（计算机应用技术专业论文）新型防火墙核心技术的研究与设计.pdf

摘要 摘要 在计算机网络和信息的安全防护方面，防火墙是最基本，也是最有效的网络 安全设备，其往往是多种网络安全技术的集中体现。访问控制技术、策略管理技 术、审计管理技术、认证技术、入侵检测技术、v p n 等等，无不在防火墙技术 上体现。 本文主要研究了互动式防火墙的原理和以状态检测技术为主的复合防火墙 的原理。互动式防火墙，主要是指整合系列安全产品，构架成联动一体的产品体 系，实现对用户、资源和策略的统一管理，确保整体解决方案的安全一致。以状 态检测技术为主的复合性防火墙，相对于包过滤和应用代理防火墙来讲，不但更 加成功地实现了对应用层的细粒度控制，同时，更有效保证了防火墙的性能。 l i n u x 具有开放源代码的巨大优势，为我们研究防火墙提供了优越的条件。 本文先是剖析了网络设备的初始化工作，接着对数据包的传输和接收进行了分 析，最后介绍了n e t f i l t e r 的工作原理。n e t f i l t e r 提供了一个抽象、通用化的包处 理框架，通过在n e t f i l t e r 中定义的捕捉点上注册包处理函数，可以实现状态检测 防火墙的设计与实现。 本文设计的状态检测防火墙，除了对t c p 、u d p 、i c m p 进行了具体的设计 外，并设计了访问控制算法进行了功能拓展。 关键词连接跟踪状态检测状态跟踪器访问控制 北京工业大学工学硕士论文 a b s t r a c t f i r e w a li st h em o s te s s e n t i a la n de f f i c i e n tn e t w o r ks e c u r i t yd e v i c e i nt h ef i e l d so fc o m p u t e rn e t w o r ka n dp r o t e c t i o no fi n f o r m a t i o ns e c u r i t y ， i ti s i n t e g r a t e dm a n yt e c h n o l o g i e s a c c e s sc o n t r o l 、s t r a t e g y 、 a u t h e n t i e a t e 、a u d i t 、i d s 、v p ne t ct e c h n 0 1 0 9 i e sa r ea 1 1a p p l i e di nt h e f i r e w a l l t h ep a p e ra n a l y s e st h ep r i n e i p l e so fl i n k a g ef i r e w a l la n ds t a t e f u l i n s p e c t i o n l i n k a g ef i r e w a l lm a i n l yi n t e g r a t e ss e e u r i e t yp r o d u c t s ， i m p l e m e n t s t h ec e n t r a l i z e dm a n a g e m e n to ft h ea c c o u n t 、r e s o u c ea n d s t r a t e g y t op a c k a g ef i i t e rf i r e w a l l a n da p p l i c a t i o nf i r e w a l l ，t h e c o m p o s i t ef i r e w a l lb a s e do ns t a t e f u li n s p e c t i o nt e c h n o l o g yr e t r i e v e sa n d m a n i p u l a t e si n f o r m a t i o nd e r i v e df r o ma l lc o m m u n i c a t i o nl a y e r sa n da tt h e s a m et i m ee n s u r e st h ef i r e w a l lp e r f o r m a n c ee f f i c i e n t l y b e c a u s eo ft h el i n u xh u g ea d v a n t a g eo fo p e ns o u r c ec o d e ，i ti s c o n v e n i e n tf o ru st or e s e a r c hf i r e w a l l a tf i r s tt h ep a p e ra n a l y z et h e i n i t i a lo ft h en e t w o r kd e v i c e ，t h es e c o n da n a l y z eh o wt ot r a n s m i ta n d r e c e i v et h ed a t ag r a m ，l a s ti n t r o d u c et h ep r i n c i p l eo ft h en e t f i i t e r i t h a sp r o v i d e da na b s t r a c tg e n e r a l i z e dp a c k e t m a n g l i n gf r a m e ：i m p l e m e n tt h e s t a t e f u li n s p e c t i o nf i r e w a l lb yr e g i s t e r i n gh o o kf u n c t i o n so nt h eh o o k s t h es t a t e f u li n s p e c t i o nf i r e w a l ld o e sn o to n l yd e s i g nt h ep r o c e s so f t c p 、u d p 、i c m p ，b u ta l s oe x t e n d st h ef u n c t i o nb yt a k i n ga ne x a m p l eo f d e s i g n i n g t h ea c c e s sc o n t r 0 1 k e y w o r d s o o n n e c t i o nt r a c k i n g ；s t a t e f u i in s p e c t i o n ： s t a t e f u it r a c k i n g ：a c c e s sc o n t r o i i i 北京工业大学工学硕士论文 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 签名：粪叠、超日期： 关于论文使用授权的说明 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 1 1 日期：! ：生纽 第l 章绪论 第1 章绪论 1 1 课题的研究背景及意义 随着i n t e m e t 的发展，越来越多的企业都把自己的企业网连到了i n t e m e t 上， 一方面i n t e m e t 确实给人们带来了极大的方便，但同时却又有大量的攻击被报 告出来，所以安全问题成了企业网的关注对象之一。 到目前为止绝大多数企业网都不约而同的采用了防火墙，可见防火墙是网 络安全领域罩应用最广泛最基本的设各，防火墙的安全与否在某种程度上影响 着这些私有网络的安全。如何提高防火墙的安全和性能成为的人们关注的焦点。 1 2 防火墙的定义 防火墙是用来在安全私有网络( 可信任网络) 和外部网络( 不可信任网 络) 之间的安全连接的一个设备或一组设备。位于内外网络的边界上，针对内 部网络抵御外部的攻击。 防火墙在网络中的位置如下： 圈1 i 防火墙逻辑惋簧示意障 北京工业大学工学硕士论文 1 3 国内外相关研究现状及分析 防火墙的研究从9 0 年代初开始已经十几年，无论技术和应用都已经相当普 及，但始终是与网络中出现的各种安全问题道魔相长，不断地进步和发展，成 为保障网络和信息安全不可缺少部件。现有的防火墙从总体上讲，可以按采用 的安全技术和体系结构两个方面来分类。 1 3 1 从安全技术划分 ( 1 ) 包过滤防火墙 属于第一代防火墙，广泛地应用于c i s c o 、华为等公司路由器上。其主要工 作原理是根据i p 数据包头中的一些信息如i p 源地址、目的地址、t c p 或u d p 的源端口、目的端口等，建立安全策略，写出禁止和允许的任务，将安全策略 转化为数据包字段的逻辑表达式一包过滤原则。符合安全规则的数据包则允许 通过否则过滤掉。 ( 2 ) 代理防火墙 属于第二代防火墙，常见的代理防火墙软件有w i n g a t e 等。代理防火墙也 叫应用层网关( a p p l i c a t i o ng a t e w a y ) 防火墙。它的核心技术就是代理服务器 技术。所谓代理服务器，是指代表客户处理在服务器连接请求的程序。应用代 理防火墙包含三个模块：代理服务器、代理客户和协议分析模块。这种防火墙 在通信中执行二传手的角色，很好地从i n t e r n e t 中隔离出受信网络，不允许受 信网络和不受信网络之间的直接通信，所有的数据包都要经过防火墙t c p i p 协议栈并返回。 代理服务是运行于内部网络和外部网络之间的主机之上的一种应用，当用 户需要访问代理服务器另一侧的主机时，对于符合安全规则的连接代理服务器 会代替主机响应，并重新向主机发一个相同的请求。当连接请求得到回应并建 立起连接之后，内部主机同外部主机之间的通信则通过代理程序将相应的连接 映射来实现。 ( 3 ) 状态检测防火墙( s t a t e f u li n s p e c t i o nf i r e w a l l s ) 属于第三代防火墙，也叫自适应防火墙，或动态包过滤防火墙，也是一种 2 第l 章绪论 新型防火墙，由c h e c kp o i m 软件技术有限公司首创，在其产品f i r c w a l l 1 中得 到应用。它不只根据i p 包头信息进行检查，甚至还要检查包的t c p 头及包的 内容。在这种防火墙的设计中还引入了连接跟踪技术，在链路层和i p 层之间插 入一个连接跟踪模块，以获取i p 包的所有信息，它能应用到t c p i p 的任何层 次。 它根据过去的通信信息和其他应用程序获得的状态信息来动态生成过滤规 则，根据新生成的过滤规则过滤新的通信。当新的通信结束时，新生成的过滤 规则将自动从规则表中被删除。 ( 4 ) 混合防火墙 由于过滤防火墙和代理防火墙的都各有所长和所短，故将二者结合起来用 来提高安全性1 4 l 。 ( 5 ) 不同类型防火墙在o s i 七层中的位置 图卜2 不同类型的防火墙与0 s i 模型的关系 f i g u r e l 一2t h er e l a t i o no fd i f f e r e n tt y p ef i r e w a l l a n d0 s i 1 3 2 从体系结构划分 ( 1 ) 屏蔽主机体系结构。 北京工业大学工学硕士论文 图1 - 3 屏蔽主机体系结构 f i g u r e l 一3t h es c r e e n e dh o s tf r a m e 在该结构中，分组过滤路由器或防火墙与i n t e m c t 相连，同时一个堡垒机 安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒 机成为i n t e r n e t 上其它节点所能到达的唯节点，确保内部网络不受未被授权 外部用户的攻击。这种防火墙强迫所有的外部主机与一个位于内部网络的堡垒 主机相连接。为了实现这个目的，需要在内、外网间设置一个过滤路由器，通 过它使所有外部到内部的连接均须通过堡垒主机。雨堡垒主机是一种被强化的 可以防御外部进攻的计算机，是进入内部网络的一个检查点。在堡垒主机上， 通常可以运行各种各样的代理服务器。 ( 2 ) 屏蔽子网体系结构。 堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一 子网的两端，使这一子网与i n t e r n c t 及内部网络分离。在屏蔽予网防火墙体系 结构中。堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。屏蔽 子网在本质和屏蔽主机是一样的，但是增加了一层保护体系，即周边网络。堡 垒主机位于周边网络上，周边网络和内部网络被内部屏蔽路由器分开。 图1 4 屏蔽子网体系结构 f i g u r e l 一4s c r e e n e ds u b n e tf r a m e ( 3 ) 多重宿主主机体系结构 第1 章绪论 一个多重宿主主机结构是一台安装了多块网络接口卡的主机系统作为网 关，分别连接外部网络和被保护网络。这种防火墙的最大特点是从物理上隔离 不同的网络，两个网络之间的通信必须通过防火墙完成。 图1 - 5 多重宿主主机体系结构 f i g u r e l 5m u l t i h o m e dh o s tf r a m e 1 3 3 现有防火墙的缺点 对于包过滤防火墙来说由于安全控制层次在网络层和传输层，不能根据通 讯的上下文来进行过滤：同时难于配置、监视和审计，具有极弱的包信息处理 能力。 对于应用代理防火墙来说由于所有的实现都发生在应用层，所以性能低下 显而易见，仅能提供有限的连接，由于每一个服务都需要一个代理，所以其具 有不易扩展性。 对于状态检测防火墙来说，状态检测可能造成网络连接的某种迟滞。 由于已有防火墙都是在早期的网络安全的基础上产生的，它考虑的主要对 象是单个的子网，而现在企业整个网络的安全需求与策略统一管理，这就要求 防火墙必须和策略管理、授权、认证、用户管理等等结合起来，而防火墙是安 全最集中的控制点，必须受其它应用的支持。 总而言之，已有的防火墙仅能对静态的网络攻击进行防御，很难支持新协 议和新服务的扩展。 1 3 4 防火墙的发展趋势分析 考虑到i n t e r a c t 发展的凶猛势头，新协议和新服务层出不穷，要全面展望防 北京工业大学工学硕上论文 火墙技术的发展几乎是不可能的，防火墙发展到现在已不是单一技术所能实现 的，应吸收各种技术的优点。但是，从产品及功能上，却又可以看出一些动向 和趋势，防火墙的技术将向以下几个方面发展： 多级过滤技术：指防火墙采用多级过滤措旌，并辅以鉴别手段。在网络 层一级，过滤掉所有的源路由分组和假冒的l p 源地址；在传输层一级， 遵循过滤规则，过滤掉所有禁止出入的协议和有害数据包；在应用层一 级，能利用f t p 、s m t p 等各种网关，控制和监测i n t e r n e t 提供的所 有通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综 合型过滤技术，它可以弥补以上各种单独过滤技术的不足。 协同互动技术：产品之间通过开放接口实现互动。比如与入侵检测系统 互动，即防火墙或者i d s 产品开放一个接口供对方调用，按照一定的 协议进行通信，传输警报。这种方式比较灵活，防火墙可以行使它第一 层防御的功能访问控制，i d s 系统可以行使它第二层防御的功能一 一检测入侵，丢弃恶意通信，确保这个通信不能到达目的地，并通知防 火墙进行阻断。 集成v p n 技术：防火墙采用国际标准安全协议i p s e c ，与v p n 客户端 建立加密隧道进行加密通信，为数据传输提供安全可靠的网络使用环 境。 集成各种新的信息技术：身份认证，如o t p 、r a d i u s 、s k e y 、口令方 式、数字证书( c a ) 等，更广泛的实现了用户鉴别方式的访问控制。 主动的网络安全技术：比如网络安全性分析，网络信息内容监测等。 1 4 主要研究内容 根据目前的最新技术，为了克服已有防火墙技术的弱点，本文主要研究以 下两方面的内容： 一是互动式防火墙体系结构。研究了防火墙系统与防病毒系统、a a a 认证 系统、邮件和网页内容监测系统、网管系统、入侵检测系统的互动工作原理。 针对当前主流防火墙技术，研究了防火墙内核功能模块的组成及相应模块的工 第l 章绪论 作原理。 二是重点研究l i n u x 内核下状态检测防火墙。先是从网卡的初始化起，分 析了l i n u x 内核下的网络工作原理，n e t f i l t e r 的结构。接下来在n e t f i l t e r 的基础 之上，针对t c p 、u d p 、i c m p 协议研究和设计了状态检测防火墙。 1 5 平台的选择 l i n u x 是内核源代码开放的较流行的网络操作系统，l i n u x 内核源代码的开 放性为我国软件人员研究操作系统及相应的应用软件提供了很好的平台。据有 关方面统计我国许多网络技术及防火墙技术都是从研究l i n u x 内核作为切入点 的。l i n u x 内核模块化的设计使用户很容易在内核上构建自己的防火墙处理模 块，本文就是在l i n u x 内核4 2 的基础上研究状态检测防火墙。 1 6 本文的主要结构说明 本文第一章介绍了课题的来源背景及防火墙技术的发展历史，并对几种不 同类型的防火墙技术的特点进行了比较，最后介绍了防火墙的最新技术动向。 第二章介绍了互动式防火墙的基本架构，并对防火墙的核心技术进行了剖析。 第三章介绍了状态检测防火墙的基本原理，并针对具体的t c p 、u d p 、i c m p 三种常用的协议进行了分析。第四章介绍了l i n u x 内核下的网络工作原理，详 细介绍了i p 数据包的接收和发送过程，为掌握n e t f i l t e r 的工作原理及状态检测 防火墙的实现奠定了基础。第五章介绍了n e t f i l t e r2 1 2 作原理和编程接口。第六 章详细的介绍了状态检测防火墙的实现。 北京工业大学工学硕士论文 第2 章防火墙技术原理 根据目前防火墙的发展趋势，本章主要介绍互动式防火墙安全体系结构 和防火墙内部模块结构与原理。 2 1 概述 随着网络安全技术的不断发展和安全事件的分析总结；一个有效的安全体 系至少是由防护、检测、响应三部分组成的有机实体，可以说，这三个部分构成 了一个最小的安全体系，三个方面缺一不可，而且，这三者之间要实现基于时 间的简单关系才能有效： p d + r 其中：p 代表防护手段所需支持的时间， d 代表入侵检测手段发现入侵行为所需的时间， r 代表事件响应设施产生效力所需的时间。 从这个公式，可以知道，如果在入侵者尚未能突破防护设施的防御时，检测系 统已经发现了这一入侵企图，且响应设旋随即进行了有效的处理，那么，尽管 保护不能百分之百地有效，但只要检测快速，响应及时，在攻击企图未能达到 目的之前，防护系统能发现并成功地做出正确响应，那挨个安全系统作为个 整体，仍是有可能实现有效防御的。 目前，有些研究显示将防火墙作为网络安全中心，并提出胖防火墙的概念， 将i d s 、v p n 及防病毒等功能都集成到防火墙中，这种方式并不是一种好的解 决办法，因为系统越复杂，其自身的安全问题就会越多，就越难于控制，而且， 其性能也是一个关键问题，这就大大制约了这种技术的发展和推广，而互动技 术的使用，却可以避免这些问题，且分布式的工作方式也更符合网络的体系架 构，所以，互动技术的发展和使用是比较可行的。当然，互动技术的进一步推 广和使用，还需要解决标准统一、互动设备问通讯的安全保障等问题。 第2 章防火墙技术原理 2 2 基于互动式的网络安全体系结构 通过研究和综合最新的技术成果和发展动向，基于互动式的网络安全体系 结构如下图所示【4 l ： a a a 认证系统ll 综合管理终端 防火墙系统 s n m p 监控系统i | 入侵检测系统 图2 1 互动式网络安全体系结构 f i g u r e 2 一l i n t e r a c t i v en e t w o r ks e c u r it ys y s t e m 2 2 1 入侵检测系统与防火墙的联动 入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后，新一代 的安全保障技术。有效的入侵检测手段对于保证系统安全是必不可少的。即使 一个系统中不存在某个特定的漏洞，i d s 系统仍然可以检测到相应的攻击事件， 并调整系统状态，对未来可能发生的侵入做出警告。 让i d s 与防火墙结合起来互动运行，防火墙便可通过i d s 及时发现其策略之外 的攻击行为，i d s 也可以通过防火墙对来自外部网络的攻击行为进行阻断。这样 就可以大大提高整体防护性能。 i d s 与防火墙的逻辑示意图如下： 发现入侵行为 图2 2i d s 与防火墙的逻辑示意图 f i g u r e 2 2i d sa n df i r e w a l li n t e r a c t i v ef i g u r e 北京工业大学工学硕士论文 防火墙构建入侵检测系统的示意图如下： 图2 3 防火墙构建入侵检测系统 f i g u r e 2 3f i r e w a l1a n di d s 2 2 2 防病毒系统与防火墙联动 在防火墙和防病毒系统之间建立异步通信接口，将数据包转发到防病毒系统 的服务器上，由病毒防护程序对数据报迸行过滤和验证，支持对经过网络的所有 数据包实施病毒扫描，过滤掉病毒或其它恶意代码等。 2 2 3 防火墙与邮件网页内容过滤系统联动 当流量进入防火墙时，凡是与预先定义的内容协议组( 例如h t t p 、s m t p 、 p o p 3 和i m a p ) 相匹配的所有内容流量，首先被引导到邮件网页内容过滤服 务器的t c p i p 栈。然后栈接收数据包，把i p 包转换为基于会话的内容流 ( c o n t e n ts t r e a m ) 。内容协议携带w e b 流量( h t t p ) 、邮件流量( s m t p 、p o p 3 、 i m a p ) 和其它类型协议。经过分类的内容流下一步被输送到相关的命令解析器 ( p a r s e r ) ，它们能解析和理解高层协议。命令解析器分析内容流的内容，这里 面有可能包含了禁止的内容或其它敏感内容等。例如，如果内容流是h t t p 流， h t t p 命令解析器扫描上送和下载的文件；如果内容流是邮件流，p o p 3 命令解 析器扫描邮件附件或嵌入的代码。从命令解析器( 或称解析状态机器) 输出 分别馈送到相应不同的扫描引擎，即邮件内容扫描引擎和网页内容扫描引擎， 进行扫描处理。根据事先定义的内容过滤规则，如果发现禁止的内容或敏感内 第2 章防火墙技术原理 容，则将其过滤掉。 原理模型图如下： 一一一一一。- - h _ 。 ；过滤系统 i 邮件扫描引擎网页扫描引擎 千千 ip o p 命令解析器 l t t 9 命令解析器 千千 命令解析器 接收ip ；防火墙 图2 - 4 邮件网页内容过滤系统 f i g u r e 2 4e m a i 1a n dh o m ep a g ec o n t e n tf 1l t e r 2 2 4sn m p 监控 为了更好地支持网络集中管理，可以通过管理平台对防火墙的运行状况进 行监控，并接收通过s n m pt r a p 发送的报警信息，帮助网络管理员找出并纠 正t c p i p 互联网中的故障。为了避免由于s n m p 本身的安全性上的缺陷而导 致防火墙本身的安全性受到威胁，系统仅允许网管系统查询信息，而不允许改 变防火墙的配置i 邓j 基于防火墙mib 的sn m p 网管运行模型如下： 北京丁= 业大学工学硕士论文 网络管理器 用户界面 嗣络管理应用 匝匝 tcp ip 协议 s n m p 被管网络实体防火墙 代理进程l 防火墙 a ge nt imib tcp ip 协议 互联网 图2 - 5s n l p 监控 f i g u r e 2 5s n m pm a n a g e r 2 2 5aa a( a u t h e n t i c a “o n 、a u t h o r i z a t i o n 、a c c o u n t i n g ) 为了更好的加强安全性，防火墙采用aaa 系统( 认证、授权、记帐) 。认 证：用户身份的确认，确定允许哪些用户登录，对用户的身份进行校验。授权： 当用户登录后允许该用户可以干什么，执行哪些操作进行授权。记帐：记录用户 登录后干了些什么。远程认证拨号用户服务( r e m o t e a u t h e n t i c a t i o nd i a li n u s e r s e r v i c e ，r a d i u s ) 是在网络访问服务器( n e t w o r k a c c e s ss e r v e r ，n a s ) 和集中存 放认证信息的r a d i u s 服务器之间传输认证、授权和配置信息的协议。 其工作原理如下： r a d i u s 是一种c s 结构的协议，它的客户端是n a s ( n e t a c c e s ss e r v e r ) 服务器。用户键入用户名和密码传到防火墙n a s ，防火墙n a s 向r a d i u s 服务 器提交用户名、密码等相关信息，r a d i u s 服务器对用户名和密码的合法性进 行检验，如果合法，给n a s 返回允许用户访问数据包，如果不合法给n a s 返 回拒绝用户访问数据包。 原理如下图所示 第2 章防火墙技术原理 图2 - 6a a a 系统 f i g u r e 2 6aaap r o c e s s 2 3 防火墙内核工作原理 现在主流技术采用模块化、对象化和分层结构的设计思想，在网络不同的 层设计相应的模块。其中主要的模块设计如下：网络层与数据链路层接口模块、 连接跟踪和状态检测模块、过滤模块、规则模块、n a t 模块、访问控制模块、 认证模块、认证管理模块、策略管理模块、计费管理模块、密钥管理模块、规 则管理模块。 本防火墙内核级的框架图如下： 北京工业大学工学硕士论文 f j 应用程序审计管理程序讨费管理程序 ： 认证管理模块策略管理模块系统管理程序密钥管理程序规则管理程序 jjl0j 应用程序的接口 i + i 色i 过滤模块| _ l 认证内核模块 l 。l 1r ll r in m 、模块i 访问控制模块 ij i ； j ；： v、r 1r t 规则模块 h 内核审计模块 外 0t 1 r 1r 内 部 部 连接跟踪状态监测模块 私 网 有 络 网 网 it 络 t p 与数据链路层接口模块 士千 一圳 硬件 肆 图2 7 防火墙内核模块 f i g u r e 2 7f i r e w a l lk e r n e l 从上图中不难看出连接跟踪状态监测模块是基础，过滤规则是关键，数据 包能否经过其它模块关键看策略的要求，内核模块主要集中在网络层，大多数 模块是并行存在的。”。 下面是其中几个主要功能模块的说明。 2 3 1 访问控制 访问控制是网络安全防范和保护的主要策略，其主要功能是保证网络资源 不被非法使用和非常访问，它也是维护网络系统安全、保护网络资源的重要手段， 第2 章防火墙技术原理 各种安全策略必须相互配合使用才能真正起到保护作用，可以说访问控制是保 证网络安全最重要的核心技术之一，下面就防火墙访问控制原理作简单说明。 基于a c l 的访问控制方法 这是一种较粗的访问控制方法，基于用户名或者i p 地址的访问控制，直接 根据存取控制列表来定义所有资源的访问权限，其中a c l 的构成如下： 【用户i p 源地址，i p 目的地址，协议，协议相关内容，访问策略】 其中，用户名表示访问资源地用户，通过用户认证或解析相关的应用得到，i p 源地址表示访问网络资源的主机i p 地址，i p 目的地址、协议、协议相关内容 用来定义防火墙保护的网络资源。事实上，访问控制主要对于t c p u d p 协议 而言。而访问策略有p e r m i t 和d e n y ，其中p e r m i t 表示允许访问，d e n y 表示拒绝访问。 强制访问控制技术 强制访问控制( m a n d a t o r ya c c e s sc o n t r o l ，简称m a c ) 就是通过主体( 用 户) 和客体( 数据对象 安全级匹配原则来确定该主体是否被允许存取该客体。 2 3 2 认证管理 无论提供何种安全服务，认证都是基础，认证是防火墙安全的第一道门槛。 认证的体系结构一般由用户态认证模块、用户态管理模块、核心态执行模块组 成。 在应用层，一般由用户信息库、用户认证信息库组成、认证策略库组成。 在核心悉由认证状态表组成。 用户信息库：防火墙操作系统的用户数据库，该库主要包括用户名、用户 密码和用户组。 用户认证信息库：指和认证协议相关的库，该库包含了用户的认证信息： 认证使用的协议，是否可以维护该认证库，是否可以管理同组的用户认证 信息，如：认证用户的增加，认证用户的删除，最多认证失败的次数。 谚。证策略库：面向连接的认证策略，即哪些网络连接需要进行认证，根据认 证的结果决定是否允许访问。 北京工业大学工学硕士论文 表2 - 1 例子 t a b l e 2 - 1e x m a p l e 源地址协议目的地址协议相关内容策略 卜 t c p1 9 2 1 6 8 1 2 d e p o r t = 8 0用户认证 上述例子表明，若要访问目的地址为1 9 2 1 6 8 1 2 提供的h t t p 艮务，只有通 过用户认证后才可以访问。 认证状态表：主要是用户认证时，所在客户端主机的i p 地址与认证用户信 息的绑定。该绑定信息的结构如下图： 表2 - 2 信息结构 t a b l e 2 2t n f o r m a t j o l ls t r u e t 2 3 3 策略管理 策略管理是防火墙的核心技术之一，防火墙所保护的网络的安全性取决于 其安全策略的正确应用。安全策略一般陈述物理安全、网络安全、访问控制、 病毒保护、灾难恢复等内容，安全策略会随着时间的变化而变化。 策略一般分为面向连接的策略、面向服务的策略、面向子网的策略。 面向连接的策略：根据具体的安全需求，对该连接的每一个包所要进行 的处理方法。策略由人们常说的规则构成，规则的具体表现形式为：【源i p 地址，目的i p 地址，协议，协议相关内容，安全断言】，安全断言即表示 的连接处理方法。 面向服务的策略：指属于该服务的所有连接的策略集合。 面向子网的策略：指属于该子网的服务的策略集合。 2 3 4 审计机制 审计点：指审计程序在系统中的入口，审计点包括应用层的审计点和内核 第2 章防火墙技术原理 中的审计点。 内核审计：主要是指通过在协议栈的内核部分和操作系统的系统调用入 口处以及在操作系统的系统调用中增加审计点。总体来说，分为系统调用 审计和协议栈审计。 应用审计：分为命令审计和应用代理审计。由于防火墙审计的状态由命 令来设置，所以对审计命令的审计是必不可少的，是提供可追踪性的种 重要手段。应用代理的审计在网络协议栈的应用层加入审计点。主要是指 在应用代理的认证、存取控制、应用转发处理等关键过程中加入审计点。 2 3 5n a t 技术 n a t 作为防火墙的一个重要功能，它能将内部地址和外部地址进行转换， 以使具备内部地址的计算机能访问外部网络。同样外部网络访问防火墙拥有的 某一外部地址时，防火墙能将其转发到该地址映射的内部地址的计算机上。 网络地址转换( n a t ) 从功能上讲分为源网络地址转换和目的网络地址转 换，从实现方法上讲分为静态地址转化和动态网络地址转换。网络地址转换技 术已经非常成熟，不再详细介绍。 2 4 本章小结 本章首先介绍了互动式防火墙的基本工作原理，其中主要描述了与入侵检 测系统、防病毒系统、网页过滤系统、邮件过滤系统、a a a 系统、s n m p 监控 系统等。同时简单介绍了防火墙内核模块组成，最后介绍访问控制、认证、策 略管理、n a t 、审计机割的基本原理和功能。 北京工业大学工学硕士论文 第3 章状态检测防火墙的基本设计 3 1 状态检测防火墙综述 一般来说，每个网络连接包括以下信息：源地址、目的地址、源端口和目 的端口，协议类型、连接状态( t c p 协议) 和超时时间等。防火墙通常把这些信 息称作状态( s t a t e ) ，能够检测每个连接状态的防火墙称作状态包过滤防火墙。 除了能够完成简单包过滤防火墙的工作外，它还在内存中维护一个跟踪连接状 态的表，从而比简单包过滤防火墙具有更大的安全性。 状态检测防火墙，跟踪通过防火墙的网络连接和数据包，通过使用一组附 加的标准，以确定是否允许和拒绝通信。为了跟踪包的状态，状态检测防火墙 不仅跟踪包中信息，还记录有用的信息以帮助识别包，例如已有的网络连掺、 数据的传出请求等。 跟踪连接状态的方式取决于通过防火墙数据包的协议类型：t c p 、u d p 、i c m p 等。对应不同的类型，防火墙有不同的处理。 3 2 连接跟踪 连接跟踪是状态检测的基础，它通常是指对所有的通过该防火墙的所有连 接进行跟踪。 3 2 1 连接的基本属性 会话：连接的基本单位，一个流量的集合，该流量往返于一个固定的原地 址和一个固定的目的地址之间，具有固定的协议和协议相关内容，对于 t c p i i p 为源端口和目的端口。该定义与协议是否面向连接无关。 第3 章状态检测防火墙的基本设计 连接：在本系统中用来定义会话中具有一定方向的流量。把初始化连接的 包称为连接初始包，也就是所有属于一个会话的流量中的第一个包。 连接的方向性：一个逻辑的定义。如果把初始连接包中的源地址记为s r c 目的地址记为d s t ，则称会话中由s r c 到d s t 的网络流量为原始方向的连接， 同样称会话中由d s t 到$ r c 的网络流量为应答方向的连接。 3 2 2 连接的状态 首先通过对从i p 与数据链路层接口模块截获上来的i p 数据包进行包头分 析，然后到规则模块查找相应的规则( 使用规则见规则模块) ，符合规则的i p 数据包，通过建立相应的方向控制块、连接控制块动态建立一个连接，同时监 测此连接。 连接的状态如下图： 图3 - i 连接状态 f i g u r e 3 1c o n n e c ts t a t u s 新建：接收到连接初始包，创建连接控制块，方向控制块，但未对该包进 行任何处理，即对本地产生包没有输出，对于接收到的包也没有转发。 一致：当包从本地输出和转发之后的连接状态。 应答完成：在两个方向上都有且仅有一个包通过。 建立：在应答完成的基础上，在原始的方向上有数据包通过。 确认：在建立的基础上每个方向至少有两个数据包通过。 北京工业大学工学预上论文 3 2 3 连接的数据组织 每一会话由方向控制块与连接控制块组成，其结构如下： 方向控制块： 源i pa d d r e s s ， 目的i p a d d r e s s ； 协议p r o t o ， 协议相关内容； 指向连接控制块的指针； ) 连接控制块： 通过连接的包的个数c o u n t ；监测本次连接的流量 连接状态的表示s t a t u s ：( 新建，一致，应答，建立，确认) ； 协议相关的结构；如t c p ，u d p 的结构； 连接定时器； 指向原始方向的连接控制块的指针； 指向应答方向的连接控制块的指针； 指向相关方向的连接控制块的指针； 连接定时器； n a t 接口信息； 认证接口信息； 审计接口信息； 存取控制信息； ) 第3 章状态检测防火墙的基本设计 3 2 4 连接跟踪的实现模块图 l 一i 图3 - 2 连接跟踪实现模块图 f i g u r e3 - 2i m p l e t e m e n tc o n n e c t t r a c em o d u l e 3 3 状态检测 状态检测可以检测到网络各子层的状态在以下的部分，我们分别就各个协 议层状态检测的实现和状态检测在防火墙的应用作一一描述。 3 3 1t c p 状态检测 在t c p 连接的建立过程中，要经历一系列的状态变化，变化过程详见6 4 3 1 节。在实际的连接过程中每一个状态都会发生一些事件，当有效的事件发生的 时候t c p 采取某些措施，当无效或不正常的事件发生的时候，报告错误，采取 相应的处理。 在防火墙设计中由于主要保护的是一些重要服务器的正常工作，所以我们 北京工业大学工学硕士论文 只考虑客户端主动打开连接而服务器被动打开的情形，不考虑服务器主动打开 的情形【4 5 1 。 主要考虑的功能如下： 依照规则控制t c p 端口 t c p 各状态的超时处理 异常r e s e t s y n 到达包跟踪( 主要针对拒绝服务攻击) 超时重传跟踪 3 3 2u d p 状态检测 到目前为止，对于安全的研究主要集中在t c p ，我们通过对u d p 定义逻辑 连接的概念，使得u d p 有方向性。通过对u d p 建立虚拟连接，使得其安全性 大大增强，这主要表现在动态开放的端口上【1 引。 主要考虑的功能如下： 依照规则动态控制端口 连接状态的超时管理 3 3 3i c m p 状态检测模块 我们知道i c m p 是传递差错报文以及其它需要注意的信息。i c m p 通常供i p 层或其他高层协议使用，i c m p 通常是封装在i p 包内部被传输的a 我们可以根 据规则对i c m p 包头中的类型进行屏蔽，以避免基于i c m p 引起的各种攻击， 比如：避免路由重定向，p i n g 攻击等等。 3 4 本章小结 本章主要介绍的是状态检测防火墙的工作原理。首先介绍的是连接跟踪， 第3 章状态检测防火瑞的基本设计 连接跟踪的属性、工作原理、连接跟踪的基本数据结构。同时简单介绍了t c p 状态检测模块的功能、u d p 状态检测模块的功能、i c m p 状态检测模块的功能。 北京工业人学工学硕士论文 第4 章l i n u x 内核下网络工作原理 4 。1 网络设备综述 在l 1 n u x 中，为了简化对设备的管理，所有外围的硬件设备被归结为三类： 字符设备( 如键盘、鼠标等) 、块设备( 如硬盘、光驱、软驱等) 和网络设备( 也 称为网络接口，n e t w o r ki n f e r f a c e ) ，如以太网卡。网络设备作为其中的三类设 备之一，有其非常特殊的地方。与字符设备及块设备都有很大的不同： ( 1 )网络接口不存在于l i n u x 的文件系统中，而是在核心中用一个d e v i c e 数据结构表示的。每一个字符设备或块设备则在文件系统中都存在 一个相应的特殊设备文件来表示该设备，如d e v h d a l 、d e v s d a l 、 d e v t t y l 等。网络设备在做数据包发送和接收时，直接通过接口访 问，不需要进行文件的操作；而对字符设备和块设备的访问都需通 过文件操作界面。 ( 2 ) 网络接口是在系统初始化时实时生成的，对于核心支持的但不存在 的物理网络设备，将不可能有与之相对应的d e v i c e 结构。而对于字 符设备和块设备，即使该物理设备不存在，在d e v 下也必定有相应 的特殊文件与之相对应。且在系统初始化时，核心将会对所有内核 支持的字符设备和块设备进行登记，初始化该设备的文件操作界面 ( s t r u c tf il eo p e r a ti o n s ) ，而不管该设备在物理上是否存在。 在系统内核中，存在字符设备管理表c h a r d e v s 和块设备管理表b l k d e v s ， 这两张保存着指向f i l e o p e r a t i o n s 结构的指针的设备管理表，分别用来描述 各种字符驱动程序和块设备驱动程序。类似地，在内核中也存在着一张网络接 口管理表d e vb a s e ，但与前两张表不同，d e v b a s e 是指向d e v i c e 结构的指针， 因为网络设备是通过d e v i c e 数据结构来表示的。d e v _ b a s e 实际上是一条d e v i c e 第4 章l i n u x 内核下网络工作原理 结构链表的表头，在系统初始化完成以后，系统检测到的网络设备将自动地保 存在这张链表中，其中每一个链表单元表示一个存在的物理网络设各。当要发 送数据时，网络子系统将根据系统路由表选择相应的网络接口进行数据传输， 而当接收到数据包时，通过驱动程序登记的中断服务程序进行数据的接收处理 ( 软件网络接口除外) 。以下是网络设备工作原理图： d e v q u e u e _ x m i t ( ) ：层下传数据 n e t i fr x 0 向上层传送数据 d e v i c e 结构的变量和方法 ( 设备接口) h a r d s t a r t x m i t0 向硬件发送数据 e i i n t e r r u p t0 ( 中断服务程序) 从硬件接收数据 网络物理设备和媒介 图4 - 1 网络设备工作原理 4 2 几个重要的数据结构 下面的几个数据结构均是来自于l i n u x 内核2 4 2 4 2 1 n e t d e v i c e s t r u c tn e t d e v