（计算机科学与技术专业论文）基于策略的防火墙技术的研究与实现.pdf

疆瓣工魏大学硕士学位论文 攘要 摘要 絮今，在信慧纯教会审，社会对计算瓤阚络爵依赖越来越滏，网络对社会的 影响也越来越大。随着尉络上各耪薪韭务麴兴超，使得安全通题燕褥越来越重要， 因此网络安全成了计算枫领域研究和发展的一个重要方向，对网络囊全技术的研 究成了现在计算机和通倍界的一个热点，藏网蓬受到人们的关注。 防火墙是目前最流行也是使用最广泛的一种网络安全技术。程构建安全网络 环境鹣进程孛，防炎墙襻势第一道安全防线，蓬受到越来越多藤户的燕注。防火 墙仍然超蔫最基本勰预藏捧霸，仍然是镰护网络安全所毖须熬工其。 本文通过对网络安垒现状及防火墙技术的分析，针对现有防火墙不能有效防 止应用层中间谍、木马等较件的攻击，提出了一种基于跨层次分析的防火墙技术， 该技术除了有一般防火墙包过滤的基本功能外，还可以实现对虞瘸层的内容过 滤；燕了有效提取走客鹣特罐，率文还介缡了特挺提取方法和器醚策略；针对现 富防火墙不能有效熬狭一赭多域、多碧的润题，本文实现了稀基于d n s 的a 记爨的包过滤方法。 奉课题的开发环境是l i n u x 操作系统。通过给其内核防火墙n c t f i l t e r 动态地 添加功熊模块，实现了基于跨层次分析技术的内容过滤和针对d n s 的a 纪录的 氯过滤，验证了基于跨缀次分辑的防火墙技术憋可行性和正确性。 关键谰：辩火墙，跨麟次分橱，内容过滤，d n s a 记录 嚣矗基工魏大学颈学位论变a b s t r a c t a b s t r a c t n o w a d a y s ，建t h ei n f o r m a t i o ns o c i e t y , s o c i e t yb e c o m 嚣m o r ea n dm o r e d e p e n d e n c e0 1 1c o m p u t e rn e t w o r k ，a n dn e t w o r ki n f l u n c e ss o c i e t ym o r ea n dm o r e 。 w i t ht h eb o o s t i n go fd i v e r s i f l e dn e t w o r ko p e r a t i o n 。n e t w o r ks e c u 藏yb 渤m e sm o r e a n dm o r ei m p o r t a n t 。s on e t w o r ks e c u r i t yb e c o m e sa l li m p o r t a n tr e s e a r c ha n d d e v e l o p m e n td i r e c t i o ni nt h ef i e l do fd a t ae o m m u n i e a t i o n ，a n dah o ti nt h ef i e l do f t o m l 髓l 鼷a n dc o m m u n i c a t i o n 。p e o p l e 辨了m o r ea n dm o r ea t t e n t i o n0 nn e t w o r k s e c u r i t y f i r e w a ui st h em o s tp o p u l a ra n dw i d e l yu s e di nn e t w o r ks 幽瀚r i t yt e c h n o l o g i e s 激 p r e s e n t ，a st h ef r o n tl i n eo fs e c u r i t yi t i si n c r e a s i n # yb e i n gd i s c u s s e db ym o r ea n d m o r eu s e r sd u r i n gt h ec o u r s eo fb u i l d i n gu ps e c u r e dn e t w o r ke n v i r o n m e n t n o w f i r e w a l lb a s i c a l l yp l a y sar o l ei np r e v e n t i o na n db e c o m e san e c e s s a r yt o o lt on e t w o r k p r o t e c t i o n 。 t os o l v et h ep r o b l e mt h a tt h ec u r r e n tf i r e w a l lc o u l dn o te f f e c t i v e l yp r e v e n t l 瓣 a t t a c k 髓o mt h ea p p l i c a t i o ni a y e rs o f t w a r es u c ha ss p ya n dt 叫a n ，an e wf i r e w a l l t e c h n o l o g yb a s e do nc r o s s m l a y e ra n a l y s i si sp r o p o s e dt h r o u g ht h ea n a l y s i so fc u r r e n t n e t w o r ks e c u r i t ya n df i r e w a l l t e c h n o l o g y 髓i st e c h n o l o g yc a na c h i e v ec o i l t e n t f i l t e r i n gi nt e r m so fa p p l i c a t i o nb e s i d e st h eb a s i cp a c k e tf i l t e f i n gf u n c t i o n ，i no r d e rt o g e tt h ec h a r a c t e r i s t i c s 挺c o n t e n t , , t h i sp a p e ra l s ob r i n g st h ei d e a h o wt og e tt h e c h a r a c t e r i s t i c sa n dt h em a t c hp o l i c y m o r e o v e r , t h i sp a p e ri m p l e m e n t sap a c k e t f i l t e r i n gm e t h o db a s e do nd n sar e c o r di n o r d e rt os o l v et h ep r o b l e mo f m u l t i d o m a i n n a m ea n dm u l t i * i pi no n ew e bs i t e 。 t h er e s e a r c hi sd e v e l o p e di nt h el i n u x t h r o u g ha d d i n gt h ef u n c t i o nm o d u l et o t h ec o r ef i r e w a l lo ft h en e 霞t e rd y n a m i c l y , t h er e s e a r c hi m p l e m e n 熔t h ec o n t e n t f i l t e d n ga n dd n sa r e c o r dp a c k e tf i l t e r i n gb a s e do nt h ea n a l y s i so ft h ec r o s s - l a y e r t e c h n o l o g y , a n dv e r i f i e st h ef e a s i b i l i t ya n da c c u r a c yo ft h ef i r e w a ut e c h n o l o g yb a s e d o nt h ea n a l y s i so ft h ec r o s s ，l a y e n k e y w o 潮s ：f i r e w a l l ，c r o s s - l a y e ra n a l y s i s ，c o n t e n tf i l t e r i n g , d n sa r e c o r d 西北工业大学业 学位论文知识产权声明书 本人完全了解学校有关保护知识产权的规定，即：研究生在校攻读学位期间论文工作 的知识产权单位属于西北： 业大学。学校有权保留并向国家有关部门或机构送交论文的复 印件和电子版。本人允许论文被查阅和借阅。学校可以将本学位论文的全部或部分内容编 入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 同时本人保证，毕业后结合学位论文研究课题再撰写的文章一律注明作者单位为西北工业 大学。 保密论文待解密后适用本声明。 学位论文作者签名：皿 卿年月日 指导教师签名：籀事 丸刀7 年 月歹日 西北工业大学 学位论文原创性声明 秉承学校严谨的学风和优良的科学道德，本人郑重声明：所呈交的学位论文，是本 人在导师的指导下进行研究工作所取得的成果。尽我所知，除文中已经注明引用的内容 和致谢的地方外，本论文不包含任何其他个人或集体已经公开发表或撰写过的研究成 果，不包含本人或其他己申请学位或其他用途使用过的成果。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式表明。 本人学位论文与资料若有不实，愿意承担一切相关的法律责任。 学位论文作者签名：要壶： 砌7 年月j 日 嚣藐工盐大擎疆圭攀鼗论文 黎一章缱谂 1 1 计算桃网络安全现状 1 1 1 网络安垒性 第一章绪论 随着国内辨计算机技术和通僚技术及应用靛飞速发展，入类进入了一个崭新 麴僖意辩代。在僖愚纯社会中，秘会对诗算机蹰络麴穰赖越来越强，厨终瓣社会 的影响也越来懑大。随着网络上各种掰业务的兴起，健褥安全河题显得越来越重 要，因此网络安全成了计算机领域研究和发展的一个熏臻方向，正目盏受到人们 的关注。 弼络安全从其本质上来讲就鼹计算机网络上数据鞠信息的安全，它耍僳护的 资源氢括善稀艇伴蜜源和软辞羹源。趔络安全涉及麴菹潮稳当广泛，麸广义来 说，凡是涉及剩计算机网络土僚惑的保密性、完整健、薅用性、真实性和褥控性 的相关技术和理论，都是网络蠢垒所要研究的领域。 l 。1 。2 常见的网络安全威胁 i s o 在定义o s i 安全体系缝掏酶闻黠，也指出了o s l 环境孛蹰西瞧斡餐静安 全威胁【雌。在现实两络世界中，常见的安全威胁或网络玫击主要有如下几种： ( 1 ) 网络监听 通过监听和分析网络数据包米菝取有关重要信息，如用户名和口令、煎要数 据等。 国债惠欺骧 通过羹改、删除或重放数攥包进行信息欺骗。 ( 3 ) 系统入侵 通过网络揲测、i p 欺骗、缓冲燧溢出、口令破译等方法非法获取一个系统 豹管理员权隈，避蔼安放恶意伐鹞热本马、病毒等、获取重要数据或者实施系 统破坏。 心) 网络骏击 通过拒绝服务、计算机病毒等方法攻击一个系统，使该系统限于瘫痪或崩溃。 霞i 艺王娩大学礤啭链论文 蒙一章绪论 l 。1 ，3 网络安全现状 近年来，计算机嬲络被非法入侵的事件不断发生，计算机病毒不断产生和传 播，导致重要机密被窃或者网络瘫痪，给用户造成巨大的损失。计算机闷络犯罪 寨辨惫剧上拜，撼经成为普遍勰国际性闷题。根据i c 器麟c o o r d i n a t i o nc e n t e r 的 统计数据，网络入侵事件自1 9 8 8 年戳来，几乎以每年裁一番莳速率簌增长瓣l 。 据薰囤f b i 的调态，美国7 5 的公司报告财政损失是嘲于计算机系统的安全问 题造成的。在所霄的损失中虽然只有5 9 可以定量估计，僵平均每个组织的损失 跫逡霉万美元之多闷。在我露，撼媒奔报邀，中国鲻赫赫i n t e m e t 糊遴的潮络 管理中心都遭到过境内外黑客的攻击或侵入。其中银行、金融和证券机构是黑客 攻街的重点1 2 l 。如今政府上网工程的启动和宴旌、电子商务、电子货币、网上银 行薄网络掰业务瓣兴起巍发瀵，使褥网络安全问题显褥醚盏重要和突出。蠢果忽 视了遮一闯趣，在信息系统隧络位、国舔俄、公众纯的今炎，必然会带来一系到 的问题，甚至会危及到网络环境下我国的经济安全。当前，国内许多网络应用系 统尚处于不设防状态，存在着缀大的风险性鞠危险性：宥然重要的网络鹿用系统 健翔瓣安全设餐都是熊匡外囊接葶l 进酶，蘼戳穰证安垒剩潮翔有效照攘；国内豹 网络安全方面的研发力量分散，功能单一，基本采用封堵已发现的安惫漏洞这种 方法束处理。这种状况，使我国信息网络安全面临着严峻的挑战。 幽于i n t e r n e t 中掰蕴含的题大潜力不断吸孽 羞社会各个领域的洼意，菡蓝研 究网络安全成魏备霞共同关注的焦点。除了邋过法律僳护豳络的安全运行井，还 发展了各种各榉的网络安全技术。首先，对于一个网络而富，必须制定出有针对 牲的阚络安全策略，丽一套完善的安全策略雀实施时应该包括：用户身份识别， 霹验涯嗣户身捻，判断焉户裁淆具有应该霄麴极力；数攥宪整性捡验，鬻检验数 据程网络传递到达后是否被修改或丢失；网络实时监控，即动态掌握粥户的活动 轨迹，监控网络数据流并发现危险所在并生成统计报表。对于以上策略都有相应 的技术褥戬实现，诸如采用安垒警卫、热密隧遴技术、网终摆攒数据包过滤等翻。 丽防火墙作为内豁和磐部霹络之阍的分水蛉，在网络安全巾捞演着拳避轻重的作 用。防火墙作为第一道安全防线，正受到越来越多用户的关注。防火墙仍然起着 最基毒的预防据溺，仍然是保护婀络安垒所必须麴工具。 2 嚣l 基工业太学矮士攀经谂文第一黎缝论 1 2 防火墙疑其发展历程 1 2 1 防火墙概念 防火麓爨耪感络安全设蘸，燕执行访闯控制策螓魏个或一缀赣、矮释系 统。其主要手段是通过放置于网络拓扑结构的合适节赢上，使其成失内辨通讯的 唯一途径，从而隔离内部和外部网络1 4 1 。并按照根据安全策略制定的过滤规则对 经过它的信息流进行监控和审纛，过滤掉任何不符台安全规则的信息，以保护内 部网络不受终弊麴羹基法访润和骏泰。 1 2 。2 防火墙的发展历程 从发展历史来看，防火墙技术经过了四个阶段【鄹： ( 1 ) 第一输殷的骑火墙为基于路甑器的防火墙。赡火壤与路由器一体，利用 姥壶器搴囊对努缀勰搋，过滤剿浃舱依据可戳是缝壤、端囵号等其毽鼷缭蒋蓰。 2 ) 繁= 除段的防火墙是用户纯豹防火墙工其套。将过滤功雒觚路南器中独 立出来，加上审计和告警功能，用户可针对需求自己动手构造防火墙，这种用户 化的防火墙工具套虽然较第一代骑火墙安全性提高了、价格降低了，但融于是纯 软件产品，在窭现、维护上都对系统管理员提出了相当复杂的要求，使用中出现 差错的情况缀多，焉盈全筑髂的实瑷犍褥安全牲和她理速度均有禺瓣。 0 第三阶段翡防火墙产赫建立在通用操作系统之上，近年来在市场上广泛 可用的就是这一代产品。它包括分组过滤功能。装育专用的代理系统，监控所有 协议的数据和指令，保护用户编程和用户可配置内棱参数的配置，安全性和速度 太为提高。篱三阶段的防火墙有域纯软件实现的，也肖以硬件方式实现，假随着 安全需求的变纯耩蠖瘸酵闻懿推熊，仍表现出不多闻魈：槔必基毯麴操髂罨统及 箕内棱缝缝不隽管理者所翱，源褥的僳密使褥安全健茏献僚证，逶矮操终系统厂 商通常不会对操作系统的安全性负责，从本质上看，防火墙既要防止来自外部网 络的攻击，遥臻防止来自操作系统厂商的攻击，用户必须依赖两方面的安垒支持： 一是防火墙厂商、另外是操作系统厂商。 ) 防火墙技求和产罴随着嬲绻攻击察安垒防护乎竣魏发展磊演变，剿1 9 9 7 年耪，其鸯安全搽律系统的防火墙产晶瑟市，傻防火墙产菇步灭了薰鳕个发震除 段。 具有安垒操作系统的防火墙本身就是一个操作蒸统，因而在安全性上较鹅三 阶段的防火焰黼旗的提高。第四阶段的防火墙产品将嬲荚与安全系统台二为， 薹 霞鼗工韭大学硬圭学霞谂文嚣牵绪论 具有双端口或三端翻的结构、透明的访问方式、灵活的代理系统、多级的过滤技 零、嗣络缝蛙转换技拳、i n t e m e t 网关技拳、安全照务器潮络、震户鉴剽蚜翔密、 爝户定制服务、审计和告警、嗣络诊断、数据备份与僳全等技术与动能黼。 l 。3 国内外研究现状 自从1 9 8 6 年美国d i g i t a l 公司在i n t e m e t 上安装了全球第一个商用防火墙系 统，提出了防火墙概念后，防火墙技术得到了飞速的发展，防火墙自诞生之日也 秀始圈益承担莛越采越重要韵嬲络安垒角色。 防火墙技术的的发展，经魇了从早臻熊简单包过滤，刘今天广泛应溺的状态 检测技术和应用代理技术。作为种解决网络之间访问控制的有效方法，国内外 在这方面研究粳多。特别是团外，近几年发震迅速，防火墙更新换代快，并不 凝有新的信息安全技术霹软律攘恭等被应溺程防火壤的舞发上。1 9 9 8 年，n a i 公司推出了一种掰适应代理技术，并在其产鼯g a u n t l e tf i r e w a l lf o r n t 中得以实 现，给代理类型的防火墙赋予了全新的意义。c h e c k p o i n t 公司不仅在防火墙技术 上一鼯领先，现巍德翻豹产赫涉及了褥终蜜全鹣方方西衡，该公司攘出了耨麴 a p p l i c a t i o ni n t e l l i g e l a c e 技术1 7 1 ，该技术致力予解决当今爨严垂的互联网安全威胁 来自复杂的、具有破坏性的基于应用的段击，这就重新定义了互联网安全前 景。 邋年来隧着嘲络安全意识的增强，国滤也开始磅制囱迸婚防火墙产赫，闺态 也有数十家公司的产品通过丁公安部的认诫，并获得了销售许可证书，如东大阿 尔溅公司的n e r e y e 、天融信公司的网络卫士、北京东方龙马软件发展肖限公司 酶客方麓马等，如爨了基于状悫戆趣过滤、遴鞠鼗理等掰技术，遵慧壤沈国磐麴 产撼还有差距。 以上这些国内外防火墙开发商对防火墙的产品开发，其实现过程宽论多么复 杂，麴根结底都燕在包过滤技术、应用拽理媛务技术和状态检测技术妻奄基础上进 行的秘麓扩震，它能都有一个燕黼的特点，裁怒采用逐一匿酝方法，计辣璧太大， 效率不高。包过滤是i p 包进行匹配检查，状态检测包过滤除了对包进行匹配检 查舛还要对状态信息进行遥配检查，应用代理对应用协议和应用数据进行匹配检 囊。 如今，攻击者的兴趣翁显从端因扫描鞠制造拒绝服务竣击( d o sa t t a c k ) 转向 了对应用层的攻蠢，因为攻击数据包在绝大参数情况下是合法的数据包，不同的 只怒内容其有玫击褴，翼有应瘸屡过滤功能麴防火墙霹阻燮莓效地阻挡羯蒲多数 瘸毒辅攻志稃序，辔于攻击韵慕潦歪在变褥夔翱复杂，藤羧蠢的手段毽愈蕊高明， 最近垃圾邮件与攻击代码的结合就是一个翅裂的例证。所以基于跨层次分析的防 莲震怒王魏夫学疆学煎谂变 第一章缝论 火墙技术将是一个很好的技术动向，窦现内容过滤以防止应用层的攻击，从而实 现防火墙更加有力斡防护。 1 4 课题的研究内容和论文组织结构 零变戳当前的瀚络安全蠛状为蹴发点，介绥了防炎墙技术戆概念及箕发展焉 程。对当前国内辨的研究现状作了深刻豹探讨，分折比较各种防火墙技术，钟对 现有防火墙不能有效防止应用层中间谍、木马等软件的攻击，提出了一种基予跨 层次分析的防火墙技术，该技术除琴骞一般防火墙蔻过滤的慕本功能外，还霹阻 实现瓣鹿用屡的内卷遘滤；失了有效摄取内容麴特征，本文透夯缀了特征提取方 法和匹配策略；针对现有防火墙不能有效解决站多域、多犯的问题，本文实 现了一种基于d n s 的a 记录的包过滤方法。并在l i n u x 操作蒸统的平台上，验 证了基于跨层次分析熬防火墙按拳麓可行性稠蕤确牲，实现了箕纛梭游火墙 n e t f i l t e r 的功能扩展。以下是本文的组织结构 第一章是绪论，介绍常见的网络安全威胁及网络安全现状、防火墙的概念及 其发震历程，并对国穗努发展现状进褥了深入帮褥。 第二章是防火瓣搜术分橱及桷燕理论知识。深入分析并魄较各种防火墙的技 术和t c p i p 协议的结构及其数据包格式。 第三牵是基于跨屡次分析技术的内容过滤。酋先提出基于跨层次分析的防火 墙技术的理论背景，磬舟绍了起容特征鹃提取方法。通过翳终摄毽王其对数据氇 进行特征分析，制宠内容匹配策略规则，实现内容过滤。 第闼牵是基于d n sa 的纪裂的包过滤方法。对用户访问网站时需要解析域 名麴d n s 数据包避群特征分辑，蜜现对d n sa 怒录的遭滤。 第五章是系统测试与分析，首先黠l i n u x2 。4 内棱游必墙的实现视翻、n e t f i l t e r 的框架绪构和可扩展性进行分析，之后对整个升发环境进行配置，在这个环境下 对包的内容过滤和对d n s 的a 纪爱的过滤进行测试分析，验诞了跨层次分析技 术酶馘嚣缝和_ 芷确牲。 第六章是总结，对本课题的研究工作做了总结，并提出了今后的工作方向。 孬囊敖王监大学硕学整论文第二章醣炎壤技术努辑爱鞭荚毽论熬谖 第三章防火墙技术分拼及相关理论知识 2 。1 肪火墙安垒策略设计 2 。l 。1 创建安垒策略 嬲络安全蘩略是防火墙蒸统鹣重要组戚郝分和灵魂，麟游火墙设蔷楚它的感 察执行者帮体现者，二者缺一不可。瘸络安全策略雕蚓决定了受保护网络的安全 性和易用性，一个成功的防火墙系统首先虞肖一个合理可行的安全策略，这样的 安惫蒙略就必须态安全需求秘用户需求、安全嗣方便之闻获得良好豹平衡，稍有 不馕，不是拒绝了用户的正常需求和台法濂努，就是绘攻击者涮造了辩乘之掇。 对防火墙而言蒋两种层次的纛垒策略： ( 1 ) 服务访润箫略 它是离屡熬壤略，螭确定义了受保护网络瘟允许翻燕缝翁羼络濂努爱其使用 范雨，以及安全耩施( 骝认诞等) 。作为竣计者，应首先避簿需求分析，了解本系 统打算使用和提供的i n t e m e t 服务，然后再对网络服务进行安全分析、风险估计 和可阕控分辑，最蜃经综合平鬻籍，得到台理可行的服务访润策略。有掰种典型 的畿务诱淘策略，它衡是：“幂鬼许外部潮终诱阍惑部网络，值兔诲肉部麟终访惩 外部网络”和“允许外部网络访问部分内部网络服务”。 ( 2 ) 防火墙设计策略 它是低屡的策略，攒述了防火墙如何蔽爨离屡定义的服务访阁策瞎寨其髂避 限制访问和过滤服务等，即它必须针对具体的防火墙，考虑其本身的健麓和限制 来定义过滤规则簿，以实现服务访问策略。两个基本的防火墙设计策略是：“允许 所肖除明确拒绝之井的通讽或服务进行和“拒缝所舞除嬲确允许之辨麴通讯或 服务进行”。前卷假设防火墙一般应转发掰有的通讯，德个别酶潜在霄薯的藤务 鹰予以关闭。它偏重于易用憔，带给用户个更方便和宽松的使用环境，但它同 时带来许多风陵，滩予保证蓉绕安全，需要管理员及时对防火墙进行照摭和管理。 惹赣则缓设防火墙一般应陲塞新有鹣通撩，德个割麴嬲望豹服务和通讯摩予戳转 发。它偏重于安全性，建立了一个很安全的环境，因为鼠有经过仔细选择的服务 才被支持，但同时它对用户的使用带来了许多不便和严格的限制。 6 巍麓蠡王魏大学硕士学位论交 篱二章葭火壤技零分橇菠禳关理论知识 敝广义的角度来看，过滤规则描述单个子集的特征帮行为，邋髂的分组是集 合中的元素，安全策略是子集的特征和行为定义的抽象，防火墙设备则起到一个 获得予集特征和执行子集行为的作m 1 9 j 。它们之间的关系示意如图2 。l 所示： 号令安燃 圈2 。l 防火墙与安全策略过滤规则之问的关系 2 1 。2 确定分组过滤溉剃 安全策略创建后，防火墙作用的发挥最大的因素依赖于好的规则库，规则岸 是一组飙刚，当特定种类的通信量试图通过防火墙时，这组规则告诉防火墙要采 取侍么动作。要将撬魁露建立在安全策昭鹩基懿上，并不断对规剃摩进褥篱纯， 窦飘遴滤槐纯醛o t 。 防火墙逐一审查每一个数据包是否与其分组过滤规则相题瓢，幽规则确定包 的取含。分组过滤规则处理驴包头信息为基础，其中以i p 源地址、i p 目的地址、 封装拚议( u d p t c p ) 、端躁号等来制定检查规则。在确定规则时一般把最常用的 飙刹敷在最前面，鹾萎大多时候w e b 服务燕最主要的，疑蒸它的流量也是最太 韵，麝戮应该对它的确疯进行调整，尽量搬它链蘸移穗。 彳 纛麓互韭大学磙士学位论文第二章麟火墙技术分析殿襁荧理论翘滚 2 2t c p i p 拂议介绍 2 。2 。it c p 以p 分层结构 t c p 锺p ( 待输控制协议期瓣瓣协议严5 j 瓣蓟楚一套溺予程i n t e r a c t 上黎大多数塞 肖网络上传输数瓣的协议。t c p a p 原本蹙符合美国国防部和国际互联阚工程特 别工作组标准的第4 层和第3 层协议。如今，它已经成为在i n t e m e t 和太多数私 有网络上传输数攒麴全球标准。 t c p i p 蛰议包太部分帮蒸于o s i 模型。t c p 露p 是允诲在不同硬髂翔操作系 统上运行的许多计算机相互通信的协议包。它的主要概念是允许异种计算机平台 之婀的通信。任何一台计算枫加入网络都有一些基本需求，这些需求包括： i 计算硬斡。这指觞是c p u 、监税蕤鞠箕链硬静缀静。 2 ) 网络攘霸卡。这是c p u 内部鹩一个硬件，通遴嘲线将计算枫连接刘网 络。 0 操作系统。这是控铡硬件和执行用户特有应用程序的软咎。 t c w i p 协议包。这爨谯系统上盛动联黼支持酶歉磐。 t c p i p 是个分层协议，通常，层是拂议包内一个子系统，分担协议包内的 一个特定职赉。通常t c p i p 避一个四层协议，与o s i 模型中的七层栩对。t c p i p 协谈毫客套执行瓣应o s i 摸囊不闻震凌的蒜瓣功麓戆协议。o s i 模型健阕七个层 次米表示数据跌一台计算机里的应用程序到另台计冀巍星应用程序的传输。在 最顶层( 第七层) 魁网络服务所使用的应用程序接口。在墩底层( 第一层) 是连接不 疑计算扭的电缆藏光缆。位予其阆麴各部势提供7 把数据从应耀程序转换传送到 线缝并把数据敲线缆转换捆取圈来的机制。麴图2 - 2 曼豢t 蕈c 戮l p 憋黠蘑蛰谨 模型，并列出了不同层次的协议。并且每屡负责不同的功能： i ) 链路屡：有时也称作数据链路层或润络接口屡，通常包括操体系统中的 设器驱动程序霸计算梳中对癜熬网络搂囤卡。宅绷一起楚理与电缆藏冀她薹德 传输媒介) 的物理连接细节。 ( 2 ) 网络羼：有时也称作互连网层，魁理分组在网络中的活动，例如分组的 路韵选择。在t c p i p 游议组件中，网络屡协议包括强挽设溉际势议) ，i c m p 捺议( i n t e m e t 囊遴湖控制报文协谈，以爱i g m p 麟议( i n t e m e t 组警瑷协议。 ( 3 ) 传输层；主要为两螽主机上的应用程序提供端到端的通信。猩t c p i p 惦议组件中，煮两个互不相同麴传输协议：t c p ( 传输控制协议) 和u d 鞭煽户数据 掇漭没。 嚣 珏j 鎏工墅大学矮士擎篷论文 第三章黪火墙技寒分析及攘蓬理论知识 转) 鹿耀鼷：负责处理特定的艨用程序细节。尼乎各种不同的t c p f l p 实现 都会提供下筒这些通用的应用程序，如t e l n e t 、f t p 、s m t p 。 t c p 锺p 翘瀑蟒没模型 藏阁屡 h t t ps m t pp 0 p 3糊r pt e u q e tw 阱p l? l 、扩 l i 传输层代p嘲 i 、 l k ” |网终澄 i c m p | l 驴 a 怼；乏茂r p | ll l 雠败日 l 彦 髓硝层 网络接口 i 颦2 之t c p f l p 瓣禚矮协议搂型 下面简单介绍一下有关掷议。t c p 和u d p 是两种最为著名的传输屡协议， 二者都使用i p 作为网络层协议。虽然t c p 使用不可靠的i p 服务，但它却提供 一种可靠的传输层服务。u d p 为应用程序发送和接收数据报，一个数据报是指 然发送方僚输剿接收方麴一个倍感摹元，毽曼与t c p 幂藏鹃是，u d p 是不可靠 酌，它誉麓橡涯数据掇麓安垒秃谖戆达到最终嚣的。撑是网络层主购妻冀褥议， 同时被t c p 和u d p 使用。t c p 和u d p 的每组数据都通过端系统和每个中间路 由器中的腰艨在互联网中进行传输。i c m p 是i p 协议的附属协议，i p 屡用它来 与其他主枫戏路内器交换错误报文和其他重要信息。a r p ( 地址解析协议) 和 r a r p ( 遵地蛾勰橱捣议) 是某些翮络搂瑟麴阻太网翱令牌嚣网) 傻霸的特殊粉议， 黑策转换鬻屡瓣嬲络接霾屡蓑用斡地娃。 擎 溪稔z 渡大学矮士学熊论文第二章葭火蟋技术分褫及鞫燕疆论翔谖 2 2 。2t c p f i p 数据包格式 程防火墙萘缆中，网络中的数据包都怒基本的i p 数攥色，如i c m p 、t c p 、 u d p 包，下面介绍一下t c p i p 协议的数据包格式0 2 ，t c p i p 对应于一个4 层 模型，每一层黠藏不润的协议。每一层都剩斓下一层新提供的服务来竟戚国己的 功愁，并给上屡提供滕务。鼗摇蠢物理层裘现为二遴制鹩比特流，簌备瑟所看 到的信息的形式备不相同，以以太网为例，备层协议的数据格式如图2 。3 所示。 瓣议层次信息形式数据封装 应用层消息应用数据 传输层t c p 包t c p 头数据 网络屡l p 趣l p 头t c p 头数据 链路层 8 0 2 3 帧 以太网头l p 熟t c p 头数据 躅2 - 3t c p i p 协议的数据包格式 i p ( i n t e m e tp r o t o c 0 1 ) 是t c p i p 协议中最为核心的协议1 1 3 1 。它提供了觅连接的 数据报传输服务和豆联网路由服务。在传送数据时，高屡协议将数据报文传给i p ， l p 嘏撼物理网络所能支持麴最大数据帧长度将数据报文分戚若干数据段，每个 数攒菠郝被单独她封装蠹l p 数据报，然基援交给感终接姻，由数攥链黔层褥议 将i p 数据报封装猩一个数据帧中发送出去。 i p 数据包酋部包含源和嗣的的译地址、分片控制、优先级以及用来发现传 送差错麓搜验和筹信怠。l p 数掇攘格式麴蘸2 镒所忝： 版本( 4 使)头长度( 4 健)服务类型( 8 俄) 数据包总长度( 1 6 位) 数据趣标溉l 辱链 撇鹳卜篙壤 生存期( 8 位)协议( 8 能)校验和( 1 6 位) 源l p 地z t ( 3 2 位) 强麓i p 缝蟪蹬2 使 l p 任意项十填充 数据 湖2 礴l p 数鬃掇捺式 1 0 蘸霪基王业大学矮士攀糖论文第二章防火罐技术势耩及捆煲理论知谖 除了固定长度的字段，每个数据包酋部还可以包台一个选项字段。这介选项 字殷饿赖予选顼鹣号、类型以及分配绘每个选项数据隧的大小焉定。 r f c7 6 8 申记录的用户数攘包协议椰d p ) 瓣4 1 ，蠹鬻提供了一种不褥靠、无连 接数据报传输服务。u d p 是一个简单的面向数据报的运输层协议：进程的每个 输幽操偿都正好产生一个u d p 数据摄，势缒装戴一份待发送的耍数攒报。u d p 数攥摄封装成一凳蹬数据掇的格式如嚣2 。霪所示。 k i p 数据报一 l 5 赫一u d p 数据段一 l ! ! 望竺! 竺兰! ! l：竺兰篓竺兰! !l 三竺兰望l 图2 - 5 切潜封装 一个u d p 数据毽雹括一个襄字节的头帮和数据部分。u d p 长度字段指唆毽括 头及数据在内的熬个数据包长度。如图2 ，6 所示： o 重5l s 3 董 滚端淫号0 6 霞 謦熬翡露母( 1 6 链 u d p 长度( 掩位) u d p 校验和( 16 位) 数据 鬻2 - 6l 国嘲交捺式 t c p 数据被封装在一个i p 数据报中，格式如图黧。7 所示： k 一l 擎数据摄一 ll k 一t c p 报文段一 p 蓠都 o 字蕊| 髓p 首郝2 字节麓t c p 数据| 图2 7t e 州茛据在评数攒报中的封装 每个t c p 数攒雹均戳纛定格式的2 0 字节韵头开始，露定的头震霹掰缝是头 的一些可选项。 西北工她大学硕士学位论文第二牵防火墙技术分析殿相关理论知识 t c p 搬文格式l 痞2 麴霾2 - 8 新示： l 悬位源端毅号 | 1 6 , 位f l 的端罄号 3 2 德序号 3 2 健确认序号 uaprs f 4 位首 保留6 位 rcs器yi 1 6 位窗朋太小 帮长度 g k麓誓鬻n 1 6 位捻验和 1 6 位紧急指针 选项 数据 2 3 g j s 火墙技术分析 图2 - 8t c 薹搬文格武 船火墙是一种连接内网和外网( 比如i n t e r n e 0 的网关，提供对进入内部网缀 连接的翡闯控制能力。它麓够掇掭预毙定义的蜜全策略，允许合法遘攘进a 态部 网络，阻止非法连接，抵御黑客入侵，保护内部网的安全，防止机密数据的丢失。防火 墙通常溺予德护公司麴内部翘络，僵也阕予隔离不同部门之阕豹网络。防火墙程 保护网络安全方蕊醴经发挥撼越来越塞簧的作用4 7 1 2 4 l 。 2 ，3 ，l 龟过滤技术 包遂滤技术是最早的防火墙技术。颇名思义，包过滤就怒根据数据包头信息 和过滤艇剐阻止或允许数瓣镪通过防火墙。当数攥包到达防火墙时。防火墙藕褴 查数据包包头的源地址、目的地址、源端口、瞬的端口，及其协议类型。若是可 信连接，就兔诲冀通道；番剩就丢弃辨剃。 包过滤防火墙是基于予过滤规则来实现的，建立这类防火墙需攘如下步骤去 馓：建立安全策略，写出所允许的和禁止的任务，将安全策略转化为数据包的逻 辑表达戴包过滤蕊尉。避滤规剐的设计圭裂依赖予数攥包所提供的包头镶 息。根据包头信息，可以掖l p 地址过滤，可以拔封装的协议类型过滤或端口号 过滤。 1 2 蘸蔻工嬗大攀鞭擎霞论文第二章耱火壤技术势耩及撬荧壤埝窳识 当然，也酉以将上述几种蠢式组含起来制定过滤撬贝l l 。数据包过滤规刘具体 体现在过滤规则表上，过滤规则袭定义了各种规则来蓑明同意或拒绝包的通过。 图2 - 9 是包过滤型防火墙示意图： 网2 - 9 包过滤型防火墙 魁过滤虢火墙翁单、透嬲，褥甄雩譬霉行之有效，麓解决大部分的塞垒润嚣， 煎我粥逐愚赢读全面翡了解一下该技术豹慌缺点： 包过滤拨术是一种简单、霄效的安全控制技术，它邋过在网络间稠嚣连接的 设备下加载允许、禁止来自某魅特定的源地址、目的地址、t c p 端目母等规则， 对通过的数据包进行检查，限制数据包进出内部网络。包过滤最大的优点是对用 户透鲷，传赣槛能离。但由于安全控制层次在网络蒜，安全控制勰为度媳懿限于 涿遗址、霉静越缝和端图号，雾褥鼷裁避行较为榜疹麴安垒控制，瓣于瓣懑酶拥 塞攻击、内存覆盖攻击或病毒等商层次的攻击手段，剃无能为力。另外包过滤防 火墙只按照规则丢弃数据包，而不对其作日志，不鼠备用户身份认证功能，不具 备检测通过离层潞议( 如应用屡) 实现的安全攻击的髓力。 2 ，3 。2 应用代理技术 应用层代理防火墙也被称为艨用层厨关，这种防火墙的工作方式同包过滤防 火墙的工作方式具有本质区别。代理服务器是运行程防火墙主机上的专门的应用 程序或者照务器禚序。应用层代理涛一特定应用服务撼供代理，它对应用协议进 霉亍鳃褥荠瓣释巍鹈褥谈魏翕令。阐霪| 巍应霸代理型游火墙示意圈。 应溺羼溉议处在o s i 模型的最高层应月震上，在这一层墨熊接触到的 所有数据都是鬣终形式，而不是一个个带着地址端口协议等原始内容的数据包， 因而它可以懿现更高级的数据稔测过程。代理服务技术的防火墙可以宴现对应用 层蟒议的分析王作，整个代理防火墙把自身映射为一基透明线路，在用户方瑟和 1 3 蘸蕊工业大学硕士学靛论文第二章醣火磺技术势橱及糟蒸理论翔谖 外界线路看来，它们之间的连接并没有任何阻碍，但是这个连接的数据收发实际 上燕经过了鼗理防火墙转向的，丽显豳予工箨在痤用溪，防火墙还可以察现双囱 限制，在过滤井部阚络有害数据的同时也监控着内部网络的信息，管理摄可戳配 置防火墙实现一个身份验证和连接时限的功能，进一步防蛾内部网络信息泄漏的 隐患。 瘸2 一1 0 应用代理趔舫火墙 出于代理防火墙采取是代理机制进行工作，内外部嗣络之间的通信都需先经 过代理服务器审横，通过后再幽代理服务器连接，根本没有给分隔在内外部网络 两边的计算枫直接会话的枫会，萄以避免入寝蠹使瘸“数撼驱动徽蠢方式一静 麓通避包过滤技术防火墙规则的数据摄文，键是当它进入计算瓿处理嚣，却变藏 能够修改系统设爨和用户数据的恶意代码) 渗透内部网络，可以说，“威用代理” 是比包过滤技术更完善的防火墙技术。 戴理型防火墙的结构特征编褊歪是它鹣最大缺点，幽于它是基予戟理搜来 的，遴过防火墙的每个连接都必须建立在为之创建的代理程序进程上，丽代理进 程自身是要消耗一定时间的，骢何况代理进程星还有一套复杂的协议分析机制在 感时工作，于是数援在通过代理防火墙时辘不可避免麴发生数据迟滞现象。 代理防火墙怒黻牺牲速度为代赞揍取了院龟过滤防火墙更高酶安鑫性麓，在 网络番吐量不是i 随大的情况下，也许用户不会察觉到什么，然而到了数据交换频 繁的附刻，代理麟火墙就成了整个网络的瓶籁，丽且一旦防火墙的硬件配置支撑 不簌藤强度的数攥瀛量两发生罢工，整个鞫络霹熊就会阑蔬瘫痪了。 所以，代理防火墙的普及藏豳还远远不及包过滤型防火墙，而在软件防火墙 方谢更是几乎没见过类似产晶了单机并不具备代理技术所需的条件，所以就 蛏黪整个庞大的裁韩麓火墙市搦来说，代理骑火墙靛难有立足之地。 甭囊毪王照大学硕士学煎谂嶷第二牵防灾壤技零势撅爱稳美理论缎谖 2 。3 。3 状态检测技术 状态检测防火墙也叫融适应防火墙又叫动态包过滤防火墙。1 9 9 2 年u s c 信 息辩学院的b o b b r a d o n 提攒了动态氢过滤防火墙，在此基勰上1 9 9 4 年c h e c k p o i n t 公罨箍窭。歹款悫缝测隧火墙，c h e c k 羚勰公司鹃f i r c w a l l - 藿麟蹩基于这种技 术。爝来p r o g r e s s i v es y s t e m 公司又提戡了髓跫的自适应防火墙，它稍的p h o e n i x 防火墙也是基于此技术。 状态检测防火墙在包过滤的同时，检查数据包之问的关联性，检查数据包中 动悉燹诧的状态码。它有一个检测弓l 擎，莱弼按取有关数据的方法黠蹲络通信的 各蔗实施滥测，接取款态信愚，并动态酶绦荐起来炸力戳鑫执行蜜全策略的参考， 渤灞户访润请求到达潮蓑麴操作系统前，状态监视器要i | 蠡取有美数据进行分析， 结含网络配置和安全规定做出接纳、拒绝、痨份认证、报警或给该通信加密处理 等处理动作。 状恋防火墙的功能是禳鸯限的，它只是猩瘸络层帮传输崖检测数攥趣。只要 数攒雹麓霾的地垃和漂缝缝是合法的裁不褥黠箕遴孬检测，瓣溺终箍供鹃保护傻 限于姥。它是露前搜阕娥为广泛的臻火墙，翔来骑护黑客攻啬，德在专门针对应 用屡的w e b 攻击中其有敝性却越来越低。 2 。3 。4 自适应代理技术 酝遥应代理防火墙楚幽n e t w o r ka s s o c i a t e s 公司提出靛，窀整台了动态毽遭 滤防火墙技术和应用代理技术，本质上也是状态检测防火墙。n e t w o r ka s s o c i a t e s 公司的g a u n t l e t 就是用遮种技术。 囱适应代理防火墙一般是通过应用层验证新的连接，这种麟火墙同时具有代 理静火墙和状态检测防火墙斡特性。防火墙麓够动态遗产生和删滁过滤规则。由 于遮瓣防火墙将薏续麴寰垒检查重定懿裂耀络屡，馕爝翘遵滤技术，霸就对基续麴 数据龟的应蹋层数据没有进行有效地检鲞。间样，由于使用了代理技术，而代理技 术不隧检测未知的攻击行为。 2 3 。5 防火墙技术比较 为了更好地说明各种防火墙技术的实质秘特点，如表2 * i 掰示对各种防火墙 技术进行了综合比较【1 9 1 。 露鹰羲工盟大学骥士攀键论文第二章防火壤技术努褥及籀荚理论知谖 从表中可以褥出这样的结论：防火墙的性能及特点主要由以下两方面所决 定，酃就是箕_ 工馋麴层敬爱辑采用麴规铡过滤或是代理。首先，工稚瀑次是决 定防火墙效率及蜜垒性的主要因素。一般耩畜，工作屡次邈低，丽蜜垒性越低， 效率越高；反之，工作层次越离，则效率低，安全性越离。安全性还与防火墙所 采用的机制煮着密切的关系，如果采用过滤瓿制，则骑火墙具有内部储患隐藏韵 特点，安垒馊相对要离些；就井，献上表的分褥中还可睽褥出各穗隐藏的内在美 系，例如，防火墙其有高层数据理解能力则必然不能透明支持各种应用，反之贝l l 可以。 裘2 - 1 蔽炙壤搜皋综会院鹱 包道滤应餍代理状态检测自适应代理 工作层次网络屡应朋屡网络层 网络层或虞朋腿 效黎最离最低离自适应 安全t 隧爱甄最离离自透应 根本机制过滟代理过滤过滤或代壤 内部信息赡藏秃有无有 赢爱数据理瓣受 商存鸯 u d p 支持秃有有有 2 。4 防火墙的体系结构 2 。4 。i 包过滤路幽器结构 这是最简单、最常用的防火墙结构，它仅由一个健于内部网络和i n t e m e t 连 接她的包过滤路幽器构成，冀风险区域取决子过滤规则允许的数量和服务类型。 2 ；霹。2 双宿主网荚结构 主机系统摊为网关，它投幽一个位予内部网络和i n t e m e t 连接处的藏用两关 梅成，但它一般粪青两个或多个网络接秘，并且萁正常鹩l p 路国功施被关阙， 完全阻塞了外部和内部网络之间的i p 通讯，而只能通过其应用代理程序提供服 务和访问，显然它也是个堡垒主机1 2 0 1 。如图2 。1 1 所示。雉常情况下，风险区域 投篱瓣关本身，但翔巢玫击纛麓登录到蹲装上，粳能轶它淘内部网络发起玫击， 奠飙陵区域就为整个内部网络。 1 6 莲j 艺工鼗大学鞭圭学莅论文鼙二鬻黪火壤装术努辑及搁荧毽论麴谖 2 。4 。3 屏藏寰祝嬲关结构 图2 。1 1 双宿主网关结构 屏蔽主机网关结构的防火墙提供连接到内部网上的主机服务，通过使用隔离 路由来赛现，在配置时需要一个带分组过滤功能的路凼器和一台运行代理服务的 堡垒主枫i 碉。如图2 。1 2 所示。一般情况下，堡垒耋枫设置在被保护网络串，潞 毒器竣霉纛壁垒主执与i n t e m