器，它能够从一个网络向另一个网络发送d 数据包，但并不是直 接发送。外部网络能与双重宿主主机通信，内部网络也能与双重宿主主机通信，但外部网 络与内部网络不能直接通信，而是经过双重宿主主机的过滤和控制。实际上，双宿主机将 7 基十流过滤拉术的i p v 6 防火墙的研究 在内网和外网的信息完全切断了，保护了内部网络，提供了很高程度的网络控制。但一旦 双重宿主主机受到入侵，内、外网就可以直接通信，防火墙就不会再起作用。因此，双重 宿主主机是该结构的核心。 三兰膏至兰至主至三要 图2 - 2 双重宿主主机体系结构 屏蔽主机体系结构包含一个屏蔽路由器和一个堡垒主机，如图2 _ 3 所示。堡垒主机配 置在内部网路上，是因特网上的主机能连接到的唯一内部网络上的系统桥梁。任何外部的 系统要访问内部的系统或服务都必须先连接到这台主机，因此堡垒主机需要拥有高等级的 安全。屏蔽路由嚣位于内网和外网之间，并有设定好的规则，使从外网来的数据必须经过 堡垒主机，而去往其它主机上的信息被阻塞了。入侵者只有攻破了屏蔽路由器和堡垒主机 两个系统，才能攻击内部网络。一旦攻破，由于内部网络与堡垒主机之间没有任何保护网 络安全的设备存在，内部网络对入侵者来说是完全开放的。这是屏蔽主机体系结构的一个 主要缺点。 广_ 蔼 图2 - 3 屏蔽主机体系结构 垦“蝥直 基十过滤技术时t h 6 防火墙的q 究 屏蔽子网体系结构是由两个屏蔽路由器和个堡垒主机组成，即在屏蔽主机体系结构 中增加了一个屏蔽路由器，如图2 - 4 所示。两个屏蔽路由器分别放置内网的两端，一个与 内网相连，一个与外网相连，即在内网和外网之间形成了一个“隔离层”屏蔽子网。 为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入 堡垒主机，它将仍然必须通过内部路由器。因此，屏蔽子网体系结构防火墙有较大的优越 性，安全性更好；但代价高，不易配置，增加了堡垒主机转发数据的复杂性。 ，。、 厂 ： o 一。二一 = 一 目掌! i 氢“m w * ! 一 1 * 十+ # 。 一 、 、。，。1 ，7 厂弋t - 、 r i _ _1 ，1 * r 1j 、-。c，j-【。1一一7 三曼三三乏兰景三互妻 图2 _ 4 屏蔽于阿体系结构 2 6 防火墙的主要性能指标 衡量防火墙的性能指标主要包括吞吐量、延迟、丢包率、最大并发连接数等。 r 1 ) 吞吐量 吞吐量是指防火墙在接收和发送数据包而没有丢失情况下的最大数据传输速率，是防 火墙在正常工作时的数据传输处理能力，是其它指标的基础。它反映了防火墙的数据包转 发能力。因为数据流中一帧的丢失会导致由于高层协议等待超时而产生重大延迟，所以知 道防火墙实际的晟大数据传输速率是非常有用的。同时该项指标还能用于判断防火墙设备 在超过自身负载的情况下稳定性问题。更高的吞吐量使得防火墙更能适用于网络核心层对 流量要求很高的网络环境，使防火墙不会成为网络的性能瓶颈，不会影响正常的业务通讯。 它的大小主要有防火墙的内网卡和程序算法的效率决定。 f 2 1 延迟 延迟是指从数据帧的最后一个比特进入设备端口j t 始至数据包的第一个比特从被测 设备另一端口离开的时间间隔。延迟指标对于一些对实时敏感的应用，如网络电话、视频 会议、数据库复制等应用影响很大，因此好的延时指标对于评价防火墙的性能表现非常重 要。所有帧长的延迟测试在5 0 和1 0 0 吞吐率下进行，横向比较的是存储转发的延迟结 基于流过滤技术的i p v 6 防火墙的研究 果。单机转发延迟( 一条规则，2 个g e 口，双向2 g b p s 流量，分别在5 0 和1 0 0 吞吐率 下测试) 。 ( 3 ) 丢包率 丢包率指防火墙在不同传输速率下丢失数据包的百分数，目的在于检查防火墙在超负 载情况下的性能。 ( 4 ) 并发连接数 并发连接数是指防火墙对其业务信息流的处理能力，即防火墙能够同时处理的点对点 连接的最大数目，反映出防火墙对多个连接的访问控制能力和连接状态跟踪能力。 1 0 基于流过滤技术的i p v 6 防火墙的研究 3 1 “流”定义 第三章流过滤技术研究 在1 9 8 8 年，因特网研究界的先驱者之一- d a v i dc l a r k 教授在展望未来的分组网络 体系结构时，给出了流的定义：流( f l o w ) 是“从一个源发送到一个目的的分组序列 【l 3 1 。 从流即分组集合的角度加以考虑是分组网络发展的必然要求，所以要将分组作为网络中的 最小单位。网络必须面对多种不同媒体应用需要，向不同种类的网络应用提供与它们要求 相适应的服务。因此，在网络中，特别是在网络的各中继结点中，处理的信息对象虽然仍 以分组为最基本单元，但在进行诸如网络运行控制、网络资源分配与管理等工作时，就必 须至少以两个不同服务对象的信息单位来进行，而这就需要定义“流”这样的概念。多年 来对流的特性相关研究从不同的方面证明了要对流的概念给出普遍接受的、一般性精确定 义是困难的，流的特性研究是基于网络实时流量测量的流量特性描述和分析研究的重要组 成部分。在七十年代，排队论的创始人k l e i n r o c k 教授就开始了流的特性研究1 1 4 1 ，但从九 十年代以来，特别是在开展网络集成服务以来，在这方面研究最突出的是c l a f f y 博士。c l a f f y 博士在他的博士论文【l5 】中系统地从中继系统的观点出发，研究了流的定义和不同时空参数 下的相应流特性分析问题。我们在他的论文看到，流具有多方面的特性，因此要对流的概 念给出普遍通用的精确定义是困难的。但在网络层，可以采用j a i n 教授【l6 】和c l a f f y 博士所 用的基于超时的流定义方法。 在本文中，我们认为，流的最小单位为分组，它是具有某种相同属性的网络协议分组 的集合。两个流的不同之处在于它们两者的属性差异。 3 2 流过滤技术概述 3 2 1 流过滤技术的定义 流过滤技术由东软集团在n e t e y e 3 0 技术白皮书【l7 】中提出，但至今还没有给出标准的 严格定义。流过滤技术应时而生，它是状态检测包过滤技术和应用代理技术形成的一种融 合趋势，是防火墙技术的一个新概念，突破了传统防火墙技术的局限，融合了包过滤技术 和应用代理技术的安全性和优点，而且克服了二者的诸多缺陷。因此，本文从防火墙技术 演变的角度出发，可以这样定义流过滤技术：流过滤技术是指突破传统防火墙技术，采用 专门设计的t c p 协议栈，以状态检测包过滤的形态实现了对应用层数据安全保护的一种防 火墙过滤技术。如图3 1 流过滤防火墙体系结构图所示。 基于流过滤技术的i p v 6 防火墙的研究 图3 1 流过滤防火墙体系结构图 3 2 2 流过滤技术的实现原理 流过滤技术的实现原理是在状态检测包过滤技术的基础上，采用专门设计的t c p i p 协议栈重组出入防火墙的数据包，然后把重组后的数据流交给应用层进行逻辑过滤，实现 对应用层的保护，阻止任何针对应用层的攻击，使得规则匹配在防火墙内部由数据链路层 直达应用层。如图3 2 流过滤结构示意图所示，图中左侧框中的小方块表示到达的p 分组， 其中空白方块表示连接1 的，黑色方块表示连接2 的；中间白色箭头指连接1 的重组应用 数据流，黑色箭头则对应于连接2 的；右框的方块则是对应于连接1 、连接2 向接收端转 发的p 分组。 。 口 c = ： i p 分组 数据流 基于信息流的安全策略 图3 2 流过滤结构示意图 3 2 3 流过滤技术与其它防火墙技术比较 包过滤技术、状态检测包过滤技术和应用代理技术是目前普遍采用的防火墙技术，本 文将从以下几个方面进行流过滤技术与其它技术的比较。 1 2 基于流过滤技术的i p v 6 防火墙的研究 1 、在综合安全性上 在综合安全性上，包过滤技术具有易部署、对应用透明等优点，但仅做检查单个、孤 立的数据报文，并不考虑前后报文之间的关系，并且它对单个报文中的i p p o r t 等项进行处 理，不涉及报文的数据部分以及报文头中部分项，不做基于应用层的过滤，所以对于应用 层缺少足够的保护，综合安全性差；状态检测包过滤技术试图将数据包的上下文联系起来， 并建立一种基于状态的包过滤机制，改变了简单的包过滤必须要全部开放端口或封闭，封 死f t p 服务，提高了安全性，但也是对单个报文处理，没有涉及成块数据流的安全检查； 应用代理技术能“动态适应”传输中的数据流量，当安全要求高时，安全检查仍然在应用 层中，保证防火墙的最大安全性，但难安装部署，完全阻断通信双方的直接的t c p 连接， 缺乏对应用透明性；流过滤技术具有易安装部署和动态保护网络安全的特性，能有效的抵 御各种新的攻击，综合安全性高。 2 、在实现原理上 在实现原理上，流过滤技术采用重构t c w i p 协议栈方式( 如图3 3 ) ，此方式在数据分 析过程中的拷贝次数、内存资源的开销方面都优于普通操作系统的t c p i p 协议栈，流过 滤技术可以对数据包转发，且对应用透明；包过滤技术、状态检测包过滤技术和应用代理 技术则采用普通的t c p f l p 协议栈方式( 如图3 4 、3 5 、3 6 ) ，并且应用代理还管理着两个标 准的t c p 连接；包过滤技术规范了网络层和传输层的行为，应用代理技术规范了特定的应 用层协议上的行为。 i p 数据包 l _ 一 应用层i 传输层 网络层 i p 数据包 i _ 图