（计算机应用技术专业论文）分布式防火墙日志系统的研究.pdf

湖北工业大学硕士学位论文 摘要 随着i n t e m e t 高速发展，网络安全的问题越来越突出，受到人们普遍关注。传 统防火墙作为使用最多的网络安全设备，可以比较好的限制外网用户对内网的非 法访问，保护内网的安全，但它不能防范来自内部网络自身的攻击，而近几年来， 内网安全问题尤为突出。在这种情况下，市场迫切需要一种新的网络安全系统来 胜任网络全方位的安全防护需求，分布式防火墙无疑是最佳选择。本课程组研究 的是一种新型分布式防火墙，其目标是建立一套集主干防火墙、汇聚防火墙、主 机防火墙、中央策略服务器、日志服务器为一体的安全防护体系。 作为分布式防火墙其中主要模块之一的日志系统，它有别于传统意义边界防 火墙的日志系统，其主要作用有：接收、处理、存储来自分布式防火墙各组成设 备上传的日志信息：审计与监测异常行为，防止用户越权使用；基于日志分析及 时发现来自外部或内部的非法行为以便管理员快速消除威胁。它的设计与实现关 系着分布式防火墙地整体架构与性能。 本论文的课题是对分布式防火墙系统中的主要模块之一的日志系统进行研究 和设计，实现了分布式防火墙分散产生的日志集中化管理的功能，为及时掌握网 络整体安全状况和应对威胁协调行动打下坚实基础。 本文首先对分布式防火墙和日志系统进行了综述，接着叙述分布式防火墙系 统的整体框架、功能结构等。然后讨论日志服务器模块的总体设计方案与结构。 并从其划分的几个关键模块：日志信息采集、预处理、查询审计分别论述了其设 计方案，并给出了具体实现过程。最后对论文进行了总结，并在现有基础上对今 后的扩展与开发进行了展望。 关键词：网络安全，分布式防火墙，日志系统，日志管理 湖北工业大学硕士学位论文 a b s t r a c t w i t ht h ed e v e l o p m e n to fi n t e r a c t ，m a n yp e o p l ep a ya t t e n t i o nt on e t w o r ks e c u r i t y , a n di t sp r o b l e m sa r eb e c o m i n gm o r ea n dm o r ei m p o r t a n t a st h em o s tu s e dn e t w o r k s e c u r i t yd e v i c e t r a d i t i o n a lf i r e w a l c a nr e s t r i c ti t t e g a la c c e s st oi n n e rt l e t w o r kb e t t e r f r o mo u t s i d e i tc a np r o t e c ti n n e rn e t w o r k ss e c u r i t y , w h i l ei tc a nn o tk e e pa w a yt h e a t t a c kf r o mi n s i d e i nr e c e n ty e a r s i n n e rn e t w o r ks e e u r i t yp r o b l e mb e c a m em o r e p r e d o m i n a n t u n d e rt h i ss i t u a t i o n , t h em a r k e tu r g e n t l yn e e d san e wk i n do fn e t w o r k s e e u r i t ys v s t e mt ob ec o m p e t e n tf o rt h ei n t e g r a t e ds e c u r i t yp r o t e c t i o nr e q u i r e m e n t s o t h ed i s t r i b u t e df i r e w a l li sn od o u b tt h eb e s tc h o i c e 0 h i p r o j e c tp r o p o s ean e wk i n do f d i s t r i b u t e df i r e w a l l t h eo b j e c ti st ob u i l das e to fs e e u r i t ys y s t e mw h i c hi n t e g r a t e d b a c k b o n ef i r e w a l l ，c o n v e r g e n c ef i r e w a l l ，h o s tf l r e w a l l ，c c n 仃a ls t r a t e g ys e r v e ra n dl o g 辩r v e r a w h o l e a so n eo f t h em a i nm o d u l e si nd i s t r i b u t o df i r c w a l l 。l o gm a n a g e m e n ts y s t e md i f r e t s f r o mt r a d i t i o n a lb o u n d a r yf l r e w a l l sl o gs y s t e m i t sm a i nf u n c t i o n si n c l u d e ：r e c e i v e p r o c e s sa n ds t o r el o gi n f o r m a t i o nu p l o a d e df r o md i s t r i b u t e df i r e w a l l sc o m p o n e n t s ： a u d i ta n dm o n i t o re x c e p t i o n a lb e h a v i o r s ；p i 。e v e n tu s e r se x c e e d i n ga u t h o d t y ；d i s c o v e r i l l e g a lb e h a v i o r si nt i m ef r o mo h t s i d eo ri n s i d eb a s e do nl o ga n a l y s i si no r d e l t o e l i m i n a t et h r e a tq u i c k l yb ya d m i r t i s t r a t o r i t sd e s i g na n di m p l e m e n t a t i o nh a v er e l a t i o n s w i t hd i s t r i b u t e df l r e w a l l sw h o l ea r c h i t e c t u r ea n dp e r f o r m a n c e 。 t h j st h e s i sf c c u s e so nt h er e s e a r c ha n dd e s i g no fl o gs y s t e m , o n eo ft h em a i n r o o d u l e si nd i s t r i b u t e df i r e w a l l i tr e a l i z e st h el o gc e n t r a l i z e dm a n a g e m e n tf u n c t i o n ；t h e l o g sw e r eg e n e r a t e db yd i s t r i b u t e df i r e w a i l a n dt h i sf u n c t i o ne s t a b l i s hs o l i db a s ef o r g r a s pt h ew h o l en e t w o r ks e c u r i t ys i t u a t i o ni nt i m e ；r e s p o n s et h r e a ta n dc o o r d i n a t e a c t i o n s t h et h e s i sf i r s tr e v i e w st h ed i s m b u t e df l r e w a l la n dl o gs y s t e m p r o i x ) s e st h e d i s t r i b u t e df i r e w a l l so v e r a l la r c h i t e c t u r ea n df u n c t i o ns t r u c t u r e e t c 1 1 1 e ni td i s c u s s e s t h el o gs e r v e rm o d u l e so v e r a l ld e s i g ns c h e m ea n ds 仃1 l c n 鹏g i v e sa n di m p l e m e n t s s e v e r a lk e ym o d u l e s d e s i g ns c h e m e ss e p a r a t e l y , w h i c ha r el o gi n f o r m a t i o nc o l l e c t i o n , p r e p r o c e s s ，q u e r ya n da u d i t f i n a l l yi ts u m m a r i z et h et h e s i s ，g i v ee x p e c t a t i o n t of u t u r e e x t e n s i o na n dd e v e l o p m e n tb a s e do nc u r r e n tb a s i s k e y w o r d s ：n e t w o r ks e c u r i t y , d i s t r i b u t e df i r e w a l l ，l o gs y s t e m ，l o gm a n a g e m e n t 佩 l 亡工繁失兽 学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工 作所取得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个 人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体， 均已在文中以明确方式标明。本声明的法律结果由本人承担。 学位论文作者签名：脓f | i 旁 日期：垆占月铲日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本入授权湖北工业大学可以将本学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文 学位论文作者签名：敞p 努 日期：毋6 月日 指导教师签名： 日期：年月 日 湖北工业大学硕士学位论文 第1 章引言 1 1 课题背景 随着社会与经济的发展，互联网的应用越来越普及，人们在享受信息化带来 的众多好处的同时，也面临着日益突出的信息安全问题，网络遭受的威胁也越来 越受到各级用户的普遍关注。2 0 0 6 年6 月。公安都公共信息网络安全监察局举办 了2 0 0 6 年度信息网络安全状况与计算机病毒疫情调查活动，调查内容包括我国 2 0 0 5 年5 月至2 0 0 6 年5 月发生网络安全事件、计算机病毒疫情状况和安全管理中 存在的问题。调查结果显示，5 4 的被调查单位发生过信息网络安全事件，比去年 上升5 ；其中发生过3 次以上的占2 2 9 6 ，比去年上升7 。感染计算机病毒、蠕虫 和木马程序仍然是最突出的网络安全情况，占发生安全事件总数的8 4 “遭至4 端 口扫描或网络攻击”( 3 6 ) 和“垃圾邮件”( 3 5 ) 次之。在发生的安全事件中， 攻击或传播源来自外部的占5 0 ，比去年下降7 ；内外部均有的占3 4 5 ，比去年 上升1 0 5 。发现安全事件的途径主要是网络( 系统) 管理员通过技术监测发现， 占5 4 ；其次是通过安全产品报警发现，占4 6 ；事后分析发现的占3 5 。未修补 或防范软件漏洞仍然是导致安全事件发生的最主要原因( 7 3 ) 。近八成的被调查 单位使用了防火墙产品，其中，7 3 的是国内产品。 防火墙。川是一种使用最广泛的安全产品，它可将不可信网络外部网络与可信 内部网络区分开，对于内部网络与外部网络的所有访问，它在判断之后决定哪些 传输应该被允许，哪些应该被禁止，但它不能确保在同一个内部网络中不同计算 机之间访问的安全性。一旦内部网络中的某台计算机被黑客成功入侵并获得控制 权，则他可以利用内部网络中的这台计算机攻击其它更重要的网络设备，从而对 整个网络的正常运行和信息保密构成重大的威胁。 由此可见，随着网络规模不断扩大，传统防火墙的缺陷也日益明显“1 ，已不能 适应网络安全保卫的需要，为此分布式防火墙( d i s t r i b u t e df i r e w a l l ) 应运而生。 分布式防火墙“1 在保留传统集中式防火墙优势的同时，不断扩展新的功能，减小甚 至去除了它对网络拓扑结构的依赖性，能更好的适应网络规模的扩展，更好的满 足企业信息化带来的更高的安全要求。 1 2 分布式防火墙国内外研究现状 湖北工业大学硕士学位论文 随着社会经济的发展，人类已进入到信息时代。在这个时代，信息是至关重 要的，也是最宝贵的，信息的安全性不论是国家企业或者个人，越来越受到重视， 而在这个时代，信息保存与传送更多的是依赖于网络，因而，网络自身的安全性 也越来越显得重要。作为使用最广泛的安全产品传统防火墙的下一代产品一分布 式防火墙，将对我国社会经济安全有着重大的作用。由于安全产品的特殊性，我 国必须有自己的网络安全技术，则不能完全依靠进口，一方面，西方国家严格限 制对我国的密码产品的出口，就算可以出口，其安全性也令人怀疑；另一方面， 西方国家不断加大对我国敏感情报收集力度，因此在我国使用的国外产品，安全 性无法保证，因此研究我国自己的分布式防火墙技术是十分必要而且有着重要的 现实意义。目前总的来说国外的一些著名的网络设备开发商( 如3 c o m 、c i s c o 等) 在分布式防火墙技术方面更加先进。所提供的产品性能也比较高，主要采用“软 件十硬件”形式。国内的一些分布式防火墙在技术方面有一定差距，多采用纯软件 的形式，性能有待提高 1 3 课题来源 课题的来源为湖北省科技攻关项目( 项目编号：2 0 0 4 a a l 0 1 c 6 7 ) ，项目目标 是在已有的传统边界防火墙研究基础上，针对现在大型网络急切需要一种大范围、 大纵深、多层次和能应对各种安全威胁的安全高效系统的现状，研究一种具有层 次化综合型新型分布式防火墙。分布式防火墙系统是未来防火墙的发展方向，可 以为企业用户提供全面的安全防护。本课题作为该项目的一个核心模块，主要实 现分布式防火墙日志管理的功能，它为整个分布式防火墙功能的实现发挥重要的 作用。 1 4 课题的目标和任务 本课题围绕着分布式防火墙的模型与功能，设计出日志管理的体系结构和功 能定义，并给出实现其功能的技术思路。 为了达到课题要求需要研究的内容如下： 1 、研究新型分布式防火墙系统体系结构 2 、研究分布式防火墙日志管理系统的体系结构； 3 、研究日志服务器日志信息采集与过滤技术； 4 、研究将日志信息进行数据库存储和管理技术； 5 ，研究基于网络日志信息的审计功能； 2 湖北工业大学硕士学位论文 6 、研究日志服务器的预警机制； 其中，本人参与了新型分布式防火墙系统体系结构研究，独立完成后面五项 内容的研究。 1 5 论文的组织结构 全文主要分为六章，各章内容如下： 第一章：概述。通过对课题背景的描述引入本课题，并提出课题研究内容与 目标。 第二章：相关领域研究综述。介绍了分布式防火墙的基本原理，讨论了现有 基于各种技术的分布式防火墙系统的模型；介绍了e l 志及日志管理所需的技术。 第三章：分布式防火墙体系总体设计。针对现在分布式防火墙的不足，提出 一种新型的防火墙模型，阐述了系统功能。 第四章：分布式防火墙日志管理系统分析设计。围绕着分布式防火墙的体系 结构和功能描述，设计e l 志管理系统的结构和功能。 第五章：日志管理系统详细设计与实现。描述日志管理系统各模块的详细设 计和实现细节。 第六章：结束语。对本人的工作进行小结，并提出进一步改进方案。 湖北工业大学硕士学位论文 第2 章相关领域研究综述 本章将围绕着分布式防火墙日志管理系统所涉及的研究领域进行综述，主要 包括分布式防火墙技术，日志与日志管理技术。 2 1 分布式防火墙技术概述 分布式防火墙在保留传统集中式防火墙优势的同时，不断扩展新的功能，减 小甚至去除了它对网络拓扑结构的依赖性。能更好的适应网络规模的扩展，更好 的满足企业信息化带来的更高的安全要求。 2 1 1 防火墙技术概述 1 、防火墙的基本概念 防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。在计算机科学中，防 火墙是指位于可信网络和不可信网络之间，限制外部用户通过外部网络访问内部 网络的网络流量，只有检查合法的数据才能通过的安全设备脚。防火墙是一种网络 安全保障工具，其主要目标就是通过控制外部网络用户进出一个网络的权限，在 内部和外部两个网络之间建立一个安全控制点，对进出内部网络的服务和访问进 行控制和审计，防止外部网络用户以非法手段通过外部网络进入内部网络，窃取、 干扰和破坏内部网络资源。在逻辑上，防火墙是一个分离器、一个限制器，也是 一个分析器，有效地监视了内部网络和外部网络之间的任何活动，保证了内部网 络的安全。防火墙系统具有以下功能”1 ： ( 1 ) 过滤进出网络的数据包； ( 2 ) 管理进出网络的访问行为； ( 3 ) 封堵某些禁止的访问行为； ( 4 ) 记录通过防火墙的信息内容和活动； ( 5 ) 对网络攻击进行检测和告警。 2 、传统防火墙的特点 目前传统的防火墙，即边界防火墙，是应用最多的网络安全产品。传统的边 界防火墙( t r a d i t i o n a lp e r i m e t e rf i r e w a l l ) 建立在受限拓扑( r e s t r i c t e d t o p o l o g y ) 和受控入口点( c o n t r o l l e de n t r yp o i n t ) 的概念之上，准确地说，它们 4 湖北工业大学硕士学位论文 建立在这样的假定之上，每个受控拓扑内，即防火墙内部的入是可信的。每个受 控拓扑外，即防火墙外部的人至少是潜在的敌人“1 。由于防火墙在物理上是受限拓 扑和与其互联外部网络唯一的通道，它可以对每一个通过的数据包进行安全性检 查，只有合法数据包才能通过。它通过两种方法区分数据流是来自内部网还是外 部网：一是防火墙的接口，进入内部接口的就是内部网数据流，进入外部接口的 就是外部数据流：二是数据包的源i p 地址和目标i p 地址。 传统的边界防火墙能很好地工作在中小网络中，但当网络规模增大、网络新 技术不断出现，这种工作模型的缺陷日益暴露出来”1 。主要表现在以下方面： ( 1 ) 防外不防内。传统防火墙对内部数据流无法监视，全然不知，自然谈不 上阻止内部攻击。有关资料表明，绝大多数网络攻击来自内部，防范内部攻击己 成为网络安全的重要研究课题， ( 2 ) “瓶颈”问题。一方面网络带宽越来越高，这要求防火墙有很高的吞吐 量；另一方面，黑客的攻击方法也越来越多，防火墙处理的策略也必然越来越复 杂，使防火墙处理速度下降。因而防火墙的功能( 即防范攻击的能力) 和性能( 即 处理速度) 之间是一对矛盾。 ( 3 ) “单点失效”问题。防火墙集万千重任于一身，因而一旦防火墙配置不 当或出现问题，则全网皆暴露于攻击者面前。 ( 4 ) 未授权访问问题。连接方式的多样化，诸如隧道、无线连接和拨号访问 等可使个人很容易建立一个绕过防火墙的连接，给网络留下一个后门，造成网络 安全隐患。 ( 5 ) 网络新业务受到限制。外联网、移动用户和通过网络在家办公等新业务 新需求的出现使得内网的概念难以维持。 ( 6 ) 端到端的加密对防火墙造成威胁。传统的网络协议没有使用加密，因而 防火墙能对数据流实旌过滤。当加密技术和新一代网络协议被使用的时候，防火 墙因为没有密钥而不能理解流过的数据包的内容，从而不能实施检查。 ( 7 ) 安全模式单一。传统防火墙的安全策略是针对全网制定的，全网中的所 有主机遵从单一的安全模式，网络中的主机和服务器在安全性上不具针对性和个 性特点。 2 1 2 分布式防火墙的概念 l 、分布式防火墙的提出 传统防火墙的存在必须依附于网络的物理拓扑结构，这也是它缺陷的根源。 为了克服以上缺陷，美国a t & t 实验室研究员s t e v e nm b e l l o v i n 首次提出了分布 湖北工业大学硕士学位论文 式防火墙( d i s t r i b u t e df i r e w a l l s ，d f w ) 的概念”，给出了分布式防火墙的原型框 架。一方面，分布式防火墙打破了传统防火墙的拓扑限制“”，将内部网与外部网 的概念由物理意义变成逻辑意义即它可以对逻辑的内部网与外部网之间传送的 所有数据包进行安全性检查。所谓逻辑内部网其实是指分布式防火墙所覆盖的网 络范围，它可以包括一个大的物理网络，远程访问的主机和被托管的远程服务器。 另一方面，分布式防火墙克服了传统防火墙防外不防内的缺陷“”“”，它既可以防 范逻辑上的外部网络的攻击，又可以阻击逻辑上内部网络的攻击。分布式防火墙 之所以有这样强大的功能，与它的体系结构有着紧密的联系。分布式防火墙的体 系结构“”可以认为是由三部分组成：一部分是网络防火墙，它承担着传统边界防 火墙看守整个网络或子网的职责；一部分是主机防火墙，它解决了传统边界防火 墙不能解决的问题( 例如防范来自内部的攻击) ；还有一部分是集中管理，它解决 了由分布技术而带来的管理问题。分布式防火墙最重要的优势在于它能够保护物 理拓扑上不属于内部网络、但位于逻辑上的“内部”网络的那些主机。 2 、分布式防火墙的优点 分布式防火墙代表防火墙技术进入到一个崭新阶段，它可以在网络的任何交 界和节点处设置检查关卡，从而形成了一个多层次、大纵深、立体化的全方位安 全防护体系。主要优点伽如下： ( 1 ) 采用了分布式体系结构，增强了系统安全性：分布式防火墙在在传统防 火墙基础上加强了对来自内部攻击防范，可以实施全方位的安全策略。 在传统边界式防火墙应用中，恶意攻击者可以利用其缺陷对其攻击，危害网 络的安全。例如，如果网络中某台计算机被入侵并获得控制权之后，它就成为了 “俘虏”，由于这个“俘虏”处于网络的内部，传统防火墙受到防外不防内的限制 是无法检测其对内网的攻击行为。而分布式防火墙将传统集中式防火墙的功能实 现分布到网络的终端和通信网中，克服了防外不防内的缺陷，因而可以避免发生 由于某一台主机的入侵而导致向整个网络蔓延的情况发生。 ( 2 ) 避免“瓶颈”和“单点失效”，提高了系统性能，增强了系统可靠性： 消除了结构性瓶颈问题，提高了系统性能和可靠性。一方面，通过合理配置，使 分布式防火墙不同部分工协作，对网络中传送的数据包进行全面的、深入的安全 检查。大大提高系统的性能；另一方面，分布式防火墙采用了分布式的结构，一 个防护节点失效并不会导致网络整个防护失效。 ( 3 ) 具有更好的系统扩展性：分布式防火墙随网络系统不断扩展不断扩充自 己的能力。因为分布式防火墙分布于整个网络中，所以它具有无限制的扩展能力。 随着网络规模的增长，分布式防火墙也会扩充主机防火墙或节点防火墙，从而保 6 湖北工业大学硕士学位论文 持了原有的高性能，而不会像边界式防火墙一样随着网络规模的增大而不堪重负。 ( 4 ) 应用更为广泛，支持v p n 通信。 其实分布式防火墙最重要的优势在于，不在受拓扑结构的限制，产生了逻辑 内部网的概念，在物理网络之外的远程用户也可以属于内部网。但是这些远程用 户在访问物理内部网时，不可避免的要穿越其它的物理网络，而这存在着信息安 全传输的问题，在这种情况下，v p n 技术无疑是一种好的解决方案，它可以实现端 到端的连接。对这个问题的传统处理方法是将远程主机和内部网络主机的通信依 然通过防火培隔离来控制接入而远程主机和防火墙之间采用“隧道”技术来保 证安全性，这种方法使原本可以直接通信的双方必须通过防火墙中继，不仅效率 低而且增加了防火墙过滤规则设置的难度 3 、分布式防火墙的主要功能 分布式防火墙的主要功能删有： ( 1 ) i n t e r n e t 访问控制 依据主机名称、设备指纹等属性，使用“i n t e r n e t 访问规则”，控制该主机或 域在指定的时间段内是否允许禁止访问模板或网址列表中所规定的w e b 服务器， 某个用户可否基于某工作站访问w 唧服务器。同时当某个工作站用户达到规定流 量后确定是否断网。 ( 2 ) 应用访问控制 通过对网络通讯全方位，多层次的逐层包过滤与入侵监铡，控制来自局域两 i n t e r n e t 的应用服务请求，如m 1 f s q l 数据库访问等。 ( 3 ) 网络状态监控 实时动态报告当前网络中所有的设备的工作状况，对网络中的各种事件进行 全方位的监控。 ( 4 ) 黑客攻击的防御 抵御包括d o s 、d d o s 攻击、a r p 欺骗式攻击等在内的各种来自内部网络或者来 自i n t e r n e t 的黑客的攻击方式。 ( 5 ) 日志管理 对分布式防火墙产生的日志进行管理、过滤、存储、归档和审计。 ( 6 ) 系统工具 包括系统层参数的设定、规则等配置信息的备份与恢复、模板设置、主机管 理等。 2 1 3 分布式防火墙系统模型 7 湖北工业大学硕士学位论文 1 、基于k e y n o t e 的分布式防火墙系统模型 k e y n o t e 信任管理系统汹1 是由宾夕法尼亚大学和a t & t 实验室合作开发的，它 提出了一种定义策略和证书的语言。后来s o t i r i sl o a n n i d i s 等人提出了一种基 于k e y n o t e 的分布式防火墙系统模型，该模型首先在0 p e n b s d 平台上实现。 该分布式防火墙原型系统有三个部分：内核扩展组件，用于实现策略中心管 理机制；策略守护进程，用于描述和执行分布式防火墙策略；策略设备驱动程序， 为内核和策略后台程序之间的双向通信提供驱动接口，如图2 1 所示。 k e r n ds p a c e 图2 1 基于k e y n o t e 的分布式防火墙模型 ( 1 ) 内核扩展组件 内核扩展组件是分布式防火墙的中心管理模块，其功能是生成并提交策略规 则，再由策略守护进程根据策略规则对过滤数据包进行处理。在主机之问相互通 信时，传输的数据库会含有诸如源i p 、目标i p 等信息，这些信息被提取出来后， 会被提交到一个策略守护进程要处理的策略内容列表中去。然后应用程序被阻塞 并等待策略守护进程的检测之后的答复。 ( 2 ) 策略守护进程 策略守护进程运行在用户态下是一个本地的策略执行器。它在系统启动时 向管理中心提出认证，认可后获取由k e y n o t e 语言描述的本地安全策略，并对策 略进行解析，并执行这些策略。 ( 3 ) 策略设备驱动 策略设备驱动程序的功能是为策略守护进程和内核组件之间提供通讯的通 道，它运行于内核态。 2 、基于k e r b e r o s 认证的分布式防火墙系统模型 基于k e r b e r o s 认证的分布式防火墙系统模型卿突破传统防火墙依赖于整个网 1 湖北工业大学硕士学位论文 络物理拓扑结构的局限性，采用层次化管理的体系结构对受保护主机进行管理， 成功的将密码认证机制和陷阱机制融入分布式防火墙的设计当中。其整体结构如 图2 2 所示。 k _ 。 新安全规则夕、；：辇萋 新安全规则 k e b e r o s 认证 规 簿、 规 定定 制 制 定 定 由 中 心 心 图2 2 基于k e r b e r o s 认证的分布式防火墙模型 在上图中，p p m 是受保护机器中的规则执行器，s c o 是安全中心机构，s p a 是 运行在陷阱主机上的安全规则代理，s h 是陷阱主机。每个陷阱主机都是一个普通 的受保护主机，即都有p p m 。安全中心机构s c o 将对所有受保护对象以k e r b e r o s 协议进行安全身份认证，凡是经过认证的受保护对象均为合法保护对象。安全中 心机构s c o 并不是某一台服务器，而是一个服务器组。其中每个服务器对应于要 求不同安全级别的用户组。从而整个安全中心以下以一种树的形式进行管理。安 全中心机构对其直属主机进行保护。每个直属主机又可以有多个下属分支，以达 到对每一个合法用户的所有安全要求的满足。对于不同的用户及不同的安全要求 级别将其分散到不同的组别中，通过各个组别的上级节点进行直接的安全规则 发送以达到安全保护。陷阱主机是指具有陷阱i p 的主机它配置了多个i p 地址， 但只有一个为主地址，其余的则是陷阱i p 。主机对于网络的主动访问和对外提供 服务所使用的都是主地址，正常情况下陷阱i p 不会有任何流量。 规则制定中心可以通过收集分散在不同物理位置的陷阱主机上的异常流量信 息。通过分析对安全规则进行更新，并通过s 0 0 分发给各受保护的主机。 3 、基于a g e n t 的分布式防火墙系统模型 基于a g e n t 的分布式防火墙系统模型。1 是由一个中心服务器和多个分布在不 同主机上的代理子系统组成，如图2 3 所示。中心服务器由四部分组成：审计库( 包 含各种安全规则和安全防护代码) 、分类引擎、消息队列和多个审计代理每个代 9 湖北工业大学硕士学位论文 理子系统也是由四部分组成：消息队列、入侵检测代理、规则执行器和代码装载 器。 图2 3 基于a g e n t 的分布式防火墙模型 中心服务器的消息队列在接受到来自代理子系统的消息队列报告的消息后通 过分类引擎将其定位到不同的审计代理中，由审计代理告之代理子系统应该采取 的措施，由规则执行器执行过滤操作。行为代码分放在代理子系统和审计库中， 由代码装载器装载代码，如在执行时没有装载所而的代码，首先直接在本地系统 查找，如找到则直接装载，若没有找到，则向中心服务器( 也可以是专门的代码服 务器) 发出申请，将所需代码从服务器上装载到本地主机上，并将其缓存在本地文 件系统中。 2 2 日志及日志管理技术概述 2 2 1 日志和日志管理的概念 日志( s y s l o g ) 是对计算机设备运行的一切活动的完全记录和描述嘲洲。日志 广泛存在于各种计算机设备中，如服务器、防火墙、防病毒系统、v p n 、路由器等， 它记录了大量有关该网络运行状况的日志信息。由于产品类型不同，生产厂家不 同，造成日志记录数据格式不同，同时，日志信息的复杂性和海量性，以及缺少 好的技术手段使得这些日志利用率很低。 1 0 湖北工业大学硕士学位论文 日志管理就是对日志数据进行采集、汇聚、存储、归档、分析和报警、监控、 自动化的手段。“”。其中分布式防火墙系统中日志管理的对象主要是对网络正常 工作造成威胁的各种因素。当分布式防火墙中的各个设备采集日志后，就会传送 到日志服务器进行汇聚，形成日志文本文件，且信息量大，难以进行分析，因此， 需要在日志服务器上先做预处理，即过滤、存储，将无用的日志信息过滤掉，将 有用的日志信息结构化之后存入数据库表中。另外，原始的日志数据要存档，以 便作为恶性攻击者犯罪的关键检举证据，因为攻击者在攻击一台计算机后，般会 抹去其日志中相应的信息，但在分布式防火墙系统中，日志信息被集中保存到日 志服务器中，可以很好的保存犯罪的证据。日志数据存入数据库之后，是一种结 构化的信息，十分适合进行分析审计，通过一定的分析方法就可以找到网络正面 临的威胁，从而发出预警信息。这就是日志管理的整个过程。 2 2 2 日志的特点 日志记录着系统自身运行状态和发生事件的简要信息，主要有以下特点o ”： ( 1 ) 解读难 大部分系统的日志都以文本的形式进行记录，记录信息一般是比较简单的， 加上由于各系统日志格式不一致，使不熟悉各类日志格式的人很难获取有用的信 息。同时有相当部分应用系统( 如m ss q ls e r v e r ) 并不是采用文本格式记录着日志 信息的，必须借助专用的工具分析这些日志，否则很难读懂其中的日志信息。 ( 2 ) 数据量大 系统在运行过程中会不断记录日志，对于长期工作服务的设备来说，产生的 日志文件随着时间推移越来越大，如防火墙日志、系统日志和数据库日志以及各 类服务器日志等都是很大的，一个来说日志文件一天产生的容量少则几十兆、几 百兆，多则有几个g 、几十g ，这无疑增大了分析日志信息的难度。 ( 3 ) 采集难 由于网络中不同的主机或网络设备，由于不同服务产生不同的日志文件，即 使相同的服务也可采用不同格式的日志文件记录日志信息。目前世界上还没有形 成统一的日志格式，各系统开发商和网络设备生产商往往根据各自的需要制定自 己的日志格式，使得不同系统的日志格式和存储方式有所差别。 ( 4 ) 易攻击 日志通常存储在系统未经保护的目录中，并以文本方式存储，未经加密和校 验处理，没有提供防止恶意篡改的有效保护机制。因此，日志文件并不一定是可 靠的，入侵者可能会篡改日志文件，从而不能被视为有效的证据由于日志是直 湖北工业大学硕士学位论文 接反映入侵者痕迹的，在计算机取证中扮演着重要的角色，入侵者获取系统权限 窃取机密信息或破坏重要数据后往往会修改或删除与其相关的日志信息，甚至根 据系统的漏洞伪造日志以迷惑系统管理员的审计。 2 2 3 日志采集技术s y s i o g s y s l o g 程序是e r i ca l l m a n 在设计s e n d m a i l 的事件记录系统时设计并最初实 现的。2 0 0 1 年8 月i e t f 发布了r f c3 1 6 4 嘲对s y s l o g 的信息格式进行了规范。除 了s y s l o g 外很多其它的日志记录程序也参照此标准执行。 根据r f c3 1 6 4 的规定，s y s l o g 中每一条信息的最大长度是1 0 2 4 字节，一个 完整的s y s l o g 信息由三部分组成：p r i 、h e a d e r 和m s g ，其格式如下所示： w o n d dh h ：m 皿：s sh o s t n a m es r c = s r c l p ：s r c p o r t d s t = 。d s t l p ：d s t p o r t m s g = m e s s a g e n o t e = ”n o t e ”d e v i l ) = - m a ca d d r d e v t y p e = z w t o “c a t = c a t e g o r y ( 1 ) s y s l o g 信息的p r i 部分 p r i 部分的形式是 。这个数字叫做优先值( p r i o r i t y ) ，它表示信息的来 源( f a c i l i t i e s ) 和严重程度( s e v e r i t i e s ) 。事件信息的来源和严重程度是用数字 表示的。优先值的计算方法如下： p r i o r i t y = f a c i l i t y * 8 + e m e r g e n c y r f c3 1 6 4 规定了常见的信息的来源的对应数值。没有被明确定义的信息来源 可以使用任意的“本地用户事件信息”的数值： 表2 1r f c3 1 6 4 对s y s l o g 事件来源的定义 编码信息来源的说明 内核产生的事件信息 用户级别的事件信息 邮件事件信息 系统守护程序信息 安全认证信息 s y s l o g d 内部生成的信息 打印子系统生成的信息 来自新闻服务的信息 u u c p 子系统的信息 定时器守护程序相关信息 包括特权信息如用户名在内的认证活动信息 0 1 2 3 4 5 6 7 8 9 “ 湖北工业大学硕士学位论文 1 l f t p 服务信息 1 2 n t p 守护程序 1 3 l o g 审计 1 4 l o g 报警 1 5c l o c k 守护程序 1 6本地用户u s e o ( 1 0 c a l o ) 1 7 本地用户u s e l ( 1 0 c a l l ) 1 8 本地用户u s e 2 ( 1 0 c a l 2 ) 1 9本地用户u s e 3 ( 1 0 c a l 3 ) 2 0 本地用户u s e 4 ( 1 0 c a l 4 ) 2 1 本地用户u s e 5 ( 1 0 c a l s ) 2 2 本地用户u s e 6 ( 1 0 c a l 6 ) 2 3本地用户u s e 7 ( 1 0 c a l 7 ) r f c3 1 6 4 对日志信息严重程度的具体规定如下： 表2 2r f c3 1 6 4 对s y s l o g 事件严重程度数值的定义 编码 严重程度 e m e r g e n c y ：系统不可用 a l e r t ：需要立即采取行动 c r i t i c a l ：系统临界状态 e r r o r ：系统错误 w a r n i n g ：预警信息 n o t i c e ：普通但是很重要的消息 i n f o r m a t i o n a l ：通知消息 d e b u g ：调试信息 根据上面的定义，一个内核产生( f a c i l i t y = o ) 、严重程度为 e m e r g e n c y ( s e v e r i t y = o ) 的信息的优先值为0 ；一个本地用户u s e 4 ( f a c i l i t y = 2 0 ) 产生的严重程度为n o t i c e ( s e v e r i t y = 5 ) 的信息的优先值是1 6 5 。 ( 2 ) s y s l o g 信息的h e a d e r 部分 s y s l o g 日志信息的h e a d e r 部分包括事件的发生的时间戳和机器名( 如果没有 机器名，可用i p 地址表示) 。h e a d e r 部分必须由可打印字符组成。 ( 3 ) s y s l o g 信息的m s g 部分 1 3 o l 2 3 4 5 6 7 湖北工业大学硕士学位论文 s y s l o g 的m s g 部分是事件信息的内容。m s g 部分包含t a g 和c o n t e n t 两个字 段，t a g 字段是产生此事件的程序名称，c o n t e n t 中是事件的详细信息。m s g 部分 必须由可打印字符组成。 下面给出一个完整的s y s l o g 日志的例子： o c t1 12 2 ：1 4 ：1 5m y m a c h i n es u ：s ur o o t f a i l e df o rl o n v i c ko n d e v p t s 8 这一条日志说明有人试图变成特权用户，认证失败。其中： “ ”是事件信息的p r i ，3 4 = 4 * 8 + 2 ，说明此日志信息是安全认证信息产生 的，严重程度是2 ； “o c ti i2 2 ：1 4 ：1 5 ”是日志信息产生时的本地时间； “m y m a e h i n e ”是产生日志信息的机器名； 。s u ”是产生日志信息的程序； s ur o o t f a i l e df o rl o n v i c ko n d e v p t s 8 ”是日志信息的具体内容。 2 3 小结 分布式防火墙系统是一个新的防火墙体系结构，它的出现弥补了传统防火墙 存在的不足。分布式防火墙系统主要由中心管理、网络防火墙和主机防火墙构成。 现有的分布式防火墙的模型有基于k e y n o t e 的分布式防火墙模型、基于k e r b e r o s 认证的分布式防火墙模型和基于a g e n t 的分布式防火墙模型，都主要停留在理论 模型研究的阶段。通过对分布式防火墙关键技术和系统模型的分析，确定了本文 研究中分布式防火墙设计的目标。另外，日志管理功能是分布式防火墙很重要的 一部分，一方面它可以帮助系统或管理员尽早发现网络是否受到了威胁：另一方 面，它可以作为检举非法入侵者的证据。 1 4 湖北工业大学硕士学位论文 第3 章分布式防火墙总体设计 3 1 分布式防火墙的设计目标 传统防火墙由于自身必须依赖网络物理拓扑结构而存在，使其功能作用仅对 内部网络与外部网络之间的访问有效，而对于网络内部自身的威胁无可奈何，据 统计，内部网络安全威胁如今已远大于外部网络的威胁：其次，传统防火墙功能 越强，检测规则也越多，开销就越大，进而影响网络性能；再次，随着网络发展 的大型化，传统防火墙要检测的数据越来越多，防火墙可能成为网络通信的“瓶 颈”；最后，传统防火墙采用的是“单点”防守方式，一旦该防火墙被攻击，则整 个网络则无“防线”可退，会完全暴露出来，这是十分凶险的。以上几点是传统 防火墙固有的缺陷，无法改变。分布式防火墙摒弃了传统防火墙“单点”防御的 方法，采用了“群防群守”防护措施，无论是功能、效率还是性能，都有大幅度 的提高，迎合了网络未来发展的需要。 为了适应未来网络发展要求，分布式防火墙必须能对网络提供全范围、大纵 深、多层次、持久化的防护能力，具有协同防护的优点，能应对几乎所有的安全 威胁，对网络的物理拓扑结构不具强依赖性，支持远程合法用户，在保证效率和 性能的同时，尽量不影响网络正常工作性能。另外，分布式防火墙自身还要有很 强的抗攻击能力，任何时候都不能停止工作，在加强身份认证的同时，核心部分 还要有严格的访问策略，终端部分应尽量对用户透明化，防止用户无意的或恶意 的关掉保护软件