（计算机应用技术专业论文）分布式防火墙策略异常检测算法的研究.pdf

硕士论文分布式防火墙策略异常检测算法的研究 摘要 本文采用一种新型分布式防火墙的策略管理方案，即分散生成策略。这种策略管 理方案解决了策略控制中心的单点失效阎题，但是带来的问题是如何检测这种情况下 的策略异常。 本文针对这个问题，进行了分析，并就如何快速地，全面地检测策略异常进行 了研究。首先设计了一种基于线性搜索的规则集冲突检测算法，此算法能够全面地检 测防火墙规则间的冲突；然后，在此算法的基础上，借鉴a 1 s h a e r ，e h a b 提出的基 于策略树( p o l i c y t r e e ) 的规则集冲突检测的设计思路，设计了一种基于二叉树( b i n a r y t r e e ) 的规则集冲突检测算法，此算法不仅能够全面检测防火墙规则冲突，而且规则 冲突检测的效率较线性搜索算法和基于p o l i c yt r e e 的规则集冲突检测算法有明显的提 高。 本文用c 语言实现了基于线性搜索的规则集冲突检测算法、基于p o l i c yt r e e 的 规则集冲突检测算法和基于b i n a r yt r e e 的规则集冲突检测算法，并用设置的规则集对 这三种算法进行了测试。通过对测试结果的综合分析发现，本文设计的基于b i n a r y t r e e 的规则集冲突检测算法可以适用于任意维的规则集冲突检测，而且其时间复杂度较线 性搜索算法有很大提高1 ( 为线性算法的八分之一到九分之一) ，与基于p o l i c yt r e e 的 规则集冲突检测算法相比，其性能也有小幅提升。该算法虽然需要对规则集进行建树 操作，但是建树操作所需要的时间和规则冲突检测所需时间相比微不足道。总之，基 于b i n a r yt r e e 的规则集冲突检测算法是一种快速的、有效的、全面的适用于大规模防 火墙的规则集冲突检测算法。 最后，就如何进一步提高基于b i n a r y t r e e 的规则集冲突检测算法的效率，本文进 行了初步的探讨。 关键字：分布式防火墙，策略异常，规则冲突，策略树，二叉树 硕士论文分布式防火墙策略异常检测算法的研究 a b s t r a c t i nt h i st h e s i s ，w ea d o p tan e w p o f i c ym a n a g e m e n tw i t h o u tp o l i c yc o n t r o lc e n t e ri n d i s t r i b u t e df u e w a us y s t e m t b ep o l i c yi sc r e a t e d , d i s t r i b u t e da n de x e c u t e di n d e p e n d e n t l y b yh o s t s t h i ss c h e m eo fp o l i c ym a n a g e m e n ts o l v e st h ep r o b l e mo fp o l i c yc o n t r o lc e n t e r d i s a b i l i t y , b u th o wt od e t e c tt h ep o l i c ya n o m a l yi nt h i se n v i r o n m e n t t h i sp a p e rs t u d i e st h ep r o b l e m h o wt oi m p r o v ep o l i c ya n o m a l yd e t e c t i o na l g o r i t h m s e f f i c i e n c ya n dh o wt od i s t i n g u i s ha n o m a l yi sa l s oa ni m p o r t a n tp a r to ft h i st h e w s f i r s t l y , t h i sp a p e rp r e s e n t sar u l es e tc o n f l i c td e t e c t i o na l g o r i t h mb a s e do nl i n e a rs e a r c hw h i c h c a nd e t e c tr u l ec o n f l i c ta n dc o n f l i c tt y p e s s e c o n d l y , t a k i n ge x a m p l eo ft h er u l es e t c o n f l i c td e t e c t i o na l g o f i t h mb a s e do np o l i c yt r e e ，ar u l es e tc o n f l i c td e t e c t i o n a l g o r i t h mb a s e do nb i n a r yt r e ei sd e s i g n e dw h i c hc a nd e t e c tt h er u l ec o n f l i c ta n d r u l e c o n f l i c tt y p e si nf i r e w a l l s i tc a ng r e a t l ys h o r t e nt h et i m ef o rr u l ec o n f l i c td e t e c t i o nt h a n l i n e a rs e a r c ha l g o r i t h ma n dt h ea l g o f i t h mb a s e do np o l i c yt r e e n l ca l g o r i t h m sw h i c ha r eb a s e do nl i n e a rs e a r c h , p o l i c yt r e ea n db i n a r yt r e ea g i v e ni nt h i sp a p e ru s i n gcp r o g r a m m i n gl a n g u a g e b yt e s t i n gr e s u l t s ，w ed i s c o v e rt h e a l g o r i t h mb a s e do nb i n a r yt r e ec a nb ea d a p t a b l ef o rr u l ec o n f l i c td e t e c t i n go f m u l t i - f i e l d r u l es e t ，a n di t st i m ec o m p l e x i t yr e d u c e s a l t h o u g ht h ea l g o r i t h mb a s e do nb i n a r yt r e e n e e d sc r e a t i n gt r e eo p e r a t i o n , s p e n d i n gt i m eo fc r e a t i n gt r e ei si n s i g n i f i c a n ta sc o m p a r e d t os p e n d i n gt i m eo fd e t e c t i n gr u l ec o n f l i c t i naw o r d , t h ea l g o r i t h mb a s e do nb i n a r yt r e e i saf a s t ，e f f i c i e n ta l g o r i t h mo f d e t e c t i n gr u l ec o n f l i c tt h a ti sa p p r o p r i a t ef o rl a r g e - s c a l em l e s e t s a tl a s t ，r e s e a r c hr e s u l t st oh o wt of l l r 0 1 e ri m p r o v i n gt h ee f f i c i e n c yo fr u l es e t c o n f l i c td e t e c t i o na l g o r i t h mb a s e do nb i n a r yt r e ei si n t r o d u c e d k e y w o r d ：d i s t r i b u t e df i r e w a l l ，p o l i c ya n o m a l y , r u l ec o n f l i c t , p o f i c yt r e e ， b i n a r yt r e e 声明 本学位论文是我在导师的指导下取得的研究成果，尽我所知，在 本学位论文中，除了加以标注和致谢的部分外，不包含其他人已经发 表或公布过的研究成果，也不包含我为获得任何教育机构的学位或学 历而使用过的材料。与我一同工作的同事对本学位论文做出的贡献均 已在论文中作了明确的说明。 研究生签名：j 煎j 乱 溯年6 月2 f 日 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅 或上网公布本学位论文的全部或部分内容，可以向有关部门或机构送 交并授权其保存、借阅或上网公布本学位论文的全部或部分内容。对 于保密论文，按保密的有关规定和程序处理。 研究生签名：拯r l 豇扣刀年6 月2 7 日 硕士论文分布式防火墙策略异常检测算法的研究 1 绪论 1 1 课题来源 信息是社会发展的战略资源。信息技术和信息产业正在改变传统的生产、经营和 生活，成为新的经济增长点，信息技术的广泛应用也使知识经济初见端倪。信息网络 国际化、社会化、开放化、个入化的特点使国家的“信息边疆”不断延伸，甚至到了 每一个上网终端。国际上围绕信息的获取、使用和控制的斗争愈演愈烈，使得信息安 全成为维护国家安全和社会稳定的一个焦点，因此各国政府都给予了极大的关注与投 入。 随着全球信息飞速发展，我国大量建设的各种信息化系统已经成为国家关键基础 设施，其中许多业务的正常进行需要通过互联网，诸如电信、电子商务、金融网络等； 越来越多的通信都通过电子邮件进行。移动员工、远程办公人员和分支机构都利用互 联网来从远程连接他们的企业网络；而在互联网上通过w w w 方式完成的商业贸易现 在已经成为企业收入的重要组成部分，也就是说世界上很大一部分经济产值都依赖于 互联网。因此，网络安全已经成为影响国家大局和长远利益的重大关键问题，它不但 是发挥信息革命带来的高效率、高效益的有力保证，丽且是对抗信息霸权主义、抵御 信息侵略的重要屏障。网络安全保障能力是2 1 世纪综合国力、经济竞争实力和存在 能力的重要组成部分，是新世纪世界各国都在奋力攀登的制高点。网络安全问题如果 解决不好将全方位地危及我国的政治、军事、经济、文化、社会生活等各个方面，使 国家处于网络战和高度经济金融风险的威胁之中。 1 1 1 弼络安全面临的威胁 当前，网络安全面临的威胁主要来自以下几个方面： ( 1 ) 非授权访问和破坏 未经同意就使用网络或计算机资源被看作非授权访问。例如有意避开系统访问控 制机制，对网络设备及资源进行非正常访问；或擅自扩大权限，越权访问。它主要有 以下几种形式：非法用户进入网络系统进行违法操作：合法用户以未经授权方式进行 操作等。目前，i n t e r a c t 上有很多黑客网站，这些网络介绍了许多常见的攻击方法和攻 击软件的使用。因而网络系统遭受攻击的可能性变大了，尤其是现在针对网络犯罪的 反击和跟踪手段还不多，使得黑客攻击的隐蔽性高、破坏性强，是当前网络安全的一 个主要威胁。 ( 2 ) 病毒威胁 硕士论文分布式防火墙策略异常检测算法的研究 病毒包括通常的计算机病毒，如特洛木马和蠕虫等。当前，通过网络传播的病毒 进化无论是在传播速度、破坏性和传播范围等方面都是单机病毒所不能比拟的。 ( 3 ) 软件的漏洞 随着软件系统规模的不断增大，系统中的安全漏洞也不可避免的存在而且也在不 断增多。比如常用的操作系统，无论是w i n d o w s 还是u n i x 几乎都存在或多或少的安 全漏洞，众多的各类服务器、浏览器及其它常用的软件等也都不同程度的存在着安全 隐患。可以说，任何一个软件系统都可能存在安全方面的漏洞，这也是网络安全的一 个主要安全威胁。 ( 4 ) 来自网络内部的攻击 当前用于网络安全方面的产品大多针对来自网络外部的攻击，但是来自网络内部 的攻击也非常频繁，造成的损失也很大，而且也更加难于防范，因为这些攻击者往往 具有一定的内部网络操作权限。 ( 5 ) 管理的欠缺 网络系统的严格管理是企业、机构以及用户免受攻击的重要措施。可是，事实上 很多企业和机构都疏于这方面的管理，例如不及时升级操作系统及应用软件的版本， 不及时打补丁，或者没有制订完善的安全策略并积极的予以实施等等。 1 1 2 网络安全的基本措籀 针对目前网络所面临的各种威胁，入们也研究出了许多用于安全防御的技术，下 面是当前应用较为广泛的几种技术： ( 1 ) 防火墙技术u 1 1 2 1 。防火墙是建立在两个网络边界上的实现安全策略和网络通 信监控的系统或系统集，它强制执行对内部网络( 如校园网) 和外部网络( 如i n t e m e t ) 的 访问控制。通过建立一整套规则和策略来监测、限制、转换跨越防火墙的数据流，从 而达到保护内部网络的目的。防火墙的功能主要有访问控制、授权认证、地址转换、 均衡负载等。它已经成为目前保护内部网络最重要的安全技术之一。 ( 2 ) 防病毒技术。防病毒技术主要是通过自身常驻系统内存，通过监视、判断系 统是否存在病毒来阻止计算机病毒进入计算机系统，防止病毒对系统进行破坏，从而 可以有效防止计算机病毒对系统造成的危害。 ( 3 ) 漏洞扫描技术。漏洞扫描技术通过扫描软件来发现系统存在的安全漏洞，判 断系统存在的安全威胁，帮助系统管理人员修正系统存在的安全隐患，以此提高系统 的安全性。 ( 4 ) 入侵检测技术【3 1 。入侵检测技术用来对各种入侵行为进行检测，它通过对系 统的运行状态进行监视，以发现各种攻击企图，攻击行为或者攻击结果，然后及时的 发出报警或做出相应的响应，以保证系统资源的机密性、完整性与可用性。 2 硕士论文分布式防火墙策略异常检测算法的研究 1 2 选题背景及当前研究现状 随着互联网的发展，网络安全问题已经引起了学术界和工业界的广泛重视。随着 来自网络的攻击持续不断的增长，防火墙己经成为网络安全领域的一种核心设备，并 广泛应用于企业网络和小型的家庭网络。作为安全网络抵御攻击和过滤未经授权数据 流的前沿设备，防火墙的过滤决策是基于根据预先定义的安全策略而形成的一组有序 的过滤规则。 虽然防火墙的成功部署是保证网络安全的重要一步，但成功部署并不意味着就可 以理所当然的获得相应的安全保障，这是因为防火墙安全策略管理的复杂性可能会影 响防火墙的安全。实际上，随着规则集中规则数目的增多，不可避免的会出现下面两 个问题： ( 1 ) 随着规则复杂度的增加，规则也变得难以理解，当维护规则集的人员变更时， 会使规则集的维护变得很困难。 ( 2 ) 当对规则集中的规则进行删除、修改或者添加规则时，就很有可能产生规则 冲突，影响安全策略的正常实施。 所以就有必要在实施安全策略之前，对过滤规则进行必要的分析，发现并纠正其 中的异常，而且最好能为网络管理人员提供相应的工具，帮助其完成安全策略的管理 工作。在使用单一防火墙的场景中，局部的防火墙策略可能包含一些异常，这些异常 会导致同一数据包同时匹配一个防火墙内的多条规则。而且，在分布式防火墙环境中， 多个防火墙规则集合之间也可能存在异常，这种情况下异常指的是在同一数据路径上 的单个防火墙可能对同一数据流采取不同的过滤动作。因此，网络管理员不但要保证 同一防火墙中所有规则具有确定的规则顺序，而且在多防火墙环境下，还应该保证规 则能够部署到合适的防火墙中。在一个典型的大规模企业网网络中，可能会有不同网 络管理员在不同时问编写的大量规则，这就大大增加了防火墙策略产生异常的潜在可 能性，危害到目标网络的安全性和效率。 进一步来讲，防火墙的安全效率也依赖于是否有足够的安全策略管理技巧和相应 的工具，以便网络管理人员能迅速有效的分析、验证所写的过滤规则的正确性。 近年来，研究人员对策略规则冲突分析这一问题进行了大量的研究，取得了不少 的成就。可是，这些工作的大部分都是为了解决通用的策略管理问题【5 l 或者是关于过 滤性能问题 6 1 1 7 1 s l ，而不是特别针对防火墙的。例如，文献【5 在基于角色的管理框架 下，对策略冲突进行分类，并研究发现这些冲突的方法；在文献 9 】中，给出了关于i p s e c 的策略冲突模型。虽然这些工作在通用的策略异常冲突发现中很有用，但未必可以直 接适用于防火墙的冲突异常发现。另一方面，有一部分研究项目的关注目标是过滤规 则的冲突翘题，例如文献i t 3 就提供了通用包过滤应用中的检测和解决冲突的算法， 3 硕士论文分布式防火墙策略异常检测算法的研究 可是他们研究的内容并不够全面，仅仅是本文介绍的异常中的一种情况( 相关性异 常) 。还有一些方法，如在文献【1 0 】 1 1 】【1 2 】中提出使用高级的策略语言来定义和分析 防火墙安全策略，然后经策略映射到过滤规则，虽然使用高级语言的方法能避免策略 异常，但是它并不适用于那些包含低级规则的防火墙。文献 1 1 】描述了第一代全局策 略管理技术，提出一种全局性的策略定义语言和算法来验证安全策略并生成过滤规 则。文献【1 0 】的作者通过采用模块化的结构提出了更好的方法，该方法将安全策略和 底层的网络拓扑分隔开，从而可以在调整网络拓扑的时候不用更新修改安全策略。文 献f 1 2 】提出了一种策略定义语言。在分布式防火墙的应用环境下，文献【1 5 】提出了一 种基于信任的策略管理方法。文献【1 9 】【3 6 】中提出了一种分布式防火墙策略异常分类 方法及检测方法。但是这些方法都没有解决如何有效地、快速地在分布式防火墙中检 测规则冲突。 因此，本文针对在分布式防火墙中，如何有效地、快速地检测规则冲突及其冲突 类型，进行一系列算法的分析研究。 1 3 本文的主要内容及组织结构 本文在分析典型的分布式防火墙的基础上，采用了新的分布式防火墙中策略管理 的方案。即取消了以往分布式防火墙的策略中心的管理，分布式防火墙的安全策略不 再是由一台主机集中生成分发，而是每台主机都有生成、分发安全策略的能力，网络 中其它主机也有判断是否接收执行该策略的能力。即策略的管理方案不再是策略集中 生成，而是策略分散生成。这种策略管理方案解决了策略中心控制策略所产生的单点 失效问题，但是增加了安全策略冲突判断的难度。本论文就如何快速地、全面地检测 安全策略异常的问题进行了研究。 全文共分为六章，首先分析了传统防火墙的缺陷和分布式防火墙的技术及优点， 然后重点分析本文设计和实现的分布式防火墙的策略异常检测算法。 第一章介绍网络安全相关知识，阐述课题的研究意义及当前的研究现状，并给 出了本文的组织结构。 第二章介绍了防火墙的相关技术，分析了传统防火墙的缺陷，在此基础上提出 了分布式防火墙的概念，随后详细介绍了分布式防火墙的体系结构及优点。 第三章介绍了防火墙规则间的相关性，分析了分布式防火墙策略异常产生的原 因，并对防火墙内部和分布式防火墙系统中的策略异常情况分别进行了分类。 第四章对现有的防火墙规则集冲突检测算法进行了研究，并对这些算法的规则 冲突检测性能进行了分析。 第五章首先设计了一种基于线性搜索的防火墙规则集冲突检测算法；然后结合 此算法的设计思路对基于p o f i c y t r e e 的规则集冲突检测算法进行了改进，提出了一种 4 硕士论文分布式防火墙策略异常检测算法的研究 分布式防火墙规则集冲突检测的新算法，即基于b i n a r yt r e e 的规则集冲突检测算法。 本文对这两种算法进行了程序实现，并将其性能与基于p o l i c yt r e e 的规则集冲突检测 算法进行分析比较。最后，本文还对基于b h a a r yt r e e 的规则集冲突检测算法提出了一 种改进思路。 第六章对本文的工作进行了总结，并对未来分布式防火墙的规则集冲突检测算 法的研究方向提出来了一些自己的看法。 硕士论文分布式防火墙策略异常检测算法的研究 2 分布式防火墙概述 2 1 防火墙 目前，网络安全问题日益严重，已经成为信息系统安全中最为突出和关键的一个 方面，严重阻碍了计算机网络的应用和发展。在当今各种网络安全技术中，作为保护 局域网的第一道屏障与实现网络安全的一个有效手段，防火墙技术应用最为广泛，也 倍受青腺。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安 全技术，在保护计算机网络安全技术性措旌中，是最成熟、最早产品化的，并越来越 多地应用于专用网络与公用网络的互联环境之中，尤其在局域网接入i n t e m e t 网络时应 用最多。 防火墙的定义有很多种，下面给出了几种常见的定义方式： ( 1 ) 防火墙是在i n t e m e t 与i n t r a n e t 之间进行访问控制的安全网关； ( 2 ) 防火墙是增强网络间访问控制策略的一种或一组设备； ( 3 ) 防火墙是在两个网络之间实施访问控制的一个或一组系统； ( 4 ) 防火墙是保障私有网络与其它网络连接通信安全的一个或一组设备； ( 5 ) 防火墙是阻止外部网络对私有网络访问的任何设备，它通常是软件和硬件的 组合体。 上面这些只是对防火墙进行了总的概括，但还不够完善。本论文采用c h e s w i c k 与b e u o v i n 的防火墙与i n t e m e t 安全：抑制狡猾的黑客中的定义：防火墙是两个网 络( 主要是外部网e x n 彻e t 和内部网i n t r a n e t ) 之间实施访问控制策略的一组设备，理论 必须具有以下几个方面的特性： ( 1 ) 在e x t r a n e t 和i n t r a n e t 之问传输的数据一定要通过防火墙； ( 2 ) 只有被授权的合法数据，即防火墙系统中安全策略允许的数据才可以通过防 火墙； ( 3 ) 防火墙本身不受各种攻击的影响。 一般认为防火墙具有三个基本特性： 1 、内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙 所处网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信 的唯一通道，才可以全面有效地保护企业的内部网络不受侵害。 2 、只有符合安全策略的数据流才能通过防火墙，这是防火墙的工作原理特性。 防火墙之所以能保护企业内部网络，就是依据这样的防护机制进行的。它可以由管理 员自由设置企业内部网络的安全策略，使允许的通信不受影响，而不允许的通信全部 拒绝于内部网络之外。 6 硕士论文分布式防火墙策略异常检测算法的研究 3 、防火墙自身应具有较强的抗攻击免疫力。这是防火墙之所以能担当企业内部 网络安全防护重任的先决条件。 防火墙控铕8 数据访问及传输，既可以保护内部网络的信息不受外部非法用户的 访问和入侵，也可以限制内部网访问不良信息。防火墙通过定义一个规则组合或安全 策略来控制网络间的通讯，并可以记录各种i n t e r n e t 应用服务的存取信息、隐藏企业 内部资源、减少企业网络暴露的危险。 防火墙是一个集成多种安全技术的网络安全解决方案，它不是一个单独的程序 或设备。防火墙是软硬件的结合体，它也可以由软件和硬件两部分组成，防火墙产品 也分为软件防火墙和硬件防火墙，通常硬件防火墙只是将软件防火墙的一部分固化在 硬件设备里实现的。 2 1 1 防火墙的分类 根据防火墙所采用的技术不同，可以将它分为5 种基本类型：数据包过滤型、应用 级网关型、代理服务型、复合型和监测型。 ( 1 ) 数据包过滤型防火墙 包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络 上的数据都是以“包”为单位进行传输的，数据被分割成一定大小的数据包，每一个 数据包中都会包含些特定信息，如数据的源地址、目标地址、t c p a j d p 源端口和目 标端口等。防火墙通过读取数据包的地址信息来判断这些“包”是否来自可信任的安 全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管 理员也可以根据实际情况灵活制订过滤规则。 包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下， 能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的， 即它只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层 的恶意侵入，使得有经验的黑客容易通过伪造i p 地址来欺骗包过滤型防火墙。 ( 2 ) 应用级网关型防火墙 应用级网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用 服务协议使用指定的数据过滤规则，并在过滤的同时，对数据包进行必要的分析、登 记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统。 数据包过滤和应用网关防火墙有一个共同的特点。就是它们仅仅依靠特定的规则 来决定是否允许数据包通过。一旦满足过滤规则，则防火墙内外的计算机系统建立直 接联系，防火墙外部的用户便有可能直接了解防火墙的网络结构和运行状态，这有利 于实施非法访问和攻击。 0 1 代理型防火墙 7 硕士论文分布式防火墙策略异常检测算法的研究 代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤性产品，并且 己经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者之间 的数据流。从客户机的角度来看，代理服务器相当于一台真正的服务器；而从服务器 的角度来看，服务器又是一台真正的客户机。当客户需要服务器上的数据时，首先将 请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理 服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道， 外部的恶意侵害也很难伤害到内部网络系统。 ( 复合型防火墙 由于对更高安全性要求，经常把基于包过滤的方法与基于应用代理的方法结合起 来，形成复合型的防火墙产品。这种结合通常有以下两种方案： a ) 屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与i n t e m e t 相连，同时一个堡垒主机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规 则的设置，使堡垒主机成为i n t e m e t 上其它结点所能到达的唯一结点，这就确保了内部 网络免受外部用户的攻击。 b ) 屏蔽子网防火墙体系结构：堡垒主机放在一个子网内，形成非军事化区，两 个分组过滤路由器放在这一子网的两端，使这一子网与i n t e m e t 及内部网络分离。在屏 蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全 基础。 ( 5 ) 监测型防火墙 监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分 析的基础上，监测型防火墙能够有效地判断出各层中的非法入侵。同时，这种检测型 防火墙产品一般还带有分布式探测器，这些探测器被设置在各种应用服务器和其它网 络的结点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有 极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来 自网络内部，因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也 超越了前两代产品。 2 1 2 防火墙的体系结构 目前，防火墙的体系结构一般有以下3 种【4 】：双重宿主主机体系结构、屏蔽主机 体系结构、屏蔽子网体系结构。 1 、双重宿主主机体系结构( 皿e a r c h i t e c t u r eo f d u a l - h o m e dh o s t ) 双重宿主主机体系结构相当简单，双重宿主主机位于两者之间，并且被连接到 i n t e m e t 和内部的网络。整个体系结构是围绕具有双重宿主的主机计算机而构建的， 该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路 8 硕士论文分布式防火墙策略异常检测算法的研究 由器：实现双重宿主主机的防火墙体系结构。禁止从一个网络到另一个网络发送口 数据包。因而，口数据包并不是从一个网络直接发送到另一个网络的。外部网络和 内部网络都可以和双重宿主主机通信，但是它们之间不能直接通信，必须经过双重宿 主主机的过滤和控制。双重宿主主机的结构如图2 1 2 1 所示。 客户 内部网ll 外部网 图2 1 2 1 双重宿主主机体系结构 2 、屏蔽主机体系结构( t h e a r c h i t e c t u r eo f s c r e e n e dh o s t ) 屏蔽主机体系结构防火墙使用一个路由器把内部网络和外部网络隔离开，屏蔽 主机网关易于实现，安全性好，应用广泛。它又分为单宿堡垒主机和双宿堡垒主机两 种类型。先来看单宿堡垒主机类型。一个包过滤路由器连接外部网络，同时一个堡垒 主机安装在内部网络上。堡垒主机只有一个网卡，与内部网络连接，如图2 1 2 2 所 示。通常在路由器上设立过滤规则，并使这个单宿堡垒主机成为从i n t e r n e t 惟一可以 访问的主机，确保了内部网络不受未被授权的外部用户的攻击。而i n l r a n e t 内部的客 户机，可以受控制地通过屏蔽主机和路由器访问i n t e m e t 。 客 内部同 ：外部同 图2 1 2 2 单宿堡垒主机防火墙 双宿堡垒主机型与单宿堡垒主机型的区别是，堡垒主机有两块网卡，一块连接 内部网络，一块连接包过滤路由器，如图2 1 2 3 所示。双宿堡垒主机在应用层提供 代理服务，与单宿型相比更加安全。 9 硕士论文分布式防火墙策略异常检测算法的研究 客户 s w i t c ho r h u b 内部网 ： ：外部网 图2 1 2 3 双宿堡垒主机防火墙 在这种体系结构中，主要的安全由数据包过滤提供。这种体系结构涉及到堡垒 主机。堡垒主机是因特网上的主机能连接到的唯一的内部网络上的系统。任何外部的 系统要访问内部的系统或服务都必须先连接到这台主机。因此堡垒主机要保持更高等 级的主机安全。数据包过滤容许堡垒主机对外根据站点的安全策略开放可允许的连 接。在屏蔽的路由器中数据包过滤配置可以按下列方案之一执行：允许其它的内部主 机为了某些服务开放到i n t e m e t 上的主机连接；不允许来自内部主机的所有连接。 3 、屏蔽子网体系结构( 1 1 圮a r c h i t e c t u r eo f s c r e e n e ds u b n e t ) 屏蔽子网体系结构添加额外的安全层到屏蔽主机体系结构，即通过添加周边网 络进一步把内部网络和外部网络隔离开。屏蔽子网体系结构的最简单的形式为，两个 屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于 周边网与外部网之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。非 授权用户要侵入用这种体系结构构筑的内部网络，必须通过两个路由器，即使侵入堡 垒主机仍须通过内部路由器，其结构如图2 1 2 4 所示。 客户 s w i t c h o r h u b i强 飞逮鸶爹 蕃 包过滤路由器 囱 ：堡垒主机i n t e r 嘲服务器： 内部暇 ：( 应用罔关)! 外部同 图2 1 2 4 屏蔽子网防火墙 从防火墙的几种体系结构可以看出，防火墙依赖于网络拓扑结构，它通过部署 在网络边界来保护内部主机，没有考虑到对局域网外移动用户的保护，也不能抵御来 自内部的攻击。 1 0 硕士论文分布式防火墙策略异常检测算法的研究 2 1 3 传统防火墙存在的问题 随着网络规模的日益扩大和对网络服务需求的日渐提高，传统防火墙逐渐暴露出 以下的问题： l 、防外不防内：传统防火墙对内部数据流无法监视，自然谈不上防止内部攻击， 而实际上据统计8 0 的攻击来自防火墙内部，防范内部攻击必不可少。 2 、“瓶颈”问题：一方面网络带宽越来越高，这要求防火墙有很高的吞吐量。另 一方面，黑客的攻击方法也越来越多，防火墙处理的规则也必然越来越复杂，使防火 墙处理速度下降。因而防火墙的功能( 即防范攻击的能力) 和性能( 即处理速度) 之 间是一对矛盾。 3 、“单点失效”问题：防火墙集万千重任于一身，因而一旦防火墙配置不当或出 现问题，则全网皆暴露于攻击者面前。 4 、未授权访问问题：多样化的连接方式诸如隧道、无限连接和拨号访问等可使 个人很容易建立一个绕过防火墙的连接，给网络留下一个后门，造成网络安全隐患。 5 、网络新业务受到限制- 夕h 联网、移动用户和通过网络在家办公( t e l e c o m m u t i n g ) 等新业务新需求的出现使得内网的概念难以维持。 6 、端到端的加密对防火墙造成威胁：传统的网络协议没有使用加密，因而防火 墙能对数据流实施过滤。当加密技术和新一代网络协议被使用的时候，防火墙因为没 有密钥而不能理解流过的数据包的内容，从而不能实施检查。 7 、安全模式单一：传统防火墙的安全策略是针对全网制定的，全网中的所有主 机遵从单一的安全模式，网络中的主机和防火墙在安全性上不具针对性和个性特点。 2 1 4 分布式防火墙的提出 由于传统防火墙的缺陷不断显露，于是有人认为防火墙是与现代网络的发展不相 容的，并认为加密的广泛使用可以废除防火墙。但加密不能解决所有的安全问题，防 火墙依然有它的优势，比如通过防火墙可以关闭危险的应用，通过防火墙管理员可以 实施统一的监控，并能对新发现的b u g 快速做出反应等。也有人提出了对传统防火墙 进行改进的方案，如多重边界防火墙、内部防火墙等，但这些方案都没有从根本上摆 脱拓扑依赖，因而也就不能消除传统防火墙的固有缺陷，反而增加了网络安全管理的 难度。 个人防火墙的出现弥补传统防火墙的一些缺陷，但是它依然无法从根本上解决内 部网络的安全问题。首先，个人防火墙依然依赖网络拓扑结构，容易受i p 地址欺骗； 其次，个人防火墙难以统一，网络管理难度大；最后，个人防火墙无法实现安全策略 的统一配置和管理。企业中大多数部门员工并非从事计算机行业，为使每个员工掌握 防火墙配置技术两对其进行复杂的网络和网络安全知识培训是不现实的。另外，由不 硕士论文分布式防火墙策略异常检测算法的研究 精通网络安全知识的员工配置防火墙，导致防火墙形同虚设。因此，个人防火墙配合 传统防火墙的方案在企业中也同样不可行。 为了克服以上缺陷而又保留防火墙的优点，美国a t & t 实验室研究员s t e v e nm b e l l o v i n 于1 9 9 9 年在他的论文“分布式防火墙”( d i s t r i b u t e df i r e w a u s ，d f w ) 一文 中，首次提出了分布式防火墙的概念，并在论文中给出了分布式防火墙的基本框架， 奠定了分布式防火墙研究的基础。 2 2 分布式防火墙 在分布式防火墙中，策略统一由策略控制中心定义和管理，策略控制中心按照分 发协议将策略“推”到节点防火墙，再由各个节点防火墙实施策略。分布式防火墙的 通信通常是基于一种加密及信任管理机制，分布式系统的信任管理是建立在可靠通信 的基础上 3 2 1 1 3 3 1 ，也存在把加密机制如i p s e c 协议与信任管理相结合的做法0 4 。 分布式防火墙是一种主机驻留式的安全系统，用以保护企业网络中的关键节点 免受外网的非法用户入侵破坏。分布式防火墙通常是内核模式应用，它位于操作系统 o s i 协议栈的底部，直接面对网卡。 分布式防火墙把i n t e m e t 和内部网络均视为不可信任的，它对所有的内外网的信 息流进行过滤与限制。它安装在结点计算机上如同指定安全策略的个人防火墙。同时， 分布式防火墙对每个服务器都能进行专门的保护。系统安全管理员能够设定个别的访 问权限，只开放服务器上必要的端口及协议。比如对于w e b 服务器，分布式防火墙 进行配置后能够阻止一些非必要的协议，如h t l p 和h t t p s 之外的协议通过，从而 阻止了非法入侵的发生。 可见，分布式防火墙保留了传统边界防火墙的优点，而又能克服前面所说的那 些缺点，在目前来说是较为完善的一种防火墙技术。分布式防火墙要负责对网络边界、 各子网和网络内部各结点之间的安全防护，所以它是一个完整的系统，而不是单一的 产品。 2 2 1 分布式防火墙的体系结构 因为分布式防火墙系统要负责网络边界、各子网和网络内部各节点之间的安全防 护，所以它是一套完整的系统，而不是单一的物理产品。根据其所需完成的功能，一 个典型的分布式防火墙的体系结构如图2 2 1 1 所示，一般包含下面3 个部分： ( 1 ) 网络防火墙( n e t w o r kf i r e w a l l ) ：即边界防火墙。在分布式防火墙体系结构中 没有废弃边界防火墙，物理上的边界仍然可以存在，只是减轻了其负担，边界防火墙 依然执行传统防火墙的功能，但由于它只处理与全网有关的安全问题，规则较少，因 而效率较高。 硕士论文分布式防火墙策略异常检涮算法的研究 ( 2 ) 策略控制中心：是整个分布式防火墙的核心，主要包括中心管理接口，策略 数据库，审计数据库和加密认证等模块。中心管理接口负责人一机交互、规则制定。 规则的制定是通过佼用规则定义语言或图形用户接口完成。管理员可以针对每台机器 制定规则，也可以将全网分成若干个域，然后针对每个域制定规则，各个域内使用相 同的规则，域外使用不同的规则。策略控制中心是分布式防火墙系统的重要特征之一。 ( 3 ) 主机防火墙( h o s t f i r e w a l l ) ：主机防火墙驻留在主机中，负责策略的实施，在 主机中如果不允许用户干预，则只包含包过滤引擎、上载审计事件的模块、加密模块 等，防火墙对用户透明。即用户感觉不到防火墙的存在，用户不能修改规则，也不能 绕过防火墙；如果允许用户部分修改规则，并参与定制个性化的安全策略，则还要包 含用户接口。 图2 2 1 1 分布式防火墙体系结构 在一个典型的分布式防火墙系统中，所有主机防火墙( 包括分支机构和移动用 户) 和边界防火墙皆受控于策略管理中心。综合起来分布式防火墙技术具有以下几个 技术特征： l 、主机驻留 分布式防火墙的重要特征是驻留在被保护的主机上，该主机以外的网络不管是 处在网络内部还是网络外部都认为是不可信任的，因此可以针对该主机上运行的具体 应用和对外提供的服务设定针对性很强的安全策略。 2 、嵌入操作系统内核 主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行，直接接管 网卡，在把所有数据包进行检查后再提交操作系统。为实现这样的运行机制，除防火 硕士论文分布式防火墙策略异常检测算法的研究 墙厂商自身的开发技术外，与操作系统厂商的技术合作也是必要的条件，因为这需要 一些操作系统公开内部技术接口。 3 、类似于个人防火墙 个人防火墙的安全策略由系统使用者自己设置，目标是防止外部攻击，而针对 桌面应用的主机防火墙的安全策略由网络管理员统一安排和设置，除了对该桌面机起 到保护作用外，也可以对该桌面机的对外访问加以控制，并且这种安全机制是桌面机 的使用者不可见和不可改动的。 4 、适用于服务器托管 互联网和电子商务的发展促进了互联网数据中心的迅速崛起，其主要业务之一 就是服务器托管服务。对服务器托管用户而言，该服务器逻辑上是其企业网的一部分， 而物理上不在企业内部，边界防火墙解决这种应用其功能就显得比较有限，而采用针 对服务器的解决则较为自然。对于纯软件式的分布式防火墙则用户只需在该服务器上 安装上主机防火墙软件，并根据该服务器的应用设置安全策略即可，并可以利用中心 管理软件对该服务器进行远程监控，不需任何额外租用新的空间放置边界防火墙。 5 、增强了系统安全性 加强了对来自内部攻击防范，可以实施全方位的安全策略。分布式防火墙将防 火墙功能分布到网络的各个子网、桌面系统、笔记本计算机以及服务器p c 上。分布 于整个公司内的分布式防火墙使用户可以方便地访问信息，而不会将网络的其他部分 暴露在潜在非法入侵者面前。凭借这种端到端的安全性能，用户通过内部网、外联网、 虚拟专用网还是远程访问实现与企业的互联不再有任何区别。 分布式防火墙还可以使企业避免发生由于某一端系统的入侵而导致向整个网络 蔓延的情况发生，同时也使通过公共账号登录网络的用户无法进入那些限制访问的计 算机系统以弥补边界式防火墙对内部网络安全性防范的不足。 分布式防火墙使用了i p 安全协议i p s e 圮，能很好地识别在各种安全协议下的内部 主机之间的端到端网络通信，使各主机之间的通信得到了很好的保护，所以分布式防 火墙有能力防止各种类型的被动和主动攻击。特别在当我们使用m 安全协议中的密 码凭证来标志内部主机时，基于这些标志的策略对主机来说无疑更具可信性。 6 、消除了结构性瓶颈问题，提高了系统性能 传统防火墙由于拥有单一的接入控制点，无论对网络的性能还是对网络的可靠 性都有不利的影响。虽然目前也有这方面的研究并提供了一些相应的解决方案，从网 络可靠性角度来说，采用多个防火墙冗余也是一种可行的方案。但是它们不仅引入了 很多复杂性，而且并没有从根本上解决该问题。 分布式防火墙则从根本上消除了单一的接入点，有效地避免了通信瓶颈的问题。 还可以针对各个服务器及终端计算机的不同需要进行最佳配置，充分考虑到这些主机 1 4 硕士论文 分布式防火墙策略异常检测算法的研究 上运行的应用，可在保障网络安全的前提下大大提高网络运行效率。 7 、提供了安全防护扩充的能力 因为分布式防火墙分布在整个企业的网络或服务器中，所以它具有很好的扩展 能力。随着网络的增长，它们的处理负荷也在网络中进一步分布，因此它们的高性能 可以持续保持住。而不会像边界式防火墙一样随着网络规模的增大而不堪重负。 8 、应用更为广泛，支持v p n 通信 分布式防火墙最明显的优势在于，能够保护物理拓扑上不属于内部网络而位于 逻辑上的“内部”网络的那些主机，这种需求随着v p n 的发展越来越多。对这个问 题的传统处理方法是将远程内部主机和外部主机的通信依然通过防火墙隔离来控制 接入，而远程内部主机和防火墙之间采用隧道技术保证安全性