（计算机应用技术专业论文）策略执行器及实现技术.pdf

湖北工业大学硕士学位论文 摘要 随着全球互联网相连，网络安全性在研究和工业化社会中已经赢得了极大的 关注。由于网络攻击的威胁日益增加，防火墙在企业网络、小型网络和家用网络 中正变得越来越重要了。防火墙是网络安全的核心组成部分，但是传统的边缘防 火墙只能对网络周边提供保护，而对网络内部的攻击( 特别是分布式拒绝服务攻 击) 无能为力。作为信息安全的传统技术，分布式防火墙在网络安全性方面占据 着十分重要的地位。分布式防火墙能够解决来自内部网络攻击这一问题，提供高 效网络安全。分布式防火墙的安全性很大程度上取决于过滤策略正确配置。过滤 策略异常可能导致分布式防火墙系统所保护的网络出现严重的访问漏洞。因此， 建立一个过滤策略异常检测模型，可以保证分布式防火墙过滤策略的完整性和一 致性，从而避免过滤策略的冲突。在这篇论文里，作者先从传统防火墙的特点入 手，分析了传统防火墙的作用和存在的问题，然后提出了分布式防火墙的概念， 描述了其体系结构、工作原理和特点，接着又介绍了防火墙的策略、策略执行器 的特点、功能及策略执行器的相关技术。重点介绍了过滤策略的配置和数据包捕 获程序的实现。最后以w i n d o w s 操作系统为例，开发工具使用w i n d o w s d d k 和 v c + + 6 0 ，利用中间驱动程序实现分布式防火墙的策略执行器的部分功能。 关键词：分布式防火墙，包过滤，策略执行器，n d i s 湖北工业大学硕士学位论文 a b s t r a c t w i t ht h eg l o b a li n t e r n e tc o n n e c t i o n t h es e c u r i t yo fc o m p u t e rn e t w o r kh a sg a i n e d s i g n i f i c a t i o na t t e n t i o ni nr e s e a r c ha n di n d u s t r i a lc o m m u n i t i e s d b et ot h ei n c r e a s i n g t h r e a to fn e t w o r ka t t a c k s ，f i r e w a l l sa r eb e c o m i n gm o r ea n dm o r ei m p o r t a n tn o to n l yi n e n t e r p r i s en e t w o r k sb u ta l s oi ns m a l h i z ea n dh o m en e t w o r k s f i r e w a l l sa r ec o r e e l e m e n t si nn e t w o r ks e c u r i t y h o w e v e r , t r a d i t i o n a lf i r e w a l lc a no n l yp r o t e c tt h ee d g eo f t h en e t w o r ka n di sh e l p l e s st oa g a i n s tt h ea t t r a c t i o n ( e s p e c i a l l yd d o s ) f r o mi n s i d e r a sa t r a d i t i o n a l t e c h n i q u eo fi n f o r m a t i o ns e c u r i t y , d i s t r i b u t e df i r e w a uh a st a k e nv e r y i m p o r t a n tp o s i t i o n t h ed i s t r i b u t e df i r e w a l lc a l lr e s o l v et h i sp r o b l e m f i r e w a l ls e c u r i t y , l i k ea n yo t h e rt e c h n o l o g y , r e q u i r e sp r o p e rm a n a g e m e n ti no r d e rt op r o v i d ep r o p e r s e c u r i t ys e r v i c e s t h es e c u r i t yo ft h ed i s t r i b u t ef i r e w a l li i e sd e e p l yo nt h ec o l t e c t c o n f i g u r a t i o no ff i l t e r i n gp o l i c y 1 n h ea n o m a l i e so ft h ef i l t e r i n gp o l i c yw i l lr e s u l ti n f a t e f u la c c e s sv u l n e r a b i l i t yo ft h en e t w o r kp r o t e c t e db yt h ed i s t r i b u t ef i r e w a l ls y s t e m s o am o d e lf o rd i s c o v e r i n ga n o m a l i e so fd i s t r i b u t ef i r e w a l lf i l t e r i n gp o l i c yj sm a d ei n o r d e rt oe n s u r et h ei n t e g r a l i t ya n dc o n s i s t e n c yo ft h ef i l t e r i n gp o l i c y t h e r e f o r ei ta v o i d s t h ec o n f l i c to ff i l t e r i n gr u l e i nt h i sp a p e r a tf i r s t 。a u t h o ri n t r o d u c e st h ec h a r a c t e ro ft h e t r a d i t i o n a lf i r e w a l la n di t se x i s t e n tp r o b l e m t h e np r o v i d e st h ec o n c e p t i o no fd i s t r i b u t e d f i r e w a l la n dd e s c r i b e si i sa r c h i t e c t u r ea n dp r i n c i p l e t h e n , i ti n t r o d u c e st h ec h a r a c t e ro f f i r e w a l la n dt h eo t h e rr e l a t i v et e c h n o l o g y i ti n t r o d u c e st h ec o n f i g u r a t i o no ff i l t e r i n g p o l i c ya n di m p l e m e n t a t i o no fg r a s p i n gd a t ap a c k e t a tl a s t ，a u t h o rt a k e sw i n d o w sd d k a n dv c + + 6 0a sa ne x p l o i t a t i o nt o o ju n d e rw i n d o w so p e r a t i n gs y s t e m u s i n gf u l l y i n t e r m e d i a t ed r i v e rt or e a l i z et h ep a r tf u n c t i o n so fd i s t r i b u t ef i r e w a l lr u l ee x e c u t e r k e y w o r d s ：d i s t r i b u t e df i r e w a l lp a c k e tf i l t e r , p o l i c ye x e c u t e r , n d i s 佩1 l 亡工繁火秀 学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工作所取 得的研究成果。除文中己经标明引用的内容外，本论文不包含任何其他个人或集体已经 发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在文中以明确方 式标明。本声明的法律结果由本人承担。 学位论文作者签名：纠埸日期：h 亨净月严日， 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权保留 并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授 权湖北工业大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采 用影印、缩印或扫描等复制手段保存和汇编本学位论文。 学位论文作者签名： 魄呻6 月 “a o 专 i 也日 指导教师签名： 日期：年月 日 1 1 引言 湖北工业大学硕士学位论文 第1 章绪论 2 0 世纪9 0 年代以来，计算机网络技术得到了飞速发展，信息的处理和传递突 破了时间和地域的限制，网络化与全球化成为不可抗拒的世界潮流，i n t e r n e t 己 进入社会生活的各个领域和环节，并愈来愈成为人们关注的焦点。随着计算机的 网络化和全球化，人们在日常生活中的很多活动将逐步转移到网络上来。主要原 因是因为网络交易的实时性、方便性、快捷性及低成本性。网络技术已经渗透到 人类的生产、科研、教育、军事、经济、贸易、医疗、社会管理、文化娱乐等社 会生活的方方面面，对人类生活和生产产生了巨大的影响。 信息技术的使用给人们生活、工作的方方面面带来了数不尽的便捷和好处。 然而，计算机信息技术业和其他科学技术一样是一把双刃剑。当大部分人们使用 信息技术提高工作效率，为社会创造更多财富的同时，另外一些人却利用信息技 术做着相反的事情。他们非法侵入他人的计算机系统窃取机密信息、篡改和破坏 数据，给社会造成难以估量的巨大损失。据统计，全球约2 0 秒钟就有一次计算机 入侵事件发生，i n t e r n e t 上的网络防火墙约i 4 被突破，约7 0 5 以上的网络信息 主管人员报告因机密信息泄露而受到了损失。 防火墙是一种必不可少的安全实施机制，它将不可信网络同可信网络隔离开。 防火墙筛选两个网络间所有的连接，决定哪些传输应该被允许，哪些应该被禁止。 防火墙的基本工作是隔离网络，采用策略集实施安全策略。最普通的防火墙特性 包括：用边缘防御使网络访问安全，控制所有的网络输入、输出连接，通过预先 定义的策略过滤数据，“认证”用户和应用程序以确保允许他们访问内部网，为安 全审计目的纪录行为，在可疑事件发生时积极通知可信任的人。 传统的边缘防火墙只能对企业网络的周边提供保护。这些边缘防火墙会在流量 从外部的互联网进入企业内部局域网时进行过滤和审查。但是，他们并不能确保 企业局域网内部的安全访问。例如，黑客入侵一台已经接入了企业局域网的计算 机，一旦获得这台计算机的控制权，他们便可以利用这台机器作为入侵其他系统 的跳板。最新一代的安全性解决方案将防火墙功能分布到网络的桌面系统、笔记 本计算机以及服务器p c 上。分布于整个公司内的防火墙使用户可以方便地访问信 息，而不会将网络的其他部分暴露在潜入的非法入侵者面前。凭借这种端到端的 湖北工业大学硕士学位论丈 安全性能，用户通过内部网、外联网、虚拟专用网还是远程访问所实现与企业的 互联不再有任何区别。分布式防火墙还可以使企业避免发生由于某一台端点系统 的入侵而导致向整个网络蔓延的情况发生，同时也使通过公共帐号登录网络的用 户无法进入那些限制访问的计算机系统。 1 2 国内外研究概况 防火墙技术领域中速度与安全一直是一对不可调和的矛盾。边界防火墙把检 查机制集中在网络边界的单一接入点，安全计算过度集中，大量的应用给检测、 过滤计算使防火墙的吞吐能力大幅下降，造成了网络访问的瓶颈问题。所以通常 高安全性的传统防火墙必须构成整个企业网的瓶颈。这降低了传统防火墙在大型 网络中的应用效能。 传统防火墙依赖于物理上的拓扑结构，它从物理上将网络划分为内部网络和外 部网络，网络内部的主机对于防火墙来说是不可见的。所以传统防火墙对于内部 主机对网络环境造成的威胁无能为力。而实际应用中，来自于内部的攻击往往会 造成更加严重的后果。另外一点影响了防火墙在虚拟专用网( v p n ) 上的应用，因 为根据v p n 的概念，它对内部网络和外部网络的划分是基于逻辑上的，而逻辑上 同处内部网络的主机可能在物理上分处内部和外部两个网络。传统意义上的防火 墙拥有单一的接入点，这个唯一的接入点对内部网络和外部网络之间的信息传递 进行控制。从性能的角度来说，防火墙检易成为网络流量的瓶颈：从网络的可达 性的角度来说，防火墙也是整个网络中的一个脆弱点。此外，传统防火墙对于主 机的身份识别一般都基于i p 地址，因而一些内部主机和服务器的i p 地址的变化 将导致设置文件中的策略改变，也就是说这些策略的设定受网络拓扑的制约。为 了解决传统防火墙的不足，学术界和业界提出了分步式防火墙的概念。a t & t 的 s t e v e nm b e l l o v i n 最初论述了分布式防火墙概念。它不仅保留了传统防火墙的 原有优点，而且能够克服前面所述的那些缺点。在分布式防火墙系统中，安全策 略仍然集中定义。但其执行策略分布在各节点上，这样一来，在保留传统防火墙 优点的同时也避免了它的一些弱点。 1 3 论文研究内容 防火墙已经是一种成熟的网络安全产品，分布式防火墙的概念也己提出一段 时间了，目前市场上也出现了一些比较成熟的分布式防火墙软、硬件产品。但关 2 湖北工业大学硕士学位论文 于分布式防火墙实现的很多方面的研究工作还是处于百家争鸣。本文在阅读大量 国内外文献、资料的基础上，对分布式防火墙的实施方案及各项安全技术进行了 探讨，同时对分布式防火墙的策略执行器做了系统的分析，并对系统各模块的设 计及实现做了详细的研究。 在对网络层的实施机制分析的基础上，本文针对分布式防火墙概念中存在的 问题进行了进一步的研究。首先介绍了传统防火墙的存在问题，提出了分布式防 火墙的概念和结构，然后分析了分布式防火墙软硬件方案的各自优缺点，最后介 绍了软件解决方案的设计和实现。 1 4 论文结构 全文共分五章，各章内容如下： 第一章：绪论，介绍了课题的背景、国内外的基本状况和课题实现的意义以及 论文的主要内容和结构； 第二章：分布式防火墙，介绍传统边界防火墙及其缺点，分布式防火墙的概念 和体系结构，以及分布式防火墙的优点和相关技术； 第三章：介绍了防火墙的策略，策略执行器的特点、功能及相关技术； 第四章：介绍了策略执行器的方案选择和要求； 第五章：给出了基于包过滤的策略执行器的具体实现； 第六章：结论。 湖北工业大学硕士学位论文 2 1 防火墙慨述 第2 章分布式防火墙 防火墙原是指建筑物大厦里用来防止火灾蔓延的隔断墙。互联网防火墙服务 的原理与其类似，它用来防止来自外部网络的各类危险传播到你的专有网内。事 实上，防火墙用于多个目的： ( 1 ) 限制访问从一个特别的节点进入； ( 2 ) 防止攻击者接近防御措施： ( 3 ) 限定访问从一个特别的节点离开； ( 4 ) 有效的阻止入侵者对内部网络中的计算机系统进行破坏。 因特网防火墙通常置于内部网络和因特网的连接节点上。所有来自因特网的信 息或从内部网络发出的信息都必须穿过防火墙。因此防火墙才能确保诸如电子邮 件、远程登录、文件传输或在特定系统间的信息交换的安全。因此防火墙的核心 思想是在不安全的i n t e r n e t 环境中构造一个相对安全的子网环境，其目的是保护 一个网络不受另一个网络的攻击。通常说来，被保护的网络属于自己，而要防备 的外部网络是不可信赖的。1 。对来自外部网络的攻击，必须保证如下两点： ( 1 ) 拒绝未经授权的用户访问，阻止未经授权的用户存取敏感数据。 ( 2 ) 允许合法用户不受妨碍的访问网络资源。 2 1 1 防火墙的几项技术 防火墙是非常有效的网络安全模型，它阻止因特网上的危险传播到你的网络 中。逻辑上，防火墙是分离器、限制器、分析器。防火墙的物理实现方式可以不 同。通常，防火墙是一组硬件设备：路由器、主计算机，或者是路由器、计算机 和配有适当软件的网络的多种组合。有各种各样的方法配置这些设备，配置将依 赖网点的特殊安全策略、资金预算以及全面规划等。防火墙是网络安全政策的有 机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安 全的有效管理。1 。大体上，防火墙包括以下几种技术： 4 湖北工业大学硕士学位论文 ( 1 ) 包过滤技术( ( i pf i l t e r i n go rp a c k e tf i l t e r i n g ) 采用这种技术的防火墙 产品，其原理在于监视并过滤网络上流入流出的i p 包，拒绝发送那些可疑的包。 由于i n t e r n e t 与i n t r a n e t 的连接多数都要使用路由器，所以路由器成为内外连 通的必经端口。 ( 2 ) 应用网关( a p p l i c a t i o ng a t e w a y ) 通常由一台专用计算机来实现，这台机器是内外网络连接的桥梁，是内外联络 的唯一途径，起着网关的作用，这台机器也被称为( ( b a s t i o nh o s t ) 堡垒主机。在 应用网关上运行应用代理程序( a p p l i c a t i o np r o x y ) ，一方面代替原来的服务器程 序，与客户程序建立连接，另一方面代替原来的客户程序，与服务器建立连接， 使得合法用户可以应用网关安全地使用i n t e r n e t 服务，而对非法用户的请求将不 予理睬。 ( 3 ) 代理服务 代理服务向一些标准的服务或应用提供代理，代理服务器接收客户请求后会检 查并验证其合法性，如合法，它将作为一台客户机向真正的服务器发送请求并取 回所需的信息，最后再转发给客户。它将内部系统与外界完全隔离开来，从外面 只能看到代理服务器而看不到任何内部资源，而且代理服务器只允许被代理的服 务通过，而其他服务将完全被封锁住。 ( 4 ) 电路层网关 电路层网关在两个主机首次建立t c p 连接时建立起一道屏障。它首先作为服务 器接受外来请求，与被保护的主机连接时则担当客户机角色，起到一定的代理服 务作用，它监视两主机建立连接时的握手信息，如s y n ，a c k 和序列数据等是否合 乎逻辑，判断该会话请求是否合法。而一旦会话连接有效后，该网关仅复制、传 递数据，不再进行任何过滤。 ( 5 ) 状态检测 状态检测技术将动态记录、维护各个连接的协议状态，并在网络层对通信的各 个层次进行分析、监测，以决定是否允许通过防火墙。它可以被认为是包过滤技 术和应用网关技术的折衷和融合。 ( 6 ) 自适应代理技术 这是一种新的防火墙技术，在某一程度上反映了目前防火墙技术的发展动态。 该技术可以根据用户定义的安全策略，动态适应传送中的分组流量。如果安全要 5 湖北工业大学硕士学位论文 求较高，则最初的安全检查仍在应用层，以保证实现传统代理防火墙的最大安全 性：而一旦代理明确了会话的所有细节，那么其后的数据包可以直接经过速度快 的多的网络层。这样一来，该技术就兼备了代理技术的安全性和状态检测技术的 高效率。 2 1 2 传统防火墙的缺陷 在利用防火墙的各种益处的同时也应该意识到防火墙的局限，有时防火墙会给 人一种虚假的安全感，导致在防火墙内部放松安全警惕。而许多攻击正是内部犯 罪，是任何基于边界的防范措施都无能为力的。传统防火墙由于通常在网络边界 站岗，又名“边界防火墙”，如果说他对于来自外部网的攻击还算得上是称职的卫 士的话，那么对于8 0 9 6 来自内网的攻击他就显得心有余而力不足了。传统的边界防 火墙要求网络对外的所有流量都经过防火墙，而且它基于一个基本假设：防火墙 把一端的用户看成是可信任的，而另一端的用户则被作为潜在的攻击者对待“1 。这 样边界防火墙会在流量从外部的互联网进入内部局域网时进行过滤和审查。但是 这并不能确保局域网内部的安全访问。 边界防火墙在拓扑结构简单的中小型网络上工作的很好，但网络发展的几个新 趋势使得它有点过时了： ( 1 ) 结构性上受限制 边界防火墙的工作机理依赖于网络的物理拓扑结构。但随着越来越多的企业利 用互联网构架自己的跨地区网络，例如家庭移动办公和服务器托管越来越普遍， 所谓内部企业网己经变成一个逻辑上的概念；另一方面，电子商务的应用要求商 务伙伴之间在一定权限下可以进入到彼此的内部网络，所以说，企业网的边界已 经是一个逻辑的边界，物理的边界日趋模糊，边界防火墙的应用受到了愈来愈多 的结构性限制。 ( 2 ) 内部不够安 边界防火墙设置安全策略的一个基本假设是：网络的一边l i p # t - 部的所有人是不 可信任的，另一边即内部的所有人是可信任的。但在实际环境中，8 0 的攻击和越 权访问来自于内部，也就是说，边界防火墙在对付内部网络安全威胁时束手无策。 ( 3 ) 效率不高、故障点多 边界防火墙把检查机制集中在网络边界的单点，造成了网络访问的瓶颈问题， 这也是目前防火墙用户在选择防火堵产品时不得不首先考察其检测效率，而安全 6 湖北工业大学硕士学位论文 机制不得不放在其次的原因。边界防火墙厂商也在不遗佘力地提高防火墙单机处 理能力，甚至采用防火墙群集技术来解决这个边界防火墙固有的结构性问题；另 外，安全策略的复杂性也使效率问题雪上加霜，对边界防火墙来说，针对不同的 应用和多样的系统要求，不得不经常在效率和可能冲突的安全策略之间权衡利弊 取得折衷方案，从而产生了许多策略性的安全隐患；最后，边界防火墙本身也存 在着单点故障危险，一旦出现问题或被攻克，整个内部网络将会完全暴露在外部 攻击者面前。 2 2 分布式防火墙的概念 针对传统边界防火墙的缺欠，学术界和业界提出“分布式防火墙”。1 的概念。 从狭义和与边界防火墙产品对应来讲，分布式防火墙产品是指那些驻留在网络中 主机如服务器或桌面机并对主机系统自身提供安全防护的软件产品；从广义来讲， 。分布式防火墙”是一种新的防火墙体系结构“1 。在分布式防火墙中，仍然有中心 定义策略，但由各个分布在网络中的端点( 网络中的主机、路由器等) 实施这些策 略，系统将中心策略传播到所有端点”1 。可以以任用书的形式提供给用户让他们在 与主机通讯时使用它，也可以将两种形式结合起来，端点问互相信任的程度有策 略定义。 2 2 1 分布式防火墙的体系结构 安全中心( s c ) ：主要负责策略的制定和发送； 被保护主机( s h ) ：最终接受并执行安全策略的主机； 策略执行器( r p m ) ：是一个中间机构，从上层机构获取策略，向下层机构( 下 层被保护机或是下层的策略执行器) 发送策略； 策略描述语言( r l ) ：用来描述哪些连接是允许的，哪些连接是是禁止的。分 布式防火墙的体系结构如下图所示： 图2 1 分布式防火墙体系结构 湖北工业大学硕士学位论文 安全中心对应的不只是一组被保护主机，而可能包含不同安全级别的用户组， 即安全组( 对安全级别要求相似的受保护主机在逻辑上的一种分组) 。从而，整 个安全中心机构以下以一种树的形式进行管理。安全中心机构只对其直属主机进 行保护，每个直属主机又可以有多个下属分支，以达到对每一个合法用户的所有 安全要求的满足。不同的用户依据不同安全要求级别，将其分散到不同的组别中， 通过各个组别的上级节点进行直接的安全策略的发送，以达到安全保护，解决了 传统防火墙带来的网络流量瓶颈和内部攻击问题。分布式防火墙的工作原理：首 先由制定防火墙接入控制策略中心通过编译器将策略语言描述的策略转换成内部 格式，形成策略文件，然后控制中心采用系统管理工具把策略文件分发给各台内 部主机，各台内部主机根据新的策略文件来确定是否接受收到的包0 1 。 2 2 2 一个分布式防火墙系统实现的三个基本功能 安全策略的描述及定义机制。分布式防火墙必须具有一个作为系统策略中心 的模块，用来定义策略，策略中心需要一种策略语言( 如k e y n o t e 语言) 来描述 连接合法与否。 安全策略的分发机制。这个分发机制必须安全，在策略的传输过程中必须保 证其一致性。可以使用i p s e c 来保证传输过程中数据的安全和主机的认证。安全 策略的分发机制可以采用三种不同的原则，即实时分发原则、定时更新原则以及 即时读取原则。 安全策略的执行机制。这个机制对进入的包以及连接请求根据安全策略实施 安全控制，决定接受还是拒绝。 根据防火墙所需完成的功能，新的防火墙体系结构应包括：( 1 ) 网络防火墙： 用于内网与外网之间，内部各子网之间的防护。( 2 ) 主机防火墙：对网络中的服 务器和桌面机进行保护。( 3 ) 中心管理：负责总体安全策略的策划、管理、分发 及日志的汇总。 2 2 3 分布式防火墙的主要功能 ( 1 ) i n t e r n e t 访问控制 依据工作站名称、设备指纹等属性，使用i n t e r n e t 访问策略控制该工作站或 工作站组在指定时间段内是否允许访问模板或网址列表中所规定的i n t e r n e tw e b 服务器，某个用户可否基于某工作站访问w w 服务器，同时当某个工作站用户达 到规定流量后确定是否断网。 ( 2 ) 应用访问控制 8 湖北工业大学硕士学位论文 通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、 端口、协议的逐层包过滤与入侵监测，控制来自局域网i n t e r n e t 的应用服务请求。 ( 3 ) 网络状态监控 动态报告当前网络中所有用户登陆、i n t e r n e t 访问、内网访问、网络入侵事 件等信息。 ( 4 ) 黑客攻击的防御 抵御包括s m u r f 拒绝服务攻击、a r p 欺骗式攻击、p i n g 攻击、t r o j a n 木马攻 击等在内的来自网络内部以及来自i n t e r n e t 的黑客攻击手段。 ( 5 ) 日志管理 对工作站协议策略日志、用户登陆事件日志、用户i n t e r n e t 访问日志、指纹 验证策略日志、入侵检测策略日志的记录与查询分析。 ( 6 ) 系统工具 系统层参数的设定、策略配置信息的备份与恢复、流量统计、模板设置、工 作站管理等。 2 2 4 分布式防火墙的主要优势 在新的安全体系结构下，分布式防火墙可以在网络的任何交界和节点处设置 屏障，从而形成了一个多层次、多协议，内外皆防的全方位安全体系“。其主要 优势如下： ( 1 ) 增强的系统安全性：增加了针对主机的入侵检测和防护功能，加强了对 来内部攻击防范，可以实施全方位的安全策略。最新的分布式防火墙将防火墙功 能分布到网络的各个子网、桌面系统、笔记本计算机以及服务器p c 上。分布于整 个企业内的分布式防火墙使用户可以方便地访问信息，而不会将网络的其他部分 暴露在潜在非法入侵者面前。凭借这种端到端的安全性能，用户通过内部网、外 联网、虚拟专用网还是远程访问所实现与企业的互联不再有任何区别。分布式防 火墙还可以使企业避免发生由于某一台端点系统的入侵而导致向整个网络蔓延的 情况发生，同时也使通过公共帐号登录网络的用户无法进入那些限制访问的计算 机系统。另外，由于分布式防火墙使用了i p 安全协议，能够很好地识别在各种安 全协议下的内部主机之间的端到端网络通信，使各主机之间的通信得到了很好的 保护。所以分布式防火墙有能力防止各种类型的攻击。特别在当我们使用i p 安全 协议中的密码凭证来标志内部主机时，基于这些标志的策略对主机来说无疑更具 可信性。 ( 2 ) 提高了系统性能：消除了结构性瓶颈问题，提高了系统性能。 9 湖北工业大学硕士学位论文 传统防火墙由于拥有单一的接入控制点，无论对网络的性能还是对网络的可 靠性都有不利的影响。分布式防火墙则从根本上去除了单一的接入点，而使这一 问题迎刃而解。另一方面分布式防火墙可以针对各个服务器及终端计算机的不同 需要，对防火墙进行最佳配置，配置时能够充分考虑到这些主机上运行的应用， 如此便可在保障网络安全的前提下大大提高网络运转效率。 ( 3 ) 系统的扩展性：分布式防火墙随系统扩充提供了安全防护无限扩充的能 力。 因为分布式防火墙分布在整个企业的网络或服务器中，所以它具有无限制的 扩展能力。随着网络的增长，它们的处理负荷也在网络中进一步分布，因此它们 的高性能可以持续保持住，克服了传统防火墙因网络规模增大而不堪重负的弊端。 ( 4 ) 实施主机策略：对网络中的各节点可以起到更安全的防护。 传统防火墙大多缺乏对主机意图的了解，通常只能根据数据包的外在特性来 进行过滤控制。攻击者很容易伪装成合法包发动攻击，攻击包除了内容以外的部 分可以完全与合法包一样。分布式防火墙由主机来实施策略控制，主机对自己的 意图有足够的了解，所以分布式防火墙依赖主机作出合适的决定就能很自然地解 决这一问题。 ( 5 ) 应用更为广泛，支持v p n 通信。 分布式防火墙最重要的优势在于，它能够保护物理拓扑上不属于内部网络， 但位于逻辑上的内部网络的那些主机，这种需求随着v p n 的发展越来越多”“。分 布式防火墙的建立本身就是基本逻辑网络的概念，因此对它而言，远程内部主机 与物理上的内部主机没有任何区别，避免了内外部主机双方直接通信时需绕过防 火墙的发生。 2 3 分布式防火墙的相关技术和模型 2 3 1 分布式防火墙的技术 ( 1 ) 网络边界 在过去很长时间内，网络拓扑结构很简单，网络边界很容易定义，就是内部网 络与因特网( 或外部网络) 交界的点，而所有物理上位于局域网内部的主机都被称 为内部主机，拥有几乎相同的权限。特别是对那种只有唯一一个出口的网络，网 络边界就是网关。但随着网络的发展，事情不再是那么简单了。网络发展的新趋 势使得本来对于内部网、外部网和网络边界的义都不再适用： 湖北工业大学硕士学位论文 ( 2 ) 远程办公 随着网络在人们生活中的迅速普及，公司员工在家中上网的人越来越多，甚至 有人可以不到公司去而直接在家中办公，同时搏用因特网与公司进行联系。还有 一种情况，就是出差在外的员工大都携带笔记本电脑，并时常使用拨号上网与公 司服务器通信。这给网络安全管理里带来两个问题：一是远程办公者的主机常常 不在公司网络安全管理员的管理之下。二是远程办公者往往要求对公司服务器的 较高的访问权限，而传统的边界防火墙一般只通过i p 地址识别该主机，这些都会 引起安全问题。 ( 1 ) e x t r a n e t e x t r a n e t 是一个可为外部用户提供选择性服务的i n t r a n e t ，它是一个使用 i n t e r n e t i n t r a n e t 技术使企业与其客户和其它企业相连来完成其共同目标的合 作网络。 ( 2 ) i p s e c i p s e e ( i n t e r n e t 协议安全) 是一个工业标准网络安全协议，为i p 网络通信提 供透明的安全服务，保护t c p i p 通信免遭窃听和篡改，可以有效抵御网络攻击同 时保持易用性。i p s e c 有两个基本目标：保护数据包安全；为抵御网络攻击提供保 护措施。 ( 3 ) k e y n o t e 信任管理系统 任何安全系统的建立都依赖于系统用户之间存在的各种信任形式，网络安全也 是一样。不同的问题有不同的信任形式存在，用以在特定的条件下减小风险。目 前的网络安全解决方案中，多采用两种信任形式，一种是第三方信任，另一种是 直接信任。 在防火墙系统中，信任管理是指用来统一定义和解释安全策略之信任书和关系 的方法。k e y n o t e 信任管理系统是由宾夕法尼亚大学和a t & t 实验室合作开发的， 它被设计为可以在各种大小型的基于因特网的应用程序上运行良好的简单灵活的 系统。它提供了一个定义策略和信任书的统一的语言。 ( 4 ) a g e n t 技术 a g e n t 是超越面向对象、客户服务器系统的最新信息系统模式。a g e n t 一词主 要有两个解释，一是对环境的认识以及对环境产生作用的行为者，二是代理人。 a g e n t 是计算机软件代表客户以主动方式完成一定操作的计算机实体。一般来说， 1 1 湖北工业大学硕士学位论文 具有以下性质的计算机硬件或软件系统可以称为a g e n t ：自主性a g e n t 能在没有人 或其他a g e n t 干预的情况下运行，并有某些控制其动作和内部状态的能力。 社会性又叫交互性，a g e n t 能通过某种通信语言与其他的a g e n t ( 包括人机) 进 行交互。a g e n t 能察觉其它环境并实时响应环境中发生的变化。预动性又叫主动性， a g e n t 不仅是响应环境而动作，而且它能采取主动，显示出面向对象的表现。 图2 2a g 衄t 模型 a g e n t 已经融入主流计算机的各个领域，产生了一系列新的思想、方法、技术， 各种类型的软件a g e n t 大量用于信息处理、办公自动化、交通处理、私人助手等， 特别是i n t e r n e t 和w 肼的出现，为a g e n t 技术的充分发展带来了有利条件和挑战。 2 3 2 分布式防火墙的几种模型 ( 1 ) 基于k e y n o t e 的分布式防火墙模型 美国宾夕法尼亚大学计算机与信息科学系由一个叫做s t r o n g m a n 的项目在 k e y n o t e 的基础上构建“下一代安全信息基础结构”，其中包括一个基于k e y n o t e 的分布式防火墙系统“。它的原型系统由三个部分组成：一个实现执行机制的内 核扩展集合、一个实现分布式防火墙策略的用户级守护进程和一个用于内核和策 略收回进程间双向通信的设备驱动程序。 ( 2 ) 基于i p s e c 的分布式防火墙模型 美国国家工程学院的s t e v e n 教授描述了一个基于i p s e c 的分布式防火墙模型， 它使用和i p s e c 一起的加密证书名称标示网络主机，完全摒弃了以往使用i p 地址 标识主机的方法。 湖北工业大学硕士学位论文 该模型由三个部分组成，一个系统管理模块，一个翻译模块，一个主机策略执 行模块。网络安全管理员使用系统管理模块来管理所有的主机，定义安全策略， 还可以向主机分发新的防火墙软件或安装补丁。 安全管理员根据主机标识符定义安全策略，然后将定义好的安全策略使用翻译 器编译成某种环境的内部格式送出。策略被分发到参与分布式防火墙的各个主机 上，由主机策略执行模块负责执行。 ( 3 ) 基于a g e n t 的分布式防火模型 华中师范大学计算机网络和通信研究所的杨毅坚等人提出基于a g e n t 的分布 式防火墙模型。该模型基于一对多的体系结构，由一个中心服务器和多个分布在 不同主机上的代理子系统组成。中心服务器有四部分组成：审计库( 包含各种安全 策略和安全防护代码) 、分类引擎、消息队列和多个审计代理。每个代理子系统也 是由四部分组成：消息队列、入侵检测代理、策略执行器和c o d e b r o k e r 。 2 4 分布式主动型防火墙 分布式防火墙对拒绝服务攻击不能有效地防止。拒绝服务攻击是目前最容易实 施的攻击行为( 利用合理或不合理的服务请求来占用过多的服务资源，致使服务 超载，无法响应其它的请求) 。而分布式拒绝服务攻击( d d 。s ) 是更为严重的攻 击( 利用分布的多台主机同时提出大量的请求，从而迅速地占用服务器的资源) 。 分布式防火墙采用i p s e c 方法对内部通信进行身份认证，需要消耗相对多的时间 在密钥计算、比较上，因此，更容易受到来自内部网络的拒绝攻击。例如，网络 安全管理员制定了一条策略：“甲的网页只向乙开放，其它人不允许访问”，描述 为( 这里用k e y n o t e 对策略“”进行描述) ： ( r e q u e s t e r = “乙”p r o t o = “h t t p ”) 一 “t r u e ” 之后发放给甲，甲根据这个策略判断所有的请求。这时，丙不停地向甲提交 访问网页的请求，甲就得持续认证丙的请求，甲的c p u 时间将耗在频繁的验证上， 造成甲主机的瘫痪。 因为分布式防火墙采取的是一种被动的防守：甲判断请求再处理请求，防守 点在服务器，造成了服务方的忙碌。如果采用主动的方式来避免这种拒绝服务攻 击，对于前面提到的策略：“甲的网页只向乙开放，其他人不允许访问”，可以 描述为两部分： ( 1 ) ( r e q u e s t e r = “乙”p r o t o = “h t t p ”) 一 “t r u e ” 一 湖北工业大学硕士学位论文 # 请求者为乙，协议是h t t p 时，可以通过。 ( 2 ) ( t a r g e t = “甲”p r o t o = “h t t p ”) 一 “f a l s e ” # 目标为甲，协议是h t t p 时，禁止通过。 第一条策略发放给甲，第二条策略发放给除甲、乙之外的其他成员。这样， 丙在向甲提交非法请求时，请求会在经过丙自己的防火墙时被认为非法，然后丢 弃。即使丙能把自己1 0 0 的c p u 都用在发送非法请求上，他的请求一个也不会到 达甲。 分布式主动型防火墙能有效地防止内部拒绝服务攻击。 1 4 湖北工业大学硕士学位论文 第3 章防火墙策略、策略执行器及相关技术 3 1 防火墙网络策略 防火墙策略1 1 4 】是防火墙的主要组成部分，网络策略有高级、低级策略二种。 这二种策略会直接影响防火墙系统的设计、安装和使用。其中高级策略是一种发 布专用的网络访问策略，它用来定义那些由于受限的网络许可或明确拒绝的服务， 如何使用这些及这种策略的例外条件。低级策略描述防火墙实际上如何尽力限制 访问，并过滤在高层策略所定义的服务。下面简要介绍这二种策略。 ( 1 ) 服务访问策略 服务访问策略应集中于因特网专用的使用问题，或许也应集中于所有外部网 络访问问题( 即拨入策略及s l i p 和p p p 连接) 。这种策略应当是整个机构有关保护 机构信息资源策略的延伸。要使防火墙取得成功，服务访问策略必须既切合实际， 又稳定可靠，而且应当在实施防火墙前草拟出来。切合实际的策略是一种平衡的 策略，既能保护网络免受已知风险，又能使用户利用网络的资源。如果防火墙拒 绝或限制服务，那么，它通常需要服务访问策略有力量来防止防火墙的访问控制 措施不会受到带针对性的修改，只有一个管理得当的、稳定可靠的策略才能做到 这一点。防火墙可以实施各种不同的服务访问策略。一个典型的政策可以不允许 从因特网进行某些访问，但是允许可访问经过选择的系统，如信息服务器和电子 邮件服务器。防火墙常常实施允许某些用户从因特网访问经过选择的内部主机系 统的服务访问策略，但是，这种访问只是在必要时，与先进的验证措施结合时才 允许进行。 ( 2 ) 防火墙设计策略 防火墙设计策略是防火墙专用的，用于实施服务访问策略的规则。通常，防 火墙的设计有二个基本的策略“”：允许访问除明确拒绝以外的任何一种服务； 拒绝访问除明确许可以外的任何一种服务。实施第一个策略的防火墙允许所有 服务通过默认进入网点，但服务访问策略己确定不许可的那些服务另作别论。实 施第二个策略的防火墙通过拒绝所有服务，但使已认定许可的那些服务通过。第 二个策略是可以参照信息安全性领域所使用的传统访问模式。第一种策略可为避 开防火墙提供更多的手段。例如，用户可以访问当前的策略不拒绝的，甚至由策 略许可的新服务，或者在策略不拒绝的非标准t c p u d p 端口上执行拒绝的服务。某 湖北工业大学硕士学位论文 些服务( 如x w i n d o w s 、f t p 、a r c h i e 和r p c ) 不能方便地过滤掉，而能被实施第一 种策略的防火墙更好地容纳进来。第二种策略更加有力，更加安全，但实施起来 比较困难，而且可能会影响更多用户。因为，某些服务可能不得不加以封锁，或 者受到更大的限制。 3 2 策略执行器的特点和功能 分布式防火墙中最具特色的就是它的策略执行器，策略执行器是真正行使保护 断点主机的职责的程序，主要完成传统的防火墙功能，另外还要实现与管理中心 通信、处理远程端点的建立通信连接的请求等功能“。因此策略执行器具有以下 几个特点“”： ( 1 ) 延伸到网络末端 策略执行器的重要特征是驻留在被保护的主机上，该主机以外的网络不管是处 在内部网还是外部网都认为是不可信任的，因此可以针对该主机上运行的具体应 用和对外提供的服务设定针对性很强的安全策略。策略执行器对分布式防火墙体 系结构的突出贡献是，使安全策略不仅仅停留在网络与网络之间，而是把安全策 略推广延伸到每个网络末端。 ( 2 ) 嵌入操作系统内核 策略执行器运行在主机上，所以其运行机制是策略执行器的关键技术之一。为 了自身的安全和彻底堵住操作系统的漏洞，策略执行器的安全监测核心引擎要以 嵌入操作系统内核的形态运行，直接接管网卡，把所有数据包进行检查后再提交 给操作系统。为实现这样的运行机制，除防火墙厂商自身的开发技术外，与操作 系统厂商的技术合作也是必要的条件，因为这需要一些操作系统公开内部技术接 口。实现这种嵌入式运行模式的策略执行器要受到操作系统安全性的制约，存在 着明显的安全隐患。 ( 3 ) 类似个人防火墙 个人防火墙是在分布式防火墙之前就出现的一类防火墙产品m c 将个人防火墙 定义为成本在1 0 0 美元以下，以一般消费者和小企业为客户群，通过c a b l e 或d s l 调制解调器实现高速不间断连接的独立产品。分布式针对桌面应用的策略执行器 与个人防火墙有相似之处，如它们都对应个人系统，但其差别又是本质性的。首 先它们的管理方式迥然不同，个人防火墙的安全策略由系统使用者自己设置，目 1 6 湖北工业大学硕士学位论文 标是防外部攻击；而针对桌面应用的策略执行器的安全策略则由整个系统的管理 员统一安排