（计算机科学与技术专业论文）分布式防火墙策略不规则的发现技术研究.pdf

硕士学位论文 ab s t 段 c t s tu dy o f d i s c o v e rytec hn o l o g yo f p o l i c yano m al i e s i nd i st ri bute d f i re w a 1 1 . t b e di s tri but i o n alfi re w a 】 l u s e s ar c h i t e c l u r e l 】l a t the c o nt ro l c e nter e 湘b l i s h s e c urityp o l i c y a n d m an y n o d e fi re w a 】 1 s c a r ryo utthe s t r ategy.itc anbeu e r re s o l ve th e s e c u r i typ ro b l e m s o f m o reand m o rei n fl at e m a l p r ac t i c e an d i n t r a n e t o f b o und a ryfi r e w a 1 1 s e c uritypol i c y. the s i r a t e gym ana g e m e nio f d i s tri buti o na l fi r e w a 1 l i s q ui t e l y c o n 1 p 1 e x ， inl a r g e 一 邪 a l e i n dus try n e t w o rks them u lt i 一 i e vel and i nh币ta g e adm i nis t ra t l o n m e l b o d s area 】 w a y s s e l e c t e d . b e c au s e eve ry l e vel fi re wal l m a n a g e r c an add the fi l te r ru l e s i l1 t 0 t he fi re wal l pol i c y stor e s .the n th e y are i s su e d i nto al l nod e s and i m p l e m ented， 11 俪l l e as i l y c aus e th e c o n fl i c t i o n so frule si ns i n g l efi re w al las we1 las am o ng fi 了 e wal l s ，i no th er wo rd s ， ano mal o u spheno m e n ao fp o l i c y j nth i sp ape r， t h ereas onso fpol i c yano ma l i e si nthe d i strib ute dfi re w a l l s are a n a 1 y s e dt he n o rmat i ve d e fi n i t i ons are p r o v i d e dfor al l k i nds o f pol i c y ano mal i e s i n d i s trib ute d fi re wal l s ， the pol i c ym o del b asi n go nx mli s d e s i g n e di n vi ew o f a l l k i n d s o f p o l i c yano rma i i e s o f the d i s trib ut i o nal fi re wa l l w七 p r e se nt a s e t o f al g o ri t 】1 n 1 sb as i n g o n x m l i n 0 r d er to fi i1 d theshad o w 助 o m al i e s ， s p urio us ano mal i e s ， re d u ndant ano 1 1 1 a 1 1 e s and c o rrel ate ano m a l i e s . a s s o o n asl h e r e i s any c h ang e i n th epol i c yst o r e s ， o ur a 1 g o ri 1 h 11 1 s w i l l auto m a t 1 c al 1 ystarts oasto s e a r c hth epol i c y ano ma l i e s a n d d i st i n gui s h the 玄 y p e . i f th e rei s a b n o rmala 月 触 i r i n pol i c yst o re s ，the y c anc al l m ai n t a l n abl e m e t h o d s s uch asm o d i fy i n g ord e l eting the rulesfromthe pol i c y s t 0 r e s soth at al 1 k i n d s o f p o l i c yano m al i e s are e l i m i n ated a t l as t ， we b a v es i m ul at ed re a l i z e dour al g o ri t hin s a n d a i1 a 1 y s e d thei r g e n e r a i p ro p e rt i e s k e y 协 o rd， :d i s t ri b u l i o nalfi re 叭 么 1 1 ， p o l i c y rul e ， net 从 rks e c l lr l t y a b n o rmity fi n d i ng， x mlfi l ter 声明 木学位论文是我在 导 师的指导 下 取得的研究成果，尽我所知 ， 在 本学位论文中， 除了加以标注和致谢的部分外， 不包含其他人己 经发 表或公布过的研究成果， 也不包含我为获得任何教育机构的学位或学 历而使用过的材料口 与我一同工作的同事对本学位论文做出的贡献均 已在论文中作了明确的说明口 研究生签名: 杨华裤 “ 年. 。 月协日 学位论文使用授权声明 南京理工大学有权保存本学位论文的电 子和纸质文档， 可以借阅 或上网公布木学位论文的 全部或部分内容， 可以向 有关部门或机构送 交井授权其保 存、 借阅 或上网公布本学位论文的 伞部或部分内 容。 对 于保密论文，按保密的有关规定和程序处理。 研究生签名 :从匀 三 。 月日 硕士学位论文分布式防火墙策略不规则的发现技术研究 0 前言 随 着网 络规模的发展， 信息安全成为了 越来越严重的问 题t41 i6 113 1 ， 在众多的安全 保障技术中， 防火墙以其充分利用网络拓扑、有效地执行访问控制策略的优势，成为 一种普遍 采用的 信息 保护手段。 但是， 传统的边界防火墙依赖于网络的物理拓扑结构， 实施安全 灵活的网 络应用带 来了困 难: 且它基 于内 部网 络是可 信任的、 不存在不安 全 威 胁的思 想， 而这种说法已 经被证明 是错误的， 使其性能受到很大的影响11 1 126 113 0 : 同 时， 防火 墙单一控制点的特性， 也成为阻碍网 络性能的瓶颈。 这些局限 性导 致了分 布 式防火 墙模型的 提出。 分布式防火墙的特点是策略集中管理、 分散 执行， 即 安全策 略 在 控制中 心制定， 再分发到各个节点防火墙解析 执行。 然而， 分布式防火 墙同 样也 面 临 着一 些技术问 题11 6 : 一方面， 缺乏可扩展性， 策略管理繁琐， 负 担沉重。 系统中 策 略管理中 心定义一条新的 全局安全策略后，需要将 这条策略为每台防火 墙配置 一次， 相同的部 分就造成了 大量的 重复配置: 系统中 增加一台新防火墙时 ， 就需 要手动为 该 防火墙配置和同一部门防火墙几乎完全相同的策略，可扩展性差使策略管理负担加 重。 另一 方面是策略冲突的问 题。 策略管理中 心直 接为防火 墙定义 和配置策略， 分别 为 具有 上下级关系的两台防火墙配置策略时， 由 于没有对策略进行统一管理， 可能使 得为下级防火墙配置的策略违反了为上级防火墙配置的策略，从而产生策略的冲突， 导致有些策略无效，有些策略冗余， 产生安全漏洞。 本文针对这些问题进行了初步的 研究与 探索， 并设计了 若干x ml 的 算法， 保证了 策略管理的顺利实施。 本文第一部分介绍了课题的研究意义，概述了网络安全的 一般 理论、防火 墙技 术、 分布式防火墙体系结构的研究 现状， 最后描述了 本文作者所做的 主要工作; 第二部分论述了 分布式防火墙策略 模型和策略表示方法，并定 义了分 布式防火 墙策略之间的相互关系， 将这种关系分为 完全无关、 精确匹 配、 兼容匹配、 关联四 种 类型: 第三部分是课题的核心部分，即分布式防火墙策略不规则 ( 即规则的异常现象) 的发现技术，将策略的不规则现象分为阴影不规则、 虚假不规则、冗余不规则和关联 不规则四种类型， 然后按照分布式防火墙之间的策略不规则的四种情况情况，分别设 计了基于x ml的发现算法: 第四部分简要介绍了策略的维护方法，即一旦由本方法发现了策略的不规则现 象， 而采用的相应维护措施， 如策略的编辑、 删除、 插入， 最后对算法的实际 效果和 算法性能进行了分析; 第五部分总结了 本文解决的问 题， 提出了需 要进一步解决的问 题和对未来的前 景展望。 绪 论硕 卜 学位论文 1 绪论 1 . 1 课题来源和研究意义 l i j 网 络安 全威胁与主要安全防范技术 计算机的网络化和全球化使得 i nte m e t 进入了社会的各个领域， 渗透到人们的方 方面面。网络的普及使人们生活和工作更加方便， 它消除了地域的差别， 让人与人之 间可以不受地理限制而自由通讯。 信息化程度的迅速提高， 给人们生活带 来方便的同时也给一些人以 可乘之机， 他 们利用信息技术非法 侵入 他人的 计算机系统窃取机密信息、 篡 改和破 坏数据， 据统 计， 约70%以上的网络信息主管人员报告因机密信息泄露而受到了损失， 一些专业的 著 名网 站， 如物h o o 、 c n n等多个w 七 b 站点都遭到了 来自in te m e t 的 分布式d os ( 拒 绝服务) 攻击 121 181 。 现在无论企业 还是个人用户，信息安全问 题都日 益成为被关注的 焦点，成为网络通信领域不可忽略的要素。 网络安全涉及到通信、网络、密码学、协议、操作系统、数据库、病毒、电子 商务等多方面技术。目前的网络安全产品，主要分为以下几类:安全操作系统、安全 隔离与信息交换系统、防病毒产品、i d s( 入侵检测系统) 、防火墙、 v p n ( 虚拟专用 网) 、密码生成器、 p kj ( 公钥基础设施) 、c a ( 认证中心)等。其中，防火墙是网络 安 全的 第一道 屏障， 它是最早出 现的网 络安全产品 和使用量最大的 安全产品， 所占市 场最大，安全技术也比较成熟。 l l z 防火墙技术简介 防火墙是一类防范措施的总称， 它可以在内部网与i nter n e t 或其他外部网之间设 立唯 一的通道， 将两 者隔离 、 监视并限 制网 络访问 以保护内 部网 络12n。 防 火墙筛选两 个网络间所有的连接， 决定哪些访问是允许的或者应该被禁止， 这些决定是网络安全 管理员根据一定原则制定的安全策略。防火墙可以以硬件方式实现 ( 如路由器充当) 、 也 可 以 用 纯 软 件 方 式 或者 软 硬 件 配 合 使 用的 形 式 实 现 哪 133 。 防 火 墙 在网 络中 的 位置 如图 1 一 1 所示。 绪 论硕 七 学位论文 布式防火 墙由 控制 中心节点与策略执行节点构成， 在控制中心集中制定安 全策略， 而 在节点防火 墙执行策略。 控制中 心可以根据用户权限、 网络具 体应用、 网 络的 拓扑结 构等特点有针对 性的制定安 全策 略， 许多主 机节点可以 分散的执行策略， 因 此， 可以 在性能、 安 全、灵 活性上 均可获 得前 所未有的 优势。 由 于分布式防火 墙中各 个通信节点通常分 布在不同 的物理地域，节 点对安全策 略要求不同， 同时节 点之间的通信需要经过不可靠的互 联网， 因此分布 式网 络防火墙 也面 临着新的问 题: 如何保证策略管理的 顺利实施、 保 证防火 墙内 部规则不出 现冲突、 保证各个防火 墙之间不出 现冲突 等。 本文的研究意义就是在于针对这些问题提供一个可行的解决方案。 1 .2 国内 外研究发展现状 1 . 2. 1 防火墙技术发展概况 防火墙的历史并不长，第一代防火墙技术几乎与路由器同时出现，采用了包过 滤路由器的 技术。 19 89年， 贝 尔实验室的d ave p re so tt 和h o 切 a r d tr i ckey推出了 第二 代防火墙，即电 路 层防火 墙， 同时提出了 第三代防火墙 一应 用层防火 墙( 代理防火 墙) 的初步结构。 1 9 9 2 年， u s c( u n i 姗 s i tyo f s o uth c arol i na) 信息科学院的b o b b rade n 开发出了 基 于动态包过滤 ( d y nam ic p ac ketfi lte r) 技术的第四 代防火 墙， 并 演变为的状 态监视(s l a t e in sp ec ti on) 技术。19 94年，以色列的c he ckpoint 公司开发出了第 一个基 于这 种技术的商 业 化的 产品。 1998年， 美国n a i 公司 推出了 一种自 适应代理( a d a p t i 代 p ro xy) 技术， 并在 其产品g a u ll t l e tf i re w a l l fo r n t 中得以实 现， 给代理类型的防火墙 赋予了全新的意义，可以称之为第五代防火墙。 防火墙的发展 与网络安全技术息息相关，从防火墙的发展过程看，可将基本的 防 火 墙 构 造 技 术 分 为 三种 131: 简单 包 过 滤、 状 态 包 检 测 、 应 用 级 代 理。 防火 墙 技 术 的 不断的发展 让它们的区分界 线己 经不十分明显了。 目 前 来看， 状态 包检测技术因为其 安 全性较好， 速度快， 得到最广泛的应用。 应用代理虽然安 全性更好， 但它需要针对 每一种协议开发特定的代理协议，对应用的支持不够理解。 按照防火 墙对内 外来往数据的处理方法，大致可以将防火墙分为两大体系:包 过 滤 防 火 墙 和 代 理 防 火 墙 ( 应 用 层 网 关 防火 墙 ) 。 前 者以c h ec kp o int防 火 墙 和ci s co公 司 的p 以 防火 墙为 代表， 后者以g au nt l et防火 墙为 代表 1 切。 1 包过滤防 火墙的发 展 第一 代: 静态 过滤。 这种类型的防火 墙根据定义好的过滤规则 审查 每个数据包， 以 便确定其是 否与某一 条包过滤规则匹配。 过滤规则 基于 数 据包的报头信息进行制 定。包头信息中 包括 ip源地址、ip 目 标地址、 传输协议(t c p，u d p，ic m p等等) 、 硕士学位论文分布式防火墙策略不规则的发现技术研究 t c p /ud p目 标端口、icmp消息类型等。 第二代:动态包过滤。 这种类型的防火 墙采用动态设置包过滤规则的 方法，可 动态根据实际 应用请求，自 动生成或删除相应包过滤规则，而无需管理员人工干预. 避免了 静态包过滤所具有的问 题。 这种技术后来发 展成为 包状态监测技术。 采用 这种 技术的 防火墙对通过其建立的每一个连接都 进行跟踪， 并且根 据需要可 动态地在过滤 规则中增加或更新条目。 2. 代理防火墙 第一代: 代理防火 墙。 代理防火 墙也叫 应用层网关 (ap plic ationg a t e w a y ) 防火墙。 这种防火墙通过一种代理伊 ro xy) 技术参与到 一个tc p 连接的 全过程。 从内 部发出的 数据包经过这样的防火 墙处理后， 就好 像是 源于防火 墙外部网卡一 样， 从而可以 达到 隐藏内部网结构的作用。 这种类型的防火 墙被网络安全专家和媒体公认为是最安全的 防火墙，其核心技术就是代理服务器技术。 第二代:自 适应代理防火 墙。自 适应代理技术是最近在商业应用防火墙中得 到 广泛应用的一种革命性的技术。 它可以结合代理类型防火墙的安全性和包过滤防火墙 的高 速度等优点， 在不损失安 全性的 基础之上大大提高代理型防火墙的性能。 组成这 种类型防火 墙的 基本要素有两个: 自 适应代理 服务器(ad ap t i vep ro xyserver ) 与动态包 过滤器(dy n 别 m i c p ac ket fil记 r ) ， 在自 适应代理服务器与 动态包过滤器之间 存在一个控 制通道。 在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过 相应的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息， 决定是使用代理服务从 应用层代理请求还是从网络层转发包。 如果是 后者， 它将动 态 地 通知包过滤器 增减过滤规则， 满足用户对速度和安全性的双重要求。 除了 对防火墙的 实现构件进行改进外，防火墙的系统结构也有了 长足的发展， 如自 适应的 代理 服务防 火墙、 新型 混合防火墙、 多 层防火 墙及分布式防火 墙等都属 于 新的防火墙体系结构的类型。 状态检测包过滤和应用代理这两种防火墙市场中 普遍采用的主流技术正在形成 一种融合的 趋势， 新型混合防火墙正是一 种组合了 状态信息包 检查防火 墙和代理防火 墙的 新型防火墙技术， 它集成了 应用 代理的 模块和状态检测的 模块。 分布式防火墙通常嵌入系统核心，所以也称为嵌入式防火墙，是一整套防火墙 系统， 可由 若干个软、硬件组件组成， 分布于内、 外部网 络边界和内 部各主机之间， 既对内 、 外部网 络 之间通 信进行过滤， 又对网络内 部各主机间 的通信进行过滤， 属于 最新的防火墙技术 之一。 分布式防火墙系统比 较完 整的 结构是由 b ellovin在 1999年提出的 19 ， 他从传统 防火墙的弊端出发， 提出了一种分布式的解决方案，即策略在中心进行定义， 而执行 绪论 硕士学位论文 则 是 “ 推 ，到 网 络 端 点 主 机 上 进行 。 2 0 00 年， io ann idi s 等在b ell ov in的 基 础 上， 在 o pe nbsd系 统 下 ， 实 现了 一 个 分 布 式 防火 墙 原 型s tro ngm a n1 26) ， 它 采 用k e y n otel71 的 信 任 管 理 系 统 ， 是 分 布式 防火 墙方 面 较为 典 型 的 一 个 原 型 系 统 。 但 是 ， s t ro ll g m a n 没 有 考 虑 对 移 动 用 户的 支 持， 仍 然 采 用ip地 址 来 标 识内 部 主 机 ， 另 外 ， 在o p en b s d 系统下 实现的 主机防火 墙的 执行机制并不适合 windo w s 等系统。 2 0 01 年，c h a r l e s p ayn e 和to mm a r k h a m 提出 了 一 个分 布 嵌 入 式 防 火 墙 的 结 构 及 其 应 用 201 ， 这 是 通 过 由嵌 入式防火 墙加固的网卡间的安全通信实现的。 随着分布 式防火 墙技术的不断发 展， 目前 仍存在一 些问 题， 比 如没有统一的策略描述和管理语言 ， 大规模网 络下的策 略管理等问 题， 仍需要进一 步的解决方案。 随着网络安全技术 研究的 推进及防火墙技 术不断向前发展， 新的 理论 在不断 提出 和完 善， 也 逐步 应用到实际中， 同时， 用户也 对未来防火墙技术提出更高的期望和想法。 从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不 够快，使整 个网 络对信息的处理变慢。 应用a si c( 专用集成电路) ， f p g a( 可编程 逻辑器件) 和网络处理器是实 现高 速防火墙的主要 方法， 其中以 采用网络处理器最优 1311。实现高 速防火 墙，关 键是算法，因 为网 络处理器中集成了 很多 硬件协处理单元， 容易实现快速处理。 目前 ， 受现有技术的限制， 还没有有效的 对应用层进行高 速检测的方法， 因此， 防火墙不适宜于 过多 集成内 容过滤、 防病毒和i d s 功能。 对于ids ，目 前最常用的方 式还是把网络上的流量镜像到 i ds设备中处理， 这样可以 避免流量较大时造成网络堵 塞。 此外，应用层漏洞很多， 攻击特征库需要频繁升级， 对于处在网络出口关键位置 的防火墙，如此频繁地升级也是不现实的。 多 功能整合也是防火墙的 发展方向 之一，鉴于目 前路由器 和防火 墙价格都比较 高， 组网环境也 越来 越复 杂， 用户一般希望防火墙可以支 持更多 的功能， 满足组网和 节 省投资的需要。 新型的网 络安全产品应该能 够提供有效的访问 控制， 并对网络的整 体状况实施全面而 细致的 监控， 还可以为 管理人员提供活 动分析的 基础。 此外， 在系 统的 安装与升级方面， 新型产品 应该 进一步贴 近用户， 帮 助他们方便顺利地完成安装、 配置过程，具有更友善的使用界面。 在分布式防火墙策略管理方面，国内外安全专家进行了大量的研究，英国的 n. d ul ay、 e . l upu 、m . sl o m an提出了 一种代理技术的 分布式防 火墙策略评估模型151， 认为 策略由角色和相互关系共同组成，每一种策略类型均被评 估模型编译成一个分 类， 并 代 表 运 行时 的 一 个 具 体策 略目 标. t h e 0di m ilr a k o s 、 iv an功 o rdjev i b ri an m a tt h e w s 、 j uan bi c arre 厕、 c hris phillips提出 了 基于 策 略 驱 动 存 取 控 制 的 分 布 式 防 火 墙体系 结构151 ， 在分布 式防火 墙的每一 个分 支节点上的防火 墙管 理员 都有自已 执行策 略的方式， 有效地完成分布式网络共同的安全 目 标。 山东大学的陈军等提出了一种基 硕士学位论文分布式防火墙策略不规则的发现技术研究 于s 0 a 卫( s im p l。 objec t a 二s s p rotoc ol ) 的 分 布 式 防 火 墙 策 略 发 布 方 法 2n， 在集 中 式 管 理中 分布式防火墙的体系 结构， 使用x m l描述策略，通过 s o a p 将策略发布到防火墙 上， 用s 0 ap 数字签名和加密保证信息 传输的 安全性， 具有平台无关 性、 语言无关 性、 易扩展性、 能 穿越防 火墙等 优点。 中 国科技大 学的 李宏伟等人提出了 一种新型的基于 入侵检测的分布式、自 适应防火墙 系统， 这 种分布 式防火墙系统采用主防火墙和主机 防火墙构成的 分布式结构， 并由中 央决策与 控制器处理来自 入侵检 测功能模块的反馈 信息， 实 现自 适应的安全策略， 因 此可以 有效克 服传统防火 墙的缺陷， 防范内部攻击， 提供一 致的安 全策略，同时避免了 单点失 败以 及成为 系统瓶颈。 总 之，未来防火墙的发展一方面朝高速、多功能化、更安全、易管理的方向发 展， 另一方面，克 服本身的缺陷， 提高运行 效率， 向多 元化发展， 网 络安 全产品在功 能与 特性方面 不断地充实自己， 从而连释 更新的 网络安全概念。 1 :2防 火墙产品 作为企 业用户首选的网络安全产品，防 火墙一直是用户和厂商关注的焦点。信 息化建 设对网 络安 全的需求成就了一 个新兴的市场。 防火墙 市场几乎已占 据整 个网络 安 全市 场份额的 一半， 而预计未来其整体趋势 仍将快速增长。 防火 墙渐渐地成为 整体 解决方 案中不 可缺少的一部分。 防 火墙在进 入信息系统新建领域的同时， 也积极有力 地补充着己有的网络环境。 网络防火墙市场是一个充满机会和竞争的市场。在国际防火墙市场上， c he c k p o intso n w ar e 公 司 和ci sc 。 公 司 占 有 的 市 场 份 额 最 多 ， 都 在20 % 左 右， 目 前 ， 我国的 防火墙高端产品市 场仍由国 外的防火墙厂商占领， 中 低端市场则参差不齐， 各 有份额。 国外的c h e c k 即i n t f irew a l l 一 1 防火墙、 ci s co p l x防火 墙、 n et s ereen防火墙 等在产品功能和质量方面的 优势， 使得国内 许多大 型客户纷纷采用。目 前， 国内 的防 火墙产品也越来越多，出 现了许多 专业防火墙公司。 当 前 ，国 外 知 名的防 火 墙厂 家主 要 有n et sc ree氏ci sco， c he c k 即 ini及 so nic sys l e m公司，国内 应用较为广泛的是华 为、 港湾、联想等。 l n et s creeu防火墙 n et sc公司的 n e l s c reen 防火 墙产品 是一种新型的网 络安 全硬件 产品，目前 其发展状况良 好， 可以 说是硬件防火墙领 域内的 后起之秀。 n et scre en 的产品完全基 于硬件a si c芯片， 它安装使 用简单。 同 时它还是一 种集防 火墙、 虚拟专 用网 即p n ) 、 流量控制三种功能 于一体的网络产品。 n et sc re en 把多 种安全功能集成在一 个 a sl c 芯片上， 将防火墙、 v p n 、网络流量控制和宽带接入这些功能全部集成在专有的一体 硬件中，该项技术能有效消除传统防火墙实现数据加密时的性能瓶颈，能实现最高级 别的 ip sec 协议。 绪论 硕士学位论文 z c h e c k p o i ntf i re wa l l 一 1 防火墙 c he c kpoi ntfi rcwa ll 一 1 是 一 个 老 牌 的 软 件 防 火 墙 产品 ， 它是 软 件防 火 墙领 域中 名 声很好的一款产品， 销售量 居同 类产品前 列。 目前 该产品支持的平台 有windo ws n t， wing成 000 ， s unsol aris ， ibmalx ， h p . 曰一x等。 新版本的fl r e w a l l 一 1 主要 增强的 功能 是在安全区 域支持e n l 刊 st技 术的数位证明解决方案; 以公用秘 钥为基础， 使用x.5 09 的认证机制i k e ofi re w a l l 一 1 支 持l d a p目 录 管理， 可帮助使用者定义广泛的安全策 略。 3 . c i s c o p i x防火墙 c is cop 以是状态检 测性的硬件防火墙，它 采用了专 用的 操作系统， 能减少黑客 利用操作系统漏洞攻击的可能性，就性能而言，ciscop ix 是同类产品中最好的，对 l o o b a s e 可达线 速级13 4 。另外， c i s c o 公司 在c i sc o s e c uritym ana g e : v l . 0 的产品介绍 中也提到了 分布式防火 墙的 概念， 指出 “ cis cos ec uritymana g er推出了基 于策略的 管 理基础，可以在未来扩展支持新增的cisco 安全解决方案” ， 说明 cisc。 产品也在朝分 布式防火墙方向发展。 4 c y b e m . l l p l u s 系列 防火 墙 n e t 认 习 rk-l 公司 是分布式防火 墙技术的领先厂商，它的c y b e 件. l l pl us系列 防火 墙包括 c 沙 e rw a llpl us 主机防火 墙、 c yberw a llp lus 一a p保护内 部网 络防火 墙、 c y be rwallpl us 一 ip 包过 滤 防火 墙 三 种产 品 ， 其 中 c 必e rwa l l p l us 又 包含 c yb erw all pl us 一 w s 工 作 站 防 火 墙 和c yb e rw all pl us 一sv 服 务 器 防火 墙两 个 类 别 。目 前 c yberwa u pl us系列防火 墙运行的平台是n t 系统。 5. s 0 nic w a l l 系列防火墙 soni c w a ll 系列防火 墙是soni 。 s y st e m公司 针对中小企业需求开发的 产品， 有着 很高的性能和极具竞争力的 价格， 适合中小 企业用户采用， 它是一款硬件防火 墙。 其 主要功能是阻止未授权用户访问防火墙内网络; 阻止拒绝服务攻击， 并可完成 hite rne t 内 容过滤; 实现ip地址 管理， 网络地址转换 困at ) :制定网络访问规则，规定 对某 些网站访问的限制等. 6 . 天融信网络卫士 天融 信公司的网 络卫 士是我国第一套自 主 版权的防火墙系统，是一 种基于 硬件 的 防火 墙，目前 有f w-z 0 00和f w3 0 00等 产品。网 络卫士 防火墙由多 个模块组 成， 包括包过滤、 应用代理、 n a t，v pn 、防 攻击 等功能模块，各模块可 分离、裁剪 和升 级，以 满足不同 用户的需 求。 管理器的硬 件平台 为能运行n etsc 叩e 浏览 器的i ntel 兼 容微机，软 件平台 采用win gx 操 作系 统。 7 _ 联想网御 2 000 千兆防火墙 联想网 御2 0 00防火 墙可以 提供包括系 统管理、 远程管理、 集中管理、 流量管理 、 l 0 硕士学位论文 分布式防火墙策略不规则的发现技术研究 日 志管理等在内 的全方位管理解决方案， 堪称管理型防 火墙的典 范。网 御2000 千兆 防火 墙集成了 主动式状态检测、d os 攻击防范、 ip s 配v p n和内 容过滤、带宽管理、 日 志管理等功能， 用户以 较低成本便可拥有完善的安 全措施。 易 于实施和管理， 提供 多 种管理方式，支持ssl 、 h t t p s 和s n m p 协议， 实现了 真正的安全远 程管理和集 中管理。同时提供丰富的日 志查询功能，日 志服务 器可存储 1 0 g以上的 数据，完全 满足大流量网络中防火墙日 志管理的需要。 网御2000千兆防火墙支持 包括透明模式、 路由 模式、 混合 模式等多 种工作模式， 全面支 持v l a n ， 支持众多网 络通信协议 和应 用协议， 适用 于各种复杂网 络结构和应用的 接入。防拒绝服务网关， 抵御5 、 ，n n o od， u d p n o 司， i c m p fl 以 川 ， teard ro p ， s m u if，l 川 d a 枷c k ， p ing o f death 等多种dos 心dos 攻击。网 御 2 0 0 0 千兆防 火墙支持多台防 火墙之间的热机备 份和负 载均衡，维护所有 会话同 步， 对网络中大量的突发流量有更高的处 理能力， 确 保多 个防火墙设备正 常运 行并同步进行数据传输。 8. s ma rt l l 田 旧 n l e r 防火墙 作为一个网 络设备供应商， 港湾网 络充分融合其在网 络安全领域的 技术积累和 在高 性能交换 路由领域的领先技术， 研发了 全系 列的基于网 络处理器 ( n p )架构的 s mart h anuner系 列 高 性能 防 火 墙 产品 阴。 此 系 列 产 品， 基 于 最 新 的 安 全 理 念 设 计， 采用了 基于网 络处理器 ( n p )的 安全处理核心，支持a c l预编 译、 d d r业务队列 调度、 基于 状态的 资源控制、 基于状态的 深层报文分析等港湾网络公司专 有安全技术， 实现网络的高性能、 深层次的 安全过滤能力。 更有特色的是其配置于核心交换机的防 火墙模块一e s p 一 f w，是 港湾网 络对网 络安全深入理解的技术 结晶， 其融合交换机与 防火墙各自 的安全过滤能力为一体， 能够让用 户对内网 划分多个安全域， 有效 抑制 攻 击区的蔓延以及受 损区域的扩大， 工作原 理就如同轮 船中 的隔水舱， 实现对占网 络攻 击总量78%以上的内部网络攻 击的 防御， 从根本上提高 了整 个网 络的 抗攻击能力。 从对防火墙产品的分 析可以 看出，各 厂商 都有向分布式 防火墙发展的趋势， 而 且有些也具有了 分布式系 统的特征，比 如，c y 比，a l l pl us 系 列防火 墙中已 经分为网 络防火墙、 主机防火墙和中心管理等产品， 而且也把执 行防火 墙策略的位置 分布在网 络 端点 上， 而ci sc 。 的 产品中也 提出了 基于策略的管 理方式等， 可见分布式防火 墙是 网 络安 全发展的 方向， 而 定义高效统一的策略语言、 设 计更完善的系统结构、 采用更 完善的加密认证措施也是新一代分布式防火墙产品努力的方向。 分布式防火墙概述硕士学位论文 2 分布式防火墙概述 2. 1 防火墙 i n t e m c t 的飞 速发展使 得网 络安全面 临前所未有的 严峻 局面，防火 墙作为一种行 之有效 且应用广泛的网 络安全 产品， 是 公认的网络存取控制的最佳安全解决方案， 成 为当前 计算机网络的重要组成 部分。 2. l i 防火墙概述 防火 墙是 用来保护网 络安 全的一 种措施，广义地说说，指拒绝未授权的外部用 户访问内部特定主机或服务的任何设备和方法: 较严格的说， 防火墙指强加于两个网 络之间边界处， 保护内部网络免遭来自外部网络的威胁的系统或系统组合， 这种系统 或系统组合 实际上 是网 络通信监控系 统191 。 通常把被保护的网 络称为内部网 络， 不被 信任的一方则被称为外部网络。 一般认为防火墙具有三个基本特性: 1 内部网络和外部网络之间的所有网络数据流都必须经过防火墙。 这是防火墙所 处网络位置特性， 同时也是一个前提。 因为只有当防火墙是内、 外部网络之间通信的 唯一通道，才可以全面有效地保护企业的内部网络不受侵害。 2只有符合安全策略的数据流才能通过防火墙， 这是防火墙的工作原理特性。 防 火墙 之所以能 保护企业内部网络， 就是依据这 样的防护机制进行的。 它可以由管 理员 自 由设置企业内 部网 络的安全策略， 使允许的 通信不受影响， 而不允 许的 通信全部 拒 绝于内部网络之外。 3 . 防火墙自身应具有较强的抗攻击免疫力。 这是防火墙之所以能担当企业内部网 络安全防护重任的先决条件。 防火墙控制数据访问 及传输， 既可以 保护内部网 络的信息不受外部非法用户的 访问 和入侵， 也可以 限制内网访问 不良 信息。 防 火墙通 过定义一个规则 组合 或安全 策 略来控制网络间的通讯，并可以 记录各 种i nt e me t 应用 服务的 存取信息、隐 藏企 业内 部资源、减少企业网络暴露的危险。 防火 墙是一个 集成多 种安全技术的网 络安 全解决方案，它不是一个单 独的程序 或设备。防火墙是软硬件的结合体， 它也可以由软件和硬件两部分组成，防火墙产品 也 分为 软件防火墙和硬件防火 墙， 通常硬件防火 墙只是 将软件防火墙的一部分固化在 硬件设备里实现的。 硕士学位论文 分布式防火端策略不规则的发现技术研究 2. 3 分布式防火墙 ( d f w) 在分布式防火墙中，策略统一由策略控制中心定义和管理，策略控制中心按照 分发协议 将策略 “ 推” 到节点防火墙， 再由 各个节点防火墙实施策 略。 分布式防火墙的 通信通常是基于 一种加密及信任管理机制， 分布式系统的 信任管理是建立在可靠通信 的 基 础 13 ， 也 存在 把 加 密 机 制 如ip scc 协 议与 信任 管 理 相 结 合 的 做 法 4i 。 分布式防 火墙是一种主机驻留式的安全系统， 用以 保护企业网络中的关 键节点 免受外网非法用户入侵破坏。 分布式防火墙通常是内核 模式应 用，它位于操作系 统 0 51协议栈的底部，直接面对网卡。 分布式防火 墙把坛 t e r n e t 和内 部网 络均视为不可 信任的， 它 对所有的内 外网的信 息流 进行过 滤与限 制。 它安装在节点计算机如同指定安全策 略的 个人防火墙，同 时， 分布式防火 墙对每个服务器都能进行专门的保护。 系统安 全管理员 能够设定个别的访 问权限，只开放服务器上的应用所使用的必要的端口及协议。比如对于 we b服务器， 分布式防 火墙进行配置后能 够阻止一些非必要的协议，如h t 即和h t t p s 之 外的协 议通过， 从而阻止了 非 法入侵的发 生。 可见，分布式防火墙保留了传统边界防火墙的优点，而又能克服前面所说的那 些缺点， 在目 前 来说是较为完善的一种防火 墙技术。 分 布式防火 墙要负 责对网 络边界、 各子网和网 络内部 各节点之间的 安全防护， 所以 它是一 个完 整的系统， 而不是单一的 产品。 z j .1 分 布式防火 墙的 体系结构 根据其所需完成的功能， 分布式防火 墙的体系结构 如图2 一所示， 一 般包含 下面 3 个部分: ( 1) 主 机防火墙 ( hostf irewall): 有软件和硬件两 种产品， 用于对网 络中 的服 务 器和桌面机进行防护， 这也是传统 边界式防火墙所不具有的。 这些主机的 物理位置 可能在内部网中，也可能在内部网外。 (2)网络防火 墙困e t w o r k fi r c w a 】 1 ) :也分为软件和硬件 两种产品， 用于内 部网 与外部网之间，以及内 部子网 之间的防护，功能与传统的边界防 火墙类似。 (3)策略 控制中 心:是一个服务器软 件，负责统一策 划和管理总体安全策略， 分发 各节点安 全策略以 及汇总日 志。 每 个防火 墙作为安 全监 测和执 行机构可以 根据不 同的安 全要求分布在网络的不同 位置 上。 策略由中心 控制是 分布式防火 墙系统的 重要 特征之一。 硕士学位论文 布式防火墙策略不规则的发现技术研究 表2 一 i d f w与 其他防火 墙产品的比 较 防护功能 传统边界 f w 传统软件 f w分布式 f w 个人 f w病毒f w 病毒丫 恶意网络控件 v vv v 网络入侵甘 心 vv 木马丫 内网维护v 个人计算机vvv 骚扰mv寸寸 信息收集型攻击 丫v vv 2 3 .4 分布式防火墙的主要功能 分布式防火墙因为采 用了软件形式 ( 也 有的采用了 软件加 硬件的 形式) ， 功能 配 置 更加灵活， 具备充分的智能管理能力，其功能主要体 现在以 下几个方面: ( 1 ) i nt emet访问 控制: 依据工作站名称、 设备 指纹等属性， 使用“ in te rnet 访问 规则” ， 控制该工作站或工作站组在指定的时间段内是否允许/ 禁止访问模板或网址列 表中所规定的 i n t e m e t从 /e b 服务器，某个用户可否基于某工作站访问www服务器， 同时当 某个工作站/ 用户达到规定流量后确定是否断网。 (2)应用访问控制:通过对网络通讯从链路层、网络层、传输层、应用层基于 源地址、目标地址、端口、协议的逐层包过滤与入侵监测，控制来自局域网八 川e me t 的 应用服务请 求， 如s q l 数据库访问 、ip x协议访问 等。 ( 3 )网 络状态监控:实时动态报告当 前网络中所有的 用户登陆、肠 沈 m et 访问、 内网访问、网络入侵事件等信息。 (4) 黑客攻击的防 御: 抵御包括s m u rf 拒绝服务攻击、 a r p 欺骗式攻击、 pi ng 攻击、 t r oj an木马攻击等在内 的近百种来自 网络内 部以及 来自1 川 朋i c t 的黑客 攻击手 段 。 ( 5) 日 志管理: 对工作站协议规则日 志、 用户登陆 事件日 志、 用户 1 n 1 e in c t 访 问日 志、指纹验证规则日 志、 入侵检 测规则日 志的 记录与查询分析。 (6)系统工具:包括系统层参数的设定、规则等配置信息的备份与恢复、流量 统计、模板设置、工作站管理等。 分布式防火墙的主要功能如表 2 一 2 所示: 分布式防火墙概述硕十学位论文 表2 一 2 分布式防火墙的主要功能一览表 功能 内容 阻止网络攻击 1 包过滤 2 . 基于状态的过滤 木马过滤 1 屏蔽已知的木马 ( 冰河、b ack o ri fi c e 2 0 o o 等) 2检测未知木马，加入屏蔽列表 3 . 能防止木马使用加密隧道 ( t u nne ” 技术 脚本过滤 1 .j av a s c 6 pt脚 本 2 .v i s ual b as i c s c ri pt脚本 3 .a ct j ve x 脚 本等 统一的安全策略管理服务 器 1 . 由系统管理员专人监管，提高安全保障能力，可降 低防火墙的使用成本. 2 . 可使用策略下载缓释技术将策略文件分成小片，逐 片下 载， 不影响 用户网 络带宽，不影响用户使用网 络的感受。 3下载安全策略时， 总是同时与服务器上的策略校验， 保 证不下 载缺损策略而破坏安全设置。 4 . 本 地安 全策略 加密存储， 保证不能随意修改。 入侵检测 发现并阻止常用的网络攻击方法，如端口扫描、 源路由 数 据包攻击、 泪滴攻击、 n m a p 扫描、 tcp fl ood 和u d p f1 0 0 d 同时支持以太网和mode m 连接 全面防护每个可能的通道 动态升级 最新策略自动更新，并动态加载到系统的内核中，系统 无须重新启动 实时网络状态监控 可实时 查看网 络连接的 状态信息 完善的日志和报警功能 包括软件安装、升级记录、安全策略记录、网络访问记 录和受攻击记录等 全面支持 wi n d o w s 平台包括 wi n d o w9 8 / me /nt