（计算机科学与技术专业论文）包过滤主机防火墙技术的研究.pdf

太原理：j _ = 大学硕士研究生学位论文 包过滤主机防火墙技术的研究 摘要 由于传统的内部防火墙信任内网防御外网，在制定安全策略 的时候会针对内部网络和外部网络确定不同的过滤规则。而近些 年，来自内部网络的攻击数量明显增加，边界防火墙却无法抵御 这种攻击，因而主机防火墙显得非常重要。本文在对主机防火墙 的各种技术对比的基础之上，结合计算机网络安全的本质与要 求，对包过滤防火墙这一传统的防火墙体系结构进行了分析与改 进，提出一种充分利用现有技术与实验条件的包过滤防火墙系统 的设计方案，即在保留传统网络边界防火墙的同时，设计一种驻 留在内部网络终端的主机防火墙，将防火墙延伸到内部网络的终 端，从而有效防范来自网络内部的非法访问与恶意破坏。 本文所设计的防火墙在方法上主要基于有状态包过滤技术， 利用协议类型、源i p 地址与目的i p 地址、t c p 和u d p 端口号等 信息对计算机内部网络终端发出的数据包进行过滤，在资源节省 与网络安全之间获得良好平衡。防火墙的过滤规则可由管理员根 据需要自行增加与删除，包过滤工作由控制台统一进行，对网络 终端用户透明。防火墙规则集利用巴克斯诺尔范式( b n f ) 对包 过滤规则的形式化描述进行了定义，b n f 的精确性与平台无关性 保证了规则只要按照b n f 规范编写，就可以被严格的执行。 在包拦截部分首先讨论了一些w i n d o w s 平台下包拦截的底层 实现技术，在对它们的优缺点进行比较后，采用了内核模式的 t d i 过滤驱动程序和n d i s 中间层驱动程序技术进行实现。t d i 过滤驱动程序可以得到访问网络的进程的详细信息，并能够拦截 网络协议栈内底层协议的数据包；n d i s 中间层驱动程序不但可 以拦截i p 数据包而且还能拦截非i p 数据包，扩大了数据包过滤 的范围。正因为有这些优点，所以采用这样的技术开发的主机防 火墙更为安全。软件程序代码统一在v i s u a lc + + 6 0 环境下编写而 成。 太原理工大学硕士研究生学位论文 本系统在吞吐量和网络延迟两个技术指标上与天网防火墙和 瑞星防火墙进行了测试比较，结果表明，系统的吞吐量比天网防 火墙和瑞星防火墙高而网络延迟却相对短一些。 总的来说，本文在对当今包过滤技术与数据包拦截技术研究 一百墓藕e ，砑菥瓦；菱了否秆芳珐和技末_ 的优缺蕉_ 针对无状态包一一的基础上，分析比较了各种方法和技术的优缺点，针对无状态包一一 过滤的不足进行了改进，采用了内核态包拦截与有状态包过滤结 合的设计思想，用b n f 范式对规则集进行了定义。测试证明， 本软件在采用了新技术后体现出了吞吐量高和网络延迟短的优越 - i 生。 b n f 关键词：网络安全，防火墙，有状态包过滤，t d i ，n d i s ， 太原理工大学硕士研究生学位论文 r e s e a r c h0 n p a c k e t sf i l t e r i n gh o s tf i r e ，a l l a b s t r a c t b e c a u s et h ei r a d i t i o n a if i r e w a l lb e l i e v e st h a tt h ee x t e r i o rn e t w o r k c o u l dp r o t e c tt h ei n n e rn e t w o r k ，s ow h e np e o p l es e td o w nt h es e c u r i t y s t r a t e g i e s ，t h e ya l w a y sm a k e d i f f e r e n t f i l t e r i n g r u l e st oe x t e r i o r n e t w o r ka n di n n e rn e t w o r k b u ti nt h er e c e n ts e v e r a ly e a r st h en e t w o r k a t t a c kf r o mi n n e rn e t w o r ki n c r e a s e dal o t ，t h et r a d i t i o n a lb o r d e r f i r e w a l lc o u l d n tr e s i s tt h i sk i n do fa t t a c k ，s ot h eh o s tf i r e w a l ls e e m st o b ev e r yi m p o r t a n t i nm yt h e s i si a n a l y z ea l l s o r t so ft e c h n o l o g yo f h o s t f i r e w a l l ，a f t e rc o m p a r et h e mt oe a c ho t h e r , im a k es o m e i m p r o v e m e n to nt h et r a d i t i o n a lp a c k e t sf i l t e r i n gf i r e w a l l ，c o m b i n e d w i t ht h ee s s e n c ea n dn e e do fn e t w o r ks e c u r i t nf i n a l l yip r o p o s eo n e p a c k e t sf i l t e r i n gf i r e w a l ls y s t e md e s i g np l a nb a s e do nt h et e c h n o l o g y a n de x p e r i m e n tw ec o u l du s e t h a ti st od e s i g nah o s tf i r e w a l ls t a y i n g i nt h ei n n e rn e t w o r kt e r m i n a l i ts p r e a d st h ef i r e w a l lt ot h et e r m i n a lo f i n n e rn e t w o r ks oa st op r o t e c ti n n e rn e t w o r kf r o mi n v a l i dv i s i t i n ga n d m a l i c ed a m a g e 、 t h ef i r e w a l lt h a td e s i g n e di nt h et h e s i si sb a s e do ns t a t e f u lp a c k e t s f i l t e r i n g ，t h a t i st of i l t e rt h ed a t ap a c k e t sw h i c hc o m ef r o mi n n e r n e t w o r kt e r m i n a l a c c o r d i n g t ot h e p r o t o c o lt y p e s 、s o u r c e a n d d e s t i n a t i o ni pa d d r e s s 、t c pa n du d p p o r tn u m b e r s ，t h e ng e tb a l a n c e b e t w e e nr e s o u r c es a v i n ga n dn e t w o r ks e c u r i t y t h ef i l t e r i n gr u l e so f f i r e w a l lc o u l da d da n dd e l e t eb ya d m i n i s t r a t o ra c c o r d i n gt on e e d s p a c k e t sf i l t e r i n gw o r kw a sc o n t r o l l e db yc o n t r o l p l a t f o r mw h i c hi s i i i 奎堕望三奎兰堡主婴壅生堂垡丝苎 _ _ _ _ _ _ _ 一 一 t r a n s p a r e n tt ou s e r s i nf i r e w a l lr u l e sg a t h e r i n gi d e f i n e dt h ed e p i c t i o n o fp a c k e t sf i l t e r i n gr u l e sw i t hb a c k u s - n a u rf o r m b e c a u s eb n f i s p r e t t ya c c u r a t ea n dw o r k i n gn o ta s s o c i a t e dt op l a t f o r m ，s oa sl o n g a s t h er u l e sa r eo b e d i e n tt ob n fc r i t e r i o n ，i tc o u l db ee x e c u t e ds t r i c t l y i nt h e p a c k e t si n t e r c e p t i o np a r t ，f i r s t w ed i s c u s sa b o u ts o m e r e a l i z i n gt e c h n o l o g i e s o f i n t e r c e p t i n g b o t t o ml a y e rp a c k e t si n w i n d o w s ，a f t e rc o m p a r et h ea d v a n t a g e sa n ds h o r t c o m i n g s ，c h o o s e t d if i l t e r i n gd r i v e ra n dn d i sm i d d l el a y e rd r i v e ru n d e rk e r n e lm o d e t ow o r k t d if i l t e r i n gd r i v e rc o u l dg e tt h ep a r t i c u l a ri n f o r m a t i o no f v i s i t i n gn e t w o r kp r o c e s s e s ，a n di n t e r c e p tt h ep a c k e t so fb o t t o ml a y e r p r o t o c o l s n d i s m i d d l e l a y e rd r i v e r c o u l di n t e r c e p tn o to n l yi p p a c k e t s ，b u ta l s ot h en o ni pp a c k e t s ，i te x t e n d st h ep a c k e t sf i l t e r i n g j u s tb e c a u s eo ft h e s ea d v a n t a g e s ，t h eh o s tf i r e w a l lw h i c hd e v e l o p e db y t h e s et e c h n o l o g i e sc o u l db es a f e r a 1 1t h es o f t w a r ec o d ew a s m a d ei n v i s u a lc + + 6 0 i ni h et e s t sp a r tic o m p a r et h eh o s tf i r e w a l lt os k y n e tf i r e w a l la n d r i s i n gf i r e w a l lo nt h r o u g h o u ta n dn e t w o r kd e l a y t i m e t h er e s u l t s h o w st h a tt h et h r o u g h o u to ft h eh o s tf i r e w a l li sh i g h e rt h a ns k y n e t a n dr i s i n gf i r e w a l l ，a tt h es a m et i m et h en e t w o r kd e l a yt i m ei ss h o r t e r i nan u t s h e l l ，b a s e do nr e s e a r c ho fp a c k e t sf i l t e r i n ga n dp a c k e t s i n t e r c e p t i o n ，ia n a l y z ea n dc o m p a r et h ea d v a n t a g e sa n ds h o r t c o m i n g s o fa l ls o r t so fm e t h o d sa n dt e c h n o l o g i e s ，m a k es o m ei m p r o v e m e n t a i m e da tt h ew e a k n e s so fs t a t e l e s sp a c k e t sf i l t e r i n g ，it a k et h ep a c k e t s i n t e r c e p t i o nu n d e rk e r n e lm o d ew i t hs t a t e f u lp a c k e t sf i l t e r i n g a st h e d e s i g nt h e o r y ，t h e nd e f i n er u l e sg a t h e r i n gw i t hb n f t h et e s t ss h o w t h ea d v a n t a g e so ft h eh o s tf i r e w a l lw i t hh i g ht h r o u g h o u ta n ds h o r t d e l a yt i m e k e yw o r d s ：n e t w o r ks e c u r i t y , f i r e w a l l ，s t a t e f u lp a c k e t s f i l t e r i n g ，t d i ，n d i s ，b n f i v 声明 本人郑重声明：所呈交的学位论文，是本人在指导教师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本论文 不包含其他个人或集体已经发表或撰写过的科研成果。对本文的研究 做出重要贡献的个人和集体，均已在文中以明确方式标明。本声明的 法律责任由本人承担。 论文作者签名：鏊! 塾堡日期：丝丛丝艺 关于学位论文使用权的说明 本人完全了解太原理工大学有关保管、使用学位论文的规定，其 中包括：学校有权保管、并向有关部门送交学位论文的原件与复印 件；学校可以采用影印、缩印或其它复制手段复制并保存学位论文； 学校可允许学位论文被查阅或借阅；学校可以学术交流为目的， 复制赠送和交换学位论文；学校可以公布学位论文的全部或部分内 容( 保密学位论文在解密后遵守此规定) o 签名： 导师签名： 塾壁尘 太原理工大学硕士研究生学位论文 1 1 研究背景 第一章绪论 九十年代后期以来，计算机网络技术得到飞速发展，信息的处理和传 递突破了时间和地域的限制，网络化与全球化成为不可抗拒的世界潮流， i n t e m e t 己进入社会生活的各个领域和环节，并愈来愈成为人们关注的焦 点。随着计算机的网络化和全球化，人们在日常生活中的很多活动将逐步 转移到网络上来。网络技术已经渗透到人类社会生活的方方面面，对人类 生产生活产生了巨大的影响。随着网络信息技术在各个领域中愈加应用广 泛与计算机技术和通信技术的不断发展，网络安全问题亦日渐呈现出来， 吸引着越来越多人的关注。据调查显示，每年全球因计算机网络的安全系 统被破坏而造成的经济损失达数百亿美元，因而各项关于网络及信息安全 方面的研究课题也应运而生，研究范围越来越广。新型产业、合作方式和 商业模式不断出现，世界迅速进入网络时代，现存的企业网络包括各种各 样的系统和平台，也都同样面临着网络安全的挑战。数字化时代的到来， 使得网络应用渗透到社会的各个领域，给人们提供了极大的便利，i n t e m e t 技术及其应用的不断发展，使计算机、通信和信息处理形成了网络时代巨 大而复杂的网络信息系统，此时，在i n t e m e t 网络系统中，通信安全、计 算机安全、操作安全、信息安全等便成为人们最关心的问题。 网络安全是网络安全应用中一个综合性课题，同时也是一个全局性的 问题，它包括如网络设备、网络操作系统、应用程序和数据安全等许多方 面的问题，涉及到技术、管理、操作等方方面面的因素。如果不注意网络 安全问题，没有采取安全措施，那么系统就有可能受到攻击。i n t e r n e t 为人 们提供了发布和检索信息的场所，但也带来了信息被污染和破坏的危险， 人们为了保护信息和数据的安全，创建了防火墙安全系统。 防火墙系统不是简单的能提供网络安全功能的路由器、主机系统或系 统的集合，而是一个安全的系统的方法，它能够对网络提供的服务和访问 进行定义并实现更高层次的安全策略。防火墙的主要目的是对受保护的网 络实现安全访问控制，其基本工作是隔离网络，采用规则集实施安全策 略。作为一种必不可少的安全实施机制，它可以将不可信网络同可信网络 隔离丌。 太原理工大学硕士研究生学位论文 防火墙需筛选两个网络间所有的连接，决定哪些传输应该被允许，哪 些应该被禁止。最普通的防火墙特性包括：用边缘防御使网络访问安全： 控制所有的网络输入、输出连接：通过预先定义的规则过滤数据，“认 证”用户和应用程序以确保允许它们访问内部网：为安全审计的目的而记 _ 一一一_ 一录行为；在可疑事件发生时通知可信任的人。 传统的边缘防火墙只能对局域网的周边提供保护，这些防火墙会在流 量从外部的互联网进入内部局域网时进行过滤和审查。但是，它们并不能 确保局域网内部的安全访问。例如：黑客入侵一台已经接入了内部局域网 的计算机，一旦获得这台计算机的控制权，便可以利用这台机器作为入侵 其它系统的跳板。最新一代的安全性解决方案将防火墙功能分布到网络的 桌面系统、笔记本计算机以及服务器上。分布于整个公司内的防火墙使用 户可以方便地访问信息，而不会将内部网络的其他部分暴露在潜在的非法 入侵者面前。凭借这种端到端的安全性能，用户不论通过内部网、外联 网、虚拟专用网还是远程访问来实现与内部的互联都不再有任何区别。 1 2 课题的研究现状 对于安全问题的研究，在网络出现以前，信息安全问题主要还只是指 对信息的机密性、完整性和可获性的保护，即面向数据的安全。而当互联 网出现以后，对于信息安全问题的研究和分析除了上述概念以外，其内涵 又扩展到面向网络使用者以及网络应用与服务的安全，即鉴别、授权、访 问控制、抗否认性和可服务性以及对于内容的个人隐私、知识产权等等的 保护。 目前信息安全方面的问题主要依靠密码、身份验证技术、数字签名、 防火墙、安全审计、防病毒、防黑客入侵、灾难恢复等安全机制加以解 决，其中密码技术和网络信息安全管理是信息安全的核心，而安全标准和 系统评估是信息安全的基石。在研究网络安全问题时，为建立一个高效安 全的网络信息系统和网络运行环境，人们的研究范围既包括各类具体的安 全产品，如防火墙、路由器、安全网关、虚拟专用网、入侵检测系统、漏 洞扫描、安全测试和监控产品等，同时也包括操作系统平台的安全性，从 操作系统本身的层次上考虑网络安全性，尝试把系统中可能引起安全问题 的部分从内核中剔除出去，使得网络和系统具有更高的安全性。 2 太原理工大学硕士研究生学位论文 作为网络安全技术之的防火墙技术发展也经历了几个历程，最早防 火墙系统只是实现简单包过滤，那个时期的防火墙关注的是网络层和传输 层的保护，它只简单匹配单个包的包头信息，却忽略了数据包之间的联 系。为了不影响正常的通信，必须为防火墙开一些后门，而这降低了内部 网络的安全性。后来出现的状态检测包过滤解决了这个安全问题，它维护 了包与包之问的状态信息，从而使有方向的数据包可以通过防火墙而不存 在安全漏洞，但是状态检测只是记录数据包之间的关联性，然后根据它们 之间的关联性来决定此方向数据包是否能够通过，这种技术的出现主要是 为了解决在简单包过滤中存在的安全漏洞，并未对t c p f l p 协议中的会话 连接实现跟踪。 基于应用代理技术的防火墙系统则更关心应用层的保护，通过一个透 明代理完成对于应用层的保护，它针对一些常见的应用协议比如s m t p ( s i m p l em a i lt r a n s f e rp r o t o c 0 1 ) ，p o p 3 ( p o s to f f i c ep r o t o c o l3 ) ，h m ( h y p e r t e x tt r a n s f e rp r o t o c 0 1 ) ，t e l n e t ( t c p i p 用于远程终端服务的标 准协议) ，f t p ( f i l et r a n s f e rp r o t o c 0 1 ) 等来做一些限制，由于代理技术上 的限制，目前采用这种架构的防火墙系统无法做到对应用协议的完全控 制。如果说，状态检测包过滤规范了网络层和传输层行为，则应用代理规 范的是特定的应用层协议上的行为。而基于这两种技术的传统型防火墙很 难实现基于状态检测和应用代理两种安全技术同时高效并行地工作，通常 在采用透明应用代理的时候防火墙只是简单工作在包过滤状态，令工作效 率大打折扣。 针对上述问题提供解决方案的新一代混合型网络安全类保护产品正成 为主流趋势，其基本原理是既以状态包过滤的形态实现了对网络层的保 护，同时又根据t c p i p 协议栈的工作模式和特点，在状态检测包过滤的 基础上又实现透明的应用层信息过滤机制，从而使应用层安全策略与网络 层安全策略紧密结合；这种类型的安全产品能够实现对应用层的控制，并 针对不同的应用层协议，进行连接跟踪和服务分析，然后根据权限列表对 当前访问进行控制。它能通过基于网络服务的应用层监控和行为过滤机 制，分析应用层协议，过滤制定内容并记录相应的访问内容等相关信息。 3 太原理工大学硕士研究生学位论文 1 3 本文的工作 本文首先讨论了计算机网络安全的本质和要求，然后对传统的网络防 火墙、主机防火墙及其所采用的技术进行了较为深入的技术分析。在此基 础之上，对防火墙体系结构进行了分析，提出一种充分利用现有技术的主 机防火墙系统的设计方案，即在保留传统网络边界防火墙的同时，设计一 种驻留在内部网络终端的主机防火墙及其控制中心，将防火墙延伸到内部 网络的终端，从而有效防范来自网络内部的非法访问与恶意破坏。对外的 防御工作可以仍然由传统网络边界防火墙来完成。 本文中的主机防火墙被设计为一种包过滤防火墙，利用发起网络通信 的i p 地址、t c p u d p 端口号，协议种类等特征对网络终端发出的数据包 进行监控。主机防火墙上的过滤规则由管理员统一设置，针对包的过滤由 防火墙统一操作。 文中对包过滤技术进行了定义，并利用b n f ( b a c k u s n a u rf o r m ) 范 式对主机防火墙包过滤规则的形式化描述进行了定义，然后根据防火墙系 统的体系结构特点以及对实时性、稳定性的高要求，做出相应的改进。 最后，实现了一个工作在w i n d o w sx p ，w i n d o w s2 0 0 0 操作系统上， 主要基于有状态过滤及规则定义，并利用t d i ( t r a n s p o r td a t ai n t e r f a c e ) 与n d i s ( n e t w o r kd r i v e ri n t e r f a c es p e c i f i c a t i o n ) 技术对网络数据包进行拦 截的主机防火墙，以及一个工作在w i n d o w s 操作系统上的控制中心，并对 相关的技术细节进行了分析，所有的软件开发工作均在v i s u a l “+ 6 0 集成 开发环境下完成。 太原理工大学硕士研究生学位论文 第二章计算机网络安全概论 2 1 网络安全的定义 国际标准化组织将计算机安全定义为“为数据处理系统建立和采取的 技术和管理方面的安全保护，保护计算机硬件、软件数据不因偶然或恶意 的原因而遭到破坏、更改和泄露” 2 1 。在我国，一般通行的定义是：“计算 机系统的硬件、软件、数据受到保护，不因偶然或恶意的原因而遭到破 坏、更改与泄露，保证系统能连续正常运行”。上述定义，既说明了计算 机安全的本质和核心，又考虑了安全所涉及的方方面面。从技术上讲，计 算机安全分为3 种：实体的安全性，它用来保证硬件和软件本身的安全； 运行环境的安全性，它用来保证计算机能在良好的环境里持续工作；信息 的安全性，它用来保障信息不会被非法阅读、修改和泄露。 因此，所谓网络安全是指基于网络的互联互通与运作而涉及的物理线 路连接的安全、网络系统的安全、操作系统的安全、应用服务的安全与人 员管理的安全等几个方面。 来自网络安全方面的威胁不但范围不同，目标不同，安全威胁的因素 也有区别。网络安全所面临的威胁按目标归类大体分为两种：一种是对网 络中信息的威胁：另一种是对网络中设备的威胁。影响网络安全的因素很 多，有些因素可能是有意的，也可能是无意的，可能是人为的，也可能不 是人为的，可能是内在隐患造成的，也可能是外来黑客的攻击和非法入侵 造成的。归纳起来，针对网络安全的威胁原因主要有三类【3 】： 人为的无意操作或失误： 管理员安全配置不当造成的安全漏洞，或用户安全意识不强，用户口 令选择不慎，用户帐号的随意转借或与他人共享帐号都会造成网络安全方 面的威胁。 人为的恶意攻击： 人为的恶意攻击是计算机网络安全所面临的最大威胁，此类攻击又分 为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的完整性 和可用性；另一种是被动攻击，它在不影响网络正常运作的情况下，对网 络上的信息进行截获、窃取与破译，以获取重要的机密信息。这两种攻击 0 太原理工大学硕士研究生学位论文 均可对网络造成极大危害，可能使得网络的机密数据泄漏，严重的甚至会 导致整个网络系统的瘫痪。 各种网络系统及软件的安全漏洞和“后门”： 网络系统及软件总是或多或少地存在着安全缺陷和安全漏洞，这些安 飞缺晤丽丽悟倍趸戛季话行攻舌丽百薹伯标。辱瞻而玖侵天网编；统内 部的原因大部分是因为网络系统本身不够安全或系统测试不完善所致。另 外，许多软件设计人员在设计系统时设置了一些不为一般人所知道的软件 “后门”，这些“后门”一旦被泄漏或者被黑客高手发现，便会造成网络 系统的安全灾难。 2 2i n t e r n e t 安全性问题 2 2 1i n t e r n e t 安全现状 i n t e m e t 的出现及其快速发展使得黑客技术和病毒技术也不断发展，新 的网络隐患和安全漏洞层出不穷，网络遭受恶意攻击和非法侵入的方法及 手段日益增多，目前i n t e m e t 的网络安全现状令人堪忧。这些安全问题产 生的根本原因，是缺乏一个可以保证网络高度安全的安全防护系统和网络 运行环境。 网络中最先面临的是信息的安全n 在传统的信息传输机制下，当信 息从一台计算机流向另外一台计算机时，在整个传输过程中，信息的发送 者和接收者只对发送和接收的过程进行控制，而对中间传输过程中的状况 却无法知道。如果信息传输路由中存在不可信或包含攻击者的中继节点， 信息的安全性就会受到严重的威胁，信息有可能会被篡改、窃取甚至伪 造，因此计算机网络的这种信息传输机制本身存在着安全隐患。 计算机网络的运行机制是一种协议机制，i n t e r n e t 的协议机制是 t c p i p 协议体系，当不同节点问交换信息时必须按照事先定义好的协议， 通过协议交换数据单元来完成。对于每个节点来说通信意味着对一系列从 网络上到达的协议数掘单元进行响应。目前运行的网络协议，通信双方的 协议数据单元并不能保证数据的真实性与完整性，协议本身具有的安全漏 洞和协议实现过程中产生的安全漏洞都会带来巨大隐患。 目前i n t e r n e t 应用中最广泛的t c p 1 p 协议在安全性方面存在着诸多问 6 太原理工大学硕士研究生学位论文 题，如易于被窃听或电子欺骗，大多数的数据包没有加密，电子邮件和密 码容易被截获等等。t c p b p 服务易受攻击；协议本身在设计上不安全，有 经验的入侵者可以破坏并利用；试验性的服务更易受攻击：主机安全访问 控制往往很复杂，易出现配置错误而导致未经授权的访问等等这些情况都 是安全问题产生的原因。 2 2 2 网络安全的目标 网络安全中现存的问题和网络运行的实际情况，使得网络安全问题成 了互联网发展的一大障碍，同时也是社会信息化、网络化的绊脚石。因 此，明确网络安全的目标、了解主要的网络攻击手段、研究威胁网络安全 的主要原因，对加强网络系统的安全建设、提高网络安全的整体水平都有 着深远的意义。 本文在2 1 节已经提到了网络安全的定义，但网络安全从本质上来讲 最重要的部分还是网络信息的安全，最主要的目标就是确保存储信息的安 全和传输信息的安全。存储信息的安全是指网络上的信息在静态存放下的 安全，如禁止非授权访问，防止信息被非法读取、修改或删除。存储信息 的安全般可以通过设定访问权限、身份识别等访问控制技术来得到保 证。传输信息的安全主要是指网络信息在网络上动态传输过程中的安全， 为了达到这一目标，信息传输必须满足以下5 个安全特征n 机密性：信息不被泄漏给非授权用户、实体与过程，或供其利用的特 性。当讨论网络安全的时候，首要的问题就是信息的机密性，对用户而 言，信息的机密性是防止个人隐私不被侵犯、保护自身权利的重要保证。 完整性：信息未经授权不能进行改变的特性，即信息在存储或传输过 程中保持不被修改、不被破坏的特性。从信息学的角度来说，信息的完整 性就是信息从信源到信宿的传输过程中须保持一致。 可用性：信息可被授权用户或实体访问并按照需求进行使用的特性， 即合法存取所需信息的需求必须得到满足。近年来针对可用性的攻击日渐 猖獗，如网络环境下的拒绝服务、破坏网络和有关系统的正常运行等行为 部属于对可用性的攻击。 真实性：保证信息来源正确，防止信息伪造以及篡改的特性。 不可否认性：指建立有效的责任机制，以防止用户或实体否认其行为 7 太原理工大学硕士研究生学位论文 的特性。信息的不可否认性在电子商务、电子贸易等应用中是必不可少 的。 2 2 3 常见的网络攻击 目前网络攻击者用来破坏网络安全的方法与手段数不胜薮，但针对网 络传输机制的攻击技术仍然是目前危害网络安全最主要的方法。因此，需 要从网络传输机制及信息在网络传输过程中所经过的有关操作等方面来分 析了解网络攻击的原理，这对于完善网络安全系统、抵御常见的网络攻击 有着重要意义。 通常，攻击者利用计算机系统和网络通信系统中的设计漏洞，来盗取 用户口令，非法访问计算机中的信息资源，窃取机密信息并破坏计算机系 统。安全攻击的种类很多，大致可以分为以下几种f 6 】： 窃取口令 基于口令的访问控制是一种最常见的安全措施。这意味着对某台主机 或网络资源的访问权限决定于用户本人是谁，也就是说，这种访问权是基 于用户名和帐号密码的。许多网络攻击的初始目标并不是直接侵入系统， 而是窃取口令文件。被用来窃取口令的服务包括f t p ，f i n g e r ，n e t b i o s ， t e l n e t 和邮件系统等等。换句话说，如果系统管理员在选择主机系统时不 小心或是犯错误的话，攻击者要窃取口令文件就将易如反掌，所以防范的 手段必须很严密，而对软件的使用也要采取十分谨慎的态度。 社交工程 社交工程( s o c i a le n g i n e e r i n g ) 是种低技术含量的破坏网络安全的 方法，但它往往能够使得处在看似严密防护下的网络系统出现致命的突破 口。社交工程是利用说服或欺骗的方式，让网络内部的人来提供必要的信 息，从而获得对信息系统的访问。攻击对象通常是一些安全意识薄弱的公 司职员，攻击者可以采用与之交流或其他互动的方式来实现攻击。可选的 媒介通常是电话、e m a i l 、电视广告或其他一些能引起人们有所反应的方 式。 缺陷和后门 利用操作系统或者是软件中的缺陷和后门对网络和目标计算机进行攻 击是一种很常见的攻击形式。事实上没有完美无缺的代码，也许系统的某 8 太原理：l 大学项士研究生学位论文 处正潜伏着重大的缺陷或者后门等待人们的发现，区别只是在于谁先发现 它。缓冲区溢出就是这种攻击的典型。其他的还有s q l 漏洞攻击， w i n d o w s 2 0 0 0 的输入法漏洞攻击等等。 鉴别失败 鉴别机制的失败将导致i p 欺骗、d n s ( d o m a i nn a m es y s t e m ) 欺骗 等许多攻击。有时鉴别失败是由于协议没有携带真正的信息。无论t c p 还 是i p ，从来都没有标识发送者的身份，甚至对源主机或用户的密码鉴别也 可能不完善。如果源计算机不可信，那么基于地址的鉴别也将失败。 协议失败 数据链路层、网络层和传输层中的协议都存在脆g 引生，黑客利用这些 脆弱性致使协议失败，发起攻击。例如t c p 序列号攻击、设置了f i n 标 志却没有设置a c k 标志的t c p 报文攻击、未知协议字段的i p 报文攻击等 等。此外，在密码学领域，寻找协议漏洞的游戏也一直在黑客中长盛不 衰。有时是由于密码生成者所设置的密码过于简单，更多的情况是由于不 同的假设造成的，而证明密码交换的正确性的确是件很困难的事情。 信息泄露 大多数的协议都会泄漏某些信息。黑客通过地址扫描和端口扫描，就 能寻找到某个网络范围内的计算机和它们感兴趣的服务，利用协议栈指纹 鉴别技术，还能确定被扫描计算机的操作系统的类型。对付扫描，最好的 防御方法是提高防火墙的性能，如果黑客无法向某台机器发送数据包，该 机器就不容易被入侵。 拒绝服务 拒绝服务攻击通常是利用编程缺陷或协议中的漏洞来实施攻击的。拒 绝服务攻击一般以下列的方式产生效果。 ( 1 ) 消耗带宽：消耗带宽是指攻击网络中的计算机时大量占用网络资 源。这样在攻击过程中，网络的响应速度会很慢甚至使服务器停止工作， 像网站、电子邮件、文件服务器等应用会无法进行正常工作。这一类的攻 击有s m u r f 攻击、f r a g g l e 攻击等。 ( 2 ) 侵占资源：和网络一样，每个系统的内存、硬盘和处理能力都是有 限的。侵占资源的拒绝服务攻击就是对上述这些资源的占用，从而使得其 他的应用无法进行，其目标般是一些提供特殊服务的计算机系统，如 9 ( 3 ) 虚拟专用网( v i r t u a lp r i v a t en e t w o r k ，v p n ) 技术 v p n 技术是指在公网中建立专用网络，以一种安全的方式，并运用各 种加密协议传输数据。v p n 主要采用5 项技术来保证安全，这5 项技术分 别是隧道技术( t u n n e l i n g ) 、加密，角；密技术( e n c r y p 【i o n d e c r y p t i o n ) 、密 钥管理技术( k e ym a n a g e m e n t ) 、使用者与设备身份认证技术 ( a u t h e n t i c a t i o n ) 和访问控制技术( a c c e s sc o n t r 0 1 ) 。 ( 4 1 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，1 d s ) i d s 通过从计算机网络或计算机系统的关键点收集信息并进行分析， 1 0 太原理工大学硕士研究生学位论文 从中发现网络或系统中是否有违反安全策略的行为或被攻击的迹象，如果 检测到攻击或入侵，则进行相应的响应【8 j oi d s 提供了用于发现入侵攻击 或合法用户滥用特权的一种方法，它所基于的重要前提是：非法行为和合 法行为是可区分的，也就是说，可以通过提取行为的模式特征来分析判断 该行为的性质。一个基本的入侵检测系统需要解决两个问题：一是如何充 分并可靠地提取描述行为特征的数据；二是如何根据特征数据，高效并准 确地判定行为的性质。 按照信息源的不同，可以把i d s 分为基于主机的i d s 和基于网络的 i d s 。基于主机的i d s 通过分析来自单个计算机系统的系统审计踪迹和系 统日志来检测攻击；基于网络的i d s 则是在关键的网段或交换部位通过捕 获并分析网络数据包来检测攻击。按照分析方法的不同，可以把i d s 分为 误用检测型i d s 和异常检测型i d s 。误用检测分析系统的活动，建立相关 的规则库，在后续的检测过程中，将收集到的数据与特征库中的特征代码 进行比较，得出是否是入侵的结论。异常检测通过检查当前用户行为是否 与已建立的正常行为轮廓相背离来鉴别是否有非法入侵或越权操作，它是 目前入侵检测系统的主要研究方向。 ( 5 1 安全扫描技术 安全扫描技术也称为脆弱性评估( v u l n e r a b i l i t ya s s e s s m e n t ) 1 9 】，其基 本原理是，采用模拟黑客攻击的形式对目标可能存在的已知安全漏洞进行 逐项检查，然后根据扫描结果向系统管理员提供可靠的安全分析报告，为 网络安全整体水平的评估提供重要的依据。目前安全扫描技术主要分为基 于主机的安全扫描和基于网络的安全扫描两类。 基于主机的扫描技术主要是针对操作系统的扫描检测，它采用被动 的、非破坏性的办法对系统进行检测。通常涉及到系统的内核、文件的属 性、操作系统的补丁等问题，还包括口令解密，把一些简单的口令剔出， 因此，可以非常准确地定位系统的问题，发现系统的漏洞。它的缺点是与 平台相关，升级较复杂。 基于网络的扫描技术采用积极的、非破坏性的办法来检测系统是否有 可能被攻击崩溃，它利用一系列的脚本模拟对系统进行攻击的行为，然后 对结果进行分析。除此之外，它还针对已知的网络漏洞进行检验。网络扫 描技术常被用来进行穿透实验和安全审计。这种技术可用来发现许多平台 太原理工大学硕士研究生学位论文 漏洞，也容易安装。但是，它可能会影响网络的性能。 ( 6 ) 防火墙( f i r e w a l l ) 技术 防火墙实际上是一种隔离技术，它将网络分为内部网和外部网，认为 内部网是可信赖的，而外部网是不可信赖的，在两个网络通信时运用访问 控制来保证内部网的安全。目前，有3 种主要的防火墙技术，分别是数据 包过滤、状态检测和应用层网关。 数据包过滤技术是在网络中适当的位置根据系统内设置的过滤规则 ( 即访问控制表) 对数据包实施有选择的通过，只有满足过滤规则的数据 包才会被转发至相应的网络接口，其余的数据包则从数据流中删除。 状态检测技术实现了包与包之间的关联，它允许防火墙保留每一条连 接的状态，这些状态信息保留在一个动态的状态表中，为下一次的连接进 行决策。关于状态检测，在后面还会有详细介绍。 应用层网关也称为应用层代理，工作在o s i ( o p e ns y s t e m i n c e r c o n n e c t i o n ) 模型的应用层。使用这种技术时，每个应用程序都有一个 代理服务程序，一个数据包进入防火墙后被交给相应的代理服务程序，由 它检测该数据包的有效性和自身的应用级请求。 2 3 2 网络安全技术分类及关系 在这里，笔者根据自己的理解将以上提到的网络安全技术归为以下三 类：即信息传送安全技术、防火墙技术和本地安全技术，权且作小结。 说明：信息传送安全技术包括诸如信息加密、数字签名、信息发送方 法等，是从信息安全传送的角度划入该类的。本地安全技术包括审计跟 踪、访问控制、漏洞保护、病毒防护等，需要说明的是，这里，本地的意 思是特指为本机或者内部网。用w a r n i e r 图可以表示如下： 1 2 奎垦里三盔兰堡主婴塞生兰垡堡苎 f i g 2 - 1n e t w o r ks e c u r i t yt e c h n o l o g yc l a s s i f i c a t i o n 太原理工大学硕士研究生学位论文 第三章相关技术基础 3 1 防火墙技术及其发展 3 1 1 防火墙概念及其基本功能 防火墙系统是网络安全技术之一，主要由软件或硬件设备组合而成， 作为内部网与外部网之间的一种访问控制设备，它常常被安装在内部网和 外部网的交界处，以限制外界用户对内部网络的访问并能有效管理内部用 。 户访问外部网络的权限。防火墙作为内部网与外部网之间实施安全防范的 安全系统，通常它在网络中的位置如图3 - 1 所示： 一，一、 一 一 图3 一i 防火墙结构示意篷 防火墙作为一种安全防范系统，是内部网络连接外部网络的唯一出 1 7 1 ，利用这道出口，可以监视通过网络的数掘，进行允许或禁止动作，并 作出相关记录和报告。 防火墙系统可以加强网络问的访问控制，防止外部用户非法使用内部 网的资源，以保护内部网的设备不被破坏，防止内部网的信息和数据被窃 取、篡改或删除。要使一个防火墙有效，则所有通过网络的信息都必须经 过防火墙，接受防火墙的检查。防火墙必须只允许授权的数据通过，防火 1 4 太原理工大学硕士研究生学位论文 墙系统本身必须能够免于渗透，否则一旦防火墙系统遭到攻击者破坏，就