（计算机软件与理论专业论文）在ipv6下对防火墙可靠性的研究与改进.pdf

重庆大学硕士学位论文中文摘要 摘要 上世纪中期，计算机的出现给人类的生活带来了翻天覆地的变化，网络的发 展速度更令人叹为观止。计算机网络具备分布广域性，体系结构开放性，资源共 享性和信道共用性的特点，这些特点在增加了网络实用性的同时，也不可避免地 给系统带来了脆弱性和危险性等一系列让人们不得不担心的问题，使其面临严重 的安全隐患。同时，i p v 4 的许多不足也已经逐渐显露出来，如口地址严重缺乏、 不能提供多媒体服务、不支持移动用户等。其中最迫切需要解决的就是m 地址不 足及骨干路由器中路由表过于庞大等问题。为了解决这些问题，i e t f 制定了新一 代的口协议：i p v 6 协议。 可以肯定地说，m v 6 将成为今后i n t e m e t 的主导。但同时，口v 6 的网络安全问 题也同样摆在人们面前。防火墙这一强有力的网络安全工具己在m v 4 网络得到广 泛的应用，但可以应用在i p v 6 网络中防火墙工具还很少，这也是本论文的研究背 景之一。 通过查阅大量的资料可以发现现有的许多l i n u x 防火墙的过滤规则匹配算法 都采用的是顺序查找。但是，顺序查找算法在处理大规则集时，其匹配效率下降 得很快，尤其是i p v 6 的地址空间巨大，使得包过滤的效率更低。因此可以得出如 下结论：对过滤规则的顺序查找是防火墙的性能瓶颈，也是系统对口包处理的性 能瓶颈。也就是说防火墙的可靠性并不是百分之百的。 基于此，本文以增强防火墙的可靠性为目的，在深入分析了现有的几种包分 类算法的基础上，提出一种基于二叉树的过滤规则快速匹配算法，本算法采用t r i e 数据结构存储过滤规则表，并且只在叶节点存储相应的规则，因此可以节省存储 空间。规则的匹配项一般包括源地址、目的地址、源端口、目的端口和协议类型 五项，在本算法中，对规则的匹配采用先分解再综合的思路，即分别各自匹配规 则项，再把得到的结果综合找交集，得到该数据包所对应的匹配规则，防火墙就 可以根据该规则对数据包做出相应的处理。通过对顺序匹配过滤规则算法的改进， 提高了防火墙的规则匹配速度和系统吞吐量，达到了增强防火墙的可靠性的目的。 并对l i n u x 下的锁所带来的效率问题和丢包问题进行了深入研究，根据本算法的特 点设计了锁在算法中的具体使用方法。此外，本文还分析了数据包过滤技术的另 一个问题：规则冲突，给出了一个规则冲突的理论分析和查找算法。实验证明该算 法能准确地检测出相互冲突的过滤规则。 本文在对防火墙的算法和性能进行分析的基础上，完成了在口v 6 网络下的快 速过滤规则匹配算法和规则冲突查找算法的设计和实验。基于现有的防火墙开发 重庆大学硕士学位论文 中文摘要 技术，对改进和提高坤v 6 下防火墙的可靠性作了有益的尝试。 关键词：i p v 6 ，防火墙，l i n u x ，过滤规则 重庆大学硕士学位论文 英文摘要 a b s t r a c t i nt h em i d d l eo f l a s tc e n t u r y , t h ec o m p u t e r s a p p e 盯a n c eb r i n g so u rl i f et r e m e n d o u s c h a n g e s ，t h ed e v e l o p m e n ts p e e do ft h en e t w o r ki sf a s t c o m p u t e rn e t w o r k s8 l e d i s t r i b u t e dw i t hw i d ea r e a , o p e na r c h i t e c t u r e r e s o u l x s h a r i n ga n da c 淄st ot h ef e a t u r e s s h a r e d t h e s ei n c r e a s i n gn e t w o r k s r e l e v a n c e , a tt h es a m el i m e ，i n e v i t a b l yb r i n ga b o u t t h eh g i l ea n dd a n g e r o u sn a t u o ft h es y s t e m , w h i c hm a k e sp e o p l ew o r r y i n ga b o u t s i m u l t a n e o u s l y , i p v 4i sf a c i n gs e r i o u ss e c u r i t yp r o b l e m s ，s u c ha si pa d d r e s si sd e f i c i e n t , i tc 诎p r o v i d em u l t i - m e d i as e r v i c ea n dc a n ts u p p o r tm o b i l eu s e r sa n ds oo n i no r d e rt o o v e r c o m et h ed i s a d v a n t a g e so fm v 4 e s p e c i a l l yt h el a c ko fi pa d d r e s sa n dt h e o v e r - e x p a n s i o no fr o u t e t a b l e si nb a c k b o n er o u t e r s ，i e t fh a se s t a b l i s h e d i p n g o r g a n i z a t i o n t h en e x tg e n e r a t i o ni pp r o t o c o l ：m v 6 t h u sh a s0 0 m ei n t ob e i n g c e r t a i n l y , 口v 6w i l ll e a dt ot a k et h ed o m i n a n tp o s i t i o ni nt h ed e v e l o p m e n to f i n t e r n e tn e t w o r k m e a n w h i l e ，t h es e c u r i t yo ft h en e x tg e n e r a t i o nn e t w o r kh a sb c c o n l e t h ep r o b l e md e m a n d i n gp r o m p ts o l u t i o n f i r e w a l l a sap o w e r f u lt o o li nt h es e c u r i t yo f n e t w o r k , h a sb e e nw i d e l yu s e di ni p v 4n e t w o r k h o w e v e r , t h i sp o w e r f u lt o o li ss e l d o m u s e di ni p v 6n e t w o r k , w h i c hi so n eo f m y p a p e r sr e s e a r c h i n gb a c k g r o u n d s t h r o u g hr e f e r r i n gt om a n yi n f o r m a t i o n , i ti sb e l i e v e dt h a tm a j o r i t yo fl i n u x f i r e w a l lr u l ef i l t e r i n ga l g o r i t h mi n 口v 6i ss e q u e n t i a ll o o k u p w h e nd e a l i n gw i t hal a r g e s e to fm l e s t h ee f f i c i e n c yo ff i l t e r i n ga l g o r i t h md r o p sq u i c k l y e s p e c i a l l y , t h eh u g e a d d r e s ss p a c ei ni p v 6c 卸叫螂t h ee f f i c i e n c yo f p a c k e t sf i l t e r i n gm o r el o w e r f r o ma b o v e ，i ti sb e l i e v e dt h a tt h es e q u e n t i a ll o o k u pa l g o r i t h mi sap e f f o 彻柚c e b o t t l e n e c kf o r 口v 6f i r o w a l l i na n o t h e rw o r d s t h er e l i a b i l i t yo ff i r c w a l li sn o to n e h u n d r e dp e r c e n t b a s e do fi t , i no r d e rt oe l l l l a n t h er e l i a b i l i t yo ff i r e w a l l af a s tr u l em a t c h i n g a l g o r i t h mo f t w o f o r k s - t r e eh a sb e e np r o p o s e da f t e ra n a l y s i n gs e v e r a lp a c k e tf i l t e r i n g a l g o r i t h m st h o r o u g h l y t h et r i e d a t as t r u c t u r ei su s e dt os t o r er u l et a b l ei nt h ea l g o r i t h m , a n do n l ys t o r ec o r r e s p o n d i n gr u l e si nt h el e a fn o d e s , w h i c hs a v e s 鲥 0 r es p a c e t h er u l e m a t c h i n gi t e mg e n e r a l l yi n c l u d e s s o b i c ea d d r e s s , d e s t i n a t i o na d d r e s s , s o i r c cp o r t , d o s t i i 埘o np o r t , p r o t o c o lt y p e i nt h ep a p e r am e t h o do fc o m b i n a t i o ni su s e di nt h e a l g o r i t h ma f t e rb r e a k i n g - u p t h a ti s t os a y , t h ea l g o r i t h mm a t c h e se a c hr u l ei t e m s e p a r a t e l y , a n dt h e ns l i m st h er e s u l t sg o t t e nf o r ml a s ts t e p a tl a s t , t h ef i l t e rr u l eh a s b e e ng o t t e n , s of i r e w a l lw i l ld e a lw i t ht h ed a t ap a c k e ta 啪r d i n gt oi t a f t e ri m p r o v i n g h i 重庆大学硕士学位论文 英文摘要 t h ea l g o r i t h mo fs e q u e n t i a lm a t c h i n gf i l t e rr u l e s ，r u l em a t c h i n gs p e e do ff i r e w a ua n d s y s t e mt h r o u g h o u th a sb e e nr a i s e d , m a de v e n t u a l l yh a sa c h i e v e dt h eg o a lo fe n h a n c i n g f i r e w a l l sr e l i a b i l i t yt os o m ee x t e n t s n e x t , t h ep a p e rh a ss t u d i e do l lt h ep r o b l e m so f e f f i c i e n c ya n dl o s i n gp a c k e tb r o u g h tb y1 0 e k , a n dh a sd e s i g n e da p p l i c a t i o nm e t h o do f l o c ka c x o r d i n gt ot h ed i 托l c t c ro f a l g o r i t h m i na d d i t i o n , t h ep a p e rh a sa n a l y z e da n o t h e r p r o b l e mi nt h ed a t ap a c k e tf i l t e rt e c h n i c a l ：r u l ec o n f l i c t , a n dh a sp r o d u c e dt h er u l e c o n f l i c tt h e o r yr e s e a r c ha n dt h es e a r c h i n ga l g o r i t h m t h ee x p e r i m e n th a s p r o v e dt h a t t h i sa l g o r i t h mc a l la c c u r a t e l yf i n do u tt h ec o n f l i c tr u l e n o to n l ya n a l o g yt h ep a p e rt h ea l g o r i t h ma n dp e r f o r m a n c e o f f i r e w a l l ，b u ta l s ot h e p a p e rh a sr e a l i z e dt h ed e s i g na n de x p e r i m e n to ff a s tm a t c h i n gr u l ea l g o r i t h ma n dt h e r u l ec o n f l i c ts e a r c h i n ga l g o r i t h mi ni p v 6n e t w o r k b a s e do i lt h ee x i s t i n gd e v e l o p m e n t t e c h n o l o g yo ff i r e w a l l ，t h ep a p e rh a si m p r o v e da n de n h a n c e dt h er e l i a b i l i t yo ff i r e w a l l 缸口v 6e v e n t u a l l y k e y w o r d s ：i n t e m e tp r o t o c o lv e r s i o n6 ，f i r e w a l l ，l i n u x ，f i l t e rr u l e i v 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取 得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文 中不包含其他人已经发表或撰写过的研究成果，也不包含为获得重鏖太堂 或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本 研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：花嫡 签字日期：莎呻年厂月夕秒日 学位论文版权使用授权书 本学位论文作者完全了解重庆太堂有关保留、使用学位论文的 规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许 论文被查阅和借阅。本人授权重庆太堂可以将学位论文的全部或部 分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段 保存、汇编学位论文。 保密() ，在年解密后适用本授权书。 本学位论文属于 不保密( u 。 ( 请只在上述一个括号内打“4 ”) 学位论文作者签名：寇娟 签字日期：p 0 年f 月；。日 导师签名： 心娜 签字日期：趴哆净厂月；口日 重庆大学硕士学位论文1 绪论 1 绪论 1 1 研究背景和意义 计算机网络的出现对人类的生活的各个方面都产生了巨大的影响，无论是在 经济，政治或文化生活方面，网络已经迅速地渗透到世界的每一个角落，无时无 刻无处不在，极大地推动了整个社会的信息化进程。网络在带给人类许多便利的 同时，也带给人类一些潜在的问题和危险。但是，随着网络的开放、t c p i p 协议 的完全公开化、远程访问、以及相连主机基于互相信任的原则等特点，使得网络 面临严重的安全问题。甚至可以这样说，只要网络存在一天，网络安全问题将会 是人们一直担心的事情。 作为一个开放的信息系统，i n t e m e t 越来越成为各国信息战的战略目标。破坏 与反破坏、窃密与反窃密的斗争是全方位的，不再只是个人、集团的行为，也是 国家间的行为。在这样的背景下，安全防护技术不但是国家战略防卫力量的重要 组成部分，而且成为国家竞争力的一把标尺。防火墙作为安全防护技术的主要产 物，对网络安全的防护起着特殊而又重要的作用。 总的说来，防火墙的主要功能可以归纳为以下几点：访问控制；认证： 用户认证、客户端认证和会话认证；加密；网络地址转换；内部安全； 连接控制；操作系统安全；高可用性；日志、记帐和警告。 网络的开放、t c p i p 协议完全公开、远程访问使很多攻击中能够远程操作， 相连主机基于互相信任的原则等等性质使得网络没有安全可言，给有意攻击网络 系统的人也增加了更多机会，个人和国家的重要文件和资料受到严重威胁，许多 黑客利用远程网络对他人进行攻击，以获取自己所需要的资料和信息或有意破坏 共享资源以及使整个网络遭受损害。全球平均每2 0 秒就要发生一次i n t c r n e t 计算 机入侵事件。比如，1 9 9 6 年美国国防部被攻击了2 6 万次，其中被攻破1 6 万次； 商业信息被窃取的事件以每月2 6 0 的速度增长，给被攻击的一方带来巨大的经济 损失；今年二月上旬，y a h o o 、e b a y 、cn n c o l n 、a m a z o n 、b u y c o r n 等著名商业 网站连续遭到黑客攻击，造成了数以十亿美元的损失，向世人再一次敲响了网络 并不安全的警钟【1 】。 由以上实例可见，不但网络安全很重要，而且对网络信息系统的安全性要求 也越来越高。如何保护网络不受黑客入侵，如何保证网络安全己成为全球最关注 的话题。计算机网络安全主要面临两大问题：如何保证在网络上传输的信息的 私有性，防止被非法窃取，篡改，伪造；限制用户访问权限、防止非法用户侵 入。为了保证信息网络的安全，相关的网络安全技术层出不穷，但大都围绕着保 重庆大学硕士学位论文1 绪论 护传输信息的保密性和有条件的允许用户访问网络这样两大安全主题而产生的。 解决第一个问题主要采用v p n 技术，第二个问题大都采用防火墙和路由过滤。但 防火墙对网络的保护功能并不是百分之百可靠的，其仍然存在缺陷和漏洞，网络 的安全问题仍然存在。因此，研究如何更好地增强防火墙的可靠性，为网络提供 一个更为安全的保护工具具有非常重要的现实意义。 1 2 国内外研究现状 防火墙技术的发展大致经历了包过滤型的防火墙、用户化的防火墙攻击套、 建立在通用操作系统上的防火墙、具有安全操作系统的防火墙四个阶段【2 】。 第一代防火墙是包过滤型的防火墙，主要技术是包过滤。包过滤( p a c k e tf i l t e r ) 技术顾名思义即在网络中适当的位置对数据包实施有选择通过，选择依据即为系 统内设置的过滤规则( 通常称为访问控制表a c c e s sc o n t r o ll i s t ) 。通过检查数据流 中的每个数据包，根据包的源地址、目的地址、所用的t c p 端口号、t c p 链路状 态等因素或它们的组合来确定是否允许数据包通过，只有满足过滤规则的数据包 才被转发至相应的目的地的输出端口，其余数据包则从数据流中删除。 由于多数路由器中本身就包含有分组过滤的功能，故网络访问控制功能可通 过路由控制来实现，从而使具有分组过滤功能的路由器称为第一代防火墙产品。 它作用于网络层，由于发展得很早，所以是目前最成熟的防火墙核心技术之一。 第二代防火墙是用户化的防火墙工具箱。为了弥补第一代防火墙的不足， 很多大型用户纷纷要求专门开发的防火墙系统来保护自己的网络，从而推动用户 化防火墙工具箱的出现。 作为第二代产品，用户化的防火墙工具箱具有以下特征；将过滤功能从路由 器中独立出来，并加上审计和告警功能；针对用户需求，提供模块化的软件包； 软件可以通过网络发送，用户可以自己手动构造防火墙。与第一代产品相比，安 全性提高了，价格也降低了。但由于是纯软件产品，第二代防火墙产品无论在实 现上还是维护代价行都对系统管理员提出了相当高的要求，并带来了以下问题： 配置和维护过程复杂、费时；对用户的技术要求高、全软件实现、出现差错的情 况很多。现在市面上的很多软件防火墙都可归于此类。 第三代防火墙是建立在通用操作系统上的防火墙。基于软件的防火墙在销 售、使用和维护上的代价问题迫使防火墙开发商很快推出了建立在通用操作系统 上的商用防火墙产品。近年来在市场上广泛使用的就是这一代产品 第三代防火墙具有如下一些特点；它是批量上市的专用防火墙产品，包括分 组过滤或者借用路由器的分组过滤功能；装有专用的代理系统，监控所有协议的 数据和指令、保护用户编程空间和用户可配置内核参数的设置、安全性和速度； 2 重庆大学硕士学位论文1 绪论 有以纯软件实现的，也有以硬件方式实现的。其优点很明显，在功能上包括了分 组过滤、应用网关、电路级网关且具有加密鉴别功能；透明性好，以及易于使用 等，因此也已经得到了广大用户的认同。 但随着安全需求的变化和使用时间的推延，仍表现出不少问题，比如：作为 基础操作系统以及其内核往往不为防火墙管理者所知，由于源码的保密，其安全 性无从保证，且大多数防火墙厂商并非通用操作系统的厂商，所以操作系统厂商 不会对操作系统的安全性负责。从本质上看，第三代防火墙既要防止来自外部网 络的攻击，还要防止来自操作系统厂商的攻击。 第四代防火墙本身就是一个操作系统，因而安全性能较之第三代防火墙有 质的提高。获得安全操作系统的办法有两种：一种是通过许可证方式获得操作系 统的源码；另一种是通过固定操作系统内核来提高可靠性。 由此建立的防火墙系统具有以下特点：防火墙厂商具有操作系统的源代码并 可实现安全内核、对安全内核实现加固处理，即去掉不必要的系统特性、加上内 核特性、强化安全保护；对每个服务器、予系统都作了安全处理。即使黑客攻破 了一个服务器，它也将被隔离在此服务器内，不会对网络的其他部分构成威胁。 它在功能上包括了分组过滤、应用网关、电路级网关、具有加密与鉴别功能、 透明性好、易于使用。 防火墙技术的另一发展趋势是与安全协议的结合。这种访问控制和通讯安全 技术的结合可以提供更高的网络安全性，已开始成为当今网络安全技术的潮流和 热点。其中特别引人注目的是状态检查过滤技术与网络层安全协议的结合 3 1 。 国外对防火墙技术的研究起步比较早，产品的系列化程度较高，更新较快。 以基于状态检查的包过滤技术为例，现在国外防火墙产品基本上都具备这种技术， 比较典型的产品如c h o c k p i o n t 公司的f i v 哪a 1 1 1 防火墙、n o t g u a r d 公司的g u a r d i a n f i r c w a l l 防火墙以及c i s c o 公司的p i x 系列防火墙等。 国内虽然也注意跟踪了国外防火墙技术的发展情况，但在防火墙技术的产品 化上不尽如人意，市场上的产品多为应用代理类的软件型防火墙。但从去年开始， 国内厂商也陆续推出了一些硬件型防火墙，其中有些也使用了基于状态检查的包 过滤技术，比如东大阿尔派公司的n o t e y e 防火墙等。但总体上说来，国内防火墙 产品的研制开发还处于初创阶段。 1 3 防火墙技术 1 3 1 防火墙的定义 防火墙最初的定义是指古代人们在房屋之间修筑的一道墙。而本文这里的防火 墙是指设置在不同网络( 如可信任的企业内部网和不可信的公共网) 或网络安全域 3 重庆大学硕士学位论文l 绪论 之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口， 能根据企业的安全政策控制( 允许、拒绝、检测) 出入网络的信息流，其本身具有较 强的抗攻击能力【4 】。它是提供信息安全服务，实现网络和信息安全的基础设施。在 逻辑上，防火墙是一个分离器、限制器也是一个分析器，它有效地监控了内部网 和i n t e m e t 之间的任何活动，保证了内部网络的安全；也能增强网络间的访问控制， 防止外部用户非法使用内部网资源，保护内部网络的设备不被破坏，防止内部网 络的敏感数据不被窃取。 1 3 2 防火墙的类型、工作原理及比较 防火墙的类型根据划分方法的不同有如下几种嗍： 从防火墙的软、硬件形式分 很明显，从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬 件防火墙。最初的防火墙与平时所看到的集线器、交换机一样，都属于硬件产品。 随着防火墙应用的逐步普及和计算机软件技术的发展，为了满足不同层次用户对 防火墙技术的需求，许多网络安全软件厂商开发出了基于纯软件的防火墙，俗称” 个人防火墙札埘。之所以说它是“个人防火墙”，那是因为它被安装在主机中，只对 一台主机进行保护，而不是对整个网络进行保护。 从防火墙的技术分 防火墙技术虽然出现了许多，但总体来讲可分为”包过滤型”和”应用代理型”两 类。前者以以色列的c h o c k p o i n t 防火墙和c i s c o 公司的p i x 防火墙为代表，后者 以美国n a i 公司的g a u n t l e t 防火墙为代表。 1 ) 包过滤( p a c k e tf i l t e r i n g ) 型 包过滤型防火墙工作在o s i 网络参考模型的网络层和传输层，它根据数据包头 源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤 条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。包过 滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不针对各个 具体的网络服务采取特殊的处理方式，它适用于所有网络服务：之所以廉价，是 因为大多数路由器都提供数据包过滤功能，所以这类防火墙有一部分是由路由器 集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业的安全要求。 在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为”第 一代静态包过滤”和”第二代动态包过滤”。 巩第一代静态包过滤类型防火墙 这类防火墙几乎是与与路由器同时产生的，它是根据定义好的过滤规则审查每 个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报 头信息进行设计。报头信息中包括源地址、p 目的地址、传输协议( t c a 、u d p 、 4 重庆大学硕士学位论文1 绪论 i c m p 等) 、t c p u d p 目标端口、i c m p 消息类型等，其结构如图1 1 所示。 应用层 表示层 会话层 传输层 应用层 表示层 会话层 传输层 应用层 表示层 会话层 传输层 图1 1 静态包过滤防火墙 f i g1 1 s t a t i cp a c k e t 同自盯f i r c w a l l b 第二代动态包过滤类型防火墙 这类防火墙采用动态设置包过滤规则方法，避免了静态包过滤中的问题。这 种技术后来发展成为包状态检测( s t a t e f u li n s p e c t i o n ) 技术。采用这种技术的防火墙 对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增 加或更新条目。 其结构如图1 2 所示。 应用层应用层应用层 表示层表示层表示层 皇 1 石屠管1 石坛芸1 石_ l 云 网络层网络层网络层 数据链路压数据链路层离据链路层 l 物理层物理层 i 物理层 i 连接状态表 i 图1 2 动态包过滤防火墙 f i g1 2d y n a m i cp a c k e tf i l t e ff i r e w a l l 包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络 层和传输层，与应用层无关。其弱点也是明显的：过滤判断的依据只是网络层和 传输层的有限信息，因而各种安全要求不可能全部满足。在许多过滤器中，过滤 5 重庆大学硕士学位论文1 绪论 规则的数目是有限制的，且随着规则数目的增加，性能会受到很大的影响。而且 由于缺少上下文关联信息，包过滤型防火墙不能有效地过滤如u d p 、r f c 一类的 协议。另外大多数过滤器中都缺少审计和报警机制，它只能依据包头信息对数据 包进行处理，而不能对用户身份进行验证，很容易受到”地址欺骗型”攻击。对安全 管理人员素质要求也比较高。在建立安全规则时，必须对协议本身及其在不同应 用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共 同组成防火墙系统。 2 ) 应用代理( a p p l i e a t i o np r o x y ) 型 应用代理型防火墙是工作在o s i 的最高层，即应用层。其特点是完全”阻隔” 了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用 层通信流的作用。在代理型防火墙技术的发展过程中，它也经历了两个不同版本， 即：第一代应用网关型代理防火墙和自适应代理防火墙。 乱第一代应用网关( a p p l i c a t i o ng a t e w a y ) 型防火墙 这类防火墙是通过一种代理( p r o x y ) 技术参与到一个t c p 连接的全过程。从内 部发出的数据包经过这样的防火墙处理后，就好象是源于防火墙外部网卡一样， 从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体 公认为最安全的防火墙。它的核心技术就是代理服务器技术。 b 第二代自适应代理( a d 8 陋v ep r o x y ) 型防火墙 它是近几年才得到广泛应用的一种新防火墙类型。它结合了代理类型防火墙 的安全性和包过滤防火墙的高速度等优点，在不损失安全性的基础之上将代理型 防火墙的性能提高了l o 倍以上。组成这种类型防火墙的基本要素有两个；自适应 代理服务器( a d a p t i v ep r o x ys e r v e r ) 与动态包过滤器( d y n a m i cp a c k e tf i l t e r ) 。在一自适 应代理服务器”与”动态包过滤器”之间存在一个控制通道，在对防火墙进行配置时， 用户仅仅将所需要的服务类型、安全级别等信息通过相应p r o x y 的管理界面进行设 置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是否用代理服 务从应用层代理请求还是从网络层转发包。代理类型防火墙的最突出的优点就是 安全。它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护， 而不像包过滤那样，只能对网络层的数据进行过滤。另外，代理型防火墙采取的 是代理机制，它为每一种应用服务建立一个专门的代理，所以内外部网络之间的 通信不是直接的，都需先经过代理服务器审核，通过后再由代理服务器代为连接， 没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱 动类型的攻击方式入侵内部网。 代理防火墙的最大缺点就是速度相对比较慢，当用户对内外部网络网关的吞 吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈。因为防火墙需 6 重庆大学硕士学位论文1 绪论 要为不同的网络服务建立专门的代理服务。使用防火墙自己的代理程序为内、外 部网络用户建立连接需要一定的时间，所以给系统性能带来了一些负面的影响， 但通常不会很明显。 从防火墙结构分 从防火墙结构分，防火墙主要分为：单一主机防火墙、路由器集成式防火墙 和分布式防火墙三种。 1 ) 单一主机防火墙， 它就像通常所说的防火墙一样，独立于其它网络设备，它位于网络边界。这 种防火墙恰似与一台计算机结构差不多，同样包括c p u 、内存、硬盘等基本组件， 主板是更不可能少了。其主板上也有南、北桥芯片。它与一般计算机最主要的区 别是单一主机的防火墙都集成了两个以上的以太网卡，因为它需要连接一个以上 的内、外部网络；其硬盘是用来存储防火墙所用的基本程序，如包过滤程序和代 理服务器程序等，有的防火墙还把日志记录也记录在硬盘上。虽然如此，但不能 说它就与平常的p c 机一样。因为它的工作性质，决定了它要具备非常高的稳定性、 实用性，具备非常高的系统吞吐性能。正因如此，看似与p c 机差不多的配置，价 格相差却很大 2 ) 路由器集成式防火墙 单一主机的防火墙由于价格非常昂贵，仅有少数大型企业才能承受起，为了 降低企业网络投资，现在许多中、高档路由器中都集成了防火墙功能。这样企业 在购买路由器的同时也购买了防火墙，大大降低了网络设备的购买成本。如c i s e o i o s 防火墙系列，但这种防火墙通常是较低级的包过滤型。 3 ) 分布式防火墙 随着防火墙技术的发展及应用需求的提高，原来作为单一主机的防火墙现在 已发生了许多变化。最明显的变化是现在许多中、高档的路由器中不但集成了防 火墙功能，还有的防火墙已不再是一个独立的硬件实体，而是多个软、硬件组成 的系统。这种防火墙，俗称为”分布式防火墙”。 分布式防火墙再也不只是位于网络边界，而是渗透于网络的每一台主机，对 整个内部网络的主机实旌保护。在网络服务器中，通常会安装一个用于防火墙系 统管理的软件，在服务器及各主机上安装有集成网卡功能的p c i 防火墙卡，这样 一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻 底保护内部网络。 按防火墙的应用部署位置分 如果按防火墙的应用部署位置分，可以分为边界防火墙、个人防火墙和混合 防火墙三大类。 7 重庆大学硕士学位论文i 绪论 1 ) 边界防火墙 边界防火墙是最传统的一种防火墙。它位于内、外部网络的边界，所起的作 用是对内、外部网络实施隔离，保护内部网络。这类防火墙一般都是硬件类型的， 价格较贵，性能较好。 2 ) 个人防火墙 个人防火墙安装于单台主机中，防护的也只是单台主机。这类防火墙应用于 广大的个人用户中，通常为软件防火墙，价格最便宜，性价比比较高。 3 ) 混合防火堵 混合防火墙可以说是”分布式防火墙”或”嵌入式防火墙”。它是一整套防火墙系 统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间。 既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。 它属于最新的防火墙技术之一，性能最好，价格也最贵。 按防火墙性能分 按防火墙的性能可以分为百兆级防火墙和千兆级防火墙两类。因为防火墙通 常位于网络边界，所以不可能只是十兆级的。这主要是指防火墙的通道带宽，或 者说是吞吐率。当然通道带宽越宽，性能越高，这样的防火墙因包过滤或应用代 理所产生的延时也越小，对整个网络通信性能的影响也就越小。 1 3 3 防火墙的体系结构 防火墙的体系结构一般有以下几种 0 3 ： 双重宿主主机体系结构； 双重宿主主机体系结构是围绕具有双重宿主的主机计算机而构筑的。该计算 机至少有两个网络接口，被连接到因特网和内部的网络。这样的主机可以充当与 这些接口相连的网络之间的路由器。它能够从一个网络到另一个网络发送口数据 包。然而，实现双重宿主主机的防火墙体系结构却禁止这种发送功能。因而，口 数据包从一个网络( 例如i n t e m e t ) 并不是直接发送到其它网络( 例如：内部的、被保 护的网络) 。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统 ( i n t e r n e t ) 也能与双重宿主机通信，但是这些系统不能直接互相通信。它们之间的m 通信会被完全阻止。 被屏蔽主机体系结构 被屏蔽主机体系结构是由一个单独的路由器提供来自仅仅与内部的网络相连 的主机的服务。在屏蔽的路由器上的数据包过滤是按这样一种方法设置的：堡垒 主机是因特网上的主机能连接到内部网络上的系统的桥梁( 例如，传送近来的电子 邮件) 。即使这样，也仅有某些确定类型的连接被允许。任何外部的系统试图访问 内部的系统或者服务将必须连接到这台堡垒主机上。因此，堡垒主机需要拥有高 重庆大学硕士学位论文1 绪论 等级的安全。 屏蔽子网体系结构 屏蔽子网体系结构添加额外的安全层到被屏蔽主机体系结构上，即通过添加 周边网络更进一步把内部网络与i n t e m e t 隔离开来。最简单的形式是有两个屏蔽路 由器，每一个都连接到周边网。一个位于周边网与内部网的网络之间，另一个位 于周边网与外部网络之间( 通常为i n t e r n e t ) 。 屏蔽子网结构通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的 影响。它只给入侵者一些访问的机会，但不会是全部。为了侵入用这种类型的体 系结构构筑的内部网络，侵袭者必须要通过两个路由器。即使侵袭者设法侵入了 堡垒主机，他将仍然必须通过内部路由器。 1 3 4 防火墙的功能和作用 根据前面介绍的防火墙的含义及主要类型，就可以从中理解到防火墙的功能。 具体来说，防火墙主要有以下几方面的功能：创建一个阻塞点、隔离不同网络， 防止内部信息的外泄、强化安全策略、有效地审计和记录内、外部网络上的活动【7 】。 创建一个阻塞点 防火墙在一内部网络和外部网络间建立一个检查点。这种实现要求所有的流 量都要通过这个检查点。一旦这些检查点清楚地建立，防火墙设备就可以监视、 过滤和检查所有进来和出去的流量。这样一个检查点，在网络安全行业中称之为一 阻塞点”。通过强制所有进出流量都通过这个检查点，网络管理员可以集中在较小 的地方来实现安全目的。如果没有这样一个供监视和控制信息的点，系统或安全 管理员则要在大量的地方来进行检测。 隔离不同网络，防止内部信息的外泄 这是防火墙的基本功能。它通过隔离内、外部网络来确保内部网络的安全， 也限制了局部重点或敏感网络安全对全局网络造成的影响。企业秘密是大家普遍 非常关心的问题，使用防火墙就可以隐蔽那些透露内部细节如f i n g e r 、d n s 等服 务。f i n g e r 显示了主机的所有用户的注册名、真名、最后登录时间和使用s h e l l 类 型等。其显示的信息非常容易被攻击者所截获，攻击者通过所获取的信息可以知 道一个系统使用的频繁程度以及这个系统是否有用户正在连线上网等信息。防火 墙可以同样阻塞有关内部网络中的d n s 信息，这样一台主机的域名和口地址就不 会被外界所了解。 强化网络安全策略 通过以防火墙为中心的安全方案配置，能将所有安全软件( 如1 ：3 令、加密、身 份认证、审计等) 配置在防火墙上。与将网络安全问题分散到各个主机上相比，防 火墙的集中安全管理更经济。各种安全措施的有机结合，更能有效地对网络安全 9 重庆大学硕士学位论文1 绪论 性能起到加强作用。 有效地审计和记录内、外部网络上的活动 防火墙可以对内、外部网络存取和访问进行监控审计。如果所有的访问都经 过防火墙。那么，防火墙就能记录下这些访问并进行日志记录，同时也能提供网 络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供 网络是否受到检测和攻击的详细信息。这为网络管理人员提供非常重要的安全管 理信息，可以使管理员清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚 防火墙的控制是否充足。 以上是从宏观方面对防火墙的功能进行的综合描述；从微观方面来描述的话， 它主要体现在如下方面： 包过滤 包过滤是防火墙所要实现的最基本功能，现在的防火墙已经由最初的地址、 端口判定控制，发展为判断通信报文协议头的各部分，以及通信协议的应用层命 令、内容、用户认证、用户规则甚至状态检测等等。 审计和报警机制 在防火墙结合网络配置和安全策略对相关数据分析完成以后，就要做出接受、 拒绝、丢弃或加密等决定。如果某个访问违反安全策略，审计和报警机制开始起 作用，并作记录和报告。 防火墙的审计和报警机制在防火墙体系中是很重要的，只有有了审计和报警 功能，管理人员才可能及时知道网络是否受到了攻击。通过防火墙日志还可以进 行统计和分析，得出系统安全存在的最大不足和隐患，进而可以有针对性地进行 改进。但需要注意的是，由于要对整个网络通信进行日志记录，所以防火墙的日 志记录数据量会比较大，在防火墙自身上是不可能存储这么庞大的日志文件的。 通常采用外挂方式，即将日志挂接在内部网络的一台专门存放日志的日志服务器 上。 n a t ( n e t w o r k a d d r e s st r a n s l a t i o n ，网络地址转换) 网络地址转换功能现在也已成为防火墙的标准配置之一。通过此功能就可以 很好地屏蔽内部网络的口地址，对内部网络用户起到了保护作用。n a t 又分 ”s n a t ( s o u r c en a t ) ”和”d n a t ( d e s t i n a t i o nn a t ) ”。s n a t 就是改变转发数据包的源 地址，对内部网络地址进行转换，对外部网络是屏蔽的，使得外部非法用户对内 部主机的攻击更加困难，同时可以节省有限的公网口资源，通过少数一个或几个 公网口地址共享上网；而d n a t 则是