（计算机系统结构专业论文）基于访控资源的防火墙研究.pdf

华中科技大学硕士学位论文 r 摘要 针对传统防火墙中访问规则被滥用而遭到拒绝服务攻击的缺陷，提出并设计了 基于访控资源的防火墙a r b f w 。 防火墙为网络提供访问控制的安全服务。访问控制的原理及其在防火墙中的实 现机制说明，访问控制的本质就在于控制和管理访问过程中所需的网络资源，即访 控资源。f 新的防火墙设计思想是：在访问控制判决中将访控资源的使用状况作为重 要判决依据。这些依据包括状态表超时时间、n a t 地址、访问流量、访问带宽等j 按照软件工程的方法设计了对访控资源及其分配策略具有管理能力的 a r b f w 系统。镲统的功能参考模型包括访问控制、访控资源管理、审计等主要部 分，管理接口模块则用于提供人机界面。各模块对访问规则表、资源策略表、访控 资源库、访问资源绑定表等数据进行操作，协同实现系统功能。寸 在l i n u x 操作系统环境下实现了a r b f w 系统原型，并解决了绑定表的组织与 查找、状态转换、超时时间、n a t 地址复用等关键技术问题。陔原型根据资源策略 和使用状况为访问分配所需资源，并根据访问进行情况更新资源的状况，实现了对 访控资源的有效管理。4 用排队论方法对a r b f w 系统原型中的资源策略进行了理论分析，建立了 m m r g n 排队模型，着重对模型中访问的阻塞概率进 置访控资源策略，能够有效降低访问规则被滥用而遭 供可接受的服务。簟 关键词：访问控制；防火墙；访控资源 行了研究，f 结果表明：合理配 到拒绝服务攻击的几率，并提 华中科技大学硕士学位论文 = = ! ! ! ! ! ! = 苎= = = ! = ! ! ! ! = 竺! = = = = = ! ! ! = ! ! ! ! = = = ! ! = 竺! = ! ! ! ! = 兰! ! ! ! = ! 竺! ! ! ! 詈= 竺! ! ! ! ! 葛! ! 竺! ! ! ! ! a b s t r a c t a r b f wf i r e w a l lb a s e do na c c e s sc o n t r o lr e s o u r c e si s p r o p o s e da n dd e s i g n e d a r b f wa i m sa tw e a k n e s so f d o si nt r a d i t i o n a lf i r e w a l l sr e s u l t i n gf r o ma b u s e dr u l e s f i r e w a l l sp r o v i d es e c u r i t ys e r v i c eo fa c c e s sc o n t r 0 1 p r i n c i p l ea n di m p l e m e n t a t i o n m e c h a n i s mo fa c c e s sc o n t r o li n d i c a t et h a tt h en a t u r eo fa c c e s sc o n t r 0 1i sc o n t r o la n d a s s i g n m e n to fn e t w o r kr e s o u r c e sd u r i n ga c c e s s t h e s er e s o u r c e sa r cd e f i n e da sa c c e s s ( o n t r o lr e s o u r c e s an e wi d e ao ff i r e w a l ld e s i g n i n gi st h a ta c c e s sc o n t r o ld e c i s i o ni s m a i n l yd e t e r m i n e db yt h es t a t u so f r e s o u r c e su s a g e t h e s er e s o u r c e si n c l u d et i m e o u to f s t a t et a b l e ，n a ta d d r e s s e s ，& c c e s $ f l u xa n db a n d w i d t he t c a r b f ws y s t e mt h a tc a nm a n a g ea c c e s sc o n t r o lr e s o u r c e sa n dt h e i ra s s i g n m e n t p o l i c i e si sd e s i g n e da c c o r d i n gt os o f t w a r ee n g i n e e r i n gm e t h o d o l o g y i t sf u n c t i o n a l i t y r e f e r e n c em o d e l c o m p r i s e so f a c c e s sc o n t r o l ，a c c e s sc o n t r o lr e s o u r c em a n a g e m e n t ，a n d a u d i t m a n a g e m e n ti n t e r f a c e i sa l s o p r o v i d e di n t h i ss y s t e mf o ra d m i n i s t r a t o r s a l l r a o d u l e sm a n i p u l a t ed a t as u c ha sa c c e s sr u l e s ，r e s o u r c e p o l i c i e s ，a c c e s sc o n t r o lr e s o u r c e s b a s ea n da c c e s sr e s o u r c eb i n d i n gt a b l e a n dt h u sc o o p e r a t ew i 血e a c ho t h e r ap r o t o t y p eo fa r b f wi s i m p l e m e n t e du n d e rl i n u x s o m ek e yp r o b l e m s a l e r e s o l v e d ，w h i c hi n c l u d et h eo r g a n i z a t i o na n dl o o k u po fa c c e s sr e s o u r c eb i n d i n gt a b l e ，t h e s t a t et r a n s l a t i o n ，t h et i m e o u t e x p i r a t i o n ，a n dm u l t i p l e x i n go f n a ta d d r e s s e s ，e t c t h ep r o t o t y p ei s a n a l y z e da sa nm m r g nq u e u em o d e lw i t hq u e u et h e o r y a c c e s s c o n g e s t i o np r o b a b i l i t yi sf o c u s e do na n dt h er e s u l ti n d i c a t e st h a ta r b - f wc a na v o i d d e n yo f s e r v i c ea t t a c kc a u s e db y r u l e s a b u s e s ，a n dc a na l s op r o v i d ea c c e p t a b l es e r v i c e s n o r m a l l y k e y w o r d s ：a c c e s sc o n t r o l ；f i r e w a l l ；a c c e s sc o n t r o lr e s o u r c e 华中科技大学硕士学位论文 l 绪言 i 1 网络安全与防火墙 人类历史上从来没有一种事物像计算机网络这样，在短短二三十年间就从只有 4 个主机节点的实验性网络a r p a n e t 迅速发展成为互联全球、包含遍布世界各地 的超过一亿多台计算机组成的i n t e m e t ，并彻底的改变了人们的交流方式。本来是冷 战的产物，最后却成为在地域上相隔万里的人们交流与合作的最好方式，这不得不 说是一个奇迹。推动这个奇迹实现的是t c p i p 协议族【1 1 ，它允许硬件结构及其上运 行的操作系统完全不同的计算机互相正确的通信，并且是一个真正的开放系统。 t c p 冲及其许多相关协议和程序是在许多年前设计与开发的，那时对因特网的 安全威胁相对于今天而言要小得多。因此，大部分协议和程序在编写时没有把安全 性放在一个重要的位置。相反，它们的设计基于用户与主机之间相互信任的假设， 是以功能和可移植性为目标的。这种设计思想帮助t c p i p 分布到不同的计算机平 台，使得这个协议族能够连接整个i n t e r n e t 2 , 3 1 。 彻底改变人类交流方式的i n t e m e t 使得信息共享应用日益广泛和深入，然而现 实环境与t c p d 的假设正好相反，网络社会与现实社会一样，所有的主机之间并 不能够相互信任，商业间谍、政府情报、个人恩怨等都会在网络中找到对应的行为， 对网络黑客英雄般的宣传更导致许多初涉网络的年轻人沉迷于网络攻击和破坏尝 试。t c p 礤并不能保证在网络中存储和传输的共享信息的安全【4 】，这使得网络安全 成为关注的焦点，1 9 9 4 年i n t e r n e t 体系结构理事会l a b 的一次讨论会就确认扩充与 安全是关系i n t e m e t 全局的两个重要问题。 网络中的信息表现为两个环节：存储与传输。因此本质上网络的安全是针对这 两个环节提供两方面的安全服务： 访问控制服务保护存储的信息不被非授权者访问： 通信安全服务保证传输的信息的完整性、保密性、不可否认性。 防火墙就是在这种背景下产生的一种提供访问控制服务的技术【5 “”。从建筑行 业中借鉴过来的名称防火墙很好的表明了这种技术的特点与作用：将“火情”( 外部 l 华中科技大学硕士学位论文 网络的不安全因素) 隔离在防火墙以外，保护内部网不受外部“火情”的影响。 a t & t 的两位工程师w i l l i a mc h e s w i c h 和s t e v e nb e l l o v i n 给出了防火墙的种 描述：防火墙是位于两个网络之间的一组构件或一个系统，具有以下属性： 双向流通信息必须经过它； 只有被预定的本地安全策略授权的信息流才被允许通过： 系统本身具有很强的抗攻击能力。 j 2 国内外防火墙发展概况 由于网络安全的需求迫切，防火墙技术发展很快。国内外都有一些著名的安全 厂商从事防火墙产品 1 2 。4 1 的生产，厂商之间的竞争也推动了防火墙技术的发展和防 ：k 墙产品功能的增强。 】2 1 国外产品 国外的防火墙产品很多，其中目前市场上最著名的产品有三种：c h e c k p o i n t 的 f i r e w a l l 一1 、n e t s c r e e n 的n e t s c r e e n 一1 0 0 1 0 0 0 、c i s c o 的p i x 5 2 0 。 1 2 1 1f i r e w a l l 1 c h e c k p o i n t 公司f 1 捌在网络防火墙市场上持续保持着领先的地位，其产品 f i r e w a l l 一1 走的是软件的路线，以软件包的形式发布，支持w 妯d o w sn t 2 0 0 0 、s u n s o l a r i s 、l i n u x 这些主流操作系统。 f i r e w a l l 一1 创新性的提出了状态检测技术，能够检测和分析o s i 网络通信模型 丁所有7 层协议的内容，动态更新状态和上下文数据，并为无连接的协议( 如r p c 和u d p 应用) 提供虚拟的会话信息，通过累积的通信及应用状态信息配合网络配置 和安全策略规则实现对数据通信的有效控制。 f i r e w a l l 一1 使用了c h e c k p o i n t 专利的o p s e c ( o p e n p l a t f o r mf o rs e c u r ee n t e r p r i s e c o n n e c t i v i t y ) 技术，能够有效的集成第三方的安全产品，为网络安全提供统一、全 面、灵活的管理平台。 f i r e w a l l 1 采用集中控制下的分布式客户机服务器结构，可以在网络中设置多 华中科技大学硕士学位论文 个f i r e w a l l l 的监控模块，由一个g u i 工作站负责管理监控。其g u i 管理界面采用 面向对象的图形化的安全策略定义方法，使得管理员可以轻松定义和实现复杂的安 全策略。 f i r e w a l l l 的不足是由于其不是运行在专有的平台上，其网络性能受运行平台的 影响比其它运行于专有平台的防火墙产品要略显弱一些。另外它在做n a t 的时候性 能会有所下降。 目前c h e c k p o i n t 已经推出了其新一代的防火墙产品f i r e w a l l 一1n g ( n e x t g e n e r a t i o n ) 。 1 2 1 2n e t s c r e e n 1 0 0 1 0 0 0 n e t s c r e e n 公司的n e t s c r e e n 一1 0 0 1 0 0 0 防火墙是比较高端的产品，与f i r e w a l l 1 不同的是，n e t s c r e e n 走的是硬件的路线，它使用专用的a s i c 硬件平台和专有操作 系统构造高性能的防火墙。 n e t s c r e e n 1 0 0 1 0 0 0 通过串口连接进行口地址的配置，配置正确后，通过普通 的w w w 浏览器就能够登录其管理界面进行进一步的配置和管理，管理十分方便。 n e t s c r e e n 一向是以高性能著称，其n e t s c r e e n - 1 0 0 0 型号就是率先支持千兆以太 网的防火墙产品。其运行n a t 时性能不会下降。 n e t s c r e e n 的不足在于其访问控制能力稍弱，除了u r l 过滤和f t p ，它没有其 它比简单包过滤更强大的访问控制功能。 1 2 1 3p i x 5 2 0 c i s c o 是著名的路由器生产厂商，凭借其路由器产品在网络设备领域的良好声 誉，它也推出了一款防火墙产品p i x 5 2 0 【1 “。 p i x 5 2 0 继承了c i s c o 产品一贯的优点：采用专有的操作系统提供非同寻常的性 能。其吞吐率能够高达1 5 0 m b p s ，并且在做n a t 的情况下性能也不会下降。其网络 接入也十分方便。 但p i x 5 2 0 的访问控制能力较弱，甚至不能对f t p 的命令进行控制。另外它的 配置管理界面也继承了其路由器产品，主要是通过控制1 2 的命令行管理，提供的 华中科技大学硕士学位论文 ! ! = = = ! ! ! = = ! = ! = ! = = = = ! ! ! = = ! ! ! ! ! = ! = = ! ! = ! = = = ! ! ! = ! ! = ! ! ! ! ! = ! ! w e b 界面管理功能也很弱，这对防火墙产品来说是很大的不足。 p i x 5 2 0 的日志和监视功能也比其它产品逊色。它能够占有相当的市场比率主要 是得益于其低廉的价格和c i s c o 公司的其它产品占有的市场。 1 2 2 国内产品 国内的防火墙产品起步并不算晚，目前市场的产品品种很多，竞争十分激烈， 也有一些比较优秀的产品如天融信公司的n g f w 3 0 0 0 、东大阿尔派的n e t e y e 3 0 等 等获得了比较广泛的用户群。 国内防火墙产品一般功能比较丰富，实现了现有的主流的防火墙功能，另外都 有各自的特色，例如：天融信的n g f w 3 0 0 0 除了提供访问控制服务外还能够集成 、，p n 模块提供通信安全服务，另外其提出的t o p s e c ( t a l e n to p c np r o t o c o lo f s e c u r i t y ) 专利技术能够将其防火墙产品与其它安全产品如i d s 、病毒检测等有机 i 内结合起来协同工作，提供完整的网络安全方案：东大阿尔派的n e t e y e 3 0 则提出 了基于状态包过滤的流过滤构架，并为管理员提供了较为强大的监测功能。 出于市场销售的考虑，国内的防火墙产品一般都是基于p c 架构的使用经过定 制的通用操作系统的所谓硬件防火墙，而并非像国外的硬件防火墙是采用专用的 a s i c 硬件平台并将软件运算硬件化来实现的。因此，国内防火墙与国外产品相比， 性能相对不如。国产防火墙的优势主要是中文化的管理界面和本地化的服务。 ：3 当前防火墙的主要技术 当前的防火墙产品中主要使用的访问控制和安全技术包括报文过滤、应用代理、 状态检测、n a t 等等1 7 - 2 2 。 报文过滤技术：是最简单的防火墙技术，工作在网络层，它通过对报文进行模 式匹配决定是否丢弃报文，原理简单，实现容易。但用于过滤的信息仅为报文头部 信息，对报文内容无法过滤。另外它将同一个连接中的每个报文作为单独的控制单 ：乇而不是作为一个有机的整体，缺乏前后信息的关联。 应用代理技术：是安全级别最高、控制粒度最细的技术，工作在网络协议的最 高层应用层，接收客户机的访问请求并代理客户机向服务器发起访问，对访问的内 4 华中科技大学硕士学位论文 容进行检查和过滤。它的缺点必须针对特定的应用编写代理程序，另外效率也比报 文过滤要低。 状态检测技术：吸收了应用代理中内容过滤的思想，在报文过滤的基础上扩展 的一种新的过滤技术。它在网络层将报文的上层封装打开，从而实现网络层的内容 过滤。它将连接作为有机整体看待，在连接建立时为其建立并维护状态表。它能检 查应用层命令，对使用动态端h 的协议能够较好的支持。状态检测是结合了报文过 滤和应用代理二者优点的比较平衡的技术，具有较高的效率和安全性，控制力度也 较细。但也必须对特定的动态端口协议专门进行处理。 n a t 技术：它主要不是一种访问控制技术，而是访问控制的辅助技术。它对报 文的地址进行转换，用以解决全局网络地址不足的问题，并能够隐藏内部网络的结 构信息。 5 华中科技大学硕士学位论文 = = ! = = ! ! ! = ! ! 竺! = = 皇竺= 竺! = ! 竺! = ! 竺! ! ! ! = 竺= ! 竺! = ! = ! = 兰! ! ! 竺= ! 詈! ! 竺皇= = 皇= = 竺= = ! 毫! 竺= = ! = = = ! = = 2 防火墙及其访控资源 2 1 研究的基础 网络是指由计算机及其它一些设备组成的通信系统，计算机和其它的网络设备 通过网络进行数据交换。网络设备在网络的物理线路上通过一些称为网络协议的软 件进行通信和数据交换。 目前使用得最为广泛的网络协议族是t c p p 协议族，该协议族通常被认为分 为如图2 1 所示的四层：链路层、网络层、运输层和应用层。其中网络层和运输层 通常又被称为碑层和t c p 层。本文下面的论述都基于t c p ，球协议族。 图2 1t c p i p 协议族的层次及各层的主要协议 路由器、网关和交换机是连接两个或两个以上网络，并在网络之间转发信息的 网络设备。 通信流是指网络中信息的传输。所有可能的通信流的集合标记为t 。通信流的 实例称为传输单元，是由( c t r l ，d a t a ) = t t 这样的二元组组成的，其中的c t r l ( 控 制信息) 和d a t a ( 数据) 任意一个都可以为空，但不能同时为空。传输单元所包含 的信息量由其所在的网络协议层决定：在以太网中，链路层的传输单元为以太帧 ( f r a m e ) ；口层的传输单元是p 数据报( pd a t a g r a m ) ：而t c p 层的传输单元则为 一一 6 华中科技大学硕士学位论文 t c p 段( t c p s e g m e n t ) 。 t 的属性t c t r l 可以包括下面这些信息：源地址( t c t r l s r c ) 、目的地址( t c t r l d e s t ) 、 可靠性信息( t c t r l r e l i a b ) 、流量控制信息( t c t r l f l o w ) 、访问请求信息( t c t r l a c c ) 以及服务质量参数( t c t r l q o s ) 等。而属性t , d a t a 则包含特定应用的有效载荷，或是 由高层协议来提取的传输单元本身。 传输单元不需要包含t 的所有域。比如在某些控制消息中，t d a t a 就是完全不需 要的；而另外一些信息可以通过已经建立起来的状态来体现，例如在一个已经存在 的连接中，t c t r l q o s 就是不需要的。 安全策略是指给定系统的安全需求的定义。安全策略可以定义为一系列标准、 规则或是惯例的集合。定义网络区域安全策略p 为安全策略的一个子集，包括：地 址真实性需求，通信流t ( t t ) 的完整性需求，访问请求r e q ( t c t r l s r c ，t c t r l d s t ， t c t r l a c e ) ( 任给t t ) 的授权需求以及审计需求。 网络策略区域d 是指受网络区域安全策略p 支配的互连起来的网络、网关以及 提供服务的主机的集合。 防火墙技术是一系列机制的集合，这些机制能够在通信流t 进入或离开一个网 络策略区域d 时对t 强制执行d 的网络区域安全策略p 。防火墙( 系统) 是防火墙 技术的实例化。 在这篇论文中，我们将要研究的是p 防火墙。在此前提下，我们进一步给出以 下的概念： 报文( p a c k e t ) 即邛数据报t 口，t m t 疋。注意本文中的报文虽然使用的是 p a c k e t ，但并不是指一般网络概念中的分组报文( i p 数据报或是p 数据报的分片) ， 而只是指的完整的p 数据报，如果存在d 数据报被分片的情况，我们研究的对象 也只是这些分片被重组以后的完整的口数据报，即不考虑分片重组的情况。 访问( a c c e s s ) 访问是指网络中的主机( 访问主体) 获取网络中的其它主 机( 访问客体) 所提供的服务的过程。访问一般表现为访问主体与访问客体之间通 过网络交互传输的一系列具有相同属性的报文组成，如图2 2 所示。 华中科技大学硕士学位论文 ! = = = = ! ! ! = = = = ! ! = = = 苎! = = = 苎! ! = = ! ! ! ! 苎! ! ! ! ! = ! ! ! ! ! ! ! ! ! ! = ! r 咖址型亟堕- ! l 羔蜘班捌d 蛆d 一一1 r 逝h u 趔迪殴- j 主体 客体 h i l f h 2 1 一曼蛳鞋捌唧删一一一1 厂。蛳耻趔巡堕- i j f 图2 - 2 访问中的报文交互 防火墙作为一系列安全机制，主要为用户提供访问控制( a c c e s sc o n t r 0 1 ) 的安 全服务。但防火墙并不是对所有的访问都能够进行控制的。在图2 3 中，只有a ，一 i 1 ，2 ，3 ，4 往l 样的访问，即穿过网络策略区域d 的边界的访问，能够进行 访问控制：而当i ( 5 ，6 ) 时，即在访问不穿过网络策略区域d 的边界的情况下， 是不能进行访问控制的。 图2 3 访问控制的作用范围 华中科技大学硕士学位论文 2 2 防火墙与访问控制 2 2 1 访问控制原理 访问控制就是要对访问的申请、批准、执行、撤销全过程进行控制，访问控制 决定一个用户或程序是否有权对某一特定资源或协同内容执行一个特定的操作( 如 共享、修改、签字等) 以确保只有合法用户的合法访问才能批准，且被批准的访问 只能执行授权的操作。 访问控制的目标是防止对网络服务作非授权的访问和防止非授权对计算机网的 各种操作的使用。 图2 4 给出了访问控制的原理示意：访问主体将访问请求递交给访问控制功能 a c f ( a c c e s s c o n t r o l f u n c t i o n ) ，由a c f 中的访问控制判决功能a d f ( a c c e s sc o n t r o l d e c i s i o nf u n c t i o n ) 对访问请求进行判决，a d f 将判决结果返回给a c f 中的访问控 制执行功能a e f ( a c c e s sc o n t r o le n f o r c e m e n tf u n c t i o n ) ，由a e f 根据判决结果执行 相应的动作( 如拒绝访问、将访问请求转发给访问客体) 。 + | a e r 卜_ 馨娄i a c r 判决 | a d ， l 图2 4 访问控制功能的组成 a e f 将确保访问主体对客体的访问仅限于经过a d f 判决后允许进行的那一部 分。为了能够正确的进行判决，a d f 需要获得相应的访问控制判定信息a d i ( a c c e s s c o n t r o ld e c i s i o ni n f o r m a t i o n ) ，包括： 访问主体a d i ： 访问客体a d i ： 访问请求的a d i ； 9 华中科技大学硕士学位论文 访问控制策略规则： 上下文关联信息； a e f 的判决请求。 如图2 5 所示，a d f 接收上述的全部输入或是其中的部分，依据这些a d i 可能 还包括以前判决保留的a d i ，将个判决结果返回给a e f ，判决结果表明允许或者 拒绝主体对客体的访问请求。a e f 则根据判决执行相应的动作：判决允许时，a e f 将访问请求提交给访问客体( 可能会根据访问控制规则策略对报文做一定的处理) ， 使访问能够进行：判决拒绝时，丢弃该访问请求，从而使得访问无法进行。而访问 控制策略规则a f r ( a c c e s sc o n t r o lp o l i c yr u l e s ) 则是至关重要的，它决定a d f 如 何根据接收到的各种a d i 信息做出访问控制的判决。访问控制策略规则a p r 就是 一个网络策略区域d 上的网络区域安全策略p d 的具体实例。 访问 图2 5 访问判决功能的原理 联信息 互2 2 访问控制在防火墙上的实现分析 要注意的是，在上面介绍的访问控制原理中，访问主体的访问请求并不是直接 发给客体，而是要发给访问控制功能a c f ，由a c f 判决并执行，才能实现访问控 制，不经过a c f ，就不能实现访问控制。但用户在使用网络时并不会主动的将访问 i # 求提交给a c f ，相反用户只会去访问其想访问的站点。因此，要实现访问控制， 必须采取措施强制用户的访问能够被提交到a c f ，即使用户并不想这样做。 一一 1 0 华中科技大学硕士学位论文 2 1 节中的图2 3 正说明这种情况：提供访问控制功能的防火墙只能对a i b 。，i l ，2 ，3 ，4 ) 这样的访问进行访问控制，而对i 5 ，6 ) 的访问不能进行访问控制 的，正是因为在i l ，2 ，3 ，4 ) 时，可以通过将防火墙设置在网络策略区域d 的 边界上从而保证用户通过边界的访问被强制提交到防火墙进行访问控制，而i _ 5 ( 即 主体和客体都在网络策略区域d 外，访问不经过d 的边界) 和i = 6 ( 即主体和客体 都在网络策略区域d 内，访问不经过d 的边界) 时，无法强制访问请求被提交到防 火墙，防火墙不能对其进行访问控制。 任何一种防火墙定义或者任何一个防火墙产品的使用手册中都会着重强调：要 求双向传送的信息都必须通过防火墙，或者防火墙必须安装在内部网络与外部网络 连接的关键点上，或者唯一通路，或者单一连接点等等。之所以会有这样的要求， 就是为了将访问强制提交给防火墙以实现访问控制。 由此我们得到防火墙进行访问控制的第一个条件：一个网络策略区域d 的防火 墙必须占据该区域与其它网络的单一连接点。 在访问被强制提交给a c f ，a c f 要由其访问判决功能a d f 对根据访问控制策 略规则a p r 做出判决后对访问执行相应的动作，a p r 的制定则是根据网络策略区 域d 的安全策略p 。防火墙也是如此，管理员必须根据防火墙所要保护的网络的安 全策略预先定义一组规则，允许或者禁止某些特定的访问，对符合某一特定规则( 包 括默认的规则) 的访问，防火墙执行规则指定的动作，从而实现符合该网络安全策 略的访问控制。 于是我们就得到了防火墙进行访问控制的第二个条件：防火墙上必须根据该网 络策略区域的安全策略p 预先定义一组访问规则，为通过防火墙的访问进行授权。 可以看出，防火墙实现访问控制的两个条件正是a t & t 的两位工程师所指出的 防火墙的属性中前两项。 2 2 3 访控资源 结合上面对防火墙及访问控制的分析，以及对其他防火墙产品的研究，我们给 出防火墙的一般工作机制的描述： 1 在一个网络策略区域d 与其它网络区域的单一连接点处设置防火墙： 华中科技大学硕士学位论文 = = ! ! ! ! = ! ! ! ! ! = = ! 竺苎! ! ! ! ! ! ! 竺! ! ! = = = = = 竺竺! 竺! ! ! = ! ! ! ! ! = = = = 竺= = 竺! = 竺= = ! = = = = ! ! 1 2 在防火墙上根据d 的安全策略p 设置访问规则： 3 跨区域的访问发生时，报文将被强制发送到唯一通道防火墙上： 4 防火墙接收报文，为其分配存储器空间缓存起来： 5 对缓存的报文进行规则匹配，匹配到某条特定的规则时： 如果该规则允许该访问通过防火墙，将缓存的报文进行适当的处理后 转发： 如果该规则禁止该访问通过防火墙，将缓存的报文丢弃： 6 没有可以匹配的规则时，按照缺省策略处理。 前面在介绍访问的定义时已经指出，访问的表现形式为一组报文，因此访问控 制也就表现为如上所述的对报文的处理。 从上述防火墙的一般工作机制中我们可以看出：如果将网络策略区域d 与其 它网络区域的通信能力和防火墙的处理能力都视为一种资源，那么防火墙首先是占 ：卣了资源( 网络策略区域d 与其它网络区域的通信能力) ，其次是为访问分配了资 源( 防火墙自身的处理能力) ，从而对访问实行控制。因此，我们认为：资源控制是 防火墙访问控制的根本，资源的管理和分配问题是一个防火墙必须要解决的问题。 a 没有防火培的情况 b 有防火墙的情况 图2 6 防火墙占有辅助资源并为访问分配 一 华中科技大学硕士学位论文 对于计算机网络来说，资源是指能够提供服务的一切事物。主体访问客体就是 一个获取客体资源的过程。而访问主体获取客体资源的这个过程是需要获取一些其 它的辅助资源才能进行的，例如网络带宽、路由器的中转等等。 图2 6 描述了防火墙在这个过程中扮演的角色：截断主体对客体资源的访问， 由防火墙根据安全策略为访问提供适当的辅助资源。因此防火墙进行访问控制的过 程又可以看作是对辅助资源的管理和分配的过程。 我们定义：网络策略区域d 与其它网络区域间的访问时必须要使用到的，由保 护d 的防火墙管理和分配以进行访问控制的网络资源为访控资源a r ( a c c e s sc o n t r o l r e s o u r c e s ) 。 2 _ 3 基于访控资源的防火墙设计新思想 2 3 1 传统防火墙的缺陷 由前文的分析我们可以看出，任何种防火墙的本质都是要对访控资源进行管 理的，但传统的访问控制原理中访问判决功能a d f 并未将访控资源a r 作为一种判 决依据，依据这样的访问控制原理设计的传统防火墙同样并未将访控资源作为设计 的重点。传统防火墙进行访问判决的主要依据是访问控制策略规则a p r ，而a p r 一般是根据该网络策略区域d 的安全策略p 指定什么样的访问应该禁止，什么样的 访问允许通过。凡是访问控制策略规则a p r 允许的访问，防火墙就会为其分配相应 的访控资源。 应该认识到，访控资源是有限的，旦某一种访控资源被分配完，又不能及时 释放，那么新到的访问将会由于分配不到访控资源而无法进行，即使a d f 根据a p r 做出的判决是允许该访问。 传统防火墙的缺陷就在于：如果在防火墙所保护的网络策略区域d 内存在一个 恶意用户m ，发起大量的访问，这些访问单独看起来没有任何问题，完全符合该防 火墙的访问控制策略规则a p r ，因此这些访问都会被允许通过防火墙，防火墙都为 其分配相应的访控资源。当m 发起的访问足够多时，就能够大量的抢占防火墙的资 源，其它的用户的访问就会受到影响甚至无法进行。这就是典型的拒绝服务d o s 攻 华中科技大学硕士学位论文 = ! = ! ! ! ! ! 竺竺= ：= = ! ! ! ! ! = = ! 詈! 竺竺= ! ! ! ! ! 竺= ! ! 竺! ! ! ! 竺! = = 竺竺! ! 竺竺= ! 竺= = 詈! ! = 竺= ! ! ! ! ! = ! 击，防火墙的访问规则能够被恶意用户滥用来实施对防火墙的拒绝服务攻击。 2 3 2a r b f w 的提出 基于前面的分析，我们提出一种新的防火墙设计思想 2 3 】：基于访控资源的防火 墙a r b f w ( a r b a s e df i r e w a l l ) 。a r b f w 的访问控制原理如图2 7 所示： 访问 啪b l 一。 图2 7 增加访问控制资源的访问控制 联信息 与一般的访问控制原理相似，a r b f w 的访问控制也包括访问执行功能a e f 、 访问判决功能a d f ，由a e f 接收访问请求并提交a d f 进行判决。不同的是：a d f 进行的判决不仅仅是依据访问控制策略规则a p r ，a d f 还要向访控资源库a r d b 提交访控资源请求，返回的访控资源状况也是a d f 进行判决的另一个重要依据； a d f 不仅将判决结果返回给a e f ，还要将从a r d b 申请到的访控资源也提交给 a e f ，a e f 在执行判决动作时如果是允许的访问，还要将获得的访控资源与访问绑 定起来。 管理员配羲资源的分配策略，用户发起的访问不仅要匹配访问控制策略规则， 一一 1 4 华中科技大学硕士学位论文 还要执行资源的分配策略，当资源策略不允许访问时，即使访问规则允许，访问也 无法通过防火墙进行。这样，当恶意用户m 发起大量的访问时，它消耗的访控资源 在一个限定的范围内，不可能占用防火墙上所有的访控资源，无法对防火墙实施拒 绝服务攻击，防火墙仍然能够为其他用户提供服务。这样就有效的解决了传统防火 墙因为不具有访控资源管理能力而导致的规则被滥用而遭到拒绝服务攻击的缺陷。 2 4 访控资源的分类 对访控资源准确合理的分类有助于在具体实现时针对不同性质的访控资源做出 适当的处理。 从所有者的角度来分，可以将访控资源分为：网络策略区域所有的资源和防火 墙自身所有的资源两类。网络策略区域所有的资源是指联网时分配给整个网络策略 区域的访控资源，一般是在网络建设时从网络服务的提供者处获得，比如全局d 地 址、网络流量等，这些资源被配置和使用在防火墙上，从而实现防火墙对该资源的 占有和控制。防火墙自身所有的资源则是指为防火墙提供处理能力的设各资源，包 括处理器、内存空间、运行时间等等。 从访问过程中的使用状况的角度，可以将访控资源分为：静态资源和动态资源 两类。静态资源是指在访问发起时防火墙为访问分配的，由访问固定使用，不随访 问的进行而变化的资源。动态资源是指在访问发起时由防火墙为访问分配，并且随 着访问的进行和对资源的消耗，访问对该资源的拥有情况会发生变化的资源。 2 5 几类典型的访控资源 在进一步进行研究和设计之前，有必要了解一下当前的防火墙技术中涉及到的 主要的访控资源。 2 5 1 状态表超时时间 在第一章中我们介绍过状态检测的报文过滤技术，这是目前在网络层比较先进 的一种访问控制技术。在状态检测技术中，防火墙会在系统中维护一张访问状态表， 在每一个被授权允许通过防火墙的访问发起时为其建立相应的访问状态项，该访问 的后续报文到达防火墙时首先检查是否有相应的访问状态项，如果有就会直接允许 华中科技大学硕士学位论文 该报文通过防火墙，并相应的修改访问状态项中的状态。 图28 状态检测原理 图2 8 说明了状态检测的基本的逻辑原理。需要注意到如果p 在状态表中，除 了允许p 以外，还要根据p 的类型更新访问的状态。由于不同的状态之间的转换是 柯一定的超时时间的，超时时间达到还没有新的报文来触发转入下一个状态，状态 ：涛换就会终止，状态会丢失，状态表也应相应被删除，访问的下一个报文到来就会 发现通信无法进行了。因此状态表的超时时间反映了访问在没有报文的情况下占用 坊火墙资源( 状态表空间) 的情况，状态表超时时间越长，访问占有状态表而不传 送报文的时间就越长，也就是说，访问占用的防火墙资源就越多。因此状态表超时 时间是在使用了状态检测技术的防火墙中的一种重要访控资源 状态表超时时间属于防火墙自身所有的资源，是一种动态资源。 2 5 2 n a t 地址 目前的i n t e m e t 使用的球协议称作口狲议第4 版( i p v 4 ) ，是2 0 年前的产物， 兵使用的p 地址是3 2 位的，理论上可以提供1 6 0 0 万个以上的网络地址和4 0 亿个 以上的主机地址。然而一方面由于a 、b 、c 类这样的网络地址划分导致将一个很 大的地址范围分给一个实际用不到这么多地址的单位造成的地址浪费( 虽然子网掩 码改善了这一问题，但并没有解决根本，浪费的现象仍然存在) ，另一方面p v 4 的 发计者们也没有想到i n t e m e t 会在后来爆炸性的迅速发展，出现了m 地址不够用的 情况。r f c l 9 1 8 提出了私有网络地址：地址范围从1 0 0 0 0 到1 0 2 5 5 2 5 5 2 5 5 、 i 全 一否一 ， 一薹霉一 雾 p 翌 一 华中科技大学硕士学位论文 1 7 2 1 6 0 0 到1 7 2 3 1 2 5 5 2 5 5 、1 9 2 1 6 8 0 0 到1 9 2 1 6 8 2 5 5 2 5 5 的这些地址可以用在私 有网络中进行通信，在i n t e m e t 上则是无效的，从而可以被多个私有网络复用，提 高了口地址的利用率。然而人们建立网络的目的最终还是要访问i n t e r n e t ，并不会 满足于只在自己的私有网络内部通信，就需要提供一些机制使得私有地址也能与 i n t e r n e t 进行通信。其中一种主要的方法就是网络地址转换n a t ( n e t w o r ka d d r e s s t r a n s l a t i o n ) 。 n a t 用于从一个网络策略区域d 通过该区域的防火墙访问d 外的其它网络。 当一个报文被提交给防火墙时，防火墙将报文的源口地址替换为预先分配的用于作 n a t 的全局网络地址，再将报文转发给访问的客体，客体返回给这个n a t 地址的 报文再由防火墙将目的地址转换为访问主体的原始地址返回给访问主体，从而实现 使用私有网络地址的访问主体与使用全局网络地址的访问客体之间的通信。 n a t 的主要目的和用途是隐藏内部网络结构和解决全局地址匮乏的问题。n a t 是通过共享全局地址的方法来解决地址匮乏问题的，显而易见n a t 地址也是防火墙 上的一种重要的访控资源。 原始的n a t 技术仅仅提供口地址的转换，每一个访问建立都会占用一个n a t 地址，在这个访问完成并释放该n a r 地址之前，别的访问无法再使用这个n a t 地 址进行转换。因此给防火墙分配了多少个n a t 地址，就只能通过防火墙同时进行多 少个地址转换的访问。这仍然是对全局网络地址的浪费。因此在此基础上，考虑到 t c p ( u d p ) 访问的目的端口标识所要求的服务，而源端口一般并没有具体的含义， 只是用于唯一的标识一个访问连接，因此并不需要在做地址转换的时候保证转换后 的源端口与转换前相同。由此提出了新的称为网络地址端口转换n a p t ( n e t w o r k a d d r e s sp o r tt r a n s l a t i o n ) 的增强的n a t 技术，通过改变报文的源端口，使得一个 n a t 地址可以为多个访问同时使用。实现n a p t 要求系统维护一张转换表，以便将 每个访问与转换后的地址及端口对应起来。图2 9 表示了这样的转换是怎样进行、 的。 对于防火墙这样的网络安全系统，n a t 还有另外一个作用：对外隐藏所保护的 网络策略区域d 的内部结构和信息。由于d 内发起的访问的源地址在通过防火墙时 都被转换为防火墙上配置的n a t 地址，d 外的主机无法看到访问的真实源