（计算机科学与技术专业论文）防火墙规则优化算法的研究.pdf

中文摘要 摘要 随着互联网技术的飞速发展，越来越多的学校、政府和企业等通过网络开展 业务，进行信息交流。互联网在给人们的生活带来方便和快捷的同时，也带来了 大量的问题，其中网络安全问题日益严重。防火墙作为最早出现的网络安全产品 和使用量最大的安全产品，是实施网络安全策略的重要组成部分。防火墙在网络 中处于特殊的位置，其规则配置正确与否、合适与否，直接影响其工作效率的高 低，从而对整个网络环境产生重要的影响。因此，防火墙受到了用户和研发机构 的高度重视。 防火墙是保护网络安全的重要步骤，就像其它的技术一样，防火墙的安全也 需要通过正确的管理才能提供正常的安全服务。在实际应用中，根据各机构的需 要，防火墙的规则数量庞大，这给防火墙规则管理、维护带来了很大的工作量， 由于工作的复杂性，导致可能会降低防火墙安全的有效性。在设置防火墙规则的 时候，需要特别注意规则之间的关系，这样才能够决定规则的位置和保证安全策 略语义的正确性。同时可能会存在因为由不同的管理员在不同的时间设置的规则， 这样的规则之间容易存在冲突，从而产生冗余，使网络变得脆弱。 一般来说，防火墙规则是预先设定的。当前的规则优化技术一般只是利用了 过滤规则的特征，或是考虑传输层和应用层的流量特征等因素，而没有考虑规则 的匹配频率，忽略了高匹配率的规则次序靠后浪费匹配时间的问题。 本文在学习当前对防火墙规则建模和优化的基础上，主要做了以下两个方面 的工作：( 1 ) 对防火墙的规则进行分析，定义规则之间的关系。在此基础上得出了 冗余规则判定的定义，以及给出冗余检测的算法。根据冗余检测算法，实现了非 手工下完成冗余规则检测。( 2 ) 通过统计学隐马尔可夫模型( h m m ) 的应用，对防火 墙规则的匹配率进行统计，并以此为规则的权值进行规则次序的调整，实现了防 火墙规则优化的功能，提高了规则的匹配效率。 关键字：防火墙；规则冗余；隐马尔可夫模型；规则优化 英文摘要 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n t e m e tt e c h n o l o g i e s ，m o r ea n dm o r es c h o o l s ， g o v e r n m e n to f f i c e sa n dc o m p a n i e ss u p p l ys e r v i c e sa n dc o m m u n i c a t et h r o u g hi n t e r n e t i n t e r a c tb r i n g sc o n v e n i e n c e sa sw e l la sp r o b l e m st ot h ep e o p l e a m o n gv a r i o u s p r o b l e m s ，n e t w o r ks e c u r i t yp r o b l e mi st h ef i r s to r d e ro fb u s i n e s s f i r e w a l l ，w h i c hw a s t h ef i r s tp r o d u c te m e r g e da g a i n s tn e t w o r ks e c u r i t yp r o b l e m sa n di sn o wo n eo ft h em o s t p o p u l a rs e c u r i t yp r o d u c t s ，p l a y sa ni m p o r t a n tr o l ei nn e t w o r ks e c u r i t ys t r a t e g y f i r e w a l l p l a y ss u c has p e c i a lr o l ei nn e t w o r kt h a tw h e t h e ri t sr u l ec o n f i g u r a t i o n sa r ec o r r e c t l y a n dp r o p e r l ys e t ，d i r e c t l yi n f l u e n c e si t sw o r k i n ge f f i c i e n c y , a n dc o n s e q u e n t l ya f f e c t st h e w h o l en e t w o r ko r d e rp r o m i n e n t l y t h e r e f o r e ，f i r e w a l ld r a w sh i g l l l ya t t e n t i o nf r o mi t s u s e r sa n dr e s e a r c hi n s t i t u t e s f i r e w a l li saf a i r l yi m p o r t a n ts t e pi nt h ep r o t e c t i o nw o r ko fi n t e m e ts e c u r i t y l i k e o t h e rt e c h n i q u e s ，t h es e c u r i t yf u n c t i o no ff i r e w a l ln e e d sc o r r e c tm a n a g e m e n tt om a k ei t w o r kw e l l i na p p l i c a t i o n ，t h en u m b e ro ff i r e w a l lr u l e si sh u g es ot h a tt h ef i r e w a l lc a n c a r t e rt od i f f e r e n tk i n d so fr e q u i r e m e n t s t h u s ，p l e n t yo fe f f o r t sa r en e e d e dt om a n a g e a n dm a i n t a i nn u m b e r so ff i r e w a ur u l e s t h ec o m p l e x i t yo ft h ew o r km a k e si te a s yt o m a k em i s t a k e sw h i c hc a u s ead e c r e a s eo fw o r k i n ge f f i c i e n c yo ff i r e w a l l w h i l ed e f i n i n g f i r e w a ur u l e s ，w es h o u l dt a k eah a r dl o o ka tt h er e l a t i o n s h i p sa m o n gr u l e si no r d e rt o a s s u r et h ep o s i t i o no fr u l e sa n dt om a k et h es e c u r i t ys t r a t e g ys e m a n t i c a l l yc o r r e c t g e n e r a l l ys p e a k i n g ，f i r e w a l lr u l e sa r ea l r e a d ye s t a b l i s h e d o u rr u l eo p t i m i z a t i o n w o r kj u s tm a k e su s eo ft h ef e a t u r eo fr u l ef i l t e r i n go rc o n s i d e r st h ef l o wv o l u m ei n t r a n s m i s s i o nl a y e ra n da p p l i c a t i o nl a y e r w h e r e a s ，t h em a t c h i n gf r e q u e n c yo fr u l e sa r e n o tc o n s i d e r e d ，s ot h ep r o b l e mt h a tr u l e sw i t hh i g h e rm a t c h i n gf r e q u e n c ym i g h tb es e t i nl a t e ro r d e ri si g n o r e d ，a n dc a u s e saw a s t eo ft i m e t h i sa r t i c l e , b a s e do nt h el e a r n i n go fp r e v a l e n tm o d e l sa n do p t i m i z a t i o nm e t h o d s o ff i r e w a l lr u l e s ，c o n c l u d e st w op a r t so fw o r k ：( 1 ) a n a l y z e df i r e w a l lr u l e s ，a n dd e f i n e d r e l a t i o n s h i p sa m o n gr u l e s a c c o r d i n g l y , id e f i n e dt h ej u d g m e n to fr e d u n d a n to fr u l e s a n df o u n da na l g o r i t h mo fr e d u n d a n ti n s p e c t i n g b yu s i n gt h a ta l g o r i t h m ，ar e d u n d a n t i n s p e c t i n gw o r kw i t h o u ti n t e r f e r e n c eo fh u m a ne f f o r t sw a sa p p l i e d ( 2 ) b yu s i n gt h e t e c h n i q u ec a l l e dh m m ( h i d d e nm a r k o vm o d e l ) f r o ms t a t i s t i c s ，t h em a t c h i n gf r e q u e n c y o ff i r e w a l lr u l e sw a gc o u n t e d t h a tf r e q u e n c yw a su s e da sw e i g h tv a l u eo fr u l e s ，i n o r d e rt oa l t e rt h eo r d e ro fr u l e s t h ef i r e w a l lr u l e sa r eo p t i m i z e da n dt h em a t c h i n g f r e q u e n c yo fr u l e si si m p r o v e di nt h i sa r t i c l e k e yw o r d s ：f i r e w a l l ；r e d u n d a n to fr u l e s ；h m m ；r u l eo p t i m i z a t i o n 大连海事大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：本论文是在导师的指导下，独立进行研究工作所取得的成果， 撰写成硕士学位论文 “随么揸趣则垡丝簋选的班塞 。除论文中已经注明引用 的内容外，对论文的研究做出重要贡献的个人和集体，均已在文中以明确方式标 明。本论文中不包含任何未加明确注明的其他个人或集体已经公开发表或未公开 发表的成果。本声明的法律责任由本人承担。 学位论文作者签名：童遣 学位论文版权使用授权书 本学位论文作者及指导教师完全了解大连海事大学有关保留、使用研究生学 位论文的规定，即：大连海事大学有权保留并向国家有关部门或机构送交学位论 文的复印件和电子版，允许论文被查阅和借阅。本人授权大连海事大学可以将本 学位论文的全部或部分内容编入有关数据库进行检索，也可采用影印、缩印或扫 描等复制手段保存和汇编学位论文。同意将本学位论文收录到中国优秀博硕士 学位论文全文数据库( 中国学术期刊( 光盘版) 电子杂志社) 、中国学位论 文全文数据库( 中国科学技术信息研究所) 等数据库中，并以电子出版物形式 出版发行和提供信息服务。保密的论文在解密后遵守此规定。 本学位论文属于：保密口在年解密后适用本授权书。 不保密口( 请在以上方框内打“ ) 论文作者签名：确淘全 导师签名： 啦寸埤 日期：? 年7 月l 日 防火墙规则优化算法的研究 第1 章绪论 二十世纪九十年代后期以来，计算机网络技术得到飞速发展，信息的处理和 传递突破了时间和地域的限制，网络化与全球化成为不可抗拒的世界潮流，i n t e m e t 已进入社会生活的各个领域和环节，并愈来愈成为人们关注的焦点。随着计算机 的网络化和全球化，人们在日常生活中的很多活动将逐步转移到网络上来。网络 技术已经渗透到人类社会生活的方方面面，对人类生产生活产生了巨大的影响。 随着网络信息技术在各个领域中愈加应用广泛与计算机技术和通信技术的不断发 展，网络安全问题亦日渐呈现出来，吸引着越来越多人的关注。 1 1 研究背景及意义 随着互联网的发展，网络安全问题已经引起了学术界和工业界的广泛重视。 随着来自网络的攻击持续不断的增长，防火墙已经成为网络安全领域的一种核心 设备，并广泛应用于企业网络和小型的家庭网络。作为安全网络抵御攻击和过滤 未经授权数据流的前卫设备，防火墙的过滤决策是基于根据预先定义的安全策略 而形成的一组有序的过滤规则。 虽然防火墙的成功部署是保证网络安全的重要一步，但成功部署并不意味着 就可以理所当然的获得相应的安全保障，这是因为防火墙安全规则管理的复杂性 可能会影响防火墙的安全。实际上，随着规则集中规则数目的增多，不可避免的 会出现下面两个问题： 随着规则复杂度的增加，规则也变得难以理解，当维护规则集的人员变更时， 会使规则集的维护变得很困难。 当对规则集中的规则进行删除、修改或者添加规则时，大量的过滤规则中可 能存在冗余的规则，导致防火墙的管理难度加大、吞吐率下降。 所以就有必要在实施安全策略之前，对过滤规则进行必要的分析，发现并纠 正其中的冗余，而且最好能为网络管理人员提供相应的工具，帮助其完成安全策 略的管理工作。 进一步来讲，防火墙的安全效率也依赖于是否有足够的安全策略管理技巧和 第1 章绪论 相应的工具，以便网络管理人员能迅速有效的分析、验证所写的过滤规则的正确 性。 1 2 研究现状 1 2 1 防火墙技术现状 自从1 9 8 6 年美国d i g i t a l 公司在i n t e r a c t 上安装了全球第一个商用防火墙系统 后，提出了防火墙的概念【l 】，防火墙技术得到了飞速的发展。第二代防火墙，也称 代理服务器，它用来提供网络服务级的控制，起到外部网络向被保护的内部网络 申请服务时中间转接作用，这种方法可以有效地防止对内部网络的直接攻击，安 全性较高【2 1 。第三代防火墙有效地提高了防火墙的安全性，称为状态监控功能防火 墙，它可以对每一层的数据包进行检测和监控【3 1 。随着网络攻击手段和信息安全技 术的发展，新一代的功能更强大、安全性更强的防火墙已经问世，这个阶段的防 火墙已超出了原来传统意义上防火墙的范畴，已经演变成一个全方位的安全技术 集成系统，我们称之为第四代防火墙【4 1 ，它可以抵御目前常见的网络攻击手段，如 i p 地址欺骗、特洛伊木马攻击、i n t e m e t 蠕虫、口令探寻攻击、邮件攻击等等。 防火墙的发展，经历了从早期的简单包过滤，到今天广泛应用的状态包过滤 技术和应用代理。其中状态包过滤技术因为其安全性较好，速度快，得到最广泛 的应用。 现有的防火墙主要有：包过滤型、代理服务器型、复合型以及其他类型( 双 宿主主机、主机过滤以及加密路由器) 防火墙【5 1 。 从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度 不够。应用a s i c 、f p g a 和网络处理器是实现高速防火墙的主要方法【6 】，其中以 采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级， 甚至可以支持i p v 6 ，而采用其它方法就不那么灵活。 受现有技术的限制，目前还没有有效的对应用层进行高速检测的方法，也没 有哪款芯片能做到这一点。因此，防火墙不适宜于集成内容过滤、防病毒和i d s 功能( 传输层以下的1 d s 除外，这些检测对c p u 消耗小) 。对于i d s ，目前最常用 防火墙规则优化算法的研究 的方式还是把网络上的流量镜像到i d s 设备中处理，这样可以避免流量较大时造 成网络堵塞。此外，应用层漏洞很多，攻击特征库需要频繁升级，对于处在网络 出口关键位置的防火墙，如此频繁地升级也是不现实的。 1 2 2 国内外研究现状 g a t e w o o dg r e e n 在2 0 0 2 年提到了一种优化i p t a b l e s 规则的方法吲，他在算法 中提到，一条规则“i p t a b l e s - ai n p u t - pu d p d p o r t1 3 7 ：1 3 8 - ja c c e p t 加入规则 集后，如果再向规则中加入新的规则：“i p t a b l e s - ai n p u t - pu d p d p o r t1 3 7 ：1 3 9 j a c c e p t ，由于第二条规则包含第一条规则，因此，规则集中规则有冗余，在第 二条规则加入到规则集中后，可以删除第一条规则以避免出现冗余的规则。 k a t i et ，p a l ep 在( ( i n f o r m a t i o nt e c h n o l o g yi n t e r f a c e s ) ) 中提出一种对i p t a b l e s 系统的规则集优化算法，他们的算法主要思想是减少冗余的规则和合并相似的规 则集。以m 地址、端口和协议作为判断条件，然后重新组织规则集中的规则，从 而减少规则的数量，提高包过滤系统的效率。 国内也有人对i p t a b l e s 防火墙性能提出优化方案。朱立才，杨寿保，宋舜宏在 计算机工程与应用中提出一个优化i p t a b l e s 匹配效率的方案，他们在分析 n e t f i l t e r i p t a b l e s 工作机制的基础上，提出了基于防火墙规则分组的方法提高匹配的 优化方案，并在l i n u x 下进行了具体实现。 1 2 3 当前研究现状 近年来，研究人员对策略冲突分析这一问题进行了大量的研究【8 】，取得了不少 的成就，可是，这些工作的大部分都是为了解决通用的策略管理问题或者是关于 过滤性能问题，而不是特别针对防火墙的。例如，e l u p u 和m s l o m a n 在基于角 色的管理框架下，对策略冲突进行分类，并研究了发现这些冲突的方法；z f u 等 给出了关于i p s e c 的策略冲突模型。虽然这些工作在通用的策略冲突发现中很有 用，但未必可以直接适应于防火墙的冲突异常发现。还有一些方法提出使用高级 的策略语言来定义和分析防火墙安全策略，然后将策略映射到过滤规则，虽然使 用高级语言的方法能避免策略异常，但它们并不适用于那些包含低级规则的防火 第1 章绪论 墙，这是因为使用高级语言来分析已经存在的安全策略，远比使用已经存在的工 具( 如f i r e w a l lp o l i c ya d v i s o r ) 要困难得多。 1 3 本文的研究内容及组织结构 在大型的网络传输中，l i n u x 系统所带的防火墙用i p t a b l e s 产生的防火墙规则 数量庞大，难免对规则的正确性提出了质疑，同时可能存在规则冗余的问题。防 火墙的冗余规则会导致防火墙的管理难度加大、吞吐率下降等现象。 本文通过对防火墙规则分析、翻译方法的研究，提出了一种检测冗余的算法， 以定位冗余的规则，使得管理人员不用在大量的规则里手工查找冗余，同时给出 了导致冗余的相关规则，方便管理人员修改。消除了冗余规则，利用统计学中的 隐马尔可夫模型对规则次序进行调整，从而达到防火墙规则的优化。 本论文共分为七章，第一章为绪论；第二章防火墙基础知识的概述；第三章 讲述了n e t f i l t e r i p t a b l e s 的工作原理；第四章详细分析了防火墙规则及其翻译方法； 第五章提出了一种冗余规则检测的算法；第六章为利用隐马尔可夫模型对防火墙 规则进行优化：第七章对论文进行了总结和展望。 1 4 本章小结 本章介绍了网络安全的重要性，一些常见的网络安全防御技术，以及当前国 内外防火墙技术的研究现状，最后重点介绍了本文选题的背景、研究意义和现状。 防火墙规则优化算法的研究 第2 章防火墙概述 2 1 防火墙的概念和功能 防火墙系统是网络安全技术之一【9 】，主要由软件或硬件设备组合而成，作为内 部网之间的一种访问控制设备，它常常被安装在内部网和外部网的交界处，以限 制外界用户对内部网络的访问并能有效管理内部用户访问外部网络的权限。因此， 防火墙正在成为控制对网络系统访问的非常流行的方法。 防火墙作为一种安全防范系统，是内部网络连接外部网络的唯一出口，利用 这道出口监视通过网络的数据，进行允许或禁止动作，并做出相关记录和报告。 防火墙系统可以加强网络间的访问控制，防止外部用户非法使用内部网的资 源，以保护内部网的设备不被破坏，防止内部网的信息和数据被窃取、篡改或删 除。要使一个防火墙有效，则所有通过网络的信息都必须经过防火墙，接受防火 墙的检查。防火墙必须只允许授权的数据通过，防火墙系统本身必须能够免于渗 透，否则一旦防火墙系统遭到攻击者破坏，就不能再提供任何保护作用。 一个良好的防火墙系统至少应具备以下五项基本功能【1 0 】：过滤进出网络的数 据包；管理进出网络的访问行为；阻挡某些禁止的访问行为；记录通过防火墙的 信息内容与活动；对网络攻击进行检测与报警。 需要注意的是，防火墙虽然在一定程度上可以保护网络，但并不完全安全， 同时也不可能有绝对意义上的安全。防火墙必须按照实际需求合理配置，在安全 性和易用性之间取得合理的平衡不正确的配置会导致安全漏洞，而过于严格 的配置会导致用户的不便，不能满足用户需求而导致新的安全隐患。 2 2 防火墙的分类及特点 防火墙的技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体 来讲可分为包过滤、应用级网关和代理服务器等几大类型。虽然从理论上看，防 火墙处于网络安全的最底层【i i l ，负责网络间的安全认证与传输，但随着网络安全 技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之 第2 章防火墙概述 外的其它安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络提 供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止 病毒与黑客侵入等方向发展。 根据防火墙所采用的技术不同，可以将它分为4 种基本类型：包过滤防火墙、 状态动态检测防火墙、应用程序代理防火墙和个人防火墙。 2 2 1 包过滤防火墙 第一代防火墙和最基本形式防火墙，检查每一个通过的数据包，或者丢弃， 或者放行，取决于所建立的一套规则，这称为包过滤防火墙，又叫网络级防火墙， 因为它是工作在网络层【1 2 】。路由器就是一个“传统”的网络级防火墙。图2 1 为包 过滤防火墙工作原理图。 本质上，包过滤防火墙是多址的【1 3 】，表明它有两个或两个以上网络适配器或 接口。包过滤防火墙检查每一个传入包，查看包中可用的基本信息( 源地址和目的 地址、端口号、协议等) 。然后，将这些信息与设立的规则相比较。多个复杂规则 的组合也是可行的。通常，为了安全起见，与传入规则不匹配的包就会被丢弃， 如果需要让该包通过，就要建立规则来处理它。 应用层 传输层 网络层 数据链路层 物理层 图2 1 包过滤防火墙工作原理图 f i g 2 1w o r k i n gp r i n c i p l ed i a g r a mo f p a c k e tf i l t e r i n gf i r e w a l l 包过滤防火墙的优点是能够对每条传入和传出网络的包实行低水平控制：每 防火墙规则优化算法的研究 个口包的字段都被检查，并基于这些信息应用过滤规则；可以识别或丢弃带欺骗 性源i p 地址的包；包过滤防火墙是两个网络之间访问的唯一途径【1 4 】；包过滤通常 被包含在路由器中，因此不需要额外的系统来处理。但包过滤防火墙的缺点也很 明显，因为包过滤防火墙很复杂，人们经常会忽略建立一些必要的规则，或者错 误配置了已有的规则，在防火墙上留下漏洞；当为特定服务开放端口时，存在着 很大危险，可能会被用于其他应用的传输；也会有可能存在其他方法绕过防火墙 进入网络。 2 2 2 状态动态检测防火墙 状态动态检测防火墙，跟踪通过防火墙的网络连接和包，这样防火墙就可以 使用一组附加的标准，以确定是否允许和拒绝通信。它是在使用了基本包过滤防 火墙的通信上应用一些技术来做到这点的。 当包过滤防火墙处理一个网络数据包时，包是孤立存在的【1 5 】。它没有防火墙 所关心的历史或未来。允许和拒绝包的决定完全取决于包自身所包含的信息，如 源地址、目的地址、端口号等。包中没有包含任何描述它在信息流中的位置的信 息，则该包被认为是无状态的，它仅是存在而己。 一个状态动态检测防火墙跟踪的不仅是包中包含的信息。为了跟踪包的状态， 防火墙还记录有用的信息以帮助识别包【1 6 】，例如已有的网络连接、数据的传出请 求等。如果传入的包包含视频数据流，而防火墙可能己经记录了有关信息，是关 于位于特定i p 地址的应用程序最近向发出包的源地址请求视频信号的信息。如果 传入的包是要传给发出请求的相同系统，防火墙进行匹配，包就可以被允许通过。 一个状态动态检测防火墙可截断所有传入的通信，而允许所有传出的通信。 因为防火墙跟踪内部出去的请求，所有按要求传入的数据被允许通过，直到连接 被关闭为止【1 7 1 。只有未被请求的传入通信被截断。图2 2 为状态动态检测防火墙 工作原理图。 第2 章防火墙概述 矗；羽口应用层 应用层 - 胜川层一 传输层传输层 传输层 网络层 一一 网络层仁 一 网络层 厂吖一 数据链路层数据链路层数据链路层 物理层物理层物理层 书 防火墙 卜 图2 2 状态动态监测防火墙r t 作原理图 f i g 2 2w o r k i n gp r i n c i p l ed i a g r a mo fs t a t u s d y n a m i cm o n i t o r i n gf i r e w a l l 这种防火墙的优点【1 8 】是具有检查口包的每个字段的能力，并遵从基于包中信 息的过滤规则；识别带有欺骗性源i p 地址包的能力；基于应用程序信息验证一个 包的状态的能力；记录有关通过的每个包的详细信息的能力。这种防火墙无疑是 非常坚固的。但是状态动态检测防火墙唯一的缺点是这种检测时的所有的记录、 测试和分析工作可能会造成网络连接的某种迟滞，特别是在同时有许多连接激活 的时候，或者是有大量的过滤网络通信的规则存在的时候。而且配置也比较复杂。 2 2 3 应用程序代理防火墙 应用代理防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是 接受来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器单独的 连接【1 9 1 。图2 3 为应用代理防火墙工作原理图。网络内部的用户不直接与外部的服 务器通信，所以服务器不能直接访问内部网的任何一部分。应用程序代理防火墙 检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的 安全性。然而，应用网关防火墙是通过打破客户机服务器模式实现的。另外，每 个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用 必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用代理防火墙 防火墙规则优化算法的研究 具有可伸缩性差的缺点。 应用层 u 应用层 u 应用层 传输层传输层 传输层 网络层 1 卜 网络层 l 八 网络层 厂 厂 数据链路层数据链路层数据链路层 物理层物理层物理层 图2 3 应用代理防火墙工作原理图 f i g 2 3w o r k i n gp r i n c i p l ed i a g r a mo f a p p l i c a t i o np r o x yf i r e w a l l 另外，如果不为特定的应用程序安装代理程序代码，这种服务是不会被支持 的，不能建立任何连接。这种建立方式拒绝任何没有明确配置的连接，从而提供 了额外的安全性和控制性。 应用代理防火墙可以配置成允许来自内部网络的任何连接，它也可以配置成 要求用户认证后才建立连接。要求认证的方式由只为已知的用户建立连接的这种 限制，为安全性提供了额外保证。如果网络受到危害，这个特征使从内部发动攻 击的可能性大大减少。 应用程序代理防火墙可以制定对连接的控制；通过限制某些协议的传出请求， 来减少网络中不必要的服务；能够记录所有的连接，包括地址和持续时间，这些 信息对追踪攻击和未授权访问的事件是很有用的【2 0 】。但代理服务器同时也存在一 些不足，特别是它会使网络的访问速度变慢，因为它不允许用户直接访问网络， 而代理又要处理入和出的通信量，因此每增加一种新的媒体应用，则必须对代理 进行设置，而且一些应用程序可能根本不支持代理连接。 第2 章防火墙概述 2 ，2 4 个人防火墙 在逻辑上讲，个人防火墙是一个分离器，一个限制器，也是一个分析器，有 效地监控了个人主机和i n t e m e t 之间的任何活动，保证了个人主机的安全【2 1 1 。进一 步说，个人防火墙是一个位于单台p c 之上的软件。它可以截取p c 上进行的入站 和出站t c p i p 网络连接尝试，并使用预先定义的规则允许或禁止其连接。 个人防火墙增加了保护级别，不需要额外的硬件资源；除了可以抵挡外来攻 击，还可以抵挡内部的攻击；而且还能对公共网络中的单个系统提供保护。但是 个人防火墙也有缺陷，它对于公共网络只有一个物理接口，真正的防火墙应当监 视并控制两个或更多的网络接口之间的通信，这样，个人防火墙本身可能会容易 受到威胁，因为网络通信可以绕过防火墙的规则。 2 3 防火墙的基本结构 2 3 1 屏蔽路由器 屏蔽路由器是防火墙的最基本的构件【2 2 1 。它可以由厂家专门生产的路由器实 现，也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道，要求所有的报 文都必须在此通过检查。 2 3 2 双宿主主机防火墙 在t c p i p 网络中，多宿主主机( m u l t i - h o m e dh o s t ) 这个词用来描述具有多个 网络接口卡的主机( 如图2 4 所示) 。通常，每个网络接口卡都和网络相连。在历 史上，这种多宿主主机也可以再网络段之间传送流量【2 3 】。今天，一般都使用专门 的路由器来完成i p 的路由转发。 如果多宿主主机的路由功能被禁止，则主机可以在它连接的网络之间提供网 络流量的分离，并且每个网络都能在宿主主机上处理应用程序。另外，如果应用 程序允许，网络还可以共享数据。 防火墙规则优化算法的研究 静静妒 图2 4 多宿主主机 f i g 2 4 m u l t i - h o m e d h o s t 双宿主主机( d u a l h o m e dh o s t ) 是多宿主主机的一个特例，它有两个网络接口 和被禁止的路由功能。 双宿主主机可用于把一个内部网络从一个不可信的外部网络分离出来( 如图 2 5 所示) 。因为双宿主主机不能转发任何t c p i p 流量，所以，它可以彻底堵塞内 部和外部不可信网络间的任何口流量。 n t e r n e t a 图2 5 双宿主主机 f i g 25 d u a l - h o r n e d h o s t 第2 章防火墙概述 防火墙运行p r o x y ( 代理) 软件控制着数据包从一个网络流向另外一个网络， 这样内部网络中的计算机就可以访问外部网络。 双宿主主机是防火墙使用的最基本配置【2 5 】。建立双宿主主机防火墙的关键是 禁止路由，网络之间通信的惟一路径是通过应用层的代理软件( p r o x y ) 。如果路由 被意外地允许，那么双宿主主机防火墙的应用层功能就会被旁路，内部受保护网 络就会完全暴露在危险之中。 在u n i x 环境中运行的网络对双宿主主机防火墙的这个危险性特别敏感。在 一些u n i x 操作系统( 如著名的b e r k e l e yu n i x ) 中，默认时路由能力有效。因此， 在u n i x 网络中建立防火墙时，必须验证防火墙所使用的操作系统的路由功能禁 止。如果操作系统没有使路由能力失效，必须在防火墙主机内重新配置并且重建 u n i x 核心以保证操作系统使路由能力禁止。 另外，如果用户被允许直接登录到防火墙，那么，防火墙的安全性就将受到 威胁。因为双宿主主机防火墙是内部网络和外部网络相连的中心点。一旦黑客进 入到防火墙，防火墙的防卫功能也就彻底崩溃了。黑客甚至可以使用防火墙作为 入侵其他主机的基地。 2 3 3 主机屏蔽防火墙 一般来讲，主机屏蔽防火墙比双宿主主机防火墙更加安全。主机屏蔽防火墙 体系结构在防火墙的前面增加了屏蔽路由器。也就是说，防火墙并不直接与i n t e m e t 相连。这种配置将提供一种非常有效的并且容易维护的防火墙 2 】【3 】【2 6 】。如图2 6 所 示。 防火端规则优化算法的研究 多多多 图2 6 主机屏蔽防火墙 f i g 2 6s c r e e n e d - h o s l f i r e w a l l 因为路由器具有数据过滤的功能，路由器通过适当配置( 如配置访问列表) 后，可以实现一部分防火墙的功能，因此，有人把屏蔽路由器也称为防火墙的一 种。 实际上，我们常常把屏蔽路由器作为从i n t e r a c t 到受保护网络的第一道防线。 根据内部网络的安全策略，屏蔽路由器可以过滤掉不允许的数据包。如： 1 1 不允许柬自内部主机( 防火墙除外) 的所有连接，即强迫所有内部主机必须 使用防火墙代理服务。 2 ) 屏蔽掉不允许的服务，如禁止t e l n e t ，f 【p ，f i n g e r 请求等。 实际的屏蔽路由器配置要根据实际的网络安全策略，如s e r v e r 主机向i n t e n l e l 提供w w w 服务，则需要在屏蔽路由器上开放对s e r v e r 服务器的8 0 端口的访问。 因为这种体系结构允许数据包从因特网向内部网的移动，所以，它的设计比 没有外部数据包能到达内部网络的双宿主主机体系结构似乎是更冒风险。话说回 来，实际上双宿主主机体系结构在防备数据包从外部网络穿过内部的网络时也容 易产生失败( 因为这种失败类型是完全出乎预料的) 。进而言之保卫路由器比保 第2 章防火墙概述 卫主机较易实现，因为它提供非常有限的服务。多数情况下，被屏蔽的主机体系 结构提供比双宿主主机体系结构更好的安全性和可用性。 234 子网屏蔽防火墙 子网屏蔽体系结构添加额外的安全层到主机屏蔽体系结构，即通过添加周边 网路更进一步地把内部网络域i n t e r n e t 隔离开圳。如图27 所示。 一 - _ ；i3 j ；j 翻2 2 子网屏蔽防火墙 f i g27s c a m p i - s u b n c t f i r e w a l l 堡垒主机( 在这里是防火墙) 是用户网络上最容易受侵袭的机器。任凭用户 尽最太的力气去保护它它仍是最有可能被侵袭的机器，没有什么主机是绝对安 全的。 在主机屏蔽体系结构中，用户的内部网络对堡垒主机没有任何防御措施。如 果黑客成功地侵入主机屏蔽体系结构中的堡垒主机，那就毫无阻挡地进入了内部 系统。 通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的影响。可以说， | | _ 专 防火墙规则优化算法的研究 它只给入侵者一些访问的机会，但不是全部。屏蔽子网体系结构的最简单的形式 为：两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部的网络之 间，另一个位于周边网与外部网络之间( 通常为i n t e m e t ) 。为了侵入用这种类型的 体系结构构筑的内部网络，侵袭者必须要通过两个路由器。即使侵袭者设法侵入 堡垒主机，他将仍然必须通过内部路由器。在此情况下，不能损害内部网络的单 一的易受侵袭点。作为入侵者，只是进行了一次访问。 2 3 5 其他的防火墙结构 一个堡垒主机和一个非军事区 两个堡垒主机和两个非军事区 两个堡垒主机和一个非军事区 2 3 6 典型的防火墙结构 实际建造防火墙时，一般很少采用单一的技术，通常是使用多种解决不同问 题的技术组合。这种组合主要取决于网管中心向用户提供什么样的服务，以及网 管中心能接受什么样的等级风险。采用哪种技术主要取决于经费、投资的大小或 技术人员的技术、时间等因素。一般有一下几种形式【1 8 】： 使用多堡垒主机 合并内部路由器与外部路由器 合并堡垒主机与外部路由器 合并堡垒主机与内部路由器 使用多台内部路由器 使用多台外部路由器 使用多个周边网络 使用双重宿主主机与屏蔽子网 第2 章防火墙概述 服务网络 2 4 防火墙技术 f 1 甲e m a i lw w w 图2 8 典型防火墙结构 f i g 2 8t y p i c a lf i r e w a l la r c h i t e c t u r e 2 4 1 包过滤技术 包过滤技术( p a c k e tf i l t e r ) 是防火墙为系统提供安全保障的主要技术，它通 过设备对进出网络的数据流进行有选择的控制与操作【6 】【9 】。包过滤操作通常在选择 路由的同时对数据包进行过滤( 通常是对从互联网络到内部网络的包进行过滤) 。 用户可以设定一系列的规则，指定允许哪些类型的数据包可以流入或流出内部网 络；哪些类型的数据包的传输应该被拦截。包过滤规则以i p 包信息为基础，对口 包的源地址、口包的目的地址、封装协议( t c p u d p i c m p 1 pt u n n e l ) 、端口号等 进行筛选。包过滤这个操作可以在路由器上进行，也可以在网桥，甚至在一个单 独的主机上进行。 包过滤技术发展到现在，它已经从早期的静态包过滤演进到了现在的动态包 过滤技术。 1 ) 静态包过滤 静态包过滤技术的实现非常简单，就是在网关主机的t c p i p 协议栈的疋层增 加一个过滤检型1 1 ，对i p 包的进栈、转发、出栈时均进行针对于每个包的源地址、 目的地址、端口、应用协议进行检查，用户可以设立安全策略，比如某某源地址 防火墙规则优化算法的研究 禁止对外部的访问、禁止对外部的某些目标地址的访问、关闭些危险的端口等 等，事实证明，一些简单而有效的安全策略可以极大的提高内部系统的安全，由 于静态包过滤规则的简单、高效，直至目前，它仍然得到应用。 2 ) 动态包过滤技术 动态包过滤( d y n a m i cp a c k e tf i l t e r ) 技术除了含有静态包过滤的过滤检查技 术之外，还会动态的检查每一个有效连接的状态，所以通常也称为状态包过滤 ( s t a t e f u lp a c k e tf i l t e r s ) 技术。 状态包过滤( s p f s ) 克服了第一代包过滤( 静态包过滤) 技术的不足，如信 息分析只基于头信息、过滤规则的不足可能会导致安全漏洞、对于大型网络的管 理能力不足等等。 s p f s 对于包处理的规则是动态的【1 8 】【2 0 1 ，采用s p f s 技术的防火墙正如在安全 网络上加了一道动态的门，即使是对于同一个服务端口，它也可能根据状态检测 结果适时的打开或关闭。它监视每一个有效连接的状态，并把当前数据包及其状 态信息与前一时刻的数据包及状态信息进行比较，即经过一系列严密的算法分析， 根据分析结果实施相应的操作，如允许数据包通过、拒绝通过、认证连接、加密 数据等。s p f s 技术不仅支持t c p ，同时也支持u d p 等无连接的应用，s p f s 防火 墙对基于u d p 应用安全的实现是通过在u d p 通信之上保持一个虚拟连接来实现 的。防火墙保存通过网关的每一个连接的状态信息，允许通过防火墙的u d p 请求 包被记录。当u d p 包在相反方向上通过时，防火墙依据连接状态表确定该u d p 包 是否被授权，若已被授权，则通过，否则拒绝。如果在指定的一段时间内响应数 据包没有到达，即连接超时，则该连接被阻塞。采取这种原理可以阻塞所有的攻 击，从而实现u d p 应用的安全性。 包过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层 和传输层，与应用层无关。但其缺点也是明显的：据以过滤判别的只有网络层和 传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤 规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于 缺少上下文关联信息，不能有效地过滤如u d p 、r p c 一类的协议；另外，大多数 第2 章防火墙概述 过滤器中缺少审计和报警机制，且管理方式和用户界面较差；对安全管理人员素 质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较 深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。 2 4 2 网络地址翻译技术 n a t ( n e ta d d r e s st r a n s l a t i o n ，网络地址翻译) 的最初设计目的是用来增加私 有组织的可用地址空间和解决将现有的私有