（计算机应用技术专业论文）基于嵌入式linux网关改进方案设计.pdf

湖北：r 业人学硕十学位论文 摘要 随着i n t e r n e t 的发展，人们的生活和工作越来越离不开互联网络。许多企业用 户己经拥有了一个或多个自己的局域网，如何稳定、安全的让每个局域网接入 i n t e m e t ，这是一个对于信息安全研究者和用户都广泛关注的问题。为满足这种需 求，本文从加强安全的角度对l i n u x 嵌入式网关的改进提出了设想，并对其实现进 行了初步研究。 本文从介绍嵌入式系统入手，简述了嵌入式系统的种类及其应用，硬件平台 和开发工具，以及嵌入式l i n u x 系统的特点及优越性。并进一步说明了本文所述网 关选择嵌入式l i n u x 系统的原因；描述了网关的三个主要需求，即接入需求、安全 需求和内网管理需求。接着本文对l i n u x 2 ，4 内核中的n e t f i l t e r 的源代码进行了解 读，并结合本研究详细地阐述了两个技术要点的原理，即包过滤原理和n a t 原理 ( 重点在n a t ) 。在系统分析部分，本文列出了系统框图及原理框图，重点解读了 n a t 内核源代码及相关源代码文件，对网络其它部分的代码和数据包过滤部分的 代码进行简要的说明，最后对所实现的网关安全的性能作出了评价，提出了自己 对n e t f i l t e r 中的n a t 技术的观点。 本文进行了以下研究： ( 1 ) 研究了l i n u x2 4x 内核中n e t f i l t e r 源代码，并解读了与n a t 相关的源 程序。 ( 2 ) 研究了n e t f i l t e r 的五个参考点，解析了数据包在传输层：网络层和链路 层的实际结构，并说明了数据包在这三层中的变化。指出了n e t f i l t e r 中的轨迹的正 向与逆向地址元的对称性被破坏问题。 ( 3 ) 提出了一种改进设想，并以模块化形式加入l i n u x 内核中。 关键词：嵌入式系统，l i n u x ，网关安全，n a t ，n e t f i l t e r a b s t r a c t a l o n gw i t ht h ed e v e l o p m e n to fi n t e m e t ，m o r ea n dm o r ei n t e r n e tc o n n e c t i n g r e q u i r e m e n t sa r er u s h i n g ，p r e s e n t l y ，al o to fe n t e r p r i s e sa n di n d i v i d u a lu s e r sh a v e a l r e a d yo w n e do n eo rm o r el o c a l a r e an e t w o r kr l a n ) b o t h1 s p ( i n t e r n e ts e r v i c e p r o v i d e r ) a n dc u s t o m e r sa r ec o n c e r n e dw i t ht h ei s s u eh o wt om a k ea l ll a na c c e s s i n t e r a c tq u i c k l y ，s t a b l ya n ds e c u r e l y w er a i s e da n i m p r o v e m e n tf o re n h a n c i n gt h e e m b e d d e ds e c u r i t yg a t e w a ys e c u r i t yt om e e tn u m e r o u sl a n c o n n e c t i n gr e q u i r e m e n t s a l s ow ed i ds o m ep r i m a r ys t u d yo ni t sr e a l i z a t i o na n dp r e s e n t e dt h e mw i t ht h ef l o w c h a r t ，a n dc o m p i l e ds o m ev i r t u a lp r o g r a m s f i r s t l y , w eb e g i n sf r o nt h ei n t r o d u c t i o no fe m b e d d e ds y s t e m b r i e f l yd e s c r i b e dt h e t y p e sa n dt h ec o m p r e h e n s i v ea p p l i c a t i o no ft h ee m b e d d e ds y s t e m ，t h eh a r d w a r e p l a t f o r m sa n dd e v e l o p i n gt o o l s ，a n dt h ec h a r a c t e r i s t i c sa n dt h es u p e r i o ro ft h e e m b e d d e dl i n u xs y s t e m s e c o n d l y w es t a t e dt h er e a s o no ft h es e l e c t i o no ft h es e c u r i t y g a t e w a yw i t ht h ee m b e d d e dl i n u xs y s t e m ，a n dn a r r a t e dt h et h r e em a i nr e q u i r e m e n t sf o r g a t e w a y , i e ，c o n n e c t i o nr e q u i r e m e n t ，s e c u r i t yr e q u i r e m e n t ，a n di n t r a n e tr e g u l a t i o n r e q u i r e m e n t t h i r d l y ，w eu n s c r a m b l e dk e m e ls o u n dc o d e so fn e t f i l t e ra n dp a r t i c u l a r l y e x p a t i a t e dp r i n c i p l e so ft h et w ot e c h n o l o g i c a lk e r n e l sb a s e do no u rs t u d y ，i e ，p r i n c i p l e s o f t h ep a c k e tf i l t e ra n dn a t ( e m p h a s i sp l a c e do nt h ep r i n c i p l eo f n a t ) f o u r t h l y , i nt h e s e c t i o no fs y s t e ma n a l y s i sw el i s t e df l o wc h a r t sf o rs y s t e ma n dp r i n c i p l e sa n d u n s c r a m b l e dk e r n e ls o u n dc o d e so fn a ta n dr e l a t e ds o u n dc o d e sf i l e sp a r t i c u l a r l y w e a l s ob r i e f l ye x p l a i n e dt h ec o d e so ft h ed a t ap a c k e tf i l t e ra n do t h e rp a r t so fn e t l a s t l y ， w ee v a l u a t e dt h ec a p a b i l i t yo fg a t e w a ye n h a n c e ds e c u r i t yb ya ni m p r o v e m e n tt h a tw e d e s i g n e da n dp r e s e n t e ds o m ep r i m a r ys t u d yf o ri t sr e a l i z a t i o n a n ds e tf o r t ho u ro w n v i e w so nn a t t e c h n o l o g yo f n e t f i l t e r t h ew o r kt h a tw eh a v ed o n ei n c l u d et h r e ep a r t sf i r s t l y ，w ei m p r o v e dt h ek e r n e la n df i l es y s t e m o fs e c u r i t yg a t e w a yb a s e do ne m b e d d e dl i n u xs y s t e m s e c o n d l y , w eu n s c r a m b l e dt h es o u n dc o d e s o f n e t f i l t e ra n da n a l y z e d t h es t r u c t u r eo fc h a i n l i s to f n a tp a r t i c u l a r l y t h i r d l y ，w es e t f o r t ha f e a s i b l e p r o t o c o lf o rt h ee n h a n c i n gt h es e c u r i t yo fj n t r a n e tg a t e w a ys y s t e m k e yw o r d s ：e m b e d d e ds y s t e m ，l i n u x ，g a t e w a ys e c u r e l y ，n a t ，n e t f i l t e r 诹 l 童工繁火罄 学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工 作所取得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个 人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体， 均已在文中以明确方式标明。本声明的法律结果由本人承担。 学位论文作者签名 铘 日期：多年月，p 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：，学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权湖北工业大学可以将本学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 学位论文作者娩骝 日期：年6 月d 日 指导教师签名 日期：年月日 湖北工业大学硕十学位论文 第1 章引言 随着互联网的发展，人们对于网络信息安全的要求越来越高，保障网络安全 以及信息的安全传输已成为企业和个人用户的迫切需求。防火墙、v p n 集成、入 侵检测、病毒扫描等也就成为人们安全解决方案首选的网络安全产品i u 。 对于中小型用户或局域网用户来晚，网络边缘( p e r i m e t e r ) 安全是很重要的。 如何构建一个安全的内部网络环境呢? 内部网络是受到边界保护的，包含所有的 服务器、工作站和基础设施的网络。我们经常听到管理员说：“我们可以信任我们 自己的员工。”因此，某些单位或者机构在许多时候就忽略了内部网络的安全，而 没有意识到内部攻击的危险性。内部攻击并不一定是由雇员蓄意制造的，有时候 员工无意识的操作也可能造成攻击。在计算机病毒泛滥的今天( 尼姆达( n i m d a ) 蠕虫在几小时之内能使拥有1 00 0 0 台服务器的大型国际网络濒临崩溃，任何系统、 网络和安全管理员都没有办法阻止它的行动) ，人们正在为计算机病毒伤透脑筋。 就拿尼姆达的传播来说，尼姆达蠕虫有四种独特的方法进行传播：i i s 探索； e m a i l ：h t t p 浏览；网络邻居。这四种传播的方法使得尼姆达蠕虫的破坏力 特别强大。内部网络可以使用许多与边界相同的部件，例如路由器、有状态或者 代理防火墙以及尼姆达i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) 。另外，内部网络可以包 含个人防火墙，以一种简单的方法来阻止尼姆达的第一种和第四种传播，我们也 可以用反病毒软件来减缓尼姆达的传播。但是在当前，还没有什么方法能够可靠 地彻底清除它( 最好的清除方法是重新安装整个系统) 0 2 1 1 0 3 】 0 4 1 。 1 1 本课题介绍 1 1 1 课题来源 课题来源于：湖北省教育厅2 0 0 4 年自然科学基金重点项目“网络隧道代理机 制的研究”( 项目编号：2 0 0 4 a b a 0 6 1 ) ，2 0 0 4 年湖北省科技攻关项目“支持隧道代 理的主动防御型防火墙的研究”( 项目编号：2 0 0 4 a a l o l c 6 7 ) 。 1 1 2 本论文的主要研究内容 本研究是基于l i n u x 系统的内核源代码2 4 版本，对l i n u x 系统下 湖北一 业大学硕十学位论文 n e 们p v 4 n e t f i l t e “目录中的相关n a t 技术的源程序进行系统的解读，在此基础上提 出了自己的设想。具体的研究内容包括以下几个方面： 1 ) 解读了相关n a t 技术的源代码( 基础) 在l i n u x 系统n e t f i l t e r 中定义了许多链表，是通过这些链表来完成l p 地址转 换的，并不是我们想像的那么直接在地址池中去对应地址，而是先进行i p 轨迹跟 踪，在i p 轨迹跟踪的基础上进行地址转换。每条轨迹具有正向地址元和逆向地址 元分别与请求i p 包地址与应答i p 包地址匹配。但进行地址转换操作以后，此轨迹 的正向与逆向地址元的对称性被破坏，成为转移轨迹。 2 ) 提出问题并给出设想 轨迹的正向与逆向地址元的对称性被破坏，不利于安全的评价，对内网安全 代来了一定的隐患。对称性被破坏了可以换一种方式来进行安全性的检测( 这是 本研究的初衷) 。跟踪轨迹是在传输层，在i p 层与链路层之问数据包流入和流出时 包的嵌套头最少，没有被绑定其它的功能( 是包的最初状态) ，在此位置对流入和 流出的数据包进行分析是最佳地方，本设想就是在此基础上提出来的。 1 1 3 本课题的研究意义 随着i n t e r n e t 的发展与普及，内部网的安全管理成为了一个重要的问题。网络 边缘安全就显得很重要了。网关是内网和外网链接的关键( 是唯一的、必需经过的 路径1 ，所有数据包都必须经过网关流入和流出。目前，研究的代理、包过滤、防 火墙等好多研究方向就是基于网关的。在内网安全中网关是个不可忽视的，也是 要重点研究的。 1 2 嵌入式简介 1 2 1 嵌入式系统简述 近年来，随着计算技术、通信技术的飞速发展，特别是互联网的迅速普及和 3 c ( 计算机、通信、消费电子) 合一的加速，微型化和专业化成为发展的新趋势， 嵌入式产品成为信息产业的主流。l i n u x 从1 9 9 1 年问世到现在，短短的十几年时 f b j 已经发展成为功能强大、设计完善的操作系统之一：可运行在x 8 6 、a l p h a 、s p a r c 、 m i p s 、p p c 、m o t o r o l a 、n e c 、a r m 等多种硬件平台，而且开放源代码，可以定 制；可与各种传统的商业操作系统分庭抗争。越来越多的企业和研发机构都转向 湖北：l 业大学硕士学位论文 嵌入式l i n u x 的开发和研究上，在新兴的嵌入式操作系统领域内也获得了飞速发展 1 0 4 【0 6 1 。 嵌入式系统是以应用为中心，以计算机为基础，软硬件可裁剪，适用于系统 对功能、可靠性、成本、功耗严格要求的专用计算机系统，系统结构见图1 1 。 实时性是嵌入式系统的基本要求，其次，还要求代码小，速度快，可靠性高。 嵌入式应用软件 限入式操作系统 l 嵌入式处理器il 嵌入式夕 网设备l 嵌入式艘件。f 台 1 2 2 嵌入式l i n u x 发展史 图i i 嵌入式系统 i m , , l l x 系统是麻省理工学院、a t & t 公司贝尔实验室( 现在改为朗讯公司) 和通用电气公司的联合项目，这个项目叫做m u l t i c s ( 多路复用信息与计算服务) ， 其中有两位开发人员k e nt h o m p s o n 与d e n n i sr i t c h i e 关注到我们今天看到的多用 户操作系统。直到2 0 世纪7 0 年代初，t h o m p s o n 和r i t c h i e 仍然继续开发工作。他 们成功的关键也许是用c 语言编写内核和几个基本命令，包括b o u r n es h e l l 中的命 令 0 8 1 “1 。 1 9 9 1 年，l i n u st o r v a l d s 还是个芬兰的研究生，他不喜欢新的3 8 6 c p u 计算机 上提供的操作系统，因此建立了一个内核，使有些操作系统组件可以和计算机硬 件进行通信。1 9 9 5 年几家公司把l i n u s 开发的内核集成到自由软件基金会的 g p l ( g e n e r a lp u b l i cl i c e n s e ) 软件中，建立了第一个l i n u x 发行的版本。 l i n u x 最初是从u n i x 仿制而成的。换句话说，l i n u x 开发人员建立系统时并 没有使用建立u n i x 的那些编程指令( 也称源代码) 。正是由于l i n u x 是从u n i x 仿制而成的，所以在这两个操作系统中可以使用大致相同的命令。 1 2 3 嵌入式l i n u x 功能特性和应用范围 嵌入式l i n u x 功能特性有以下六点0 2 】 0 5 1 【0 9 】踟： 1 ) 开放源代码、模块化设计 l i n u x 采用g p l 授权，其源代码公丌且任何人都可以自由使用、修改、散布。 而l i n u x 核心本身采用模块化设计，让人很容易增减功能。例如一个平台如果不需 要蓝牙的功能，就可不加入这项功能，如果需要就可加入。由于这样的高弹性， 我们可以整合出最适合需求的核心来。相对于l i n u x ，w i n d o w s 是走封闭源代码路 线，所以我们完全无法得知或修改它的核心部分。 2 ) 稳定性好 l i n u x 不属于任何一家公司，但是它的开发人员却是各操作系统中最多的，每 天在全球都有无数的人参与l i n u xk e r n e l 的改进、除错和测试，这样严苛的开发造 就了高稳定性的l i n u x 。正因为如此，l i n u x 虽不是商业的产物但是品质却不逊于 商业产品。 3 ) 网络功能强大 l i n u x 的架构是参照u n i x 系统而来，因此l i n u x 也承袭了u n i x 强大的网络 功能。在这个许多事情都讲求网络的时代里，一是l i n u x 大放异彩的年代。未来家 庭的冰箱、空调、电视等等都可能会与网络连接。如何给这些家电增加网络功能， 使用l i n u x 系统就可以做到。 4 ) 跨平台 l i n u x 一开始是基于i n t e l3 8 6 机器而设计的，但是随着网络的广泛应用，各 式各样的需求不断涌现，便有许多工程师致力于各式平台的移植，造就了l i n u x 可以在x 8 6 ，m i p s ，a r m s t r o n g a r m ，p o w e r p c ，m o t o r o l a6 8 k ，h i t a c h is h 3 s h 4 ， t r a n s m e t a 等平台上均可运作的盛况。这些平台几乎涵盖了所有嵌入式系统所需的 c p u ，因此选择l i n u x 就可以把许多硬件平台纳入选择的范围。 嵌入式环境不如x 8 6p c 那样单纯，嵌入式环境所采用的c p u 架构之多，使 用l i n u x 系统作开发，就等于有更多硬件的选择，硬件成本是商业公司考虑的一大 重点，选择多自然可以找到最合适的硬件，对于公司的竞争力是有极大的帮助。 5 ) 应用软件众多 湖北：i 。：业大学硕士学位论文 自由软件世界早一大特色就是软件超级多，而且几乎都符合g p l 标准，即大 家都可以自由取用。由于这些软件多半是由工程师业余空暇时间所开发的，且不 以营利为目的，所以不能担保这些软件完全没有b u g ，但是其中不乏有许多高水平 的软件，大家熟知的k d e ( kd e s k t o pe n v i r o n m e n t ) 与g n o m e ( t h eg n un e t w o r k o b j e c tm o d e le n v i r o n m e n t ) 便是很好的证明。也有与嵌入式系统较为相关的高水平 软件如：g c c 编译器、kd e v e l o p 整合式开发环境二等。这些对开发人员有很大的 帮助。 1 2 4 常见的嵌入式操作系统的比较 常见的一些嵌入式操作系统有d o s ，它是16 位的单任务操作系统。又如一些 l e d 看板、w i n d o w sc e 系统，目前主要应用于p d a ，但是和微软一系列的w i n d o w s 系统一样，w i n d o w sc e 也承袭了原有的缺点：耗费系统资源太大，不稳定，效率不 佳等等；p a l m 系统，目前主要应用在p d a 上，是市场占有率最高的p d a 操作系 统：还有一些实时的嵌入式操作系统，如w i n d r i v e r 的v x w o k s 等，但这些专有商 业操作系统的费用高昂，费用不会低于6 0 万人民币，如果需要路由等模块，费用 还要增加。 l i n u x 有四大优点：成本低，可以从互联网上免费下载。可靠性高，l i n u x 服务器运行好几个月都不需要重新启动。系统灵活，系统很容易在需要时增加 更多软件。l i n u x 具有很好的支持性，并且源代码丌放0 2 1 【0 5 】【0 6 【0 8 】。 1 3 主要研究的途径与方法 l i n u x 有好多优点，本研究主要在熟悉l i n u x 下的n e t f i l t e r ，对其源代码进行 解读，分析了l i n u x 2 4 x 内核与n a t 相关的部分，重点放在f i l t e r 链表和n a t 链表 上。在分析n a t 的原理技术基础上，确定理论创新点和技术突破点。在研究工作 中，形成了自己的设计构想，并给出了实施的步骤和部分伪代码，综合运用建模、 集成、测量和分析等手段和t c p i p 的相关知识，提出了改进n a t 模型和相关内 网安全问题的研究。 第2 章网络边缘设备及其安全 边缘设备( e d g ed e v i c e ) 主要指安装在边缘网络上的交换机( 数据链路层的 中继系统) 、路由器( 网络层的中继系统) 、路由交换机、i a d ( i n t e g r a t e d a c c e s s d e v i c e ，综合接入设备) 以及各种m a n w a n 设备，负责接入设备和核心骨干 网络设备间的数据包传送。边缘设备是应用数据链路层( 第二层) 和网络层( 第 三层) 技术的一种物理设备f 0 7 1 。 边缘设备可将一种网络协议转换为另一种类型。例如：如果核心网使用a t m 交换机发送信元数据，并应用面向连接的虚拟电路，而接入网采用面向数据包的i p 路由器实现同样功能。边缘设备结合边缘网络负责处理转换过程。而对于所有连 接都包含一个输入和输出边缘设备。边缘设备集中输入流量，实现核心骨干网的 高速传输，同时通过接入设备将输出流量分散到各个终端用户。边缘网络设备的 组织示意图如下图2 1 所示。 图2 ，1边缘设备的示意图 传统防火墙通常在网络边界站岗，又名边界防火墙。如果况它对来自外部网 的攻击算得上是个称职的卫士，那么对于8 0 的来自内部网的攻击它就显得心有 余而力不足。为此诞生了一种新兴的防火墙一分布式防火墙，它的专长在于堵住 内部网漏洞。从狭义来讲，分布式防火墙产品是指那些驻留在网络主机中，如服 务器或桌面机，并对主机系统自身提供安全防护的软件产品：从广义来讲，分布 式防火墙是- - 0 e 新的防火墙体系结构。它是主要针对内网安全而设计的【”】。 2 1 网络边缘安全基础 网络的安全应该每天进行评估。在网络上有很多人进行了安全评估。i n t e m e t 端系统( 带有i p 地址并且通过i n t e m e t 可以访问到的计算机) 每天都可能遭受几 百次甚至上千次的攻击尝试。这些攻击中的大多数都是简单的扫描和探测，我们 知道如何防御这些扫描和探测，但其他一些攻击我们可能根本就不知道是怎么一 回事，等到攻击已经奏效的时候，一切都晚了。 现今，经常用到的网络边缘设备如下： 1 ) 边界路由器( b o r d e rr o u t e r ) 路由器( r o u t e r ) 就像对网络中的流量进行监控的“警察”。它们引导流量进入 网络、流出网络或者在网络中传输。边界路由器是流量进入i n t e m e t 之前我们可以 控制的最后个路由器。因为你所在机构的i n t e r n e t 流量都要经过这样的路由器， 所以可以认为它是初步过滤或者最终过滤的第一道“防线”( 也可以说是最后一道 “防线”) 。 2 ) 防火墙( f i r e w a l l ) 防火墙是一种设备或是一个终端，它拥有一组规则，这些规则决定那些流量 可以通过而那些流量不能通过防火墙。防火墙对边界路由器不能监控的流量进行 更加深入地分析和过滤。防火墙有好几种类型，包括静态报文过滤器、有状态防 火墙和代理防火墙、以及上面提到的分布式防火墙等等。尽管各种防火墙都不完 美，但是它们确实能够按照我们所告诉它们的方式来阻塞或允许流量经过1 1 2 l 。 3 ) 入侵检测系统( i d s ) i d s 就像网络中的“窃贼告警系统”，它可以用来检测和告警恶意事件。系统 中可能包含各种不同类型的i d s 感测器，它们分别位于不同的战略位置上。有两 湖北：l _ 业火学硕士学位论文 种基本的入侵检测系统：基于网络的入侵检测系统( n e w o r k b a s di d s ，n i d s ) 和基 于主机的入侵检测系统( h o s t b a s di d s ，h i d s ) 。n i d s 感测器是监视网络流量中可 疑活动的设备。n i d s 感测器驻留在直接连接防火墙的子网上，因为防火墙是内部 网络的关键点。h i d s 感测器驻留在单个的主机上监视单个主机的活动。通常，i d s 感测器监视预定义的关于不利事件的特征，并且可能进行统计和反常事件分析， 当i d s 检测到不利事件时，它们会以各种方式，如邮件、传呼、日志记录等来对 这些事件进行告警。i d s 感测器可以将报告发送到一个中央数据库中，这个中央数 据库收集来自各方的信息，可以在多个位置访问这个数据库中的信息【1 3 1 。 2 2 报文过滤 报文过滤( p a c k e tf i l t e r ) 是一种最古老且使用最广泛的控制网络访问的方法。它 的原理很简单：通过比较报文头部中的一些基本标识信息来判断是否允许报文进 入或离开网络。在操作系统、软件和硬件防火墙中都能够找到报文过滤技术的应 用，它还是大多数路由器所具有的一种安全特性。 当网络上的系统之间进行通信时，它们需要使用共同的语言或协议。t c p i p 就是这样的一种协议，它是i n t e r n e t 的主要通信语言。为了进行通信，你所发出的 信息都要分割成可管理的片断，称为报文( p a c k e t ) 。报文头部( p a c k e th e a d e r ) 是 粘贴在报文起始位置的一些短信息段，用以标识报文。报文是根据它的头部中的 一些标识符取值来进行了转发或路由的。这些标i ：i = 符包含的信息包括报文的来源 ( 源地址) 、报文的去处( 目的地址) 、通信双方所使用的协议端口号，以及描述 报文可以支持的服务类型的其他信息等等。当一个t c p i p 报文到达路由器时，路 由器会检查报文过滤的目的。如果知道的晒，它就将报文转到合适的网段上。对 于任何报文，如果路由器拥有关于它的目的地的信息，就会把它转发去，这个事 实称为隐式允许( i m p l i c i tp e r m i t ) 。 2 3 防火墙 随着全球信息高速公路的建设，i n t e m e t 的发展，给人类社会的科学与技术、 经济与文化带来巨大的推动与冲击，同时也带来了许多的挑战。资源共享和信息 安全历来是一对矛盾1 3 。近年来随着i n t e r n e t 的飞速发展，计算机网络资源共享 进一步加强，随之而来的安全问题目益突出。解决网络安全问题的一个有效办法 湖北工业大学硕士学位论文 是内部网和外部网之间设置防火墙。 弋 lj i l l ( c h l u 、，、一 _ 移一 图2 3 防火墙与网关分布 如图为防火墙的一种典型应用。防火墙技术作为目前用来实现网络安全措施 的一种主要手段，它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对 外部屏蔽网络内部的信息、结构和运行情况，以实现网络安全保护。防火墙是同 时具有下述特征的安装在两个网络之间的软硬件的集合：从里到外和从外到里的 所有通信都必须通过防火墙：只有本地安全策略授权的通信才允许通过：防火墙 本身是免疫的，不会被穿透的【l 。 2 3 1 有状态防火墙 有状态防火墙在过滤报文时会试图跟踪网络连接的状态。有状态防火墙的能 力类似于报文过滤器的功能和代理所拥有的应用级协议智能的“交集”。由于它具 有这种额外的协议知识，因此能够避开在为以非标准方式工作的协议配置报文过 滤防火墙时所遇到的许多问题。 有状态防火墙主要检查传输层和更低层的报文信息，大部分经常只对初始化 连接的那个报文进行了应用层的检查。如果一条现有的防火墙规则允许该报文通 过，就向状态表中添加一项。并且允许在该特定通信会话中从那之后的所有报文， 而无需对其做进一步的检查，这是因为它们匹配了一个现有的状态表项。这种方 法提高了防火墙的整体性能( 与对所有报文都要进行检查的代理类型的系统相比 较) ，因为它只需要对最初的报文一直解封装到应用层。 反过来，由于有状态防火墙使用这样的过滤技术，因此它们无法像代理防火 墙那样为整个通信会话考虑应用层命令。这等于无法基于应用层的通信来实际控 制会话，从而使得它的安全性逊于代理技术。然而，由于有状态防火墙的速度优 一 湖北：l 业大学硕士学位论文 势以及能处理几乎所有通信流( 应用级代理只支持有限的协议类型) 的能力，因 此，它作为站点的唯一边界保护设备或者在一个更复杂的网络环境中充当角色来 说，是一种极好的选择。 2 3 2 代理防火培 代理服务器有时也称为应用网关( a p p l i c a t i o ng a t e w a y ) ，它是一种通过i n t e r n e t 协议在受保护的内部网络和外部世界( i n t e m e t ) 之间提供通信能力的特殊应用程 序。一般来说，代理为基于t c p i p 协议之上的程序工作。代理服务器上通常会运 行一些可以安全地加以保护并可信的程序( 代理) ，这些程序与具体应用相关。每 种应用协议都必须拥有自己的代理服务，或者由一个通用代理来处理。代理还是 一种将任何特定端口上的报文跨越网络边界传递的透明程序。 代理可以代表客户或用户来访问某种网络服务，并屏蔽网络通信的双方，避 免进行直接的端到端( p e e r t o p e e r ) 连接。在进行通信进，客户与代理服务器首先 建立连接，完成三次握手过程，然后代理再建立一条到目标服务器的连接。代理 服务器把它从客户那里收到的数据发送给目标服务器，并将从目标服务器收到的 数据转发给客户。 严格地说，代理服务器充当了服务器和客户两种角色。它对于自己的客户来 说是服务器，但对于目标服务器来说则是客户。一种直接的说法是，把代理的监 听这一端称为监听者( 1 i s t e n e r ) ，而把代理的发起端称为发起者( i n i t i a t o r ) 。从而 只把客户和服务器的术语用于通信端点。要使得一条连接穿过代理，需要在各个 层次上对为了建立该连接所运行的软件加以认证或信任。 代理服务器通常运行在双宿主的堡垒主机或网关上，支持一种或多种i n t e m e t 协议堡垒主机( b a s t i o nh o s t ) 是具有访问i n t e r n e t 功能并且加固了安全的系统。双 宿主网关是具有两个网络接口的主机系统：一个接口用于受保护的内部网络，另 一个用于外部网络。这些主机禁止网络之间的直接通信，而且可以对经过它们的 通信执行日志和审计操作。为了不在两个直接相连的网络之间路由报文，还应该 禁止它们的i p 转发能力。双宿主网关完全封锁了外部和内部网络之间的i p 通信， 而是由网关上的代理服务器提供i n t e m e t 连接和服务。明确禁止i p 转发能力是有 必要的，这样可以避免产生无意的i p 报文转发操作【“1 1 6 1 i7 l 1 9 1 。 2 4 安全策略 o 湖北： 业火学硕士学位论文 安全策略规定了保护计算机上存储的信息所必须完成的工作。好的策略包含 了关于“要做什么”的足够信息，从而确定以及测量或者评估“如何去做”。 边界安全策略中的一对矛盾概念是指访问( a c c e s s ) 和控制( c o n t r 0 1 ) 。当你完 全理解了它们的含义之后，就很难再按照以前的方式来看待访问控制列表( a c l ) 。 网络的作用在于提供访问功能( 这属于可达性问题) ，同时提供服务、性能和易用 性；而控制所考虑的则是拒绝未授权的服务或访问、隔离、完整性和安全。一般 来说，存在着两种基本的边界策略模型： 1 ) 除了明确接受的，其他的都被拒绝。 2 ) 除了明确拒绝的，其他的都被接受。 这听起来似乎不错，但却只是个假象。实际上还存在着下面一条策略：除了 明确接受或者缺省许可的，其他的都被拒绝。 当然，我们在处理分段报文时可以做出许多决定： 1 ) 查询状态珍，判断它是否是某个现有连接的一部分。 2 ) 把分段缓存起来并重组数据报，然后进行访问控制决策。 3 ) 允许分段通过，但实施速率限制以便将危害降至最小。 4 ) 如果禁止外发的i c m pu n r e a c h a b l e 消息，则允许分段通过。 5 ) 丢弃分段并要求发送者重传。 防火墙是一个天生的策略实施引擎和大多数策略实施器一样，它总是不够 聪明。问题的原因有时是由于防火墙的局限性，但有时根本与防火墙无关。如果 没有足够的纵深防御，防火墙常常无法实施站点的策略。所以网络安全是一个系 统工程，每一步都起到不同的作用，必须把它们联系起来，协调工作才有很好的 效果。 湖北：业大学硕士学位论文 3 1 网络边缘 第3 章网关的发展和研究目的 随着企业网规模的日益扩大，网络结构的日趋复杂以及网络投资的逐渐增加， 企业的注意力逐渐从注重企业网的功能，对业务支持的能力上转移到如何提高网 络效率、降低企业网络风险的方向上来 2 0 1 。 随着黑客入侵与病毒发作事件在全球范围内的不断增加，不难理解为什么许 多企业将网络的安全性看作确保企业盈利能力的一项重要因素。m i c r o s o f t ，e b a y ， y a h o o 和a m a z o n c o m 等一些巨型公司便是因网络入侵事件而导致企业正常运转中 断的典型例子。类似于c o d er e d 、s i r c a r n 和n i m d a 等电子邮件病毒已经越来越成 为现在主流商务新闻了j 。网络边缘经历着变化，如图3 1 所示： 图3 1 网络边缘演化 现有的边缘设备之间的差别正在模糊，但还没有形成一个真正的边缘( 被大 家认同的) 平台。 3 1 1 网关的作用 随着计算机网络的普及和主机数目爆炸性的增长，传统的基于t c p i p 体系 结构的网络地址结构和地址分配策略已越来越不适应当前计算机网络的发展状 况。t c p i p 中地址结构( 1 p v 4 ) 由3 2 位字节组成，分成a 、b 、c 、d 、e 五类。 由于主机数目的增长，3 2 位字节地址结构已经濒i 临耗尽的边缘，阻碍了网络的发 展【l ”。另外，传统的地址分配策略是对每一个入网的主机分配一个全球唯一的i p 地址，然而其中的某些主机很少甚至根本不与英特网中的主机通信，同时某些企 业或组织在申请i p 地址时考虑到将来的发展，往往注册大量多余的i p 地址，造 成了i p 地址得不到充分利用。i n t e r n e t 地址分配委员会( i a n a ) 针对上述两种 情况，分别提出了长期和短期解决策略。一方面采用i p v 6 协议【1 ( 1 2 8 位地址 格式) 取代i p v 4 ，从根本上扩大i p 地址数目：另一方面采用私有网络地址和网 络地址转换n a t ( n e t w o r k a d d r e s s t r a n s l a t i o n ) 技术来解决i p 地址的匮乏问题【1 5 1 【1 6 】。 网关曾经是很容易理解的概念。在早期的因特网中，术语网关即指路由器。 路由器是网络中超越本地网络的标记，随着时间的推移，路由器不再神奇，公共 的基于i p 的广域网的出现和成熟促进了路由器的成长。现在路由功能也能由主机 和交换集线器来行使，网关不再是神秘的概念1 2 “。网关设备不在是只在第三层了， 现在从第一层到第七层都可以有网关设备出现。有些网关设备具体的实现可能即 包含了多个层次，但这只能说是这个具体的实现是同时包含了多种的网关的实现 的，是复合型的而已i ”j 。 大家都知道，从一个房间走到另一个房间，必然要经过一扇门。同样，从一 个网络向另一个网络发送信息，也必须经过一道”关口”，这道关口就是网关。换一 个专业的说法：网关实质上是一个网络通向其他网络的i p 地址。 在没有路由器的情况下，两个网络之间是不能进行t c p i p 通信的即使是两 个网络连接在同一台交换机( 或集线器) 上，t c p i p 协议也会根据子网掩码 ( 2 5 5 2 5 5 2 5 5 o ) 判定两个网络中的主机处在不同的网络里。而要实现这两个网络之 j 白j 的通信，则必须通过网关。只有设置好网关的i p 地址，t c p i p 协议才能实现不 同网络之间的相互通信。 3 1 2 网关的定义和功能 网关应具备三个基本功能，一个是接入需求，即下文中的n a t 地址转换功能， 它可满足多个私有地址的局域网主机访问互联网络的需求：一个是包过滤安全防护 需求，即防火墙功能：最后一个是内网管理功能，包括i p m a c 绑定，d h c p 功能 湖北：i 。：业大学硕士学位论文 等等【2 0 】刚。 网关可以设在服务器、微机或大型机上。由于网关具有强大的功能并且大多数时 候都和应用有关，它们比路由器的价格要贵一些。另外，由于网关的传输更复杂， 它们传输数据的速度要比网桥或路由器低一些。 3 1 3 当今网关的研究方向 目前，主要有三种网关： 协议网关；应用网关和安全网关 2 3 1 1 ) 协议刚关 协议网关通常在使用不同m 议的网络区域间做协议转换。这一转换过程可以 发生在o s i 参考模型的第2 层、第3 层或2 、3 层之间。但是有两种协议网关不 提供转换的功能：安全网关和管道。由于两个互连的网络区域的逻辑差异，安全 网关是两个技术上相似的网络区域问的必要中介。如私有广域网和公有的因特网。 这一特例在后续的“组合过滤网关”中讨论，此部分中集中于实行物理的协议转换 的咖议网关。 2 ) 应用网关 应用网关是在使用不同数据格式间翻译数据的系统。典型的应用网关接收一 种格式的输入，将之翻译，然后以新的格式发送，如下图。输入和输出接口可以 是分立的也可以使用司一网络连接。应用网关也可以用于将局域网客户机与外部 数据源相连，这种网关为本地主机提供了与远程交互式应用的连接。将应用的逻 辑和执行代码置于局域网中客户端避免了低带宽、高延迟的广域网的缺点，这就 使得客户端的响应时间更短。应用网关将请求发送给相应的计算机，获取数据， 如果需要就把数据格式转换成客户机所要求的格式。 3 ) 安全刚关 安全网关是各种技术有趣的融合，具有重要且独特的保护作用，其范围从协 议级过滤到十分复杂的应用级过滤。防火墙主要有三类：分组过滤：电路网关； 应用网关。注意：三种中只有一种是过滤器，其余都是网关。这三种机制通常 结合使用。过滤器是映射机制，可区分合法的和欺骗包。每种方法都有各自的能 力和限制，要根据安全的需要仔细评价。 另外，组合过滤网关是当今的一个重要研究方向。使用组合过滤方案的网关 通过冗余、重叠的过滤器提供相当坚固的访问控制，可以包括包、链路和应用级 的过滤机制。这样的安全网关最普通的实现是象岗哨一样保护私有网段边缘的出 湖北一l 业大学硕十学位论文 入点，通常称为边缘网关或防火墙。这一重要的责任通常需要多种过滤技术以提 供足够的防卫。它是由两个组件构成的安全网关：一个路由器和一个处理机。结 合在一起后，它们可以提供协议、链路和应用级保护。 这种专用的网关不象其它种类的网关一样，需要提供转换功能。作为网络边 缘的网关，它们的责任是控制出入的数据流。显然的，由这种网关联接的内网与 外网都使用i p 协议，因此不需要做协议转换，过滤是最重要的。 保护内网