（计算机软件与理论专业论文）linux防火墙规则优化的研究.pdfVIP

摘要 随着i n t e m e t 在全球范围内的迅速发展和广泛应用，在给人们的生活带来 方便和快捷的同时，也带来了大量的问题，这其中就包括网络信息安全问题。 作为常用的处理网络安全问题的工具，防火墙作用就显得尤为重要。正因为防 火墙在整个网络中所处的特殊位置，其规则配置正确、合适与否，直接其工作 效率的高低，进而对整个网络环境产生重要的影响。因此防火墙的设置应该引 起我们的高度熏视。 针对当前防火墙规则配置复杂，且一经配置，不能随网络环境的变化而调 整顺序提高防火墙的效率，而且不能排除由规则配置人员造成的规则冗余、交 错等问题，本文设计了一套基于树型结构的防火墙规则优化算法并建立抽象的 数学模型。 本文完成了l j n u x 环境下对i p t a b l e s 防火墙规则的局部优化的程序开发， 大致的步骤包括：首先，对防火墙规则优化进行可行性分析，指定防火墙规则 优化流程，对防火墙规则优化涉及问题进行逻辑抽象，并确定防火墙优化规则； 其次，配置防火墙规则文件，使用le x ，y a c c 分别对防火墙规则文件进行词法 分析和语法分析，并构造防火墙规则语法树，确定局部可优化区间，设置具体 环境的参数，进而优化防火墙规则；最后，生成编译器，取得实验结果。 本文还进一步的探讨了防火墙规则的全局优化，并提出了根据网络流量统 计数据动态调整防火墙规则，充分考虑了历史因素和突发因素对防火墙规则优 先级的影响，提出合理的算法和计算方法来确定防火墙规则优先级别，进而调 整防火墙规则，提高防火墙运行效率的一整套的防火墙规则优化策略。同时提 出了基于动态检测自适应防火壤的概念，并展望其未来的发展和作用。此外做 了大量的相关实验并取得满意的结果。对实验进行总结并对对未来进行展望。 关键词：i j n u x 防火墙规则优化包过滤i p t a b l c su 滠脱a c c a b s t r a c t w i t hi h er a p i dd e v e l o p m e n ta db f o a da p p l i c a t i o no fi n t e m e tw o 订d w i d e ，i t b r i n g sc o n v e n i e n c ea n de f f i c i e n c yt op e o p l e sl i f c a tt h es a m et i m e ，a1 0 to f p r o b l e m s o c c u r i n d u d i n gi h eo n ea b o u ti n t e m e ti n f o r i n a t i o ns e c u r i ty a sat o o l t od e a lw j t h s e c u r i t yp r o b l e m si nh t e m c t ，f i r e w a l l sp l a y a i le s s c n t i a lr o l e j u s tb e c a u s eo fi t s p e c i a lr o l e ，w h e i h e rf i r e w a l l sa r cs e tc o n - e c t i yd e r i c t l ya f f c c t si t se f f e c t i v e n e s sa n di n t u ma d e c t st h ee n t i r eh l t e m e t t h c r e f o r e ，w es h o u l dp a ym o r ca t t e n t i o nt 0t t l es e t t i n g o ff i r c w a l l s i i lo r d e rt 0s o l u et h ep r o b l e m st i l a tf i r e w a l l sh a v ec o m p i c xs e t t i n g sa n dt h a t a f t c rb e j n gs e t ，t h o s ep m b l c m s 伽s c db yr e p c t i t j 锄do v e r l o a d i l i gb yt h ep e o p l e w h os e tf i l c w a l l sc a n n o tb ed e l c t e d ，t h cp r e s e n tt h e s i si m 剃u c c sas e to fi m p r o v c d c a r i c u l a t i n gm e t h o do f6 r e w a l l s ，b 嬲c do nt r m o d c s 1 1 i c 童h e s i ss u c c c e d si nt h ei m p r o v c dp r 0 掣锄m ee x p l o r a t i o o f l j r e w a l l si nt h e c o n t e x to fl j n u xa n dt h eg c r a ls t 叩si n c l u d c ：丘髂n y af e 鹤i b i h t yt c s ti sc o n d l l c t e d f o ft l l ei l n p r o v c m e n to f 伍_ c w a l ls u i t ；孤i m p m v e dn u xi sm a d c ；p 1 0 b l e m si i l v o l v e d a r el o g i c a l i z e d 姐dt h ei m p r o v e m e mm l e sa r ef i x c d s e c 蚰d l yt h ef i r e w a nm l e da n d f i l e sa r ew r i t t c na n da f c锄a l i z e d l c x i c a l l y缸d 伊a m m a t i c a l l yb yu s i n g l e ) 州r a c c a n dt h e 舢a l 仃i sb u i nf o rf i r c w a l lm l c s f u n l i c 肋o r c ，p a r i t a l i m p r o v e a b l e 卸ds p c c i 丘c e m ，i l 删加坫n t a lp m m e t c i s盯cc i a r i 野e d f i l l a l l y m c t i a i l s l a t o ra n de d i t o ra a c h 姆v e d ，w 浊t h ce x p 酬| m e n t 麟斌t a c c o r d i n gt ot h ea l g o i i t h mi s1 l a r dt ob ed c t 咖e db yd e p l o yw o r k e r t h ep a p e r p r e n t 卸a u t o m o z a t i 仰丘r e w a ns u “f b rn c 押o r k i n gc o n c 印t i 1 h ek c yi s d e t e 册e di h ea l g o r i t l l mw i t hp r o b ct o o l st oa n a l y s i sm t 啪r k j n gn u xi nr c a l l y n e t w o r k i n ge n v i t o n m e n t bt h el c a d i n go ft h i sc o n c e p t i o nw ed oal o t so f e x p e r i m e n t sa n d n s t n i c t e d 姐a t o m i z a t i o n 矗r c w a l lm o d e l ，a n dw eg c tar e s p e c t e d r e s u l t i nf h i sp a p e rw et a l k 矗b o u t 拿ua d v a n t a g ea i l dd i s a d v 锄t a g ei nl h i sm o d e ，a n dd o ar e s d e c to ft h ef u r t h e ra u t o m a z t i o nf j r c w a l l k e y 、v o r d s ：u n u xf i r e w a l lr u l e s 叩l i m i z ef l p l a b l e sk x ，y a c c 郑重声明 本人的学位论文是在导师指导下独立撰写并完成的，学位论文没有剽窃、抄 袭等违反学术道德、学术规范的侵权行为，否则，本人愿意承担由此产生的一切 法律责任和法律后果，特此郑重声明。 学位论文作者( 签名糇伟 i 曲年百月弓画 郑州大学硕士学位论文 1 1 研究背景 第一章引言 随着e m c t 在全球范围内的迅速发展和广泛应用，越来越多的网络与 i n t e m e t 联网，在网上设置提供公众服务的主机系统，如：w 曲s e r v e r 、e m a j l s e r v e r 、f r ps e r v e r 等。于是一些非法侵入他人系统、窃取他人机密、破坏他人 系统等恶性行为也悄然而至，网络信息安全问题日益严重，现在网络安全问题已 经成为影响网络技术进一步发展和应用的关键因素之一。当前一种广泛使用且行 之有效的确保网络安全的方法是利用防火墙过滤掉不想要的数据包，通常防火墙 被安装在内部网络和i n t c m c t 之问，从而建立受控制的链接并形成外部安全墙或 者说是边界。这个边界的目的在于防止内部网络受到来自h l t 啪e t 的攻击，并在 安全性将受到影响的地方形成阻塞点。由于防火墙是内外网之间的交通要道，要 检查所有内外网之间相互交换的数据包，当网络数据流量较大时，防火墙会成为 整个内部网络与h t 锄c t 通信的瓶颈，导致网络速度减慢甚至瘫痪。而且防火墙 的配置是很复杂的，一直是由防火墙的使用者或防火墙专家来配置，并按配置的 顺序载入系统使用，由于多数使用者对防火墙了解不是很深，这很容易造成配置 不当或错误，在一定程度上造成防火墙的运行效率不高，因此防火墙应具有较高 的执行效率来适应网络通信的要求。 1 2 研究目标 防火墙规则优化的目的就是要把来自计算机用户的安全要求经过合并、筛 选，并通过计算机程序自动生成合理的、效率高的防火墙安全规则；通过规则优 化，可减少防火墙上的规则数目，提高防火墙的性能，完成在这之前硬件性能无 法满足的功能。 本文通过对防火墙规则的分析，认为防火墙规则的f 确配苜及规则的顺序对 防火墙的执行+ 睫能有较大影响，为此对防火墙的规则进行优化研究并捉f | 优化算 、，h 以l i n u x 操作系统r 的i p t a b l e s 防火墙为例，使用k x y a c c 等ij i 埘防火 墙规则进ij ：优化米介绍浚优化技术。 郑州大学硕士学位论文 1 3 研究内容 本文的研究工作主要包括三部分： 首先，介绍了防火墙规则优化的研究背景、防火墙相关知识和防火墙技术等。 着重介绍了l i n u x 包过滤防火墙的工作原理及配置。 其次，重点对防火墙规则优化的分析，并对防火墙规则优化进行了逻辑抽象， 制定优化规则及算法。 最后，在i j n u x 环境下开发了i p t a b l e s 防火墙规则优化的程序。并介绍了程 序的实旌方案。同时也对防火墙的全局优化问题做了进一步的探讨。 1 4 组织结构 本文共分为六章，按照如下方式组织： 第一章介绍了论文的研究背景和研究目标，概括了论文的研究内容组织结 构。 第二章介绍了防火墙的定义、发展历程、优点和弱点、基本结构和模型、分 类以及各类防火墙的优缺点、防火墙技术等。 第三章详细介绍了i j 职防火墙的工作原理，配置方法及规则设置。 第四章对防火墙规则优化进行可行性分析，并对所研究的问题做了逻辑抽 象，并提出优化规则。 第五章介绍了论文的实践工作内容：在u n l i 【下对矾a b l 髂防火墙规则优化 的程序设计。 第六章在已有的算法基础上对基于动态检测防火墙进行研究，在大量实验的 基础上对实验的优缺点进行总结。 郑州大学硕士学位论文 2 1 防火墙的定义 第二章防火墙概述 防火墙是一种安全有效的防范技术，是访问控制机制、安全策略和防入侵措 施，是一类防范措施的总称。从狭义上来讲，防火墙是指安装了防火墙软件的主 机或路由器系统；从广义上讲，防火墙还包括了整个网络的安全策略和安全行为。 防火墙是设置在被保护的内部网络与不安全的非信任网络之间的一道屏障，它的 作用是防止发生不可预测的、具有潜在破坏性的对本网络的威胁和入侵，并保护 本网络的安全。一般说来，防火墙是指设置在不同网络( 如可信任的企业内部网 和不可信的公共网) 或者网络安全域之间的一系列部件的组合。它是不同网络或 网络安全域之间信息的唯一出入口，能根据企业的安全策略控制( 允许、拒绝、 监测) 出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服 务，实现网络和信息安全的基础设施【1 埘。 防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域( 即 h l t e m e t 或有一定风险的网络) 与安全区域( 局域网) 的连接，同时不会妨碍人 们对风险区域的访问。防火墙可以监控进出网络通信量，从而完成看似不可能的 任务：仅让安全，核准了的信息进入，同时又抵制对内部网构成威胁的数据。随 着安全问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手 段，也有可能来自配置上的低级错误或不合适的口令选择。而防火墙的作用就是 防止不希望的、未授权的信息进出被保护的网络。因此，防火墙正在成为控制对 网络系统访问的非常流行的方法。作为第一道安全防线，防火墙已经成为世界上 用的最多的网络安全产品之一。 在逻辑上，防火墙既是一个分离器，一个限制器，它也是一个分析器，它有 效地监控了内部网和i n t e m e t 之间的任何活动，保证了内部网络的安全i2 1 。从具 体实现上来看，防火墙是一个独立的进程或一组紧密联系的进程，运行于路出器 或服务器上，控制经过它们的刚络应用服务及传输的数据。安全、管理、速度是 防火墙的三大要素。 郑州丈学硕士学位论文 2 2 防火墙的发展历程 1 9 8 6 年美国d i 西t a l 公司在i i l t e m e t 上安装了全球第一个商用防火墙系统， 提出了防火墙概念。在这之后，防火墙技术得到了飞速的发展。现在防火墙产品 正成为安全领域发展最快的技术之一2 ，3 】。防火墙技术先后经历了如下的发展阶 段。 第一代防火墙，又称包过滤路由器或屏蔽路由器，即通过检查经过路由器的 数据包源地址、目的地址、t c p 端口号、u d p 端口号等参数来决定是否允许该 数据包通过，并对其进行路由选择转发。 第二代防火墙也称代理服务器。它用来提供应用服务级的控制，起到外部网 络向被保护的内部网申请服务时中间转接作用。内部网只接受代理服务器提出的 服务请求，拒绝外部网络其他节点的直接请求。代理服务器可以根据服务类型对 服务的操作内容等进行控制，可以有效地防止对内部网络的直接攻击。 第三代防火墙，是建立在通用操作系统上的裔用防火墙产品。有以纯软件实 现的，也有以硬件方式实现的，近年来在市场上广泛采用的就是这一代产品。 第四代防火墙，是具有安全操作系统的防火墙。它建立在安全操作系统的基 础上，并且各种新的信息安全技术被广泛应用在防火墙系统中。同时新一代防火 墙技术还采用了一些主动网络安全技术。 2 3 防火墙的优点 防火墙能提高主机整体的安全性，因而给站点带来了众多的好处。它主要有 以下几方面的优点f 3 4 l 。 1 防火墙( 作为阻塞点、控制点) 是网络安全的屏障。 2 控制对主机系统的访问。 3 监控和审计网络访问。 4 防止内部信息的外泄。 通过利用防火墙对内部网络的划分，川实现内部网重点网段的隔离，从而限 制了 _ 】部重点或敏感网络安全问题对令局m 络造成晌影响。 5 挪并n a t ( n e t w o r k a d d r e s st r a n s i a “o n ，刚络地j _ i | = 变换) 机制。利用n a t 技术，将有限的i p 地址动念或静态地j 内州的i p 地川埘应起术，川来缓解地址 跏j j 咄k f n 问题，也可以隐减内部网络的帆脚。 郑州大学硕士学位论文 6 强化网络安全策略。 2 4 防火墙的弱点 虽然防火墙是网络安全体系中极为重要的一环，但并不是唯一的一环，也不 能因为有了防火墙就认为可以高枕无忧了，事实上，仍有一些危险是防火墙解决 不了的f 4 捌。 1 防火墙不能防范来自内部网络的攻击 2 防火墙不能防范不经由防火墙的攻击 3 防火墙不能防范感染了病毒的软件或文件的传输 4 防火墙不能防范数据驱动式攻击 5 防火墙不能防范利用标准网络协议中的缺陷进行的攻击 6 防火墙不能防范利用服务器系统漏洞进行的攻击 7 防火墙不能防范新的网络安全问题 8 防火墙限制了有用的网络服务 综上所述，防火墙只是整体安全防范政策的一部分。要使防火墙发挥作用， 防火墙就必须成为整个机构安全架构中不可分割的一部分。 2 5 防火墙的基本结构 1 屏蔽路由器 屏蔽路由器是防火墙的最基本的构件。它可以由厂家专门生产的路由器实 现，也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道，要求所有的报 文都必须在此通过检查。 2 双宿主机防火墙 这种配置是用一台装有两块网卡的堡垒主机做防火墙，两块网卡分别与受保 护网和外部网相连。堡垒主机上运行着防火墙软件，可以转发应用程序，提供服 务等。 3 屏蔽主机防火墙 这种方法是用一个分组过滤路由器连接外部网络，同忖一个堡帛1 _ ：机安装在 内部刚络 ：，通常在路由器上设立过滤规则，j i ：使这个催爷卜机成为外部网络唯 。可n 垃到达的：卜机，这就确保了内部网络小一乏术被授椒的外部川j l 的攻击。 4 屏蔽f 网防火墙 郑州大学硕士学位论文 这种方法是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组 过滤路由器将这一子网分别与内部网络和外部网络分开。 5 其他的防火墙结构 一个堡垒主机和一个非军事区 两个堡垒主机和两个非军事区 两个堡垒主机和一个非军事区 6 典型的防火墙结构 建造防火墙时，一般很少采用单一的技术，通常是使用多种解决不同问题的 技术组合。一般有一下几种形式： 使用多堡垒主机 合并内部路由器与外部路由器 合并堡垒主机与外部路由器 合并堡垒主机与内部路由器 使用多台内部路由器 使用多台外部路由器 使用多个周边网络 使用双重宿主主机与屏蔽子网 2 7 防火墙的分类 2 7 1 包过滤防火墙 图2 - 1 典型防火墙结构 第一代防火墙和最基本形式防火墙，检查每一个通过的数据包，或者丢弃， 或者放行，取决于所建芷的一套规则，这称为包过滤防火墙又叫刚络级防火墙， 因为它是：l 作在列络j 。：。路由 就是一个“传统”的网络级防火端 本质i ：，包过滤防火墙是多址的，表明它有两个或两个以上刚络适配勰或接 口。包过滤防火墙硷a 栎。个f | 入也，查看包中可用的基本信息( 源地川干f f 的 郑州大学硕士学位论文 地址、端口号、协议等) 。然后，将这些信息与设立的规则相比较。多个复杂规 则的组合也是可行的。通常，为了安全起见，与传入规则不匹配的包就会被丢弃， 如果需要让该包通过，就要建立规则来处理它。 2 7 2 状态动态检测防火墙 状态动态检测防火墙，试图跟踪通过防火墙的网络连接和包，这样防火墙 就可以使用一组附加的标准，以确定允许或拒绝通信。它是在使用了基本包过滤 防火墙的通信上应用一些技术来做到这点的。 2 7 3 应用程序代理防火墙 应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反， 它是接受来自内部网络特定用户应用程序的通信，然后建立于公菸网络服务器单 独的连接。应用程序代理防火墙可以配置成允许来自内部网络的任何连接，它也 可以配置成要求用户认证后才建立连接。 2 7 4 个人防火墙 通常，这些防火墙是应用程序级的，安装在计算机网络接口的较低级别上， 使得它们可以监视传入传出网卡的所有网络通信。 2 8 各类防火墙的优缺点睡 刀 1 包过滤防火墙 优点： 对每条传入和传出网络的包实行低水平控制。 每个i p 包的字段都被检查，并基于这些信息应用过滤规则。 可以识别或丢弃带欺骗性源l p 地址的包。 是两个网络之间访问的唯一途径。 包过滤通常被包含在路山器中，斟此不需要额外的系统来处理。 缺点： 配置困难。因为包过滤防火瑞很复杂人们经常会忽略建立些必要的觇 则，或者错误配置了l n 旧规则， ：防火墙1 ：留下漏洞。 为特定服务j i ：放f f j 端l j m 符危险z i 会破j h 于其他应用的传输。 郑州大学硕士学位论文 可能存在其他方法绕过防火墙进入网络。 2 状态动态检测防火墙 优点： - 检查i p 包的每个字段的能力，并遵从基于包中信息的过滤规则。 识别带有欺骗性源i p 地址包的能力。 基于应用程序信息验证一个包的状态的能力。 记录有关通过的每个包的详细信息的能力。 缺点： 所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞，特别是 在同时有许多连接激活的时候，或者是有大量的过滤网络通信的规则存在 时。 3 应用程序代理防火墙 优点： 制定对连接的控制。 通过限制某些协议的传出请求，来减少网络中不必要的服务。 能够记录所有的连接，包括地址和持续时间。这些信息对追踪攻击和发生 的未授权访问的事件是很有用的。 缺点： 必须在一定范围内定制用户的系统，这取决于所用的应用程序。 一些应用程序可能根本不支持代理连接。 4 个人防火墙 优点： 增加了保护级别，不需要额外的硬件资源。 个人防火墙除了可以抵挡外来攻击，还可以抵挡内部的攻击。 个人防火墙对公共网络中的单个系统提供了保护。 缺点： 对公共网络只有一个物理接口。真正的防火墙应当监视并控制两个或更多 的网络接口之问的通信。这样，个人防火墙本身可能会容易受到威胁，因 为网络通信可以绕过防火墙的规则。 郑州大学硕士学位论文 2 9 防火墙技术忉 2 9 1 包过滤技术 1 包过滤原理 包过滤是最早应用到防火墙当中的技术之一。它针对网络数据包由信息头和 数据信息两部分组成这一特点而设计。防火墙通过对信息头的检测就可以决定是 否将数据包发往目的地址，从而达到对进入和流出网络的数据进行监测和限制的 目的。 从理论上讲，包过滤防火墙可以被配置为根据协议报头的任何数据域进行分 析和过滤，但是大多数过滤型防火墙只是有针对性地分析最有用的数据域。以 t c p ，口协议为例，如图所示，包过滤技术一般针对报头中的阴影数据域进行分 析和过滤。 麓事 生长i 一舟为量j 簟长 神啦“6 嘲- ) i i 片_ 暮量 ! 兰i 曲诅萎簦l兰竺兰 口i i 址 甘甜m 壤址 啪疆( 球9 一嘲)i 壤壳 矗蠢( d m ) 2 包过滤模型 包过滤防火墙的核心是包检查模块。包检查模块深入到操作系统的核心，在 操作系统或路由器转发包之前拦截所有的数据包【8 】o 当把包过滤防火墙安装在网 关上之后，包过滤检查模块深入到系统的传输层和网络层之间，即t c p 层和i p 层之间，在操作系统或路由器的t c p 层对i p 包处理以前对i p 包进行处理。在实 际应用中，数据链路层主要由网络适配器( n i c ) 进行实现，网络层是软件实现 的第一层协议堆栈，所以防火墙位于软件层次的最底层，如图所示。 7 虚m g i i1 c ，1 l4 晖竺”l k ! 型l 扣； ! 圊f 囤|一j 到i 一藤鸯一 ：r渊l 而翮 ， 。卜“ 图2 4 包过滤帕， _ i ! 丑j 险 模块，防火墙能拦截和检查所仃旒剃流人防火端的数训也。防火 郑州大学硕：b 学位论文 墙检查模块首先验证这个包是否符合过滤规则，不管是否符合过滤规则，防火墙 一般都要记录数据包情况，不符合规则的包要进行报警或通知管理员。对被防火 墙过滤或丢弃的数据包，防火墙可以给数据的发送方返回一个i c m p 消息，也可 异步返回，这要取决于包过滤防火墙的策略。如果都返回一个i c m p 消息，攻击 者可能会根据拒绝包的i c m p 类型猜测包过滤规则的细节，因此划于是否返回 个i c m p 消息给数据包的发送者需要慎重。 3 包过滤技术 数据包过滤功能的实现依赖于包过滤规则，有时人们也称之为访问控制列表 ( a c l ，a c c e s sc o n t r o lu s t ) 。只有满足访问控制列表的数据才被转发，其余数 据则从数据流中删除。为了保证所有流入和流出网络的数据包都被监测和检测， 包过滤器必须放置在网络单点的位置【9 】。所以，包过滤技术虽然是防火墙技术的 一部分，在实际应用中往往和边界路由器进行集成。 配置访问控制列表( 配置包过滤l 靠火墙策略) 从本质上讲，一个包过滤防火墙由一个脏端口、一个净端口和一组访问控制 列表规则组成。脏端口连接i n t e m c t ，来自i n t c m c t 和流向i n t e m e t 的数据流都由 此端口通过；净端口连接内部网络，防火墙一般认为内部网络完全可信，网络安 全威胁来自网络外部。访问控制列表通过控制在防火墙的接口上转发还是阻断数 据包分组来过滤网络数据流，防火墙检查每一个数据分组，并根据访问控制列表 规则对数据分组进行操作， 耕协证i 址i i 口目的，i 垃 l 的【 行为方向 1 1 pd w 21 c r 帕 0 “ ，t c r i i o q _ a _ 1 。m 5m2 l 啊口m 6 t c p2 l 0 o _ t c p l2 l o d _ o _ i 1 口 ”d _ 玎 “- ia _ i ou d r ，3 0 l lu d ， 埘 o y o m 表2 1 包过滤策略实例 在上述包过滤规则的实例中包含了：规则执行顺序( 或称之为优先级) ：协 议类型( t c p 、u d p 等) ；数据包源地址；数据包源端口号；数据包目的地址： 数据包目的端口号；数据操作；数据流向。 在实际应用中，如果设备有多个网络接口卡，还应该包含网卡名称。 从图2 6 中可以看& 1 当数据流进入包过滤防火墙后，防火墙检查数据包的 有关头信息，例如i p 地址、端【：i 号等，然后和第一条规则匹配，如求匹配成功 则按照规则进行操作，4 ；i 耳匹配后续规则。所以，在访问控制列表t i l 姚则出现的 顺序至灭币喽。 访叫拎制刈表旧雕。“两种，j ： 0 邦州大学硕士学位论文 限制策略：接受受信任的数据包，拒绝其他所有数据包； 宽松策略：拒绝不受信任的数据包，接受其他所有数据包； 显然，前者相对保守，但相对安全。后者仅可以拒绝有限的可能造成安全隐 患的数据包，网络攻击者可以改变i p 地址轻松绕过防火墙，导致包过滤技术在 实际应用中的失效。所以，在包过滤防火墙的设置中一般都建议采用限制型包过 滤策略。 动态访问控制列表( 动态包过滤技术) 通过对包过滤技术进行改进和扩展可以实现对数据包的动态过滤。当配置了 动态访问控制列表，可以实现指定用户的i p 数据流临时通过防火墙，进行会话 连接。当动态访问控制列表被触发后，动态访问控制列表重新配置接口上的已有 的访问控制列表，允许指定的用户访问指定的口地址。在会话结束后，将接口 配置恢复到原来的状态。动态包过滤技术一般会结合身份认证机制进行实现。下 面我们给出一个动态包过滤访问控制列表工作原理的实例分析： 图2 - 5 动态访问控制列表工作原理图 第一步，用户发起一个到防火墙的1 c l n e t 会话，该防火墙已经配置了动态访 问控制列表。 第二步，防火墙接收到t c l n e t 数据包分组后，打开1 1 e l n c t 会话，提示用户输 入认证信息，并对用户身份进行验证。只有用户通过身份验证后，用户才能通过 防火墙访问内部网络，身份验证也可由其他安全认证服务器来完成。 第三步，通过身份认证后，用户退出t c l n e t 会话，防火墙访问控制列表内创 建一个临时条目。根据配簧，该临时条目可以限制用户i 临时访问的网络范围。 第四步，用户通过防火墙交换数据。 第五步，超过预设定超时时问( 啊m e o u t ) 后，防火墙将删除这个临时访问 控制列表规则，系统管理员也可以手动删除它。 状态包检查( s p i ，s t a t e f u ip a c k e ti n s d e c t i o n ) 技术 状态包检查技术又称为反射访问控制列表技术。反射访问控制列表能够动态 建立访问控制列表条目，在这些| | ； i 时条目中不仅包含必要的包过滤信息，还包含 丁网络会话的状态信息。这些临州舔 i 在新会话 始( 如内部主机向外部主机发 起连接请求) 时创建，胙n 会i ，乩求时被删除。 状态包检查的包过滤 术绀护lc q 络r i t 的会i 1 连接信息。防火墙对每个通i 1 邦州大学硕士学位论文 防火墙的数据包都要进行检查，看这些数据包是否属于一个已经建立的通过防火 墙的会话的延续，或者能否通过预设定包过滤规则集的检查。状态检测的包过滤 技术拒绝了那些设计允许的和已经在状态表中连接之外的所有连接。图2 7 一个 ：状态检测的包过滤防火墙的逻辑流程图。 图2 缶状态检测包过滤技术防火墙的工作逻辑流程图 根据上面原理分析，下面我们给出一个状态包检测包过滤防火墙的实例分 析，如图所示。 r i l 内一培 圈2 - 7 状态检查访问控制列表原理图 状态检测包过滤协议描述： 第一步，当一个内部主机与一个外部主机建立连接时，首先发送一个t c p s y n 包或u d p 数据包，包含目的球、目的端口号、源i p 和源端口号。 第二步，当内部主机发送的数据包通过状态检查包过滤防火墙时，防火墙将 在它的状态表中建立一条状态信息规则，源i p ：源端口号一一目的i p ：目的端 口号，然后将数据包发送到外部网络上。 第三步，外部主机返回请求响应时，防火墙从状念表中查找是否存在相应规 则。 第四步，如果寻找到匹配的状态信息，就让这个数据包通过；如果在状态表 中没有查找到匹配的状态规则，数据包就砖费放弃，因为它不是内部网络请求的。 第“步，当会话关闭协商数据包经过防火墙时( 通过查看t c p 数据包f i n 俺进行判断) ，或者在段延迟之后，这段延迟通常是几分钟，防火墙就将相应 f 向状态信息舰则从状态表中删除。这就保证了放弁的连接小会在状念表中留下漏 洲。， 4 。包过滤技术优缺点 郑州大学硕士学位论文 普通的包过滤技术一般允许网络内部和外部任意一方发起会话连接请求，不 检测t c p 报头中的顺序号( s y n ) 和确认号( a c k ) 数据域，不动态建立包过 滤规则，即不维护会话连接状态。在实际应用中，无状态检测的包过滤防火墙一 般简单地允许访问网络内部1 0 2 4 以上端口的所有数据包通过防火墙。因为1 0 2 4 以上端口号是内部主机访问外部网络服务时由主机系统自动分配的，显然这种方 式找出了极大的安全隐患，常被网络攻击者所利用。 即使状态检测的包过滤技术，在应用中依然存在着以下问题。 访问控制列表的配置和维护困难 包过滤技术的实现依赖于详细和正确的访问控制列表，访问控制列表的配置 有两种方式：限制策略和宽松策略。在实际应用中，对于一个大型的网络：由于 可信任的i p 数目巨大而且经常变动，而防火墙的安全性能和访问控制列表中的 配置规则出现的先后顺序有关，网络安全策略维护将交得非常复杂；基于i p 地 址的包过滤技术，即使采用限制型的防火墙包过滤策略也无法避免i p 地址欺骗 的攻击。 包过滤防火墙难以详细了解主机之间的会话关系 包过滤防火墙处于网络边界并根据流经防火墙的数据包进行网络会话分析， 生成会话连接状态表。由于包过滤防火墙并非会话连接的发起者，所以对网络会 话连接的上下文关系难以详细了解，容易受到欺骗。 基于网络层和传输层实现的包过滤防火墙难以实现对应用层服务的过滤 对于包过滤防火墙而言，数据包来自远端主机。由于防火墙不是数据包的最 终接收者，仅仅能够对数据包网络层和传输层信息头等控制信息进行分析，所以 难以了解数据包是由哪个应用程序发起。这也正是包过滤技术难以解决的问题之 2 9 2 网络地址翻译技术m n a = r ( n e ta d d r e s st r 柚s l a t i o n ，网络地址翻译) 的最初设计目的是用来增加 私有组织的可用地址空间和解决将现有的私有t c m p 网络连接到互联网上的i p 地址编号问题i l “。私有i p 地址只能作为内部网络号，不在互联网主干网上使用。 网络地址翻译技术通过地址映射保证了使用私有i p 地址的内部主机或网络能够 连接到公用网络。m 盯网关被安放在网络末端区域( 内部网络和外部网络之日j 的边界点 ：) ，并且在源自内部网络的数据包发送到外部网络之自h 把数据包的源 地址转换为唯一的i p 地址 刚绵地址翻译技术并非为防火墙而设计，它在解决i p 地址知缺的m 时提供 j 7 如p 能：内部l i 机地址隐减：网络负载均衡：网络地址交迭。l i - 址i 批 i 机 地川隐4 鲥 。j 特忡，他北川络地上f | = 翻泽技术成为了防火墙1 爻脱l l ，经常果川n i j 核心投 郑州大学砸： 学位论文 术之一。 2 9 3 网络代理技术1 2 1 包过滤技术在网络层实现数据包的拦截、分析和过滤等应用。代理( p r o x y ) 技术针对每一个特定应用，在应用层实现网络数据流保护功能，代理的主要特点 是具有状态性。代理能够提供部分与传输有关的状态，能完全提供与应用相关的 状态部分传输信息，代理也能够处理和管理信息。应用层代理使得网络管理员能 够实现比包过滤更严格的安全策略。应用层代理不用依靠包过滤工具来管理 i n t e m e t 服务在防火墙系统中的进出，而是采用为每种服务定制特殊代码( 代理 服务) 的方式来管理h i t c m e t 服务。显然，应用层代理可以实现网络管理员对网 络服务更细腻的控制。但是，应用代理的代码并不通用，如果网络管理员没有为 某种应用层服务在应用层代理服务器上安装特定的代码，那么该项服务就无法被 代理型防火墙转发。同时，管理员可以根据实际需要选择安装网络管理认为需要 的应用代理服务功能。 郑州大学硕士学位论文 第三章l i n u x 防火墙的工作原理 l i n u x 从1 1 内核开始就支持数据包过滤系统了。1 9 9 4 年底，从b s d 系统中 移植i p 船技术，u n u x 在2 0 内核中起用i p 所a d m 来操作内核包过滤规则；1 9 9 8 年，在i p m a d m 基础上进行功能增强扩展，“n 1 1 【在2 2 内核中使用i p c h a i n s 来 操作内核包过滤规则，i p c h a i l l s 的数据包过滤效果较好，近几年获得了较为广泛 的应用；2 0 0 1 年初，在n u x 最新公布的2 4 内核中提供了一套全新的包过滤 防火墙系统一一n e t f l l t c r m t a b l e s ，也被称为第三代i i i n u x 防火墙【1 3 1 4 ，1 5 l 。 n e 咖t e r 口t a b l e s 的产生源于口c h a i n s 的某些不合理性，球c h a i n s 没有提供传 递数据包到用户空间的框架，对数据包进行处理的代码都必须运行在内核空间， 而内核编程却非常复杂且只能用c 语言实现，容易出现错误并威胁内核稳定性。 它还有其它一些不足：透明代理实现复杂：不可能实现独立接口地址的数据包过 滤规则；伪装和数据包过滤都在通一个模块内实现，导致防火墙代码过于复杂； i p d l a i n s 代码既不是模块化又不易于扩展。基于此i j 虹开发者建立了全新的 n e t 丘l t e r 框架结构来实现职t a b l c s 数据包过滤。 3 1n e t 丘l t 哪p t a m e s 简介 n e t 衄t e r 是一种内核中用于扩展各种网络服务的结构化底层框架，其设计思 想是生成一个模块结构使之能够比较容易的扩展，它把新的特性加入到内核中并 不需要重新启动内核i 蚓。这样，可以通过简单的构造一个内核模块来实现网络新 特性的扩展，给底层的网络特性扩展带来极大的便利。、a b l c s 就是这样一个内 建在n e t f i l t c r 框架中的模块，它可以让用户访问内核过滤规则和命令。 包过滤功能是内嵌在内核中的一些关键的数据结构，是在内核中实现的。 i p t a b l c s 只是通过命令行来操纵这些数据结构而已，这些数据结构主要是一系列 的“表”( t a b l e s ) ，每个表包括若干“链”( c h a j n s ) ，每条链由若干条“规则”( m l e ) 和一个缺省“策略”( p o l i c y ) 构成。 在i p t a b l e s 防火墙中提供了三种策略) = ! j ! 则表：f - l i e r 、n a t 和m a n 西e ，缺省 表为f i | t e r ，这三种表功能各不相同，而且不f 的规则表中的规则链是不同的旧。 庄f i lc e r 表中包含了三个规则链：i n p u t 、o u t p u t 和f o r w a r d 链：在n a t 干m a n 剖e 炭中除了上述三种链，还包含p r e r o u t l n g 承ip o s t r o u t i n g 链。 mi p t a b l e sl 1i n p u t 和o u t p u t 谜仪j 、t 川j + 甥进入霸l 离 的数摒包，f o r 、a r d 郑州大学硕士学位论文 链只处理任何需要转发的数据包。 3 1 1f i l t e r 【1 蝴 图3 - 1n e i f i l t e 脚诅b k s 框架结构 f i l t e r 表是专门过滤包的，内建三个链，可以对包进行d r o p 、l d g 、a c c e p t 和r 玎e c t 等操作。f 0 刖悄r d 链过滤所有不是本地产生的并且目的地不是本 地的包，而m u t 恰恰针对那些目的地是本地的包，o u r p u t 用于过滤所有本 地生成的包。 3 1 2n a l t 【1 9 】 n 衄表的主要用处是网络地址转换。做过n j a t 操作的数据包的地址就被改 变了，这种改变是根据规则进行的。属于一个流的包只会经过这个表一次。 它包括p 脚i r r 玳g ，p o s l 限o i r r 烈g 和o u 耵u t 三个链。p 砌擞0 u t i n g 链的作用是在包冈i j 刚到达防火墙时改变它的目的地址。0 1 r r p u t 链改变本地产 生的包的目的地址。p o s n i r r 矾g 链在包就要离开防火墙之前改变其源地址。 如果需要，可以使用这些链来d r o p ，a c c e p t 或l o g 包。 有两种n 衄，源n 越( 第一个包的源被更改) 和目的n a t ( 第一个包的目 的被更改) 。由于n a t 工作方式的原因，源玎仅在p o s t r o u t i n g 链中工作， 目的n a = r 在p r e r o u t i n g 或o u l l p u t 链中工作。 3 1 - 3m a n g l e m a n 鲥e 表主要用来修改包头中的某些值，比如1 f f l ，t o s 或m a r k 。注意 m a r k 片没有真正的改动数据包，它只是在内核空州为包发了个标电。防火 墙内的je 他舰则或程序可以使用这种标记对包进行过滤或商级路。这个表有5 个内建f 门键：p r e r o u t l n g ，p o s t r o u t i n g ，0 u t p u t ，l n p u t 币l lf o r w a r d 。 p r e r o u t i n g 红也进入防火墙之后、路出判断之前改7 坚也，p o s t r o u t l n g 址 m 所h 削断之后。o u t p u t 在确定包的 f 的之胁ul _ 数圳也，i n p u t 扎也 郑州大学硕： ：学位论文 被路由到本地之后，但在用户空间的程序看到它止前改变包。f o r 、凇且d 在最初 的路由判断之后、最后一次更改包的目的之前修改数据包的包头。 3 2i p t a b l e s 防火墙命令参数口o 】 羲 注释 精加一规删刊隹是曲a i n 可为i 叫t ，州t p u t 、b d 在幢嘎插 指定规则 屯c c h l d e r u l _ r 鼠t 中赡着指定位置豫指定规肼 _ r ( c h i n ，h v l e n i _ b - 力 从描定位置瞢代指定境荆 魂宴指定t 中的规删 从指定t 中清棒捧艘崩如果没青措定硅尉漪尊所有撬州 从括窟硅中蔫空字节计蕞量 t 立一十羹的用户指宣琏 十用p 描宣鼙 为簋设一t “置略：d 日种、兢j e c r 舯琥 c c e 盯 表3 1 j p t a m 命令参数列表 舰车用竹进入蚪出一i 接d ，i 青t h 、仆1 i o ，p p 呻 一p ( 口肺t 畦0 1 ) 指定奉矗一适用的i p 协议知t 口、啪、i c 噜