（计算机软件与理论专业论文）自适应智能防火墙体系结构的研究.pdf

捅璺 摘要 随着网络技术的迅速发展，网络安全在计算机网络中的应用起着越来越重要 的作用。本文的工作主要是围绕着自适应智能防火墙体系结构的设计和仿真展开 的，主要包括以下几个内容： 首先，提出了自适应智能防火墙的体系结构，它主要由与防火墙联动的入侵 检测模块、包过滤模块、代理模块、状态包监视模块、控制模块和安全规则库六 个部分组成。入侵检测模块具有防止d o s d d o s 攻击的功能；包过滤模块、应用 代理模块、状态包监视模块在控制模块的管理下，根据安全规则，对网络中不同 安全性的数据流采取不同的安全控制。 其次，深入研究了模糊控制理论在控制模块中的应用，提出数据流的源安全 等级和目的安全等级两个新的概念，并将其模糊化，作为模糊控制器的输入，经 过模糊推理，得到数据流的总的安全等级，并根据其数值大小对数据流采取相应 的控制措施。对低安全性的数据流由代理模块对它进行严格的检查，提高网络的 安全性；对高安全性的数据流，由包过滤模块对其进行处理，对中等安全性的数 据流由状念监视模块对其进行处理，提高防火墙的处理性能。防火墙缓解了安全 性和高性能之间的矛盾，保持了较高的安全性和较高的性能。而且，随着数据流 安全状态的变化，总的安全等级可以自动调整，相应的安全策略也随之改变。因 此，防火墙就能对网络的安全状况的实时变化自动做出响应，具有自适应性和智 能性。 最后，采用控制系统资源的方法防止d o s d d o s 攻击。当系统性能值超过安 全设定值时，限定某些特定数据流连接到防火墙，降低系统资源的占用率，保证 网络服务的正常运行。随后，设计模糊p 1 d 控制器控制系统资源的分配，达到了 防止和缓解d o s d d o s 的目的，同时使系统性能达到最优化。 关键词防火墙：模糊控制；安全等级；自适应；智能性 a b s t r a c t w i t ht h e d e v e l o p m e n t o fi n t e m e ta n d c o m p u t e rn e t w o r k i n gt e c h n o l o g y ， n e t w o r ks e c u r i t yi si n c r e a s i n g l yi m p o r t a n tt oa p p l i c a t i o no fd a t a n e t w o r k i n g t h e d e s i g no fan e wa d a p t i v ei n t e l l i g e n tf i r e w a l la n di t ss i m u l a t i o na r ef o c u s e di nt h e d i s s e r t a t i o n f i r s t l y , t h en e wa r c h i t e c t u r eo ft h ea d a p t i v ei n t e l l i g e n tf i r e w a l li sp r e s e n t e d ， w h i c hc o n s i s t so fs i xe l e m e n t a r yc o m p o n e n t sw h i c ha r ei n t r u s i o nd e t e c t i o nm o d u l e ， s t a t i cp a c k e tf i l t e r , d y n a m i cp a c k e tm o n i t o r , a p p l i c a t i o np r o x y ，c o n t r o lm o d u l ea n d s e c u r i t yr u l e s t h ei n t r u s i o nd e t e c t i o nm o d u l ec a np r e v e n td o s d d o sa t t a c k t h e s t a t i cp a c k e tf i l t e r , d y n a m i cp a c k e tm o n i t o ra n da p p l i c a t i o np r o x ya r ea d m i n i s t e r e d b yt h ec o n t r o l l e rt od e a lw i t ht h ei n c o m i n gc o n n e c t i o n s ，a c c o r d i n gt ot h e i rr e s p e c t i v e s e c u r i t yl e v e l ，an e wc o n c e p td e f i n e di nt h es e c u r i t yr u l e s s e c o n d l y ，f u z z yc o n t r o ll o g i ci si n t r o d u c e di nt h ed e s i g no ft h ec o n t r o lm o d u l e t h es o u r c ea n dd e s t i n a t i o ns e c u r i t yl e v e l sa r ee n c o d e di n t of u z z ys e t sa si n p u t so ft h e f u z z yc o n t r o l l e r ，a n dt h eo v e r a l ls e c u r i t yl e v e li so b t a i n e db a s e do nt h ef u z z yr u l e s f o rl o w l yt r u s t e dp a c k e t s ，b o t ha p p l i c a t i o nl e v e lm e t h o da n dd y n a m i cp a c k e tm o n i t o r a r eu s e d ，w h i c hp r o v i d e sh i g hs e c u r i t y f o rh i g h l yt r u s t e dp a c k e t s ，t h e ya r eo n l y f i l t e r e d s ot h ef i r e w a l la l l e v i a t e st h ec o n f l i c tb e t w e e ns e c u r i t ya n d s p e e d a n d r e m a i n sb o t hh i g hs e c u r i t ya n dh i g hp e r f o r m a n c e m o r e o v e r , t h eo v e r a l ls e c u r i t y l e v e lc a nb ea u t o m a t i c a l l ya d j u s t e da c c o r d i n gt ot h ev a r y i n gs t a t e so ft h ep a c k e t sa n d t h es e c u r i t yp o l i c i e sf o rt h e s ep a c k e t sa r ea l s oa d j u s t e d t h u st h ef i r e w a l lc a n r e s p o n d t ot h e s ec h a n g e sa n dt a k ed i f f e r e n ta c t i o n sr e s p e c t i v e l y t h e r e f o r e ，t h ef i r e w a l li s b o t ha d a p t i v ea n di n t e l l i g e n t f i n a l l y , t h ec o n t r o lo nt h e a l l o c a t i o no fs y s t e mr e s o u r c ei s u s e dt o p r e v e n t d o s d d o sa t t a c k w h e no v e r l o a d e d ，t h ef i r e w a l lc a nd e n yc e r t a i nk i n d so f c o n n e c t i o n si no r d e rt oh o l de n o u g hr e s o u r c et o p r o v i d en o r m a ls e r v i c e su s e r s f u z z y p i dc o n t r o l l e ri si n t r o d u c e dt oc o n t r 0 1r e s o u r c ea l l o c a t i o n k e y w o r d s f i r e w a l l ；f u z z y - c o n t r o l ：s e c u r i t y l e v e l ；a d a p t i v e ；i n t e l l i g e n t i l 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人 已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构的 学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均己 在论文中作了明确的说明并表示了谢意。 关于论文使用授权的说明 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅：学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名：垂邀刚导师签名：生盂日期：础 第1 章绪论 a 冤- l r1 章绪论 随着t c p f l p 协议群在网际互联中使用的迅速崛起，导致了通常被称为 i n t e r n e t 的由主机和网络组成的全球网际互联系统的飞速发展。尤其是近年来， 随着i n t e r n e t 的迅速大众化，其应用扩展到日常生活、商业和军事等社会的各个 领域。然而由于t c p i p 协议本身及其网络服务存在着一些安全缺陷，以及主机 安全管理方面的漏洞，使i n t e r n e t 的安全性问题亦随着其发展而同益突出，网络 安全技术已成为网络的关键技术之一。在各种网络安全技术中，防火墙技术以其 对内部网络的安全防护而成为网络安全的流行解决方案，下面简单介绍防火墙技 术国内外状况。 1 1 课题来源 本课属于自选课题，结合本人参与神州数码d c f w - 1 8 0 0 系列硬件防火墙产 品测试和智能化网络流量监控产品研发中发现的一些问题提出一个新型防火墙 的体系结构一自适应智能防火墙，并在该体系结构的入侵检测模块中提出了通过 综合控制系统资源的办法来缓解拒绝服务攻击。 1 2 国内外防火墙技术状况 随着国内信息化网络建设的不断发展，对网络安全的需求也越来越高，这样 也就推动这众多的网络安全厂商不断地推出适应用户需求的产品。防火墙可以说 是首当其中。 由于防火墙产品在网络中的特殊位置，因此更被寄于厚望。之前，防火墙的 功能对进入网络的数据执行访问控制，所以，其发展也经历了几个阶段【1 , 2 1 ：简 单包过滤、应用代理、状态包过滤。简单包过滤，即防火墙根据流经的数据包包 头中的源目的地址、端口、协议等信息，依据预先定义好的规则，对数据包进行 处理通过或者丢弃。这种防火墙性能比较高，5 t 夕1 - 对应用透明，但是对应用 层的内容无法检测，导致安全性比较差。应用代理，应用于客户机和真实服务器 之间的一种“中间服务器”，它的直接作用是隔断两端的直接通讯，所有的数据都 通过代理程序转发。这种类型的防火墙安全性比较高，但是由于针对每种服务都 要有相应的代理程序，所以扩展性比较差。状念包过滤，这种技术继承了简单包 过滤的高性能的优点，同时又摒弃了简单包过滤仅考虑进出的数据包，不考虑数 北京工业大学t 学坝十学位论文 据状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络 的数据当成一个状态来处理。 目前主流的防火墙基本都是融合了应用代理和状态包过滤两种技术【“，应用 状态包过滤防火墙来规范网络层和传输层行为，而应用代理型防火墙规范特定的 应用协议上的行为。可以说以上两种技术的融合基本能够满足大部分用户的需 求，似乎防火墙的核心技术没有再发展下去的空间了。然而，随着近年网络攻击 的不断变化，蠕虫病毒和垃圾邮件成了网络中攻击的主力军。针对这样的攻击， 对深层检测防火墙的需求会越来越明显。 虽然应用代理防火墙能够对应用层的一些数据内容进行简单的过滤，但它无 法检查出什么是f 常流量，什么是恶意攻击。将来对防火墙的需求是能够更加深 入监控信息包流，查出恶意行为，并加以阻挡。这种需求只有靠深层检测才能够 彻底解决。 现在，各国内外的防火墙厂商的产品动态也说明了这一点。国外的c h e c k p o i n t 、n e t s c r e e n 、f o r t i n e t 等厂商都推出了具有入侵检测和防病毒的防火墙产 品，国内的中科网威也推出了具有防病毒和反垃圾邮件的安全网关产品，下面简 单介绍国内外典型防火墙商用产品。 1 3 典型防火墙产品简介 1 3 1c h e c kp o i n tf i r e w a l l 1 简介 f i r e w a l l 1 是一个基于状态监视技术的防火墙【2 】c h e c kp o i n t 公司创建的开 放体系结构解决方案，为企业级安全策略管理和策略执行提供解决方案， f i r e w a l l 1 使用模块化的客户，服务器体系结构，其中包括管理模块，g u 模块、 数据检测模块等构成，数据检测模块安装在操作系统的内核，并对所有o s i 模型 中的网络层和数据链路层的通信进行检查，为了提高健壮有效的安全的同时也增 强性能，f i r w a l l 1 并不是查看每个单独的数据包，而是使用状态检查体系结构对 整个通信流进行监控并做出相应策略，同时该体系结构还可以记录无连接的协议 如u d p 和r p c 。当允许这种通信时，f i r e w a l l 一1 将提取第一个数据包中的i p 地 址信息和端口号并将其记录入状态表，这样就相当于建立一个虚拟的状态。同时 使用端口映射器实现r p c 服务实现动态端口的跟踪。 第1 章绪论 1 _ 3 2c i s c op i x 防火墙简介 p i x 的基于应用的体系结构与过去的产品有很大的不同，传统的防火墙运行 于通用平台上，包括u n i x 或n t 服务器，防火墙被添加到系统中曾加安全性。 p i x 使用专用的操作系统提高安全性。p i x 的数据检查模块使用基于状态的监视 技术，并配合自己的专用的a s a 算法与状态表一起控制会话流和基于t c p 源和 目标端口、序列号进行跟踪。p i x 能够以1 0 0 m b p s 的速率向5 6 为d e s 和1 6 8 位的3 d e s i p s e c 隧道发送数据，同时支持v p n 服务【7 】o 1 3 3s y m a n t e c 防火墙简介 s y m a n t e c 防火墙运行于w i n d o w 和s o l a r i s 操作系统环境下，工作在网络层 和应用程序级以保护系统免遭各种攻击，s y m a n t e c 6 5 在应用程序级监视和审查 所有试图通过它的数据，该防火墙数据检测模块使用一套专用的安全代理对所有 进出受保护网络的请求进行评估，该防火墙是一个基于代理技术 1 0 】并综合其他安 全技术的防火墙。 从以上对国内外防火墙的分析可以看出，国外对防火墙技术的研究起步较 早，产品的系列化程度较高，更新较快。基本都是基于状态监视的包过滤技术， 比较典型的产品c h e c kp o i n t 公司的f i r e w a l l 1 火墙、c i s c op i x 等。国内虽然也 注意跟踪了国外防火墙技术的发展状况，但在防火墙技术的产品化上不尽如人 意，市场上的产品多为应用代理类的软件型防火墙。但2 0 0 1 年以来国内厂商也 陆续推出了一些硬件型防火墙，其中大部分产品也开始采用基于状态包过滤技 术，比如神州数码的d c f w - 1 8 0 0 系列防火墙等。但总体上来说，国内防火墙产 品的研制开发还处于初刨阶段。 1 4 本文的主要工作 1 4 1 问题的提出 1 4 1 1 传统防火墙检测模块中存在的问题防火墙的检测模块是防火墙的核 心，决定着防火墙的安全性和处理性能。随着近年来深度内容过滤和病毒过滤在 防火墙中的应用，防火墙的处理性能和安全性的矛盾是防火墙研究领域中必须解 决的一个主要问题b ”，已经逐渐成为将来的一个研究趋势和热点。 从以上典型的防火墙产品介绍可知，目前国内外防火墙的检测模块基本采用 北京t 业大学丁学硕 学位论文 基于状态监视的包过滤技术和代理技术i 】，同时综合使用多种网络安全技术，如 在防火墙中引入认证技术和安全协议技术和基于内容的过滤技术，n a t 技术等， 这类防火墙的一个共同的特点是检测的程度越深，访问控制越复杂，规则配最的 越多，数据的处理量越大，安全性越高，但是防火墙的处理性能会明显降低，传 统防火墙的简化数据处理流程如图1 - 1 所示。 图1 - 1 防火墙的简化数据包处理流程 f i g 1 - 1f l o wc h a r to fd e a l i n gw i t hd a t ao ff i r e w a l l 由上图分析可知，不管是基于代理技术的防火墙还是基于状态包检测技术的 防火墙为了提高安全性，必须要进行大量的匹配运算，规则配置越高，处理越复 杂，系统性能越低，即安全性和处理性能是一个不容易解决的矛盾。因此本文提 出一种自适应技术来缓解这一矛盾，综合上述分析可知，传统防火墙的检测模块 存在如下问题1 4 , 6 j ： 1 网络中所有的数据就经过同样的处理逻辑。即经过i p 地址和端口的过滤、 内容的过滤、应用层攻击字符串的检测等。 2 自适应性差，缺乏智能性。 3 基于内容的文本过滤技术，对关键字进行搜索的速度随着词库的变大而处 理性能会明显降低。 4 应用层攻击字符串的查询要在应用层检查，由于每一个i p 包都要经历网 络层、传输层乃至应用层的拆包才能进行处理，因此系统的吞吐量较低，时延较长 而有些硬件防火墙由于性能的考虑不做应用层攻击字符串的检测。而是将应用层 攻击字符串的检测放到个人防火墙中，这样又影响了系统的安全性。 目前不少学者在针对基于内容的过滤算法和应用层攻击字符串的匹配算法 进行了大量的研究，优化了现有的算法，但是这只是在一定程度上解决防火墙的 第1 章绪论 处理性能和安全性的矛盾。为此本文提出了一个基于模糊推理的自适应技术来有 效缓解防火墙检测模块的处理性能和安全性的矛盾。 1 , 4 1 2 防火墙自身的安全性问题 防火墙在保护内部网络安全的同时，也必须能够保证自身的安全，若防火墙 本身遭到攻击，也就是破坏了它的安全性。当前黑客攻击的方式有多种，但是对 防火墙和服务器的攻击手段中，最常见的也是最难防范的是d o s d d o s 攻击7 1 ， 本文第六章详细讨论了d o s d d o s 攻击的特点，提出了防止d o 蛐d o s 攻击的办 法和模型，并作动态仿真分析。 1 4 2 主要研究内容 本文主要针对以上提出的防火墙的安全性和处理性能之间的矛盾以及防火 墙自身的安全性问题展开研究。 本论文主要研究内容有： 1 深入研究了目前各种防火墙技术的工作原理和特点。 2 详细分析了r e t h a t 9 内核防火墙的技术特点和工作流程，并将其改为一个 较为完善的基于状态包监视技术的包过滤模块，为本论文的后继实现工 作奠定了基础。 3 设计白适应智能防火墙的体系结构，它主要由入侵检测模块、包过滤模 块、代理模块、状态包监视模块、控制模块和安全规则库六个部分组成。 4 自适应智能防护墙的体系结构中，控制模块和入侵检测模块是本论文的核 心，在控制模块中引入模糊逻辑来实现将网络数据流按安全性程度分流。 5 针对防火墙自身的安全性问题，本文在自适应智能防火墙体系结构的入侵 检测模块中引入模糊控制理论，提出一个综合控制系统资源的办法来检测 和缓解拒绝服务攻击。 研究思想：数据处理流程如图所示1 2 所示： 关于研究思想的说明： 1 如何根据网络数据流的安全性进行分流是本课题的一个难点，由于传统防火 墙的检测模块使用经典集合论的数据基础，即规则的配置要么完全允许要么是完 全禁止，为了解决这个问题，由于网络数据流的安全性是一个模糊概念，而模糊 数学的理论知识给我们提供了描述模糊概念的非常合理的手段。 北京工业人学工学倾十学位论文 图1 - 2 网络数据处理流程 f i g 1 - 2f l o wc h a r to fd e a l i n gw i t hn e t w o r kd a t a 2 如果安全性高的数据流由于不断对系统进行攻击，入侵检测模块在检测 到该数据流的攻击行为后，通知控制模块下调该数据流的安全等级，经过模糊推 理，该数据流的总的安全等级也不断下降，这样高安全性的数据流变为低安全性 的数据流，这样原来由简单的访问控制处理的数据流转变为由复杂的访问控制来 处理，因此具有一定的自适应性。 3 在自适应智能火墙体系结构的入侵检测模块中引入模糊控制理论，通过 综合控制系统资源的办法来检测和缓解拒绝服务攻击。 1 5 本论文的研究价值与意义 本论文在传统的防火墙的过滤规则表中引入了两个新的概念，源安全等级和 目的安全等级，将这两个变量经过模糊化后经过模糊推理得到总的安全等级，防 火墙根据总的安全等级将网络数据流分配到不同安检级别的检测模块去处理，从 而更好的解决了防火墙的处理性能和安全性的矛盾。同时针对防火墙自身的安全 性问题提出一个基于系统性能控制法的控制策略来有效缓解和防止拒绝服务攻 击，此外基于系统性能的控制方法还可以应用于一些智能化网络流量监控产品 中，所以本课题具有一定的理论和实际应用价值。 第2 章防火墙概述 第2 章防火墙概述 网络安全策略有多个层次，其中主要的有防火墙技术、加密技术、认证技术、 入侵检测技术、主机安全等，其中防火墙技术是一种关键的网络安全策略，下面 对这一技术作较为详细的讨论。 2 1 防火墙工作原理 防火墙技术是目前各种网络安全解决方案中常用的技术，它通过控制和检测 网络之间的信息交换和访问行为来实现对网络的安全管理。防火墙技术作为目前 用来实现网络安全措施的一种主要手段，它主要是用来拒绝未经授权的用户访 问，阻止未经授权的用户存取敏感数据，同时允许合法用户不受阻碍地访问网络 资源，从总体上看，防火墙应具有以下五大基本功能【4 1 。 ( 1 )过滤进出网络的数据包。 ( 2 )管理进出网络的访问行为。 ( 3 )封堵某些禁止的访问行为。 ( 4 )记录通过防火墙的信息内容和活动。 ( 5 )对网络攻击进行检测和告警。 为实现以上功能，在防火墙产品的开发中，人们要应用网络拓扑技术、计算 机操作系统技术、路由技术、加密技术、访问控制技术、安全审计技术等成熟或 先进的技术手段。其工作原理是：按照事先规定好的配置与规则，监测并过滤通 过防火墙的数据流，只允许授权的或者符合规则的数据通过。防火墙应该能够记 录有关连接的信息、服务器或主机间的数据流量以及任何试图通过防火墙的非法 访问记录。同时，防火墙自身也应具备较高的抗攻击性能。 2 2 防火墙的分类及其关键技术 防火墙可以被分成- - o e 主要类型：数据包过滤防火墙、状态检测包过滤防火 墙以及应用级代理级防火墙。 2 2 1 包过滤防火墙 数据包过滤器防火墙工作在在网络层，它是根据数据包的源地址、目的地 址、t c p 或u d p 的源或目的端口、i c m p 信息类型等，过滤进出网络的数据包。 包过滤器不保持前后连接信息，过滤决定也是根据当前数据包的包头l p 地址可 北京工业大学t 学硕十学位论文 端口号来做的。根据防火墙类型的不同，过滤可以在输入时间，输出时间，或两 者兼有的时间进行。管理员可以做一个可以接受机器和服务的列表，以及一个不 可以接受机器和服务的列表。在主机和网络一级，利用数据包过滤器很容易 实现允许和禁止访问。例如，允许主机a 和b 之间的任何i p 访问，或禁止除a 以外的任何机器的访问b 。 大多数安全策略需要更为精细的控制，对根本不被信任的主机，需要定义容 许它们访问的服务。例如，可以允许任何人与机器a 连接，但仅限于发送或接 受电子邮件，其他服务被禁止，数据包过滤器允许在这一级别上进行某些控制。 数据包过滤防火墙的主要优点是：它的配置比较简单、速度快、效率高、不 会造成较大的延迟、也不会成为网络的瓶颈、对应用程序透明、可方便隔离内外 网络。 但是由于这种防火墙比较简单，缺点是：安全性低，不能支持更高层的协议， 无法进行身份验证，维护不直观。 2 2 2 应用代理防火墙 应用代理防火墙也就是通常所说的代理服务器。它适用于特定的互联网服 务，如超文本传输( r p ) 、远程文件传输( z r e ) 等。代理服务器通常运行在两个 网络之间，它对于客户来说像是一台服务器，而对于外界的服务器来说，它又是 一台客户机。当代理服务器接收到用户对某站点的访问请求后会检查该请求是否 符合规定，如果规则允许用户访问该站点的话，代理服务器会向一个客户一样去 哪个站点取回所需信息再转发给客户。如图2 - 1 所示，应用代理防火墙主要工作 在应用层，代理服务器在接到用户请求后，首先把数据包送到应用层进行分析处 理，然后代理服务器代替客户端向外部地址发出请求。 第2 幸防火墙概述 圈2 - 1 代理服务器的体系结构 f i g 2 - 1s y s t e mf r a m e w o r ko fa g e n c ys e r v e r 应用代理技术的优点：是易于配置、界面友好，不允许内外网主机的直接连 接，提供了比数据包过滤技术更详细的臼志记录，可以隐藏内部i p 地址，提供 应用层的安全，提供用户级的控制，可以为用户提供透明的加密机制。 代理技术的缺点是：处理速度比包过滤技术慢，只支持有限的应用层服务， 对用户不透明，不方便使用，安全性更依赖于操作系统的支持，将其作为防火墙 使用有限制，一般用于代理内部网到外部网的访问。 2 2 3 状态检测防火墙 在包过滤技术基础上引入状态检测机制的防火墙称为状态检测防火墙。这 种防火墙具有非常好的安全特性，它使用了一个在网关上执行安全策略的软件模 块，称之为检测引擎。检测引擎在不影响网络正常运行的前提下，采用抽取有关 数据的方法对网络通信的各层实施检测，抽取状态信息、并动态地保存起来作为 以后执行安全策略的参考。检测引擎支持多种协议和应用程序，并可以很容易地 实现。 2 3 防火墙拓扑结构及其应用 防火墙的拓扑结构与防火墙系统的性能密切相关，一般采用以下三种结构： 双宿主主机结构、屏蔽主机结构和屏蔽子网结构。 2 3 1 双宿主主机结构 双宿主主机是指具有至少两个网络接口的通用计算机系统。这种主机可以配 黄成两个网络之间的路由器，即它能将个网络的i p 包在无安全控制下传递给 北京丁业大学t 学硕l 学位论文 另一个网络。但是，当一台双宿主主机被配置成防火墙的时候，它的路由功能将 首先被禁止。内外网络均可以与双宿主主机通信，但内外网络之间不可以直接通 信。因此，这种结构的防火墙通常使用应用代理功能。其结构如图2 2 所示： 由鲁时蝗 图2 2 双重佰主主机体系结构 f i g 2 - 2s y s t e mf r a m e w o r ko fd o u b l eh o s tc o m p u t e r 双宿主主机结构的优点是防火墙结构简单，能有效隔离内部与外部网络的连 接。缺点是只有用代理服务的方式或者让用户直接注册到双宿主主机上才能提供 安全控制服务，而用户本身就会产生很大的安全问题。如果用户非法获得双宿主 主机的管理权限，则可以改变防火墙的配置，使防火墙失效。例如开通路由功能 将使内外部网络直接连通。 2 3 2 屏蔽主机结构 与双宿主主机结构不同，在屏蔽主机结构中，提供安全保护的堡垒主机完全 放在了内部网络。此外，还需一台单独的路由器作为内外部网络的过滤路由器。 这种结构中的堡垒主机位于内部网络，而过滤路由器按如下规则过滤数据包：任 何外部网的主机都只能与内部网的堡垒主机建立连接，任何外部系统对内部网络 的操作都必须经过堡垒主机；同时，禁止内部主机对外部网络的直接访问。屏蔽 主机结构如图2 3 所示： 第2 章防火墙概述 屏蔽路由看 垒垒主机 图2 3 屏蔽主机体系结构 f i g2 - 3s y s t e mf r a m e w o r ko fm a s k i n gh o s tc o m p u t e r 主机过滤结构与双宿主主机结构最大的不同是把提供安全服务的堡垒主机 移到了内网上，但是主机过滤结构能够提供比双宿主主机结构更高的安全性。因 为一般来说，在一台路由器上施加保护，比在一台主机上施加保护要容易得多。 在这种情况下，对路由器配置的正确与否成为防火墙是否安全的关键，如果路由 表被修改，则堡垒主机可能被超越，使内部网完全暴露。 2 3 3 屏蔽子网结构 屏蔽子网结构就是在主机过滤结构中再增加一层隔离措施，使得内部网与外 部网之间有两层隔断。这两层之间被称为非军事i 页( d m z ) 。在这种结构中，有两 台都与d m z 相连的过滤路由器，分别位于内部和外部网的边缘。路由器的配置 规则使内、外部网络都能访问d m z ，但禁止内、外部网络直接通信。非军事区 放置堡垒主机，以提供内、外部网络的安全服务。另外，允许外部直接访问的服 务器 如m t p 服务器、邮件服务器等也放在非军事区，如图2 - 4 所示。 图2 - 4 屏蔽子网体系结构 f i g 2 - 4s y s t e mf r a m e w o r ko fs c r e e ns u b n e t 2 4 防火墙的设计策略 防火墙的基本设计策略有以下三种： ( 1 ) 拒绝访问除明确许可以外的任何一种服务，即拒绝一切未赋予特许的 服务。 ( 2 ) 允许访问除明确拒绝以外的任何一种服务，即允许一切未特别拒绝的 服务。 ( 3 ) 本文提出的根据不同的数据流的安全性分发到不同的处理模块，避免 了传统的二值逻辑 2 5 本章小结 本章首先讨论了防火墙的基本技术和分类，包括包过滤技术、应用代理技术、 基于状态监视包过滤技术和n a t 技术等，并详细分析了每种技术的优缺点，其 次给出了防火墙的拓扑机构和应用。 第3 覃状态包监视技术分析 第3 章状态包监视技术分析 本章首先详细分析了l i n u x 2 4 内核防火墙中状念包监视技术的实现机制【5 1 ， 同时在试验中发现其中存在一些问题，如l i n u x 内核防火墙不支持q q ，m s n ， n e t m e e t i n g 的语音功能，同时在r e t h a t 9 下实现了内核防火墙对q q 音频的支持。 3 1 状态包监视技术介绍 状态包监视是对简单包过滤的一种功能扩展，在简单包过滤只检查单个数据 包链路层，网络层和传输层信息的基础上，进一步提供了能够侦测数据包之间关 系的状态检测功能。该技术的关键在于增加了一张连接状态表，该表记录和维护 了通过防火墙的每个合法连接的状态信息，以及合法连接引发的相关连接的信 息，由于添加到连接状态表的都是通过包过滤规则验证的连接，因此连接状态表 存储的相当于前边简单包过滤的结果，也就意味着凡是属于连接状态表连接的数 据包都是合法数据包。这样在过滤数据包时，首先查询连接状态表，如果能找到 相关表项，就认为是合法连接的后续或相关包，于是不再进行过滤，直接放行； 如果找不到，就认为是新建连接，这种情况下才进行简单包过滤。这样不但可以 大大提高过滤性能，也可以有效降低过滤策略的数量( l k 如允许内部主机a 访问 外部的f c p 服务器b ，简单包过滤下需要配置允许从内网主机到外网f f p 服务器 的访问，允许外网f t p 服务器的回应，允许外网邱服务器到内网f t p 客户端的数 据连接这几个策略，而状态检测包过滤下只需设置允许从内网n p 客户端到外网 f c p 服务器的访问一条策略就可以达到目的) 。另外由于在防火墙内部维护了每条 连接的状态信息，在进行安全防御，数据过滤时，比起单个数据包，可以有更多 的信息可利用，因而提供了更高的安全性。因而说状态检测包过滤技术在提高性 能的基础上兼顾了安全性，是非常有价值的一种过滤技术。 3 2l i n u x 下状态监视包技术的实现分析 n e t f i l t e r 是u n u x 2 4 x 内核中对口协议实现状态监视、包过滤、网络地址转 换及包处理的框架1 5 , 1 4 l 。它提供了一个通用、抽象的机制，主要包括两方面内容： ( 1 ) n e t f i l t e r 在l i n u x 内核i p 协议栈上设置特殊的处理点h o o k ，处理点 上挂接处理函数，任何到达这一处理点的数据包都会进入这些处理函数； ( 2 ) n e t f i l t e r 提供向h o o k 上挂接处理函数的接口。 北京l q k 大学t 学预士学位论文 n e t f i l t e r 共包括5 个h o o k ：p r e r o u t i n g ，i n p u t ，f o r w a r d o u t p u t 和p o s t r o u t i n g 。如图3 - 1 所示： 图3 - 1h o o k 在i p 协议栈中的位置 f i g 3 - lp o s i t i o no fh o o k i ni pa g r e e m e n t 数据包首先到达p r e r o u t i n g ，而后路由，如果目的地址是本地主机会到 达i n p u t ，如果不是则转发，会依次到达f o r w a r dh o o k 和p o s t r o u t i n g ， 然后发送到网络中去；如果数据包是从本地发出，首先会到达o u t p u t ，路由 后进入p o s t r o u t i n g ，然后发送到网络中去，见图3 。2 。 图3 2l i n u x 下状态检测包过滤工作流程图 f i g 3 2 f l o wc h a r to ff i l t e r i n gw o r ko f c h e c h i n gs t a t eu n d e rl i n u x 一1 4 第3 章状态包监视技术分析 3 3 包过滤实现方案i p t a b l e s 3 3 1i p t a b l e s 简述 i p t a b l e s 是一个基于n e t f i l t e r 框架用于实现包过滤，地址转换的软件模块，由 以下三个部分构成： ( 1 ) 规则表i p t a b l e s 在内核中注册的数据结构，用于存放过滤策略，一条过 滤策略由i p 头( 即源、目标地址，协议，接口信息) 、零个或多个m a t c h ( m a t c h 即 匹配数据包的条件，每个m a t c h 由m a t c h 名和要匹配的数据组成、和一个t a r g e t 名( 即决定数据包命运的动作，如允许或丢弃1 组成。 ( 2 ) 内核空间程序包括两部分，一部分是用于匹配数据包的m a t c h 函数和对 数据包进行处理的t a r g e t 函数，这些函数和规则表的m a t c h 名和t a r g e t 名之间存 在映射关系；另一部分是挂接在n e t f i l t e r h o o k 上的函数，能够根据规则表中的 内容调用m a t c h ，t a r g e t 函数进行包过滤，地址转换等操作。 ( 3 ) 用白空间程序负责对内核中的规则表进行添加，删除，修改，插入等 各种操作。 3 3 2i p t a b l e s 的工作流程 1 p 数据包到达h o o k ，会进入h o o k 上挂按的i p t a b l e s 处理函数；处理函 数会依次遍历规则表中所有过滤策略；如果数据包匹配某策略i p 头中的内容， 将进一步匹配策略所有的m a t c h ，会依次进入每个m a t c h 名对应的m a t c h 函数； 如果所有的m a t c h 函数确定数据包满足m a t c h 的匹配条件，获取该规则的t a r g e t 名，跳入t a r g e t 名对应的t a r g e t 函数，该函数决定数据包的最终命运；如果数据 包对所有的规则都不匹配，则由规则表的默认规则处理。 3 4 状态监视实现方案i p c o n n t r a c k 3 4 1i p c o n n t r a c k 简述 i p c o n n t r a c k ( 连接跟踪) 是一个基于n e t f i l t e r 框架用于实现状态监视的模块系 统，由以下3 部分构成： ( 1 ) 连接状态表 1 ) 当前连接状态表：记录所有已建连接的状态信息f 包括源目的地址， 协议，源目标端口，连接所处的状态等信息、。 北京工业大学t 学颂十学位论文 2 ) 期待连接状态表：记录所有由已建连接可能引发连接的信息f 在实际 应用中某些连接往往会引发其他的连接，比如f t p 对2 1 端口的命令连接会引发 2 2 端口到本地一个动念端口的f t p 数据连接) 。 3 ) 协处理模块表：协处理模块负责对某类已建连接的应用层数据进行分 析( 比如根据f t p 的p o r t 和p a s s 命令) ，计算出该连接可能引发的相关连接的信息， 并将这些信息存入期待连接状态表中。协处理模块表就是存放这类模块的数据结 构。 ( 2 ) 挂结在n e t f i l t e r 上的函数负责根据连接状态表设置数据包的状态， 向连接状态表添加新建连接，调用协处理模块，定时更新连接状态表中的内容。 i p c o n n t r a c k 所做的工作就是根据连接状态表保存的信息，确定每个进入协议栈的 数据包所属的连接，进而确定数据包的状态，这些状态包括e s t a b l i s h e d ， r e i a 1 e d ，n e w ，i n v a l i d 。s t a b u s h e d 状态表示数据包属于已建连接， r e l a t e d 状态表示数据包属于已建连接触发的相关连接，n e w 状态表示数据 包属于新建连接。状态表中保存的每一连接都有一定的超时时间，如果连接上有 数据包通过，该连接的超时时间会被重新置位，当某连接的超时时间为零， i p c o r m t r a c k 会将该连接从状态表中删除。对t c p 连接l p c o n n t r a c k 能够跟踪到连 接结束的状态，会在其结束时直接删除相关的连接。 3 4 21 p c o n n t r a c k 的工作流程 i p c o n n t r a c k 的工作流程图见图3 3 。 ( 1 ) i p 包到达n e f f i l t e r 的p r e r o u t i n g 进入l p c o n n t r a c k 函数； ( 2 ) 1 p c o n n t r a c k 函数会在当前连接状态表中查找数据包所属的连接： 1 ) 如果存在，重置该连接的超时时间，如果连接的状态为 e s t a b u s h e d ，则此包的状态为e s t a b l i s h e d ，如果连接的 状态为r e i a 1 鼍d ，则此包的状态为r e i a 1 匿d ； 2 ) 如果不存在，则在期待连接状态表中查找，确定数据包是否属于 已建连接可能触发的相关连接： a ) 如果存在，表明此包是该连接第一个到达的数据包，将此连 接从期待连接状态表中删除，并在当前连接状态表中创建该连接，设置连接状态 为r e l a t e d ，则此包的状态为r e l a t e d ： 第3 章状态包监视技术分析 图3 - 3 完善的状态检测模块 f i g 3 3p e r f e c ts t a t ed e t e c t i n gm o d u l e b ) 如果不存在，表明数据包属于新建连接，计算出这个新连接的 信息，标记此包的状态n e w ( i 扫于新建连接可能会被i p t a b l e s 过滤策略阻断，因 此还不能在此处就将新建连接信息加入当前连接状态表) ，在协处理模块表中查 找与此新建连接相关的协处理模块，如果存在建立该协处理模块和新建连接之间 的关联关系。 ( 3 ) 如果数据包所属连接和某个协处理模块存在关联，调用该协处理模块 对数据包中的数据进行协议分析计算出可能会触发的相关连接的信息，将这些信 息添加到期待连接状态表中去。 ( 4 ) 当该数据包通过协议栈，到达p o s t r o u t i n g 点，进入该h o o k 上 挂接i p c o n n t r a c 函数。如果数据包的状态为n e w ，i p c o n n t r a c k 函数会将前边的 新建连接信息添加到当前连接状态表中去。 ( 5 ) i p c o n n t r a c k 会定时检查连接状态表内容的时效性，删除已经超时的连 接。 北京工业人学工学硕士学位论立 3 4 3l i n u x 下状态监视技术的实现 综合上述3 种方案就可以实现状态检测包过滤技术 ( 1 ) 启用n e t f i l t e r 机制： ( 2 ) 启动i p c o n n t r a c k 完成状态检测； ( 3 ) 启用i p t a b l e