（计算机软件与理论专业论文）防火墙深度包检测技术研究.pdf

摘要 深度包检测是随着网络安全的发展而提出的代表了防火墙技术的未来发展 方向。 本文在研究深度包检测技术基础之上，提出了一种基于模式匹配的深度包检 测模型，并给出应用于该模型的模式匹配算法。首先分析传统包过滤技术、状态 检测技术、应用代理技术及其优缺点，讨沦新一代智能防火墙技术，并简要介绍 应用层智能过滤技术。然后详细阐述数据包过滤技术和流过滤技术，借鉴入侵防 护系统主动防御的优点，提出一种基于模式匹配的深度包检测模型，并详细说明 模型的框架设计及部件构造。最后在分析基本检测算法的基础上，给出一种基于 划分思想和哈希方法新的深度包检测算法。算法时间复杂度为( ) 伸+ 叫表明该算法 是一种适合于深度包检测的线性算法，其中m 、”分别为模式和文本串的长度。 关键词：深度包检测入侵防护系统模式匹配应用层智能 a b s t r a c t i n - d e p t hp a c k e td e t e c t i o ni sb r o u g h tf o r w a r dw i t h t h ed e v e l o p m e n to f n e t w o r ks e c u f i t ya n ds h o w st h ef u t u r eo f m a i n f i r e w a l lt e c h n o l o g y , o nt h eb a s eo fs t u d i e so fm a i ni n - d e p t hp a c k e td e t e c t i o nt e c h n o l o g y ，am o d e lo f i n d e p t hp a c k e td e t e c t i o nb a s e do np a t t e r nm a t c h i n g i sg i v e n ，a n dt h ec o r r e l a t i v ep a t t e r n m a t c h i n ga l g o r i t h m sa r es u g g e s t e d f i r s t l y t h ea d v a n t a g ea n dd i s a d v a n t a g eo f t h et h r e e t r a d i t i o n a lt e c h n i q u e s ，w h i c ha r ep a c k e tf i l t e r , s t a t ed e t e c t i o na n da p p l i c a t i o np r o x y , a r e a n a l y z e d d i s c u s st h en e wi n t e l l i g e n tf i r e w a l lt e c h n o l o g ya n ds i m p l yi n t r o d u c et h e i n t e l l i g e n tf i l t e rt e c h n o l o g y s e c o n d l y ，d e s c r i b ep a c k e tf i l t e ra n d s t r e a mf i l t e rt e c h n i q u e s i nd e t a i l g i v ea ni n d e p t hp a c k e td e t e c t i o nm o d e lb a s e do np a t t e r nm a t c h i n g ，w h i c h u s e sf o rr e f e r e n c et oa c t i v ed e t e c t i o nt r a i to fi n t r u s i o np r e v e n t i o ns y s t e m ，a n da n a l y z e t h ew h o l ef r a m ea n ds t r u c t u r eo fc o m p o n e n t s f i n a l l y ，a n e w l yp a t t e r nm a t c h i n g a l g o r i t h mi ss u g g e s t e da n dt h e i d e ab e h i n da l g o r i t h mi s p a r t i t i o na n du s e s o fh a s h f u n c t i o na f t e ra n a l y z i n gt h eb a s i ca l g o r i t h m t h et i m es p a c eo ft h en e wa l g o r i t h mi s d 细+ 彬，h e r e ”2 ，hd e n o t et h el e n g t ho fs t r i n ga n dt e x tr e s p e c t i v e l y t h en e wl i n e a r a l g o r i t h mi ss u i t a b l ef o ri n d e p t hp a c k e td e t e c t i o no f f i r e w a l l k e y w o r d s ：i n - d e p t hp a c k e t d e t e c t i o ni n t r u s i o np r e v e n t i o ns y s t e m p a t t e r nm a t c h i n g a p p l i c a t i o ni n t e l l i g e n c e 创新性声明 y 6 9 5 4 8 6 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中 不包含其他人已经发表或撰写过的研究成果：也不包含为获得西安电子科技大学 或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所 做的任何贡献均已在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：垂拯日期2 丝! ：兰里 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文：学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论 文在解密后遵守此规定) 本学位论文属于保密在一年解密后适用本授权书。 本人签名 导师签名叠! 生 日期2 0 d 于，2 - 0 日期z 丛：丝 第一章绪论 第一章绪论 1 1 引言 i n t e r n e t 的发展给政府机构、企事业单位带来了革命性的变革，越来越多的机 关单位和企业将自己的内部网与i n t e m e t 相连。利用i n t e m e t 可以提高办事效率和 市场反应速度，以便使企业更具有竞争力，使政府通过互联网发布重要的政策信 息，进行招商引资等。通过i n t e m e t ，企业可以从异地取回重要数据，同时又要面 对i n t e m e t 开放带来的数据安全的新挑战和新危险，即客户、销售商、移动用户、 异地员工和内部员工的安全访问；以及保护企业的机密信息不遭受黑客和工业间 谍的入侵。 近年来，一连串的网络非法入侵给人们带来了不安。很多政府机关的内部网 建立起来了，但是为担心网络安全问题而没有真正将内部网接入i n t e m e t 。据公安 部的资料，1 9 9 8 年中国共破获电脑黑客案件近百起，利用计算机网络进行的各类 违法行为在中国以每年3 0 的速度递增。黑客供给方法已超过计算机病毒的种类， 总数达近千种。公安部官员估计，已发现的黑客攻击方案约占总数的1 5 ，多数 事件由于没有造成严重危害或商家不愿意透露而未被曝光。有媒介报道，中国9 5 的与i n t e m e t 相连的网络管理中心都遭到过境内外黑客的攻击或入侵，其中银行、 金融和证券机构是黑客攻击重点【1 1 。人们为了保护其数据和资源的安全，出现了 防火墙1 2 1 1 3 1 。防火墙从本质上说是一种保护装置，它保护的是数据、资源和用户 的声誉。 防火墙原本是大厦设计中用来防止火灾从大厦的一部分传播到另一部分的设 施。与之类似，如今用户通过自身网络与i n t e m e t 相连，访问外部世界并与之通 信，外部世界同样也可以访问该网络并与用户交互。为安全起见，可以在该网络 与i n t e m e t 之间插入一个中介系统，竖起一道安全屏障，这道屏障的作用是阻断 来自外部网络对本网络的威胁和入侵，提供保护本网络安全的一道关卡。 1 2f i r e w a i l 系统概述 所谓的防火墙是指设置在不同网络( 如可信任的企业内部网和不可信的公共 网1 或网络安全区域之间的一系列部件的组合。它可通过监测、限制、更改跨越防 火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来 实现网络的安全保护。在逻辑上，防火墙是一个分离器，一个限制器，也是一个 分析器，有效地监控了内部网和i n t e m e t 之间的任何活动，保证了内部网络的安 防火墙深度包检测技术研究 全。目前防火墙已经开始被企业用户普遍接受，而且正在成为企业网络中一种主 要的安全设备。传统防火墙由于通常在网络边界站岗，又名”边界防火墙”。 防火墙【4 】的目的在于实现安全访问控制，因此按照o s i r m ，防火墙可以在 o s i r m 七层中的五层设置。一般的防火墙模型如图1 1 所示。 o s f r m 防火墙 应用层网关级 表示层 ，龠。 会话层 ：二1 7 传输层电路级 网络层路由器级 数据链路层网桥级 物理层中继器级 1 图l 1 防火墙与0 s i 模型 1 2 1f i r e w a l l 的优点 利用防火墙来保护内部网络主要有以下几个方面的优点： ( 1 ) i n t e m e t 防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户 进入内部网络。禁止存在脆弱性的服务进出网络，并抗击来之各种路线的攻击。 ( 2 ) 保护网络中脆弱的服务。防火墙通过过滤存在安全缺陷的网络服务来降 低内部网络遭受攻击的威胁，因为只有经过选择的网络服务才能通过防火墙。例 如，防火墙可以防止基于源路由选择的攻击，如企图通过i c m p 重定向把数据包 发送路径转向不安全网络。防火墙可以拒绝接受所有源路由发送的数据包和 i c m p 重定向，可以从一定程度上提高内部网的安全性。 f 3 ) i n t e m e t 防火墙可以作为部署n a t ( n e t w o r ka d d r e s st r a n s l a t o r ，网络地址 翻译1 的逻辑地址，可以缓解地址空间短缺问题，也可以隐藏内部网络的结构。 ( 4 ) 集中安全性，可以很方便地监视网络的安全性，并产生报警。增强保密 性强化私有权。使用防火墙系统，使网络节点可阻塞f i n g e r 及d n s 域名服务， 因为攻击者经常利用f i n g e r 列出的当前使用者名单、一些用户信息和d n s 服务 能提供一些得主机信息。防火墙能封锁这类服务，从而使得外部网络主机无法获 取这些利于供给的信息。 r 5 ) 防火墙是审计和记录i n t e m e t 使用量的一个最佳地方，也可以成为向客户 发布信息的地点。防火墙作为部署w w w 服务器和f t p 服务器的地点非常理想， 对防火墙进行配置，允许i n t e m e t 访问上述服务，而禁止外部对受保护得内部网 络上其他系统的访问。 第一章绪论 1 2 2f i r e w a l l 的缺点 虽然防火墙可以提高内部网络的安全性。但是也有一些缺陷和不足，有些缺 陷是目前根本无法解决的，下面是防火墙的缺陷： ( 1 ) 限制有用的网络服务。由于绝大多数网络服务在设计之初没有考虑安全 性，只考虑资源共享和方便性，所以存在安全问题。这样防火墙为了保护网络安 全性，限制或关闭很多有用但存在安全缺陷的服务，等于从一个极端走向另一个 极端。 ( 2 ) 无法防护内部网络用户的攻击。目前防火墙只提供对外部网络用户攻击 的防护，对来自内部用户的攻击只能依靠内部主机系统的安全性。防火墙无法禁 止内部间谍将敏感数据拷贝到软盘上并带出。也不能防范这样的攻击：伪装成超 级用户或者新雇员，从而获得口令访问网络权限。 ( 3 ) i n t e m e t 防火墙无法防止通过防火墙以外的其他途径的攻击。例如，在一 个被保护的网络上有一个没有限制的拨出存在，内部用户就可以直接通过s l i p 或p p p 进入i n t e m e t 从而绕过了防火墙。 ( 4 ) 防火墙不能完全防止传送已感染病毒的软件或文件。因为病毒的类型太 多，操作系统也有多种，编码与压缩二进制文件的方法也不同，所以不能期望防 火墙对每个文件进行扫描，查处潜在的病毒。 ( 5 ) 防火墙无法防范数据驱动型的攻击。数据驱动型攻击从表面上看是无害 的数据出入，但一旦执行就开始攻击。例如，一个数据型攻击可能导致主机修改 与安全相关的文件，使得入侵者很容易获得对系统的访问权。 ( 6 ) 不能防备新的网络安全问题。防火墙是一种被动式保护手段，它只能对 现已知的网络威胁起作用。随着供给手段的不断更新和一些新的网络应用的出现， 不可能靠一次性的防火墙设置来解决永远的网络安全问蹶。 1 3f i r e w a l l 现状及存在问题 1 3 1f i r e w a u 发展现状 目前的防火墙从产品发展历程上，都经历了五个发展阶段1 6 j 。第一代防火墙 技术几乎与路由器同时出现，采用了包过滤( p a c k e tf i l t e r ) 技术。1 9 8 9 年贝尔实 验室的d a v ep r e s o t t o 和h o w a r dt f i c k e y 推出了第二代防火墙，即电路层防火墙， 同时提出了第三代防火墙应用层防火墙( 代理防火墙) 的初步结构。第三代 的防火墙准确来说，是美国国防部认为第一代和第二代的防火墙的安全性不够， 希望能对应用进行检查，于是出资研制出有名的t i s 防火墙套件。第四代防火墙 4 防火墙深度包检测技术研究 是1 9 9 2 年，u s c 信息科学院的b o b b r a d e n 开发出了基于动态包过滤( d y n a m i c p a c k e tf i l t e r ) 技术的第四代防火墙，后来演变为目前所说的状态监视( s t a t e f u l i n s p e c t i o n ) 技术。1 9 9 4 年，以色列的c h e c k p o i n t 公司开发出了第一个采用这种 技术的商业化的产品。第五代防火墙是1 9 9 8 年，n a j 公司推出了一种自适应代 理( a d a p t i v ep r o x y ) 技术，并在其产品g a u n t l e tf i r e w a l lf o rn t 中得以实现，给 代理类型的防火墙赋予了全新的意义。高级应用代理( a d v a n c e da p p l i c a t i o n p r o x y ) 的研究，克服速度和安全性之间的矛盾，可以称之为第五代防火墙。 前五代防火墙技术有一个共同的特点，就是采用逐一匹配方法，计算量太大。 包过滤是对m 包进行匹配检查，状态检测包过滤除了对包进行匹配检查外还要对 状态信息进行匹配检查，应用代理对应用协议和应用数据进行匹配检查。因此， 它们都有一个共同的缺陷，安全性越高，检查的越多，效率越低。用一个定律来 描述，就是防火墙的安全性与效率成反比。 1 3 2f i r e w a l l 存在的问题和发展趋势 没有人怀疑防火墙在所有的安全设备采购中占据第一的位置。但传统的防火 墙并没有解决网络主要的安全问题。目前网络安全的三大主要问题是，以拒绝访 问( d d o s ) 为主要目的网络攻击，以蠕虫( w o r m ) 为主要代表的病毒传播，和 以垃圾电子邮件( s p a m ) 为代表的内容控制。这三大安全问题占据网络安全问 题九成以上。而这三大问题，非智能防火墙都无能为力【5 1 。 根据2 0 0 3 年美国联邦调查局( f b i ) 和计算机犯罪调查机构( c s i ) 联合发 布的报告，超过5 0 * , 4 的被调查者承认遭受拒绝访问攻击，8 0 的被调查者遭受病 毒的攻击。垃圾电子邮件更猖狂，i d c 估计到2 0 0 6 年，全球每天发送的垃圾信息 将超过2 0 0 亿条j 。 传统的防火墙能解决上述三大问题吗? 答案是否定的。原因有三，一是传统 防火墙的计算能力的限制。传统的防火墙是以高强度的检查为代价，检查的强度 越高，计算的代价越大。二是传统防火墙的访问控制机制是一个简单的过滤机制。 它是一个简单的条件过滤器，不具有智能功能，无法解决复杂的攻击。三是传统 的防火墙无法区分识别善意和恶意的行为。这些决定了传统的防火墙无法解决恶 意的攻击行为。 传统的防火墙有一个重大的理论假设，如果防火墙拒绝某些数据包的通过， 则一定是安全的，因为这些包已经被丢弃。但实际上防火墙并不保证准许通过的 数据包是安全的，防火墙无法判断一个正常的服务的数据包和一个恶意的数据包 有什么不同，因此要求管理员来保证该包是安全的。管理员必须告诉防火墙准许 通过什么，既然管理员说必须通过，那么防火墙依据你设置的规则来允许此数据 第一章绪论 包通过，这样管理员则必须承担策略错误的安全责任。然而，传统防火墙的这种 假设对网络安全是不恰当的，安全效果也不好。把安全责任交给安全管理员，实 际上就没有解决安全问题。新一代的防火墙应该加强放行数据的安全性，因为网 络安全的真实需求是，既要保证安全，也必须保证应用的正常进行。 智能防火墙【8 】是相对传统的防火墙而言的，颞名思义，更聪明更智能。智能 防火墙从技术特征上，是利用统计、记忆、概率和决策的智能方法来对数据进行 识别，并达到访问控制的目的。新的数学方法，消除了匹配检查所需要的海量计 算，高效发现网络行为的特征值，直接进行访问控制。由于这些方法多是人工智 能学科采用的方法，因此，又称为智能防火墙。 一个典型的例子可以说明智能防火墙对网络安全是多么的重要。传统的防火 墙对包的检查，就像对人的相貌的识别，采用图像识别一样。把一个人的相貌转 换为图像，对图像的每一个像素进行记忆，然后进行匹配检查。通过检查上千万 个像素之后，告诉你，这是谁。人不是这样来识别相貌的。人几乎没有计算就可 以实时地识别你是谁? 这就是智能识别。智能防火墙无须海量计算就可以轻松找 到网络行为的特征值来识别网络行为，从而轻松的执行访问控制。 1 4 论文主要内容及安排 本文的主要内容是研究防火墙深度包检测技术。首先介绍了传统防火墙技术， 分析其优缺点，接着简介了新一代智能防火墙，并探讨了应用层智能技术。然后 引入深度包检测技术，重点研究了数据包过滤技术和流过滤技术，结合入侵防护 系统主动防御的优点，提出一种基于模式匹配的深度包检测模型，详细说明该模 型构造及其部件设计。最后对相关的模式匹配算法做了研究。 论文具体安排如下： 第一章为绪论，主要介绍课题的背景和防火墙技术的现状、存在的问题及发 展趋势。 第二章主要介绍传统防火墙的技术特点及发展趋势，包括包过滤、状态检测、 应用代理技术特点介绍，新一代智能防火墙技术特点，以及应用层智能技术发展 研究。 第三章主要介绍深度包检测技术的基础，重点研究数据包过滤技术和流过滤 技术，概要介绍了入侵防护系统。 第四章提出一种基于模式匹配的深度包检测模型，详细说明模型的框架构造 及其各部件的设计，并对影响包检测性能的关键处做了分析研究。 第五章主要研究了相关的模式匹配算法，在分析了基本模式匹配算法之外， 重点研究了基于划分和哈希函数的模式匹配算法。 6防火墙深度包检测技术研究 最后是总结和展望，对全文进行总结分析并指出不足之处和今后的研究方向。 第二章f i r e w a l i 技术综述及发展 7 第二章f i r e w ai i 技术综述及发展 防火墙从出现发展至今，每次技术上的革新都是为了迎合实际应用的需要， 反之，有了应用背景，防火墙技术的积累发展才得以充实。本章首先在第一章防 火墙基本概念的基础之上，讨论了传统防火墙技术及其优缺点，然后简要介绍新 一代智能防火墙技术，最后探讨了应用层智能技术。 2 1 传统防火墙技术及特点 传统防火墙产品从技术上划分，发展至今大致可以分为三个阶段：包过滤防 火墙，状态检测防火墙，应用代理防火墙这三类，每种技术都有其各自特点，下 面一一分析。 2 1 1 包过滤防火墙技术 第一代防火墙和最基本形式防火墙检查每一个通过的网络包，或者丢弃，或 者放行，取决于所建立的一套规则，这称为包过滤防火墙【9 l 。 本质上包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或接口。 例如，作为防火墙的设备可能有两块网卡州i c ) ，一块连到内部网络，一块连到公 共的i n t e r a c t 。防火墙的任务，就是作为“通信警察”，指引包和截住那些有危害的 包。 包过滤防火墙检查每一个传入包，查看包中可用的基本信息( 源地址和目的 地址、端口号、协议等) 。然后将这些信息与设立的规则相比较。例如，如果已经 设立了阻断t d n e t 1 0 】连接，而数据包的目的端口是2 3 的话，那么该数据包就会被 丢弃。如果允许传入w e b 连接，而君的端口为8 0 ，则包就会被放行。多个复杂 规则的组合也是可行的。如果允许w e b 连接，但只针对特定的服务器，目的端口 和目的地址二者必须与规则相匹配，才可以让该数据包通过。最后，可以确定当 一个包到达时，如果对该数据包没有规则被定义，接下来将会发生什么事情了。 通常。为了安全起见，与传入规则不匹配的包就被丢弃了。如果有理由让该数据 包通过，就要建立规则来处理它。 建立包过滤防火墙规则的例子如下： ( 1 ) 来自专用网络的包，只允许来自内部地址的包通过，因为其他数据包包 含不正确的包头部信息。这条规则可以防止网络内部的任何人通过欺骗性的源地 址发起攻击。而且，如果黑客对私有网络内部的机器具有了不知从何处得来的访 防火墙深度包检测技术研究 问权，这种过滤方式可以阻止黑客从网络内部发起攻击。 ( 2 ) 在公共网络，只允许目的地址为8 0 端口的包通过。这条规则只允许传入 的连接为w e b 连接。此规则也允许与w e b 连接使用相同端口的连接，所以它并 不是十分安全。 ( 3 ) 丢弃从公共网络传入的包，而这些包都有你的网络内的源地址，从而减 少i p 欺骗性的攻击。 ( 4 ) 丢弃包含源路由信息的包，以减少源路由攻击。要记住，在源路由攻击 中，传入的数据包包含路由信息，它覆盖了包通过网络应采取得正常路由，可能 会绕过已有的安全程序。通过忽略源路由信息，防火墙可以减少这种方式的攻击。 包过滤防火墙简单，方便实藏，而且在对安全性要求不高的环境下足可以满 足需要，所以现在一些应用中还在采用，最主要的它有自己存在的优势。下面对 其优缺点分别阐述。 使用包过滤防火墙的主要优点包括： ( 1 ) 防火墙对每条传入和传出网络的包实行低水平控制。 ( 2 ) 每个i p 包的字段都被检查，例如源地址、目的地址、协议、端口等。防 火墙将基于这些信息应用过滤规则。 ( 3 ) 防火墙可以识别和丢弃带欺骗性源i p 地址的包。 ( 4 ) 包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通 过防火墙，绕过是困难的。 ( 5 ) 包过滤通常被包含在路由器数据包中，所以不必额外的系统来处理这个 特征。 使用包过滤防火墙的主要缺点包括： ( 1 ) 配置困难。因为包过滤防火墙很复杂，人们经常会忽略建立一些必要的 规则，或者错误配置了已有的规则，在防火墙上留下漏洞。然而，在市场上，许 多新版本的防火墙对这个缺点正在作改进，如开发者实现了基于图形化用户界面 ( g u d 的配置和更直接的规则定义。 ( 2 ) 特定服务开放的端口存在着危险，可能会被用于其他传输。例如，w e b 服务器默认端口为8 0 ，而计算机上又安装了r e a l p l a y e r ，那么它会搜寻可以允许 连接到r e a l a u d i o 服务器的端口，而不管这个端口是否被其他协议所使用， r e a l p l a y e r 正好是使用8 0 端口而搜寻的。就这样无意中，r e a l p l a y e r 就利用了w e b 服务器的端口。 ( 3 ) 可能还有其他方法绕过防火墙进入网络，例如拨入连接。但这个并不是 防火墙自身的缺点，而是不应该在网络安全上单纯依赖防火墙的原因。 第二章f i r e w a l l 技术综述及发展 2 1 2 状态检测防火墙技术 所谓状态动态检测防火墙【”】【1 2 1 ，试图跟踪通过防火墙的网络连接和包，这 样防火墙就可以使用一组附加的标准，以确定是否允许和拒绝通信。它是在使用 了基本包过滤防火墙的通信上应用一些技术来做到这点的。 当数据包过滤防火墙见到一个网络包，包是孤立存在的。它没有防火墙所关 心的历史或未来。允许和拒绝包的决定完全取决于包自身所包含的信息，如源地 址、目的地址、端口号等。包中没有包含任何描述它在信息流中的位置的信息， 则该数据包被认为是无状态的；它仅是存在而已。 一个有状态包检查防火墙跟踪的不仅是包中包含的信息。为了跟踪包的状态， 防火墙还记录有用的信息以帮助识别包，例如已有的网络连接、数据的传出请求 等。例如，如果传入的数据包包含视频数据流，而防火墙可能已经记录了有关信 息，是关于位于特定i p 地址的应用程序最近向发出包的源地址请求视频信号的信 息。如果传入的包是要传给发出请求的相同系统，防火墙进行匹配，包就可以被 允许通过。 一个状态动态检测防火墙可截断所有传入的通信，而允许所有传出的通信。 因为防火墙跟踪内部出去的请求，所有按要求传入的数据被允许通过，直到连接 被关闭为止。只有未被请求的传入通信被截断。如果在防火墙内正运行一台服务 器，配置就会交得稍微复杂一些，但状态包检查是很有力和适应性的技术。例如， 可以将防火墙配设置为只允许从特定端口进入的通信，只可传到特定服务器。如 果正在运行w e b 服务器，防火墙只将8 0 端口传入的通信发到指定的w e b 服务器。 状态动态检测防火墙可提供的其他一些额外的服务有：( 1 ) 将某些类型的连 接重定向到审核服务中去。例如，到专用w e b 服务器的连接，在w e b 服务器连 接被允许之前，连接数据有可能被发送到s e e u t l d 服务器( 用一次性口令来使用) 。 ( 2 ) 拒绝携带某些数据的网络通信，如带有附加可执行程序的传入电子消息，或 包含a c t i v e x 程序的w e b 页面。 跟踪连接状态的方式取决予包通过防火墙的类型： n 1t c p 包。当建立起一个t c p 连接时，通过的第一个包被标有包的s y n 标 志。通常情况下，防火墙丢弃所有外部的连接企图，除非已经建立起某一条特定 规则来处理它们。对内部的连接试图连到外部主机，防火墙注明连接包，允许响 应及随后再两个系统之间的包，直到连接结束为止。在这种方式下，传入的包只 有在它是响应一个已建立的连接时，才会被允许通过。 f 2 ) u d p 包。u d p 数据包比t c p 数据包简单，因为它们不包含任何连接或序 列信息。它们只包含源地址、目的地址、校验和携带的数据。这种信息的缺乏使 1 0 防火墙深度包检测技术研究 得防火墙确定包的合法性很困难，因为没有打开的连接可利用，以测试传入的包 是否应被允许通过。可是，如果防火墙跟踪包的状态，就可以确定。对传入的包， 若它所使用的地址和u d p 包携带的协议与传出的连接请求匹配，该数据包就被允 许通过。和t c p 包一样，没有传入的u d p 包会被允许通过，除非它是响应传出 的请求或已经建立了指定的规则来处理它。 ( 3 ) 对其他种类的包，情况和u d p 包类似。防火墙仔细地跟踪传出的请求， 记录下所使用的地址、协议和包的类型，然后对照保存过的信息核对传入的包， 以确保这些包是被请求的。 使用状态动态检测防火墙的主要优点有： ( 1 ) 检查i p 包的每个字段的能力，并遵从基于包中信息的过滤规则。 ( 2 ) 识别带有欺骗性源i p 地址包的能力。 ( 3 ) 包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通 过防火墙，绕过是困难的。 ( 4 ) 基于应用程序信息验证一个包的状态的能力，例如基于一个已经建立的 f t p 连接，允许返回的f t p 包通过。 ( 5 ) 基于应用程序信息验证一个包状态的能力，例如允许一个先前认证过的 连接继续与被授予的服务通信。 ( 6 ) 记录有关通过的每个包的详细信息的能力。基本上，防火墙用来确定包 状态的所有信息都可以被记录，包括应用程序对包的请求，连接的持续时间，内 部和外部系统所做的连接请求等。 状态动态检测防火墙的缺点： 状态动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会 造成网络连接的某种迟滞，特别是在同时有许多连接激活的时候，或者是有大量 的过滤网络通信的规则存在时。可是，硬件速度越快，这个问题就越不易察觉， 而且防火墙的制造商一直致力于提高他们产品的速度。 2 1 3 应用程序代理防火墙技术 应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反， 它是接受来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器单 独的连接。网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访 问内部网的任何一部分。 另外，如果不为特定的应用程序安装代理程序代码，这种服务是不会被支持 的，不能建立任何连接。这种建立方式拒绝任何没有明确配置的连接，从而提供 了额外的安全性和控制性。 第二章f i r e w a l l 技术综述及发展 例如个用户的w e b 浏览器可能在8 0 端口，但也经常可能是在1 0 8 0 端口， 连接到了内部网络的h t t p 代理防火墙。防火墙然后会接受这个连接请求，并把 它转到所请求的w e b 服务器。 这种连接和转移对该用户来说是透明的，因为它完全是由代理防火墙自动处 理的。 代理防火墙通常支持的一些常见的应用程序有： ( 1 ) h m ( h y p e r t e x t t r a n s f e r p r o t o c o l ，w w w 服务程序所用的协议) 。 ( 2 ) h t t p s s s l ( h y p e r t e x t t r a n s f e rp r o t o c o ls e c u r e ，安全超文本传输协议； s e c u r es o c k e tl a y e r ，安全套接层协议主要是使用公开密钥体制和x 5 0 9 数字证书 技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用 于点对点之间的信息传输，常用w e bs e r v e r 方式) 。 ( 3 ) s m t p ( s i m p l em e s s a g et r a n s f e rp r o t o c o l ，简单邮件传输协议，用于电子 邮件的传输) 。 ( 4 ) p o p 3 ( p o s t o 伍c ep r o t o c o l3 ，邮局协议3 ，通常被用来接收电子邮件) ( 5 ) i m a p ( i n t e m e tm e s s a g e a c c e s sp r o t o c o l ，i n t e m e t 消息访问协议，是与 p o p 3 对应的另一种协议。它能够从邮件服务嚣上获取有关e m a i l 的信息或直接 收取邮件，具有高性能和可扩展性的优点) 。 ( 6 ) n n t p ( n e t w o r k n e w s t r a n s f e r p r o t o c o l ，网络新闻传输协议) 。 ( 7 ) t e l n e t ( 用于远程联接服务的标准协议或者实现此协议的软件) 。 ( 8 ) f t p ( f i l e t r a n s f e rp r o t o c o l ，文件传输协议) 。 ( 9 ) i r c ( i n t e r n e tr e l a yc h a t t i n g ，i n t e m e t 在线聊天系统) 。 应用程序代理防火墙可以配置成允许来自内部网络的任何连接，它也可以配 置成要求用户认证后才建立连接。要求认证的方式只能为已知的用户建立连接的 这种限制，为安全性提供了额外的保证。如果网络受到危害，这个特征使得从内 部发动攻击的可能性大大减少。 使用应用程序代理防火墙的主要优点有： ( 1 ) 指定对连接的控制，例如允许或拒绝基于服务器碑地址的访问，或者是 允许或拒绝基于用户所请求连接的d 地址的访问。 ( 2 ) 通过限制某些协议的传出请求，来减少网络中不必要的服务。 大多数代理防火墙能够记录所有的连接，包括地址和持续对间。这些信息对追踪 攻击和发生的未授权访问的事件事很有用的。 使用应用程序代理防火墙盼缺点有： ( 1 ) 必须在一定范围内定制用户的系统，这取决于所用的应用程序。 ( 2 ) 一些应用程序可能根本不支持代理连接。 防火墙深度包检测技术研究 2 2 新一代的智能防火墙 2 2 1 智能防火墙概念 新一代智能防火墙是在传统防火墙的基础上发展起来的。新一代防火墙的目 的主要是综合包过滤和代理技术，克服二者在安全方面的缺陷；能从数据链路层 一直到应用层施加全方位的控制；实现t c p i p 协议的微内核，从而在t c p i p 协 议各层进行各项安全控制：基于上述微内核，使速度超过传统的包过滤防火墙； 提供透明代理模式，减轻客户端的配置工作；支持数据加密、解密( d e s 和r s a ) ， 提供对虚拟网v p n 的强大支持；内部信息完全隐藏：产生一个新的防火墙理论。 新一代防火墙技术不仅覆盖了传统包过滤防火墙的全部功能，而且在全面对 抗i p 欺骗、s y nf l o o d 、i c m p 、a r p 等攻击手段方面有显著优势，增强代理服 务，并使其与包过滤相融合，再加上智能过滤技术，使防火墙的安全性提升到又 一高度。 所谓智能防火墙是指从技术特征上，是利用统计、记忆、概率和决策的智能 方法来对数据进行识别，并达到访问控制的目的。新的数学方法，消除了匹配检 查所需要的海量计算，高效发现网络行为的特征值，直接进行访问控制。由于这 些方法多是人工智能学科采用的方法，因此被称为智能防火墙。 2 2 2 智能防火墙的关键技术 1 防攻击技术 智能防火墙能智能识别恶意数据流量，并有效地阻断恶意数据攻击。智能防 火墙可以有效地解决s y nf l o o d i n g 、l a n da t t a c k 、u d p f l o o d i n g 、f r a g g l e a t t a c k 、 p i n gf l o o d i n g 、s m u r f p i n g o f d e a t h 、u n r e a c h a b l eh o s t 等攻击。防攻击技术还可 以有效的切断恶意病毒或木马的流量攻击。 2 防扫描技术 智能防火墙能智能识别黑客的恶意扫描，并有效地阻断或欺骗恶意扫描者。 对目前已知的扫描工具如i s s 、s s s 、n m a p 等扫描工具，智能防火墙可以防止被 扫描。防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。 3 防欺骗技术 智能防火墙提供基于m a c 的访问控制机制，可以防止m a c 欺骗和坤欺骗， 支持m a c 过滤，支持p 过滤。将防火墙的访问控制扩展到o s i 的第二层。 4 入侵防御技术 第二章f i f e w a l l 技术综述及发展 智能防火墙为了解决准许放行包的安全性，对准许放行的数据进行入侵检测， 并提供入侵防御保护。入侵防御技术采用了多种检测技术，特征检测可以准确检 测已知的攻击，特征库涵盖了目前流行的网络攻击：异常检测基于对监控网络的 自学习能力，可以有效地检测新出现的攻击；检测引擎中还集成了针对缓冲区溢 出等特定攻击的检测；智能防火墙完成了深层数据包监控，并能阻断应用层攻击。 5 包擦洗和协议正常化技术 智能防火墙支持包擦洗技术，对i p 、t c p 、u d p 、i c m p 等协议的擦洗，实 现协议的正常化，消除潜在的协议风险和攻击。这些方法对消除t c p i p 协议的缺 陷和应用协议的漏洞所带来的威胁，效果显著。 6 儿蛆技术 i pv 4 版本的一大缺陷是缺乏身份认证功能。所以在i pv 6 版本中增加了该功 能。问题是i pv 6 的推广尚需时日，i pv 4 在相当长一段时间内，还会继续存在。 智能防火墙增加了对i p 层的身份认证。基于身份来实现访问控制。 2 2 3 智能防火墙的功能特点 智能防火墙成功地解决了普遍存在的拒绝服务攻击( d d o s ) 的问题，病毒 传播的问题和高级应用入侵的行为，代表着防火墙的主流发展方向。新一代的智 能防火墙自身的安全性较传统的防火墙有很大的提高，在特权最小化、系统最小 化、内核安全、系统加固、系统优化和网络性能最大化方面，与传统防火墙相比， 有质的飞跃。 智能防火墙执行全访问的访问控制，而不是简单的进行过滤策略。基于对行 为的识别，可以根据什么人、什么时间、什么地点( 网络层) ，什么行为( o s l 7 层) 来执行访问控制，大大增强了防火墙的安全性，更聪明更智能。 智能防火墙的高可用性也是一大亮点。支持最新的国际r f c 双机热备份标准 v r r p ，支持流量分担，支持并行防火墙，支持双机容错，支持负载均衡，支持 多出e l 路由。流量分担和并行防火墙技术，对实现防火墙线速度执行能力防火墙 具有重大的现实意义。 智能防火墙还具有广泛的应用支持。支持内核级的f t p 、h 3 2 3 、i g m p ( 组 播) 等特殊应用支持，支持基于s n m p 的集中网管，支持特殊应用网关定制。智 能防火墙具备集中网络管理平台，具备配置管理、性能管理、故障管理、安全管 理、审计管理五大管理域。 智能防火墙提供网络实时监控功能。支持监控防火墙的性能如c p u ，内存， 网络和硬盘的使用率等信息。支持监控防火墙的状态，并实时报警。支持实时监 控，包括性能监控、接1 3 流量监控等。 防火墙深度包检测技术研究 智能防火墙提供对日志的监控，自动处理，人工或自动导出，数据库导入、 查看、查询、显示、报警等功能。支持条件查询。 2 2 4 智能防火墙的典型应用 除传统防火墙的应用外，智能防火墙还有以下特殊应用场合： ( 1 ) 保护网络和站点避免遭受黑客的攻击。由于目前众多的防火墙无法抵御 d d o s 的攻击，使得网站和网络频繁遭受黑客的攻击。采用智能防火墙，可以有 效解决拒绝服务攻击。 ( 2 ) 阻断病毒的恶意传播。智能防火墙可以智能识别病毒的恶意扫描和流量 攻击，有效切断恶意病毒的传播途径。由于智能防火墙是从流量异常来判断病毒 的传播，避免了每一次新病毒的爆发所带来的灾难。 ( 3 ) 有效监控和管理内部局域网。传统的防火墙只防御外部不管内部，导致 内部局域网速度慢，恶意病毒和木马盛行。智能防火墙的防欺骗功能和m a c 控 制功能，有效发现内部恶意流量，帮助安全管理员来找到攻击来源。 ( 4 ) 保护必需的应用安全。智能防火墙的入侵防护功能，深层的应用数据检 测可以有效的发现对应用的恶意攻击，并加以制止。 ( 5 ) 提供强大的身份认证授权和审计管理。对优化进行身份鉴别授权和审计， 是网络安全的要素之一，基于人而不是i p 进行管理，更能有效的进行网络安全管 理。也为网络取证提供防抵赖的功能。 ( 6 ) 使用并行防火墙来增加网络的高可用性，实现流量分担，负载均衡，双 机热备份，实现线速度防火墙。大大降低了系统的成本，而且灵活，保持系统的 安全性。 2 3 应用层智能研究 2 3 1 应用层攻击 防火墙的主要设计意图就是控制对网络资源的访问，它已成功部署于大多数 网络之中。防火墙获得成功的主要原因是由于，当将其用于执行合理定义的安全 政策时，防火墙通常能够挫败9 0 以上的网络攻击要在今天这种充满竞争的环 境中提供安全可靠的网络服务，这一点至关紧要。然而，尽管多数防火墙可提供 有效的访问控制，但是许多防火墙从设计上并不能检测和阻止应用层上的攻击。 黑客们认清这个漏洞，据此设计出更为巧妙的攻击方法，可阻绕过外围防火墙所 实行的传统访问控制策略。如今，老练的黑客愈加高明，他们可以越过防火墙上 第= 章f i r e w a l l 技术综述及发展 的开放端口扫描，直接瞄准应用层。今天，i n t e m e t 环境面临的某些最严重威胁来 自于利用已知应用层弱点而进行的攻击。令黑客们最为感兴趣的是诸p h t t pf t c p p o r t8 0 ) 和h t t p s ( t c pp o r t4 4 3 ) 之类的服务，这些端口在许多网络中一般都是开 放的。访问控制设备无法轻松检测瞄准这些服务的恶意利用。 通过直接瞄准应用层f j ”，黑客们企图至少达到以下多个恶意目标之一，其中 最主要的包括以下几方面： 拒绝为合法用户提供服务( d o s 攻击) 获得对服务器或客户端的管理员访问权限 获得对后台信息数据库的访问权限 安装特洛伊木马软件，从而绕过安全措施，获取对应用程序的访问权限 在服务器上安装以“探测”模式运行的软件，盗取用户i d 和密码。 就其本质而言，应用层攻击的手法更为高明，因此，有效的防御措旆必须更胜一 筹。企业防火墙为了抵挡日益猖獗的应用层攻击带来的威胁，就必须在多个层面 提供全面的安全措施。这些安全层面应该既能抵挡网络与应用程序攻击，同时又 能提供强大的i t 资