（计算机应用技术专业论文）嵌入联动代理的流过滤个人防火墙研究与设计.pdf

重庆邮电大学硕士论文 摘要 摘要 防火n n * 侵检测作为保障网络安全的重要技术手段被广泛应用但现有 的安全方案往往将防火墙与入侵检测系统分开单独使用，这样不能满足网络安 全整体化、立体化的要求。 实现防火墙与入侵检测系统的联动，可以对网络进行动静结合的保护。现 有的联动方案都是针对网络边界的防火墙和入侵检测系统，它们不能抵御网络 内部主机问的攻击。本文将防火墙与入侵检测系统联动的思想应用于局域网， 基于开放分布式技术实现多个个人防火墙与入侵检测系统的联动，并利用联动 平台的优势实现对入侵的主动防御。但个人防火墙由于其局限性，功能较为单 一，对于数据通信行为控制能力较弱，为改变此局面，必须采用新的防火墙技 术与入侵检测系统联动，来加强局域网内部网络用户的安全。 首先，研究了防火墙、入侵检测关键技术，通过比较和分析目前流行的安 全联动技术，提出了本文安全联动系统的设计目标。然后设计了局域网开放分 柿式安全联动模型，对其网络结构和工作原理进行了全面分析，提出个人防火 墙和i d s 联动系统进行集成的方法。 其次，本文采用新提出的防火墙技术来加强个人防火墙的安全功能。流过 滤技术不同于传统的包过滤技术、状态检测技术和应用代理，它具有t c p i p 体 系结构所有层次的通信控制能力，它工作在数据链路层和网络层。本论文尝试 着在个人防火墙中应用流过滤技术，同时结合n d i sh o o k 技术。首先，设计一 个基于共享内存和事件对象的驱动程序与应用程序通信模型，在捕获数据包后 通过此模型指示给应用层的流过滤模块；流过滤模块通过重组t c p 报文段成为 完整的应用层协议命令、命令响应或数据流后，用b m 算法进行流过滤。论文 给出实现二者结合的总体设计方案，并完成了部分功能的实现及测试。 关键词：网络安全，流过滤，个人防火墙，联动 重庆邮电大学硕士论文 a b s t r c a t a b s t r a c t a si m p o r t a n tt e c h n i q u e so fn e t w o r ks e c u r i t y ，f i r e w a l l t e c h n o l o g ya n di d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) a r ew i d e l yu s e d b u tt h e s et w ot e c h n i q u e sa r ea l w a y s u e s d s e p a r a t e l y i nc u r r e n ts e c u r i t ys c h e m e st h a tc a l l tm e e tr e q u i r e m e n t so f t o t a l i z a t i o na n dm u l t i _ l a y e ra r c h i t e c t u r eo fn e t w o r ks e c u r i t y t h ei n t e r a c t i o no ff i r e w a l l t e c h n o l o g ya n di d sc a np r o t e c tn e t w o r ke i t h e r s t a t i c a l l yo rd y n a m i c a l l y a l lo fc u r r e n ti n t e r a c t i o ns c h e m e sa i ma tt h ef i r e w a l la n d i d so nb o r d e ro fn e t w o r k ，s ot h e yc a n tr e s i s ta t t a c kf r o mi n t e r i o rh o s t s t oa v o i d t h i s ，w ep r o p o s ea l li d e ao fp u t t i n gf i r e w a l la n di d si n t e r a c t i o ni n t ol a nb a s e do n o p e nd i s t r i b u t e dt e c h n i q u ea n du t i l i z i n ga d v a n t a g e so fi n t e r a c t i o np l a t f o r m ，m u l t i p l e p e r s o n a lf i r e w a l la n di d si n t e r a c t i o na n da c t i v ed e f e n c et o w a r d si n t r u s i o na r ep u t i n t o p r a c t i c e b u tt h ep e r s o n a lf i r e w a l lh a ss i m p l ef u n c t i o n sa n di ti sp o o ri n c o n t r o l l i n gd a t at r a n s m i s s i o no w i n gt oi t sl i m i t a t i o n s ，s ow em u s tb r i n gi nan e w t e c h n o l o g yt oi n t e r a c tw i t hi d st os t r e n g t h e ns e c u r i t yo fi n t e r i o ru s e r si nl a n f i r s t ，t h ek e yt e c h n o l o g i e so ff i r e w a l la n di d sa r es t u d i e d a f t e rc o m p a r i n ga n d a n a l y z i n gc u r r e n ts e c u r i t yi n t e r a c t i o nt e c h n i q u e s ，t h et a r g e to f t h i sp a p e ri sp r o p o s e d t h e na no p e ns e c u r i t yi n t e r a c t i o nm o d e li nl a ni s d e s i g n e dw i t hi t s n e t w o r k s t r u c t u r ea n do p e r a t i o n a lp r i n c i p l ef u l l ya n a l y z e dt oa d v a n c ei n t e r g r a t i o nm e t h o do f f i r e w a l la n di d si n t e r a c t i o n s e c o n d ，t h en e wf i r e w a l lt e c h n o l o g y ，n a m e ds t r e a m f i l t e r i n g ，i sp r e s e n t e dt oi m p r o v es e c u r i t yo ff i r e w a l l t h et e c h n o l o g yi sd i f f e r e n t f r o mt r a d i t i o n a lp a c k e t _ f i l t e r i n g ，s t a t u sd e t e c t i o na n da p p l i c a t i o np r o x y i ti sa b l et o c o n t r o lc o m m u n i c a t i o ni na l ll a y e r so ft h et c p i pa r c h i t e c t u r ea n di tw o r k si nt h e d a t al i n k l a y e ra n dn e t w o r kl a y e r t h ep a p e rt r i e s t o a p p l y c o m b i n a t i o n s t r e a m - f i l t e r i n g w i t hn d i sh o o kt e c h n o l o g yi n p e r s o n a lf i r e w a l l w ed e s i g na c o m m u n i c a t i o nm o d e lo fd r i v e ra n da p p l i c a t i o nb a s e do ns h a r e ds t o r a g ea n de v e n t o b j e c t ，a f t e rt h en d i sd r i v e rc a t c h e sp a c k e t sw eu s ei t t os e n dt h ep a c k e t st ot h e s t r e a m f l t e r i n g m o d u l ei n a p p l i c a t i o nl a y e r t h em o d u l er e c o m b i n e st h et c p f r a g m e n t si n t oac o m p l e t ep r o t o c o lc o m m a n d ，c o m m a n dr e s p o n s eo rd a t as t r e a m ， t h e nw eu s eb ma l g o r i t h m st od os t r e a mf i t e r i n g a tl a s t ，t h ep a p e rp r o p o s e st h e w h o l ed e s i g ns c h e m ea n dr e a l i z e ss o m ep a r t so ff u n c t i o n s k e y w o r d s ：n e t w o r ks e c u r i t y s t r e a m ， 1 l ，f i l t e r i n g p e r s o n af i r e w a li n t e r a c t i o n 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得 的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包 含其他人已经发表或撰写过的研究成果，也不包含为获得重迭鲣皂盘堂或 其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所 做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：做兆 签字日期：舢# 年月f 日 学位论文版权使用授权书 本学位论文作者完全了解重麽监鱼塞堂有关保留、使用学位论文的 规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文 被查阅和借阅。本人授权重庆鲣鱼太堂可以将学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇 编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：衢。彩导师签名： 肉智 签字日期：脚# 年月f ，臼 签字日期：力力年多月岁日 重庆邮电大学硕士论文第一章绪论 1 1 网络安全现状 第一章绪论 计算机网络的快速发展给人类的工作和生活都带来了巨大影响，人类己经 开始离不开网络。但是，网络安全技术的相对滞后使得网络安全事件逐年增加， 影响范围逐渐扩大，由此带来的经济损失也是惊人的。 为了加固网络，防范各种入侵，减少因网络安全事件而带来的损失，各个 机构对网络安全方面的投入都达到了前所未有的水平。据市场研究公司i d c 公 布的一项研究报告显示，预计到2 0 0 6 年i t 安全市场的收入将会增长到4 5 0 亿 美元，年增长率高达2 0 以上。目前主要采用防火墙、i d s 、v p n 、加密及身 份认证、访问控制、操作系统加固等手段实现网络的安全防御。 防火墙和入侵检测系统是现在市场上应用范围最广、最易被客户接受的网 络安全产品。防火墙作为不同网段之间的逻辑隔离设备，将内部可信区域与外 部危险区域有效隔离，将网络的安全策略制定和信息流动集中管理控制，为网 络边界提供保护，是网络的防盗门，也是抵御入侵最可靠有效的手段【2j 。防火 墙技术一直在发展，从静态包过滤，到状态检测包过滤，应用代理防火墙，电 路代理防火墙等，技术上相对走向成剿“。 目前，个人防火墙大多数使用的是包过滤技术和状态检测技术，在网络层和 传输层对数据包的行为进行规范i z j 。然而由于个人计算机的特殊性，仅仅只有这 些是不够的。个人计算机是数据传输的目的地，也是信息的源头，是最易受攻击 的目标，也是造成计算机泄密的起点。因此，应该谋求对应用层传输行为的规范， 对传输的内容进行有力的控制。对有连接的t c p ，应对每一条命令或每一条命令 的响应进行完整过滤；对传输的纯数据需要进行完整过滤。 对于个人防火墙从实现层次上看，个人防火墙的实现多数基于s p i ( s e r v i c e p r o v i d e ri n t e r f a c e ) 。拦截的层次比较高，但不能对低层传输的数据进行有效的控 制。如果能够在数据链路层进行包的拦截，那么对于网络通信的控制能力将会大 大加强。以n t 技术为核心的w i n 2 0 0 0 和w i n ，操作系统均实现t n d i s m e t w o r k d r i v e ri n t e r f a c es p e c i f i c a t i o n ) 管理库，n d i s 是微软公司和3 c o m 公司共同制定 并且合作开发的网络驱动接口规范。有了这个管理库，就能够实现在内核级对数 据包进行拦截过滤，以及向上或向下的数据包传递。 重庆邮电大学硕士论文 第一章绪论 1 2 本文研究的背景及意义 目前企业在网络安全保障方面，虽然采用了传统的防火墙、入侵检测系统、 防病毒网关等在网络边界处做防御工事，但这些方式只能防范来自网络边界外 侧的攻击，对网络内部的攻击和入侵无能为力。因此，局域网内部安全成为网 络安全研究的一个热点。而个人计算机网络安全却是局域网内部安全最重要的 一环，因此，个人主机防火墙成为企业信息安全不可缺少的重要组成部分。 防火墙对网络保护能力的大小与其体系结构和运行体制有很大的关系。防 火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层 和传输层的保护，而应用代理则是更关心应用层的保护。考虑到个人防火墙的 特点，它不宣采用应用代理技术。设计个人防火墙的初衷在于提高个人计算机 自身的防护能力，而应用代理技术必须依赖于其他主机作为代理服务器，这与 个人防火墙的目标相违背。所以在个人防火墙中可以采用的体系结构有包过滤 体系结构和状态检测防火墙技术，这在商品化的个人防火墙中比较常见【3 j 。但 由于包过滤体系结构或状态检测防火墙技术都存在各自的优缺点，对于应用层 保护能力的薄弱，国内某著名防火墙开发商提出以状态检测包过滤为基础实现 了一种被称之为”流过滤”的体系结构，其基本原理是以状态包过滤的形态实 现对应用层的保护。通过内嵌的专门实现的t c p 协议栈，在状态检测包过滤的 基础上实现了透明的应用信息过滤机制【4 j 。 “流过滤”防火墙体系结构相对于目前的防火墙体系结构，是对包过滤、 状态检测及应用代理的一种“融合”，实现了高性能、可扩展、透明的对应用 层协议的保护。但目前个人防火墙领域，“流过滤”技术并没有应用到其中。本 文旨在将“流过滤”体系结构思想应用到个人防火墙领域中，更加完善地保障 局域网的网络信息安全，提高控制能力。本文防火墙体系结构还实现了与i d s 联动代理，实现了动态地、自适应的调整安全策略，通过配置的动态规则实现 动态过滤，提升了个人防火墙的机动性和实时反应能力，大大的提高到了整个 局域网各个主机的安全性。 1 3 本文的主要工作 本文主要研究如何利用“流过滤”防火墙体系结构思想应用到个人防火墙 领域，并与i d s 的进行联动，实现防火墙的动态防御。 利用n d i sh o o k ( j 习自定义的回调例程替换n d i sw r a p p e r 的相应函数，使 得系统调用被截获的一种系统监视机制) 在内核级实现对数据链路层数据包的 拦截、过滤和传递，从而对每个数据包的行为都具有控制能力；对t c p 的数据 重庆邮电大学硕士论文第章绪论 连接建立状态检测表，在状态检测的基础上，引入防火墙的流过滤技术。由于 个人防火墙的应用中并没有流过滤技术的实现先例，而且由于个人防火墙的特 殊性，因此在实现上存在差异，同时实现与入侵检测系统联动技术部分功能， 实现对系统中每个进程网络连接的检测，主要工作包括以下几个方面： ( 1 )网络安全技术介绍。阐述网络安全，主要介绍了网络安全和防火墙 的基本理论和知识，阐述了防火墙的现有技术和结构体系、个人防火墙的特点 及意义、与入侵检测联动技术的相关介绍。 ( 2 ) 介绍了本文设计的个人防火墙主要模块及总体方案。包括：n d i s 概念的简介，以及在n t 为内核的操作系统中，如何采用n d i sh o o k 技术实现 对数据包的拦截和过滤；流过滤技术的概念，实现思想和实现要点；对于个人 防火墙不能实现专用的t c p i p 协议栈，必须采用重组应用层传输数据进行内容 过滤；个人防火墙与i d s 联动；对控管规则的设计等。 ( 3 ) 介绍n d i s 驱动模块中的部分重要数据结构和接口处理函数。这种 方法通过修改a p i 导出表实现n d i sh o o k 的技术，增强了抵御网络攻击的能力。 同时提出并设计了一个基于共享内存和事件对象的驱动程序通信模型。分析证 明该模型可有效提高驱动程序与应用程序通信的效率。接着讲述流过滤模块的 数据结构及处理函数，并进行了防火墙端联动代理和入侵检测端联动代理的接 口设计，及对联动代理的工作原理进行详细的分析。最后，讲述控管规则的数 据结构和存储方式。 ( 4 )实现和测试流过滤个人防火墙主要功能模块。基于流过滤体系结构 思想，分别实现数据包拦截模块、流过滤模块、联动控制模块、防火墙端联动 代理、i d s 测试程序、个人防火墙联动代理。 1 4 本文组织结构 本文共分五章，各章的内容安排如下： 第一章：绪论部分介绍了网络安全的发展现状，叙述了本文的研究背景及意 义，对本文的主要研究内容做了简单介绍。 第二章：介绍目前网络安全现状。分析和研究了目前网络安全的主要技术， 其中包括防火墙的技术、防火墙的体系结构、入侵检测的联动技术。介绍了目 前联动协议和模型。介绍了个人防火墙与i d s 联动，构建实时、动态防御体系。 第三章：是本文的总体设计部分，总体设计了个人防火墙与i d s 联动模型， 以实现个人防火墙的动态防御目标；分析并研究了防火墙体系结构，介绍了流 过滤防火墙技术，并与包过滤技术、状态检测技术和应用代理技术等防火墙技 术做了比较，晚明流过滤技术在防火墙技术中的优点；说明了实现流过滤技术 重庆邮电大学硕七论文 第一章绪论 的要点。 第四章：本文的详细设计部分。分别对联动控制模块、防火墙联动代理、流 过滤模块和控管规则文件等部分做了详细的分析研究，并详细设计了各个模块。 对于其中的重点部分做了比较细致的说明。 第五章：本文主要功能模块实现部分的数据结构、算法。实现测试本系统。 第六章：对本文进行了总结。 重庆邮电大学硕士论文 第二章网络安全技术与现状 第二章网络安全技术与现状 2 1 网络安全概述 2 1 1 网络安全的定义和主要问题 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然 的或是恶意的原因而遭到破坏、更改、泄露，系统连续可靠f 常地运行，网络 服务不中断。从用户的角度来说，他希望自己的数据在传输时受到机密性、完 整性和真实性的保护，避免他人利用窃听、冒充、篡改、抵赖等手段对用户的 利益和隐私造成损害和侵犯，同时希望保存在某台计算机系统上的信息不受到 其他非授权用户的非法访问、复制、执行和破坏。因此，网络安全中的两个重 要问题就是传输中数据的保密问题和信息在系统中的访问控制问题【j 】。 2 1 2 网络安全的起因和主要攻击手段 网络安全问题主要是由两方面原因造成的，脆弱的协议体系结构和针对协议 漏洞进行非法攻击的技术手段。 t c p i p 协议体系起源于六十年代美国的d a r p a 网络，当初设计该协议体系 的目的主要是为了各种计算机之间的互联。不同的计算机所采用的操作系统也 有不同，为了使这些系统相互之间能够进行通信，协议的设计者们主要考虑的 是网络之间的互联，而忽视了一个很重要的问题，那就是系统之间的安全性。 由于i n t e r n e t 上运行的主要是t c p i p 协议体系，这样就导致了互联网上安全问 题的尖锐性吼时至今日，虽然为了解决互联网上的安全问题，在t c p i p 协议 的各个层次上增加了所谓的安全子层，打上了许多补丁，但安全问题的先天不 足仍然遗留了下来。 面对协议体系的不完善，必然有人利用这方面的问题而满足自身的需要或 是恶意的破坏。于是产生了可以攻击或入侵对方系统的技术工具，可笑的是由 于网络的普及利用，使得任何一个稍有计算机知识的人就可以通过网络很方便 的学习及利用这些攻击技术。于是造成了网络普及越广，网络安全问题越严重 的恶性循环，网络安全问题在短期不可能彻底解决，它注定长期与网络共存口j 。 网络攻击手段主要有以下几类： 拒绝服务攻击，简称d o s ( d e n i a lo f s e r v i c e ) 。该攻击主要利用数量非常多的 重庆邮电大学硕士论文 第二章网络安全技术与现状 合理服务请求，致使计算机系统的各种资源耗尽( 如，内存、网络带宽和c p u 资源等) 而无法提供正常的服务。严重时，整个系统忙于处理，造成系统完全瘫 痪。拒绝服务攻击是比较常见的攻击，通常结合i p 欺骗，以防止防火墙的跟踪。 拒绝服务攻击随着分布式技术的发展，出现了分布式拒绝服务攻击，分布式攻 击的流泪更大，数目更多，危害更强。拒绝服务攻击主要采用的手段有s y n f l o o d ，死亡之p i n g 和碎片攻击等1 4 1 。 扫描端口攻击，一般作为攻击的前奏，查出所用操作系统的系统漏洞后进行 下一步攻击，例如植入后门程序或病毒。利用非常容易得到的扫描工具，黑客 扫描目标系统的所有端口，查看打开的端口，了解系统所使用的操作系统，进 而利用该操作系统的漏洞发起针对性的攻击。向目标系统传输文件，例如木马 程序。这些木马程序客户端在某个时候启动，自动与黑客的服务器端建立连接， 传输用户的信息，甚至完全控制用户的计算机系统。 网络监听，这是一种被动的攻击。攻击者主要接收传输中的数据包，进而分 析数据。如果是明文传输的数据包，例如t e l n e t 口令和用户名，这种攻击的 后果是可想而知的。在局域网中监听攻击最为有效，因为在共享式介质中，只 要把网卡设置成混杂模式，就可以收到其他用户发送和接收的数据包。在交换 式的局域网中，就要采用其他手段，例如a r p 欺骗等，使目标系统的所有收发 数据包通过黑客计算机转发，从而达到监听的目的【5 j 。 2 1 3 网络安全的主要解决方式 针对网络安全中的信息传输问题，主要采用的方式是对传输数据进行加密。 发送方用某种加密方式对发送数据进行加密，然后密文在网络中传输，接受方 采用某种解密方式对密文进行解密，也有对传输数据源端的身份进行认证，大 多采用的技术主要是数字签名等手段。常用的应用密码包括：单项散列函数、 对称密码和非对称密码。 针对网络安全中的信息访问控制问题，是本文关心的重点，也就是防火墙技 术与入侵检测技术。入侵检测( i n t r u s i o nd e t e c t i o n ) 就是依照一定的安全策略， 对网络、系统的运行状况进行监测，尽可能的发现各种攻击企图、攻击新闻或 者攻击结果，以保证网络系统资源的机密性、完整性和可用性口。入侵检测是 对防火墙极其有益的补充，能够帮助网络系统快速发现网络攻击的发生，扩展 了系统管理员的安全管理能力( 包括安全审计、监视、进攻识别和响应) ，提高 了信息安全基础结构的完整性。按照入侵检测输入数据的来源和系统结构来看， 入侵检测系统可以分为基于主机的入侵检测系统( h i d s ) 和基于网络的入侵检 测系统( n i d s ) 。 重庆邮电火学硕士论文 第二章网络安全技术与现状 2 2 防火墙相关理论和技术 2 2 1 防火墙的概念和工作原理 防火墙是位于两个( 或多个) 网络间实施网间访问控制的一系列组件的集 合。防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络流量 快速的从一条链路转发到另外的链路上去f 卯。从最早的防火墙模型开始谈起， 原始的防火墙是一台双穴主机，即具备两个网络接口，同时拥有两个网络层地 址。防火墙将网络上的流量通过相应的网络接口接收上来，按照t c p i p 协议栈 的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合 通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则 予以阻断。 因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口 的转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成 对报文的审查工作。防火墙的基本原理如图2 1 所示吼 l l ， 图2 1 防火墙基本原理图 个人防火墙是防火墙的一个种类。个人防火墙是一种网络安全软件，作为一 个应用程序或者服务，运行在受保护的主机上，为主机提供网络安全保护。其主 要手段是分析主机操作系统网络协议架构，在适当的位置插入拦截点，所有的网 络数据包通讯都要经过这些拦截点，再按照根据安全策略制定的过滤规则( 访问 控制规则) 对经过拦截点的网络信息流进行监控和审查，过滤掉任何不符合安全 规则的信息，以保护主机不受外界的非法访问和攻击。 对于个人防火墙来讲，主机以外的网络都是不可信的，而不像传统防火墙那 陆彤盐蛔 重庆邮电人学硕士论文第二章网络安全技术与现状 样信任内网防御外网。在制定安全策略的时候可以针对内部网络和外部网络确定 不同的过滤规则，但本质上，内部网络和外部网络是平等的，都要进行防御。 2 2 2 个人防火墙的特点、作用和不足 个人防火墙的特点有以下两个方面： 针对的目标不周：个人防火墙主要用于保护单个计算机系统的安全，防火墙 主要是用来保护整个网络内部的安全。防火墙一般价格较为昂贵，不是单个用 户可以随便消费的，而且对于单个计算机用户，使用这种防火墙往往得不偿失， 于是个人防火墙便出现了，个人防火墙与此相比功能方面不是很全面，但它对 于单个用户的系统提高了必要的防护手段，防止来自网络内部的攻击。 因为是面向单个网络用户，所以实现的方式又有区别。防火墙的实现有基于 硬件系统的，也有基于硬件系统和安全的操作系统。防火墙主要对数据包的转 发进行监控，而个人防火墙必然基于一定的操作系统，不但要对数据包进行接 收、分析、抛弃和发送进行监控，而且还要对本机系统的进程活动进行检测， 防止进程异常的网络活动。 个人防火墙的作用有以下三个方面： 一、执行安全策略，提供访问控制，防止不希望的、未授权的通信进出受保 护的主机，强化主机安全。例如：可屏蔽部分木马常用的端口；可阻塞外部网络 对本主机的i c m p 请求报文，这样能防御部分端口扫描；可根据应用程序访问规 则对应用程序联网动作进行过滤，只允许授权的应用程序访问网络等等。这主要 是包过滤部分的功能。 二、支持针对应用程序扩展过滤功能。例如，支持w e b 网址过滤功能，可以限 定允许访问那些网址或者禁止访问那些网址：支持h t m l 扩展功能，过滤网页的 恶意代码、a c t i v e x 控件、j a v a s c r i p t 等等：电子邮件监控，可以根据规则对邮件 进行过滤。这就具有了部分应用代理功能1 7j 。因为个人防火墙运行在网络终端上， 所以实现这些功能比较方便。 三、对网络的使用和误用提供记录和统计，并在探测到试探或攻击等可疑行 为时，提供报警。这些信息对控制和管理个人防火墙是很重要的，有经验的用户 可以通过它们了解主机是否受到攻击、个人防火墙是否能抵挡攻击者的攻击、其 访问控制是否充足等，并且它们为以后的需求和安全分析提供了实际的基础数 据。 个人防火墙的不足或缺陷有以下四个方面： 一、个人防火墙管理难度问题；由于个人防火墙需要主机用户来管理，要求 用户具有一定的网络知识，对网络安全有一定了解，这样才能合理配置安全规则， 重庆邮电大学硕士论文第二章网络安全技术与现状 保护主机安全。但是大量的主机用户不具备这样的条件，使个人防火墙发挥不了 应有的作用；虽然可以采用一些方法来简化管理问题，但是这实质上是以降低安 全性为代价的。 二、给主机用户的使用带来不便。包括；个人防火墙普遍采用自动询问的方 式来确立安全规则，频繁跳出的对话框可能会给用户带来很大的困扰；可能会阻 塞用户某些所希望的访问，例如用户可能阻断d n s 请求，造成很大一部分网络请 求无法使用。 三、由于个人防火墙要对经过主机的网络数据报文进行过滤等操作，作为获 得安全性的代价，必须要付出性能上的代价，要占用一部分主机的处理器时间和 内存空间。 四、安全功能有限。由于个人防火墙运行在一般的主机上，限制于运行环境， 本身处理功能有限，同时不能大幅度降低主机的性能。所以相对边界防火墙，个 人防火墙实现的安全功能有限。 但目前，个人防火墙在局域网中的安全性确越来越重要，个人防火墙技术的 研究和个人信息安全控制也是在不断发展。因此，对本文的研究具有重要的市场 价值和研究价值。 2 2 3 防火墙主要的体系结构 防火墙的基本技术体系结构可以分为包过滤和应用代理两种。 包过滤是历史久远的防火墙技术，包过滤技术防火墙工作在网络层，准确的 位置在传统的链路层之上，t c p i p 协议栈之下。它在链路层向i p 层返回i p 报 文时，于i p 协议栈之前截获i p 包。规范网络层和传输层的数据传输行为。在 采用t c p i p 协议体系的网络连接中，传输的数据都被分为许多一定格式的数据 色。邑通过幢盘母十振义的源她址、目的遗址、传输协议、端函号、i c m f ； 消息类型等信息与过滤规则表进行比较，从而决定该数据包是否通过。还可以 根据t c p 序列号、t c p 连接的握手序列( 如s y n 、a c k ) 的逻辑分析等进行判 断，可以较为有效的抵御类似i ps p o o f i n g 、s y n cf l o o d i n g 、s o u r c e l pa d d r e s s s p o o f i n g 、s o u r c er o u t i n g 、t i n yf r a g m e n t 等类型的攻击巾j 。 包过滤技术研具有透明性、功能较为单一，仅需要进行简单的i p 地址或端口 比较，速度较快。从实现上分，可以分为简单包过滤和状态检测的包过滤两种。 简单包过滤是对单个包的检查，目前绝大多数路由器产品都提供这样的功 能。由于这类技术不能跟踪t c p 的状态，所以对t c p 层的控制是有漏洞的， 比如当你在这样的产品上配置了仅允许从内到外的t c p 访问时，一些以t c p 应答包的形式进行的攻击仍然可以从外部透过防火墙对内部的系统进行攻击。 重庆邮电大学硕士论文第二章网络安全技术与现状 状态检测的包过滤利用状态表跟踪每一个网络会话的状态，对每一个包的检 查不仅根据规则表，更考虑了数据包是否符合会话所处的状态。因而提供了更 完整的对传输层的控制能力，从而比简单包过滤技术有更好的安全性。可以对 网络入侵记录在案，同时还会检测无连接状态的远程调用和用户数据报的端口 信息，但配置较为复杂。同时由于一系列优化技术的采用，状态检测包过滤的 性能也明显优于简单包过滤产品，尤其是在一些规则复杂的大型网络上。如图 2 2 所示包过滤技术结构示意图p j 。 包过滤设备 非安全网络的计 算机系统 图2 2 包过滤技术结构示意图 包过滤殴各保护 下的计算机系统 应用代理防火墙可以说就是为防范应用层攻击而设计的。应用代理也算是一 个历史比较长的技术，通常的表现形式是一组代理的集合。代理的原理是彻底 隔断两端的直接通信，所有通信都必须经应用层的代理转发，访问者任何时候 都不能与服务器建立直接的t c p 连接，应用层的协议会话过程必须符合代理 的安全策略的要求。针对各种应用协议的代理防火墙提供了丰富的应用层的控 制能力。代理服务器建立并维护两个t c p 连接分别连上目的计算机和源计算机， 通过建立应用层会话，并对数据流进行过滤，检查合法才能转发1 9 j 。于是，应 用代理则规范了特定的应用协议上的行为，对传输数据进行严格控制。包过滤 技术主要针对网络层和传输层的通信行为。包过滤技术与应用代理技术各有自 己的特点，很明显都有缺陷。 简单包过滤的过滤规则过于简单，对于通信行为控制能力较弱，在商业产品 中早己不加以采用了。状态检测技术有较大的进步，但仍然是一种包过滤技术。 它对传输层具有更强的控制能力。它不仅根据过滤规则表，而且对每个t c p 连 接建立跟踪，从而对那些利用t c p 标志位作为攻击手段的t c p 报文段有防卫 能力。但是它仍不具备抵御应用层攻击的能力，如果传输内容中存在问题，它 无法检测出并给出相应的防护办法。 应用代理则完全隔断两台计算机之间的通信连接，所有通信内容都要通过代 理计算机中的代理程序进行过滤，从而对应用层通信数据进行控制和规范。应 重庆邮电大学硕士论文第二章网络安全技术与现状 用代理分别和真正进行通信的计算机建立连接，进而获得应用层通信数据，通 常以应用层作为运行层次。上述的特点形成了应用代理的缺陷：效率低，截获 通信数据层次过高导致程序调用开销过大：而且要建立和维持两个t c p 连接 其中的开销更不容忽视。如图2 3 所示是应用代理技术的结构示意图【1 0 】。 代理服务器 。it r p 车 窨1 。目 r 下r p 车棒，。 ：7 | i 7 日 1 1i 8 = 7 | 目 j 洲晒髓；j 矿8 ；、l t c pl 生横4 7。 非安全网络的 计算机系统 图2 3 应用代理技术结构示 代理保护下的内部 网络计算机系统 状态检测包过滤和应用代理这两种技术目前仍然是防火墙市场中普遍采用 的主流技术，但两种技术正在形成一种融合的趋势。流过滤技术正是针对以上 几种防火墙技术的优缺点而设计的一种新的防火墙体系结构。本文将此技术思 想应用到个人防火墙中，以弥补个人防火墙技术中的不足。 个人防火墙的体系结构 考虑到个人防火墙的特点，它不宜采用应用代理技术。设计个人防火墙的初 衷在于提高个人计算机自身的防护能力，而应用代理技术必须依赖于其他主机 作为代理服务器，这与个人防火墙的目标相违背。所以在个人防火墙中可以采 用的体系结构有包过滤体系结构和状态检测防火墙技术，这在商品化的个人防 火墙中比较常见。本文对流过滤思想在个人防火墙实现的研究，设计流过滤个 人防火墙体系结构。 2 3 入侵检测与联动技术 2 3 1 入侵检测的概念和原理 入侵检测( i n t r u s i o nd e t e c t i o n ) 就是依照一定的安全策略，对网络、系统的 运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保 证网络系统资源的机密性、完整性和可用性，2 l ，“j 。 入侵检测是对防火墙极其有益的补充，能够帮助网络系统快速发现网络攻击 的发生，扩展了系统管理员的安全管理能力( 包括安全审计、监视、进攻识别和 响应) ，提高了信息安全基础结构的完整性。它从计算机网络系统中的若于关键 重庆邮电大学硕士论文 第二章网络安全技术与现状 点收集信息，并分析这些信息，查看网络中是否有违反安全策略的行为和遭到 袭击的迹象。在本质上，入侵检测系统是一个典型的“窥探设备”。它不跨接多 个物理网段，无须转发任何流量，而只需要在网络上被动的、无声息的收集它 所关心的数据报即可。对收集到的报文，入侵检测系统提取相应的流量统计特 征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。根 据预设的阀值，匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将 根据相应的配置进行报警或进行有限度的反击，3 ”。入侵检测系统的通用结构 如图2 4 所示。 图2 4 入侵检测系统通用结构 2 3 2 入侵检测系统的功能 一个合格的入侵检测系统能大大简化安全管理员的工作，保证网络安全的运 行。具体况来，入侵检测系统的主要功能有以下几点： ( 1 ) 监测并分析用户和系统的活动 ( 2 ) 核查系统配置和漏洞 ( 3 ) 评估系统关键资源和数据文件的完整性 ( 4 ) 识别己知的攻击行为 ( 5 ) 统计分析异常行为 f 6 ) 操作系统目志管理，并识别违反安全策略的用户活动 2 3 3 入侵检测系统的分类 大多数入侵检测系统采取基于网络或基于主机的方式来识别并躲避攻击。在 任何一种情况下，它都要寻找“攻击标志”，即一种代表恶意或可疑意图的攻击 特征i h , 35 1 。当入侵检测系统在网络中寻找这些攻击特征时，它是基于网络的 ( n i d s ) 。而当入侵检测系统在记录文件中寻找攻击标志时，它是基于主机的 ( h i d s ) 。 1 基于网络的i d s ( n i d s ，n e t w o r k - b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) 基于网络的入侵检测系统以网络包作为分析数据源。它通常利用一个工作在 重庆邮电人学硕士论文第二章网络安全技术与现状 混杂模式下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使 用模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为，i d s 的响应模块就做出适当的响应，比如报警、切断相关用户的网络连接等。不同 入侵检测系统在实现时采用的响应方式也可能不同，但通常都包括通知管理员、 切断连接、记录相关的信息以提供必要的法律依据等。 2 基于主机的i d s ( h i d s ，h o s t b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) 基于主机的i d s 可检测系统、事件和w i n d o w sn t 下的安全记录以及u n i x 幻境下的系统记录。当有文件被修改时，i d s 将新的汜录条目与已知的攻击特 征相比教，看它们是否匹配。如果匹配，就会向系统管理员报警或者作出适当 的响应。 基于主机的i d s 在发展过程中融入了其它技术。检测对关键系统文件和可执 行文件入侵的一个常用方法是通过定期检查文件的校验和来进行的，以便发现 异常的变化。反应的快慢取决于论讯间隔时间的长短。许多产品都是监听端口 的活动，并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入 侵检测的基本方法融入到基于主机的检测环境中。 2 3 4 安全联动协议和体系平台 所谓联动是指通过一种组合的方式，将不同的安全技术进行整合，由其他安 全技术弥补其一安全技术自身功能和性能的缺陷，以适应网络安全整体化、立 体化的要求。 i e t f ( i n t e m e te n g i n e e r i n gt a s kf o r c e l j 6 1 的i n t e m e t 草案工作组i d w g ( i n t r u s i o n d e t e c t i o n w o r k g r o u p ，i d w g ) 专门负责定义入侵检测系统组件之间， 及不同厂商的入侵检测系统之间的通信格式，目前只有相关的草案( d r a f t ) ，还未 形成正式的r f c 文档。i d w g 文档有：入侵检测交换协议( i n t r u s i o nd e t e c t i o n e x c h a n g ep r o t o c o l ，i d x p ) ，入侵检测消息交换格式( i n t r u s i o nd e t e c i o nm e s s a g e f o r m a t ，i d m e f ) 以及隧道轮廓( t u n n e lp r o f i l e ) 。i d x p 是一个用于入侵检测实 体之问交换数据的应用层协议，能够实现i d m e f 消息、非结构文本和二进制数 据之间的交换，并提供面向连接协议之上的双方认证、完整性和保密性等安全 特征。i d x p 建立在块扩展交换协议( b l o c k se x t e n s i b l ee x c h a n g ep r o t o c o l ，b e e p ) 基础之上，后者是一个用于面向连接的异步交互通用应用协议，i d x p 的许多特 色功能( 如认证、保密性等) 都是由b e e p 框架提供的。i d w g 先期提出通信 协议之一入侵警报协议( i n t r u s i o n a l e r t p r o t o c o l ，l a p ) ，已经被i d x p 所替换。 1 d m e f 描述了表示入侵检测系统输出信息的数据模型，并解释了使用此模型的 基本原理。该数据模型用x m l 实现，并设计了一个x m l 文档型定义。i d m e f 重庆邮电大：学硕士论文第二章网络安全技术与现状 的提出有利于提高各商业、开放资源和研究系统之间的互操作性。i d m e f 最适 用于入侵检测分析器和接收警报的管理器( 或称为“控制台”) 之间的数据信道。 o p s e c 安全联动平台i “1 o p s e c ( o p e np l a t f o r m f o rs e c u r