（计算机软件与理论专业论文）防火墙技术及其应用研究.pdf

摘要 f 随着i n t e r n e t 的飞速发展，计算机网络资源共享地进一步加 强，随之而来的网络安全问题难变得闩益突出。防火墙技术正在 保护网络安全方面起到十分重要的作用，是保障在被保护网络和 外部网络之问的进行安全信息传输的一种有效手段。卜一一 本文首先介绍了网络t j 存在的一些常见的安全问题，以 及通常为解决这些问题所采h _ 的州络安全策略。然后介绍了关于 防火墙的概念、通常构件陵丛! 童组成以及些防火墙体系。主 要讨论了目前广泛采用的两种防火墙技术，以及采用这两种技术 实现防火墙时各自出现的问题和梢应的解决方法。最后，详细说 明了一个包过滤防火墙的实现过程。 本文的主要工作如下： 综合其它防火墙实现的特点，提出了一种新的包过滤防火墙 实现。详细地描述了对外部过滤器和内部过滤器的实现算法，以 及涉及的数掘结构，并举例晚j ! | 所实现的防火墙的一个应用实例。 最后对所做的l ：作做了总结耳蚓坝。 a b s t r a c t a tp r e s e n t ，i n t e r n e ti sd e v e l o p i n ga tv e r yf a s ts p e e d ，a n d t h es h a r eo fr e t w o r kr e s o u r c eb e c o m e sm o r ea n dl n o f e i m p o r t a n t c o r r e s p o n s i v e l y ， n e t w o r ks e c u f it y p r o b l e m i s i n c r e a s i n g l y o u t s t a n d i n g f i r e w a l 1 t e c h n i q u ep l a y s a n i m p o r t a n t r o l ei n e n s u r i n g s e c u r ec o m m u n i c a t i o nb e t w e e n p r o t e c t e d n e t w o r ka n d e x t e r n a lw o r ld t h i sp a p e rf i r s t l yi n t r o d u c e ss o m ec o m m o nn e t w o r ks e c u r i t y p r o b l e ma n ds e c u r it ys t r a t e g yu s e df o rr e s 0 1 v i n gt h e s ep r o b e l l i s s e c o n d l y ，t h ec o n c e p t a n dc o m p o n e n t sa n ds y s t e ms t r u c t u r ea r e r e s p e c t i v e l ye x p l a i n e d f r o md i f f e r e n t a n g l e s t w o o f m a i n t e e h n i q u e s a b r o a d a d o p t e d ： f il t e r i n g t e c h n i q u e a n d p r o x y t e c h n i q u e isd i s c u s s e d a n da r is e n p r o b l e ma n d r e l e v a n t r e s o v e n ti sd e p i c t e dw h i l ea d o p t i n gc o r r e s p o n d o n tt e c h n i q u et o r o m p l e t ef i r e w a 1 1 7 in a l l y ar o m p l e l i o no ff i l t e rf i r e w a l li s s p e c i f i e d t h em a i nw o r ko fl h jsp a p e risa sf o l l o w ： an e wf i l t e rf i r e w a lli s p u tf o r w a r di n t e g r a t i n gw i t ht h e c h a r a c t e r i s t i co fo t h e rf i r e w a l l c o m p l e t i o n a l g o r i t h m s a n d r e l e v a n td a t as t r u c t u r eo fi i s i d ef i l t e ra n do l i t s i d ef i l t e fi s d e s c r jb e da td e t a i l a ne x a m p l ei sg i y e nt oi 1 1 u m i n a t eh o wt ou s e i t a tl a s t t h es u n u n a r ya n dt h er e v i e wf o rt h i sw o r ka r em a d e 、 第一章网络安全 当今，独立分散的网络正逐步向全球网络_ 互连过渡，关于网络的人量名词已 经充斥了人们的生活，人们通过网络互连共享信息、资源，进行有效通讯，获取 服务等。但随着网络带给人们巨人的方便 i | 叟r 处的同时，人竹j 也看到网络被攻击 的事件越米越多，从政府机构剑金融机构到公司网络，种类繁多、各式各样的网 络攻击止不断发生，其给国家、集体或个人带来或多或少的损失，互联网上的网 络应川安全问题正变得日益突出年l i 重要。 那么，网络安全问题是如何产生的呢? 概括起米，包括协议帚i 服务的安全问 题、主机的安全问题( 指主机系统管理的火误和主机服务程序的漏洞造成的安全 性问题) 、计算机病毒、物理不安全闪索( 例如，入侵者能在物理上访问一台主机， 那么他就可以关f ：| 系统电源，使系统返川特权状态；戏替换原有硬盘，安装特洛 伊木马；或进行任何队员系统有害的行为) 、管理的不安全因素( 指对人的管理) 等。这当中，协议利服务的不安全吲素是最为突出的冈为它不易防范，是网络 攻击者最常利州的因素。所以在此仅就肌议年服务的安全问题做深入的探讨。 不考虑t c w i p 曲- 议利服务由1 i 实现所引起的安全2 i ；洞，仅就t c p i p 协议本 身而青，也存在一些安全问题。这土婴源 。三方面的原因：一是协泌数据流采州 明文传输，使数据易被监听年l i 篡改；二烂土机间的信任依赖丁l p 地址：三是网鲳 控制和某些赂由协议只有很弱的或根本没有认证。f 面具体讨论这些缺陷及其相 关的攻击方法。 源地址假冒( s o u r c ea d d r e s ss p o o f i n g ) 攻击者通过改变主机的i p 地址等方法，将其发送包的源】p 地址设为他想要 的( 包括目标机的信任主机) ，以利川主机间的信任关系进行攻击。 路由攻击 这类攻击方法人都通过改变某主机或路由器的路由表，破坏j e 常的路由寻释， 以进行否认服务( d e n i a lo f s e r v i c e ) 攻击。 序号假冒( s e q u e n c en u m b e rs p o o f i n g ) 它也是一种i p 假冒技术，它是在没有受到目标机的任何同庶的情况下，通过 预测其初始序号，构造t c p 报文，f 使“杯机与信任主机间不可逃以假冒其信 4 任主机。 劫夺( h u a c k ) 它被称为非盲日假冒( n o n b l i n ds p o o f i n g ) ，这是因为使_ l f = | 该攻击方法，有一 个前提条件，即攻i h 者必须能俘获迎接双方传输的数据包，并得到它们的序号和 确认号。由于t c p 依赖丁i 报文的序号和确认号。i 到此，假殴客户机t 和服务器s 已经建立好连接，如果攻击机x 能找剑某种方法使t 与s 火步，那么s 将停i t 信 任t 的报文，同时t 也拒绝接收s 的报文，而攻击机x 因为知道般方正确的序号 雨i 确认号，从而它便能接管该连接，从而达到攻击的目的。 总之，攻击的方法是多种多样的，实际上也没有一个完全安全的系统，但我 1 j 总可以开发平利州一些安全策略及产晶米减少攻击，从而提高系统的防御的可 能性，减少攻击者成功的儿率。 1 1 侵袭类型 网络中的侵袭有多利，类刑，它们订多种分类方法。这里，把侵袭分成3 种基 水类删： 入侵 拒绝服务 蒲窃信息 入侵 最普通的侵袭是入侵。通过入侵能够不经授权地像台法川户样使用你的计 算机。侵袋者有数r 利s 获得访问的方法，从公关侵裴( 如果卉清公司里某个上级 的名字，就可以冒j l i j 其名ij , f n q 系统管理者，并且告诉他现在就需要变更口令，这 样就能完成一些重要的 ：作) 、简单猜测( 尝试账户和口令组合直到获取一个正确 的组合为i t ) ，到1 二需要知道账户与口令就进入系统等等。 拒绝服务 拒绝服务旨在彻底地阻i ：你使 l 自己的计算机的一利t 侵袭。 信息轰炸是实现拒绝服务侵袋的最简单羊| i 最瞥通的方法，也能通过其它方法 禁i t 服务，如将信息重定路由，或者替换它们等等。 封口1 不可能避免所有的拒绝服务侵袭。例如，在定数量的登录企图火败之 厉，n ：多站点将账户设置为不能使州状态，这可以防i r 侵裴者以简单尝试口令的 方法找到止确的口令；但这也给侵袋者提供了一个实现拒绝服务侵袭的简单方法： 他们简单地随便登录儿次就可以锁仕任t j t j 户的账户。 拒绝服务侵袭微常见，也很难避免。只要你接收米自外部的事务一电子邮件、 u 话呼叫或数据包就有可能遭受信息轰炸。 盗窃信息 某些类型的侵袭使侵裴者无需直拨利_ i 你的计算机就可以获取数据信息。通 常这种侵袭利州发放信息的因特网服务米实现，侵袭者可以使该服务提供更多的 额外信息，或者使该服务将信息发送给不该得剑的人。许多因特网服务被设计h ；i 于局域网。并且缺少必要的安全措施。 信息盗窃不一定是主动的，它也不需要特别的技术。如果某人想要查明你的 信息，它可以简单地呼叫你并向你提n i j ，这是一种主动的信息盗窃：而如果它窃 听了你的电睛这就是一种被动的信息盗窃。同样地，因特网上的侵袭者能够通过 主动查询信息或被动地窃听网络米获取他们想要的数据。 馏窃信息的人多数人都试幽得剑访问你的计算机的i ：可一川户名和口令。对 他们米说，窃听网络是最窬易得剑信息的这是网络上最简单的信息盗窃方式。 在许多网络开始初始化时，户名年口令信息以如人所料的方式出现，并且这种 信息可能以同样的形式被反复使j h 。 有多种舫备信息盗窃的措施。适当配置防火墒将使你可以防备那些得寸进尺 的攻i i 者。但旦决定通过吲特网发布信息，琊么只通过错误认证( 防i r 给非法 川户授权) 戏者防l r 嗅探( 有人只是通过l l 确授枞的通道渎取信息) 米防备那种 非戡意的侵袋者将是作常幽难的。 1 2 网络安全策略 住讨论舫火墙的绷带之前，有必要首先讨论些有关构筑饬火墒和加强网络 安全措施所使州的基本策略。 最小特权 或许最根本的安全原则就是最小特枞原则。最小特权原则意味着任何对象( _ l l j 户、管理员、样序、系统等等) 仅麻l 有陔对象需要完成指定任务的特权，它能 尽量避免你遭受侵袭，并减少侵裴造成的损火。在因特网中最小特权的例子很多。 f r o t h ，不是每个川户都需要得到每一项因特网服务，不是每个川户都需要修改系 统上的每一个文件，也不是每个j j 户都需要知道机器的r o o tf i 令；同样，不是每 个系统管理员都需要知道所有系统的r o o t 口令，也不是每个系统都需要存取每个 其它系统的文件。 应h 最小特权原则时，应当尽量减少各种操作所需特权，如：某州户所有要 做的事情就是重新改置打印系统，就不要给他t o o le i 令，取而代之的是写一段特 权科序，使浚州户只可以通过运彳它米耍新改管打印系统。 很多因特网上的安全问题都可以看作是没有道循最小特权原! i l | j 造成的。例如， ：发送| | | f j 什椎序r p 存九：，f 继续产生着很多安全问题，任n 4 一个人型程序都会有这 种小毛病。问题在1 发送| i | j i 什栏序运行s e t u i dr o o t 命令，很多对发送邮十i 程序的 侵袭就冈此获得方便。因为它是作为r o o t 川户米操作的，发送邮什程序引起了入 6 侵者的高度重视，而事实上它只4 i 过足一个可以使j 作糌易一些的程序。所以最 小特权原则不仅意味着尽量简化有特权的程序，还意味着如果一个复杂程序要求 特权，应把需要特权部分从这个复杂程序中分离利独立出米。 在保护网络时，很多解决方案都足强制使刚最小特权原则。如，一个包过滤 系统只允许要求服务的数据包的进入。另外，在一个完全需要提供特权的环境下 运行不安全科序，这便是堡垒主机的实质。 试幽实行最小特权时有两个问题。首先，当它不符合止住使川的程序和协议 特征时，实施可能很复杂，必须非常仔细地确认已成功地实行了最小特权：其次， 最终所分配的特权可能小_ r 最小特权，这将使有些任务无法完成。 ，纵深防御 不要只依靠单一安全机制，尽量建立多层机制。这样，即使某一安全机制失 败，被保护网络也不会彻底垮掉。任何防火墙甚至似乎是最不可能穿过的防火 墒也能被愿意冒足够风险且有足够破上 ：力的攻击者破坏。可以通过建立多层机 制以且相提供备份和冗余：网络安全、主机安全和人员安全。所有这些机制都很 重要，而且都很奏效但不要对他们中的任何一个抱有绝对的信任。 如，防火墙本身就i r 能有多层。在一个由两个包过滤器组成的结构中，两个 过滤器要做不同的j ：作，但也川以殴置第二个过滤器米拒绝通过第一个过滤器的 数据包。如果第一个过滤器止常作，那些数据包不会到达第二个，但如果第一 个过滤器出现问题，还有第二层过滤保护。 阻塞点 阻塞点强迫攻血通过一个可以监控的窄小通道。因特网安全系统中，位丁专 刖网和因特网之间的防火墙( 假殴它趄专川网主机干| i 因特网之问的唯一连接) 就 娃这样一个阻塞点，任何个因特网上的攻m 必须通过这个防往i 侵袭的通道，防 火墙管理者庇仔细监视这条通道，r 在发现侵袭时做 l l 响应。 但如果攻d i 者有一个有效途径i 日以绕过阻塞点，那么阻塞点将不起 1 t - - - h k 如 果房子的后门大开，义何必费力攻i r 坚吲的前门。同样，对h 丁网络安全系统，如 果有儿十甚至上白条不安全的、更窬易攻1 的拨号线路可以侵袋，也就不必通过 防火墙了。 一个次级的j 鲴特网连接甚至一个叫接连接，比如通过连接剑另个公司接 入冈柚+ 网是一个更危险的缺口，因为特刚攻击者可能找剑与你的网络连接的 间接渠道。 阻塞点看起米立r 像是把所有的鸡蛋放枉一个f 【 i 子里这e 1 然不是个好办法， 但关键在于它魁一个i l # j c 能专心保护的错：f 。多种选择导致在众多的防御方式中 分散精力，从而不能在防御侵袭的l ：作中做到令人满意，或攻击者会趁你 r 于防 御一利入侵方式h t ，；f u , q j 另一方式侵入网络。 防御多样化 止如可以通过使川人量的系统提供纵深防锚i 一样，也可以通过使川大姑不同 7 类抛的系统得剑额外的安全保护。如果刚络中系统都相同，那么只要知道怎样侵 入一个系统，就会知道怎样侵入所有系统。 防御多样化的含义是使用不同的安全保护系统，以降低因一个系统失败而危 及鹕个系统的机会。但是，系统的复杂性是和成本密切相关的。采_ l = j 不同的复合 系统要更困难花赀的时间更蚝，而且要比采j l l j 单一系统费_ ；j 高得多。不得不买 多个系统和多个使j j 许可，同时也汁花费额外的时间羽i 精力米培oj i , q j 户掌握这些 不同的系统。 应提防虚假的多样性。e q 为人部分u n i x 系统源臼b s d 或s y s t e mv ，简单 地使心不同供应商提供的u n i x 系统可能不会产生不同结果。进一步讲，许多普 通的u n i x 网络应川( 如s e n d m a i l 、t e l n e t t e l n c t d 、f t p f t p d 等等) ，无论它们 是h 在b s d 上还是川在s y s t e mv 平台上，都不会有什么不同，因为这两个u n i x 版本都源- pb s d 。 同时还要防r 不同系统被同一个人配置，这样可能会使错误具有普遍性。如 果管理者误解了某种特殊协议的2 1 ：作原理，那么徉种系统都会按这种误解而错误 地配置。 尽管使川复合系统可以增强安全性，但复合系统也有它的麻烦，而且潜在的 收髓和成本不成比例。 简单化 简单化电是一种安全保护策略有两个原旧：第一，简单的事情易于理解， 如果不能充分了解某粤，就不能真止了斛它烛否安全；第二，复杂化会提供隐藏 的角落乖i 缝隙，一间i ：作室比一栎人厦更铎易保证其安全性。 复杂税序有更多的小毛病，网络i ，存缸：的任小问题都可能引发重人的安全 问题。 最薄弱环节 安全保护的基本原则是链的啦i 度墩决 。目的最薄弱环环5 y 。聪明的攻击者总 要找山那个弱点井集中精力对其进行攻d 7 。应当意识到防御措施中的弱点，以便 采取行动消除他们，同时也可以监测那些无法消除的缺i i f 。平等对待安全系统的 所有情况，以使得此处和彼处的危险性不会有太人差异。 然而，经常会有最薄弱环1 ，。解决方法是使那段连接尽量坚i 矧并在发生危 险前保持均衡的慢度。比如说，经常理所当然地认为通过网络侵袭要比实际进入 到主机破坏更让人担忧，由此会u ：主机安全保护成为最薄弱环：忸。 主机安全保护模式都会受到 j 且塞点和最薄弱环。协之间的相互制约作_ l i j 的影 响，这些消极影响是难以消除的。如果没有阻塞点 i ! i j 意昧着有很多链接，而这些 链接中人部分实际上是非常薄弱的。 尽管网络安全策略有很多，但是儿体应川时要根据每个嘲络的具体情况做 1 3 适台的决策。 第二章防火墙概述 防火墙原是指建筑物人厦里h j 米防l l ：火火蔓延的隔断墙。从理论上讲t 互联 网防火墙服务的原理与其类似，它川米防i l ：米自外部网络的各类危险传播到你的 专有网内。事实上，防火墙州丁多个目的： 限制访问从一个特别的协点进入 防l k 攻击者接近防御措施 限定访问从一个特别的1 ，点离开 有效地阻j t 入侵者对内部网络中的计算机系统进行破坏 因特网防火墙通常置于内部网络和因特网的连接1 ，点上。所有米自因特网的 信息绒从i ! | 部网络发出的信息都必须穿过防火墙。因此防火墙才能够确保诸如电 子i i t l l f q ：、远程登陆、文什传输或在特定系统问的信息交换的安全。 从逻辑上讲，防火墙是分离器、限制器和分析器；从物理的角度看，各个防 火墙的物理实现方式可能有所不同但通常它是组硬件没备( 蜘路由器、主机) 和软什的组合。 安装防火墙的基本 | 标儿乎总姓为丁保护专川喇络防j f ：侵入。人多数情况f ， 防火墙的目标是阻l l ：l h 法川户获墩专川网络资源平阻i t - 私有信息被不注意地剌非 法地输n 。扫：一些情况r ，信息输j i i 铍认为足不重要的，但对丁许多正在迎接的 公司米说j i ：法输出是关注的主要问题。日j l l g ，网络上存在着来自黑客平其他破坏 者切实的威胁。 2 ，l 实现防火墙的方法 有_ 两个基本方法： 不被明确地r i ：可的将被禁i l ：，即默认禁i r 不被明确禁i e 的将被许可，即默认许可 第一种情况下，防火墙必须被设计去阻i l 所有通过的包，认真权衡需求平风 险之后激活所需服务。这往往直接影l i l ；j ；h 户，他们很可能把防火墙看佧一种障错。 从安全的角度讲，这种情况是有意义的，它认为你不了解的事情可能会伤害你， 你被默认禁j r 做f r j 1 乖。如果你想允许什么服务，你必须： i 检商川户所需要的服务。 。 2 考虑上j 这些服务甜关的安全保护措施核安全的挺，( j t g j 式。 3 允许这些儿技务。 这个步骤可以项一i ! j i 地进行。从分 j i 一项服务的安全保护做起，解决安全 保护雨l 州户需求之间的矛盾，然厉根据川户需求分析和i 改进服务的安全保护措施， 9 最终提供一个相对台理的折衷方案。 对r 某项服务，可能认为应该为所有t l j 户提供这项服务，并且只使州已有 的、酱通的数据包过滤器或代理程序就可以完成它；而对于另一项服务，可能会 发现这种服务不能l j 现行的任何方式安全地提供，但是只有- d , 部分删户会要求 这种服务。问题的关键是找出一个适合你的网络的折衷方法。 人多数用户雨l 管理者更喜欢第二利，情况，他们倾向于假设所有的服务应被默 认许可，而那些确定的、易山故障的操竹i 自然有必要禁l t 。例如：禁l pn f s ( 网 络文件系统) 穿过防火墙，禁l 卜米接受安全保护意识培训的朋户进行w w w 访问， 或檗j t j _ 5 户安装1 i j 授权服务器等。这种默认许可要求告诉它“么是危险的，列举 不能做的事情，井允许做其它的任何事，显然这不是安全保护状态。它要求事先 精确地知道有哪些特定的危险，井向朋户解释这些危险，并了解怎样预防这些危 险。现在假定育一个文什j e 字的问题，h j 户的第一个反应可能姓使刖n f s ，问题 在于n f s 是不安全的。假定是默认许可的，f 且没有告拆心户运行n f s 穿过防火 墙是危险的，那么那些不叫f 勺系统安全的川户就会认为n f s 是一个好的方法。另 一方面，如果采川默认拒绝，那么川户建立n f s 的企幽将不会成功。你需要向他 们解释原因，井建议使川更安全的通信万式如f t p 。 企幽推测囡特剐上有哪些危险娃什根本不_ j j 能的事。如果你不知道”么是问 题，它就不会被州在禁l i ：消单中，这样的话，它就会错误地运行f 去，直到发现 有人利刚它侵袭你的网络。 系统管理者处于种积极的模式，他们不得不预测h 户群可能采取的将削弱 防火墙安全性的各种活动，井做山相应的防范措施。这本质上把防火墙管理者陷 j ：利t 反对州户的没完、没了的竞赛- h 管理者准备防范川户的一举一动，川户却 提山新的、有吸引力的、但确实危险的行为方式，这个过棵周而复始，这种情况 能变得r 分严重。 还有，那些从默认许可中收箍的人可能娃潜在的侵装者，因为防火墙管理者 不可能堵住所有的安全漏洞， i 世t f j 总是处 。防火斗争”状态中，无暇顾及侵袭 者的活动。 川户通常妥协他们的注册安全性如果他们没有意识到合理的安全防范。如果 川户对防火墙本身有开放访问注册，将导致严重的安全缺口。州户注册剑防火墙 的存在往往放大了维持系统完整性问题。 2 2 威胁级别 有儿种使防火墙火9 攻或危及舫火埔安全的方法。为许多防火墙的目的是阻 i r 歌墩，如果有人找剑一个穿越防火墙允计4 州r j 探测# 1 1 网络中系统的_ 2 i i ；洞，很 显然防火墙将火去功能。如果有人改法攻破防火墙，r 重新配置它以便整个网络对 0 所仃人都是训丛的，这将导敛蜓为，“亟的状况。川t 术沿米讲，利仅仪“发入”午 j 比，这种类型的攻， f 铍认为足“毁“、”火墙。上蛙化山防火墙的破坏产生的损 害烛极城l 到难的。卜。个问题娃统收集剑的火瑞抵制们种威胁的信息的数量 将帮助防火端管理者断定上殳t lr 过张。刈r 个被 功底危及安全的防火埔，能发生 的最糟糕的日自灶没柏任俐攻j i 足怎 t 发! m 0 踪迹。最好的情况足防火墙探测剑 攻。hj f j j 豇知管理_ 肯l j ：n ：尴受攻i f 仙攻。火败。删察披危及安全的防火墙的方法 之一足祭看危险x 域( z o l l eo fr i s k ) 。 ：m 络没订仃f l 】坊火端，做卣接连接到特恻 的情况p ，整个州络将巡受攻i f 。这：j f ：不意眯着蚓络是易墁攻- l i 的，但是扯艇个 m 络处r个小j 信帧州络m 域内的情况i 、，f l f j 保州络l 姆个上机f i j 安全性足 必要的。实践经验表明这娃 幽雉的，为像r l o g i n 那样允y 闱j 户可定制接入控 制的l ：n ，经常被破坏者以“i s l a n dh o p p i n g ”的攻lr 形式川j ：款得刈若干主机的 使川年义。埘r 典掣的防火j 尚，危险i 域经j 常被减少为防火端本身或蚓络中坡选f u 的土w 【r 川，以减少j 删络管删占刈阿按攻i l 的天洼。如果防火喘被侵入，危险l 曼 域经常傲扩张为整个被保护f f 削络；狄甜防火端注册权的舣息破坏者经常以它为 基础刈号川剐络进 j i s l a n dh o p p i n g ”攻- l t 。这 f 况仍柏希望，| 上= i 为破u 、者或 f m ：防火埔上倒i 、些踪迹，从而 皮发现。然内，若防火端被宪全毁坏，整个专 川刚处r 危险1 父域；i ， 能邋受米i 。l 鲫外i m 系统的攻t jr ，j i l l 、】扶得有川的注册信 息以分析攻t lr 的机会是i i 常小j | | j 。 j i 豆常，从减少危险隧域高，i 圻火端能破名作一个单一火般点。就理论方面 米i i ，这似乎足一个、土意，为这等j i 将所柏的鸡揖放征一- 个旗子里，但实践 经验说j ，在t f 何特定，埘j 。个小a 小的州络至少s f ) l 台生机容易被疑 垒小熟练的攻l f 者仪入。i ，l ：多公- r i 仃【1 j f f j ，l 二帆安全策略被设川丁这些弱点， 似似定m i j 有策峪已经足螂上圭绝刈心懿的。防火端并小能臀代一l i 桃安全，它能采川 m 制攻r lr 崩通过个狭窄缺的办法术增蚰11 ：帆友个，? l i l g ) l 。至少仃机会先捕捩 他们或发蚍他们。 23j 圻火端圳分 i 寸沦防火墙州经常f 些概念i 的濉淆，w 为n 实蚬1 部订些小同。“1 l j = 界 讹的新m 自l 嘲络系统l 的符种符样| l f j i 、f 沧娃永术l * “防火墙”仪破川r 描述内i ； j h 络安企力案。为r 简化h 沦，些术i “般捉议定一个j n i t j 点。 筛选路i i | 器 个筛选路m 器足绝人多数防火j 惴f 一个丛夺自i 成部什。筛选j | ! 【i | 器可以 址个l 椰i k 路i i l 器! 戈个- f f 他过滤能j j 的j irl ，机的踏器。9 uj 的筛选蹿i l 器 化i p 埔ii 线， 确ej j m 州络成特蛛i 二机n i l 基4 m 妊 输。m 些川刚 i 呲l 特州 之州f i ( j l l f 火埔i 以仪一个筛选路器矧成。 堡垒主机 堡垒是中11 t _ 5 6 城堡高度加强的部分平眺望防御临界区的地点，通常有更坚 吲的围墙，容纳额外军队的空间。堡垒主机是一个被网络管理者看作网络安全中 的临界加强点的系统。通常，堡垒主机的安全性设付以某种程度的额外关注，堡 垒主机或许经历定蹦的检查，并使川改进的软件。 州宿主网关 些防火墙的实现不使州筛选路山，而在专j h 网干因特网之间设置一个没有 q c p j i ，转发能力的系统网关。专川网中的主机能干该网关通讯，冈特网上主机也 能和网关通讯，但网络问直接通讯被阻塞。通过定义可见，一个双宿主网关也是 一个堡垒主机。 屏敞主机网关 最普通的防火墙配置很可能是一个屏敞主机网关。这可以j h 一个筛选路由和 一个堡垒主机米实现。通常，堡垒主机在专州网上，筛选路由被配置为使得堡垒 主机是从因特网可达到专川网中的惟一的系统。 屏敞子网 在一些防火墙配置中，一个单独的子网被创建，位y n 特网和专_ i j 网之问。 抛型地，j h 可以实现各种级别过滤的筛选路有隔离子网。通常，屏敞子网被配置 使得因特网和专川网都有权使川厨触f 刚上的主机，但通过屏敲子网的通信被阻 塞。 廊刚刚关 因特网上许多软1 ，l = 以存储畸发模式1 作；m a i l e r 年u s e n e t 新闻收集输入， 检查输入并转发输入。当运行在防火墙上，这些转发服务对挫个安全性通常是重 要的。被莫里斯因特网蠕虫开发的著名的发送邮什突破口就是应刚网关出现的这 利t 安全问题的一个例子。其他的应， j 1 1 ( 时芙赴交且式的，如运行在数字防火墙上的 f t p 莉jt e l n e t 网芙。一般而寿，术沿“麻_ l j 劂关”习惯丁j “米描述穿过防火墙 的转发服务，是一个潜在的安全问罡! ! i 。通常，至关重要的席川劂关运行在某种堡 垒主机上。 混合网关 这种系统可能是主机迎接剑因特网，但仪有权通过串行线连接到专用网上的 咀太网终端服钎器上。一些网关或许利州多协议，或川种咖议隧道封装另一协 义，或维持羽l 监控所有t c p i p 连接的完成状态，或检查通信以探测和阻i i ：攻击。 a t & t 公司的防火墒就是一个结合一个堡垒主机的混台网关。 24 使h j 筛选路由的防火墙 许多网络仅使川筛选路由器在专川网剌闪特网之间构筑防火墙。这类防火墙 不同下屏敞主机网关，因为通常允许在专 h 阚上多个主机雨l 因特网上多个主机之 间进行直接通讯。危险区域等于专川网上主机个数和筛选路由允许传输的服务的 数目平l 类型。假定筛选路由允许专用网上所有主机和因特网上任意主机基于简单 邮件传输掷议( s m t p ) 服务端口进行通信，为了获得合理的安全性，专_ j 网上每 一主机必须有一个没有安全渊洞的m a i l e r 。对于每一被提供的服务，危险区域的 人小急剧提高，甚至更糟，变得雉以鼙化。损坏控制也很凼雌，因为网络管理者 需要有规律地检查每一单个主机以得到侵入者的踪迹，或依赖于诸如匹配不当统 计记录这样的事故来得到线索。在船个防火墙被毁坏的情况下。它趋于难以追踪 或经常注意。如果使川一个不维持日出池录的商业略山，并且路由器的管理密码 被危及时，整个专刖网很容易被攻击。例如，商业路由被配置错误的筛选规则， 或由于硬件错误已经失去筛选规则井呈现处于默认模式，或操作错误术被发现等。 因为州户能够从他们的系统直接访问因特网服务，所以通常使j j 1 f 常方便。这种 配置属丁“不明确禁i t 的被允许”的情况，有创造性的川户很容易加载协议去获 得比管理者期望或想要的更高级的访问。 2 5 烈宿士网关 烈宿主网关是个经常川剑) r 易丁实现的防火墙。山丁它，f ：不转发t c p i p 包，所以它娃专心网和f 嗣特阚之问的m 塞。使川的方便山系统管理者怎样选择建 立访问决定：要么通过提供诸如t e l n e t 转发器的应川网关，要么允许川户注册 在网荚主机卜。如果采川前一种方法，防火墙显然届丁“不明确允许的被禁l r ” 的情况，川户只能通过个戍川州芙访问冈特网服务。如果允计川户注册，那么， 防火墙的安全性被严巫削弱。常规操作则问，唯一的危险区域是网关主机本身， 冈为它是从因特网可达的唯一主机。如果川户注j 册在网芙主机，其中的刚户可能 选择个不牢吲的口令或以其他方式危及川户帐户。此时危险区域扩张包括牲个 专川网。从破坏控制的方面考虑，管理者很可能基于被危及的注册的访问方式追 踩入侵过程，但一个老练的破坏者能使这相当饵难。如果一个蚁宿主网关被配置 不允许商接川户访问，损坏控制能更容易些，因为有人登录到网关主机这一事实 恰恰变成了件值得注意的安全事件。般宿主网关的系统软件经常更易于川予维 持系统日志，埂拷贝日志或远程登录日志。这可能帮助网络管理者识划为什么专 川网上其他主机被以“i s l a n d h o p p i n g ”攻 i 危及安全。 舣宿主网关最不牢的方面是：如果防火瑞被摧毁，闪为主机本质上是一个 丧火路由功能的路由器，一个老练的攻i l i 者很可能使它恢复路由功能，f 使褴个专 h 网对攻击者开放。在通常以u n i x 为基础的烈宿主网芙中，t c p i p 路由通常丧 火修改内核变量i p f o r w a r d i n g 的能力；如果系统优先权在网关被获得或丢火，这 个变量能被改变。这或许看起来是牵强的，但除非特别关注监控软件的修订水平 平刘主机网芙的配置，棚有发布拷贝的破坏青很可能记录f 操作系统版本，并注 册危及系统安全。 2 6 屏敝主机网关 一股的，屏敝土秽l 蚓哭足仆常安全的，弗很奔易实现。有代表性的，狂专川 网上配置台堡垒主机，住专t l j 网和因特网之间有一个只允许因特网访问堡垒主 材l 的屏敞路由器。因为堡垒士机在专川网上，对本地j j 户的连通性非常好，而由 外部路由带米的问题并不表现出米。如果专州网像其它许多刚络一样，实质是 个扩人范同的岗域网( 没有子网域路由) ，屏敞主机网关将不需要对本地网络作任 何改变进行一i ：作，只要本地网络使h j 合理的网络地址分配机制。屏敞主机网关的 危险区域被限制为堡垒主机，和筛选跆由器，屏敝主机网关的安全性能由运行在 该系统上的软件决定。如果一个攻m 者获得对堡垒主机的注册权，对专j l j 网的其 余部分的攻m 有相当人范嘲的选拌。在许多方面这种方法类似r 救宿主蚓关， 共享相似的火败模式和关丁运行在堡垒土机上软什的设计考虑细饩。 蛳f 幽为屏蔽主机体系结构防火墙： 删 包 r 啜2 嬲鞠嘲鞫豳豳搿嘲鞠黼 日日8 b 目s 目g s 强1 ld 日。，。一 1 作站 一一竺燮一j r 作站r 作站 幽屏敞i 机体系结构防火j 6 2 7 屏敞子列 屏敞予网体系结构是往屏敝主机体系结构的基础上添加额外的安全层，它通 过添加周边网络把内部网络进一步地与区l 特网格离开。 这样做是由屏敝主帆中的堡垒主机的性质决定的。堡垒主机是专州网上最易 受侵袋的机器，任凭你尽最人的努力上保护他们，它们仍有可能被侵袭。如果在 屏敞主机体系结构中争州网完全地依赖堡垒土机，那么堡垒主机将是非常诱人的 侵袭目标，如果攻击者成功地侵入了堡垒主机，那么他就打开了进入专川网的大 fj 。 通过在周边网络上隔离堡垒土机，可以减少网络安全对堡垒主机的依赖。它 会给入侵者些访问机会。但不再是敞开人f 。 屏敝子网体系结构的最简单的形式为两个屏敞路由器，每一个都与周边网连 接。一个位丁周边网与| 部网络之问，另一个位于周边网与外部网络( 通常为因 特网) 之间。为了侵入_ l j 这种体系结构构筑的内部网络侵袭者必须通过两个路 由器。即使侵袭者殴法侵入了堡垒主机，他将仍然必须通过内部路由器。这就消 除了内部网络的单一侵八点。 也可以在外部鹳络与山部网络之闻建立分层怕扁边网。信任度较低嗣j 易受侵 袋的服务被放置在外层的周边网上，远离内部网络。这样即使侵袭者侵入了外层 间边网上的机器，山r j 住外堪蒯边州年内部州络之问订附加安全层，他还是雄l j 成功地侵袭内部的机器。但是对不同的层必须有不同的含义，如果每一层中的 过滤系统做同样的事情，那么附加层将不会提供任何的附加安全。 2 8 混合网荚 晦涩的安全性对内部和混合网关本身都是不够的，但无疑一个不寻常的或难 以理解的配置很可能使攻；h 者出惑，戏楚他们更可能在设法卉清楚他们正而临什 么问题的过料中暴露自己。另一方面，对于易于理解的安全配置，相应地也更容 易评1 卉和维持。些假定的混合或l ： jy - 说明混合网关可能怎样不同丁或相似于 其他类型。让我们假定一个混合网关由闪特网上一套主机纽成，能够路由传输， 主张完全了解每个t c p 迎接状态，有多少数据穿过它，它们米臼那儿，到什么 地方去。假定连接铍基于任意的正确的规则过滤，例如：“允f f ：专刚网上主机a 利 闪特网j ：网络b 上所有主机经由t e l 。n e t 服务通信当且仅当连接由主机a 在上午 9 ：0 0 剑r 午5 ：0 0 之间发起，f 把通信记入日，占。”这听起米十分可怕，倘若任意 控制使川的容易科度。但一些问题却仍然存住。考虑到有人希望智取防火墙，他 经由一个不设防的凋制解i 周器侵入争_ 刚，或许很容易建立一个机载在t e l n e t 端口的任意的服务引擎。这种防火墙实际上很容易被毁崩：。 l5 另一利l ? 皑台嘲关或y l ：利j 刳卒 种形式的隧道协议。假殴要求以十分严格的限制 条件连接到因特网，除l l ：在专川网羽i 有点儿信赖的外部网之间要求高度的连通性。 在这儿列论的通常的原型网关能提供般目的的e - m a i l 连接，要不是安全的点到 点通信，在川户已经_ 一个密文的智能 鉴别他自己的身份之厉，或许由远端系 统建立一个加密的点刘点虚拟t c p i p 连接。这将是擞安全的，也可被 敞得易予使 h ，但存在一个缺点，邓就是，协议驱动器将被加到每一个想兆事通信的系统中。 实现起米时非常复杂的，特别是如果成j h 是基于x w i n d o w s 。很难去对这样一个系 统的火败模式做任f u j 猜测，但危险仄域很明显也很巧妙的被描绘为包括运行隧道 协议驱动器雨l 单个户拥有智能卜访问的所有土机。其中的些或许被硬们：实现 绒由路由其本身实现。 2 9 其它平防火墙相芙的i ：贝 对那些被殴计去找出t l ：鉴别牡个网络弱点，或当一次j 殳击进行中时探测它可 能显示的模式的【：贝，_ 止在被积极的 l f f 究与发展。这些i ：具从简单的检查表到复 杂的带有推论引擎和详尽描述的规则库的号家系统。现今，许多防火墙使川一些 软件，这些软件被设计去发都和收集与可能的攻i h 及它们的来源有关的信息，经 常使j j 的丁具有f i r l g e r 和s n m p ( 简单网络管理协议) 。除1 开发真正的人一r 智能， 否则这些1 ：具不能预防不可知形式的攻m ，冈为它们不可能平l i 网络破坏者的刨造 性相比。经常枝宣传为主动的，而实际上它们只是被动做出反麻，通常只被 h 于 捕获装备有以往的方法和技巧的系统攻1 i 者。尽管捕获这样的小鱼苗仍姓值得做 的，但报可能那些止在开发和研究系统攻i h 新技巧，迫切想侵入你的网络的家伙 才是更人的威胁。 3 1 代理技术 第三章防火墙策略 具有因特网访问功能的主机代替j = f ；它主机完成与冈特删的通信，这就是代理 j j 醍务。代理只对单个( 城微小一部分) 土机提供闪特网访问服务，尽管它看起米 像是对所有的主机提供服务。 代理服务其i 薹行在个舣宿主主机或个堡垒士8 l x ：一些可以与刳户交谈 的主机同样也可以与外界交谈。川户的代理科序与这个代理服务器交谈，而不是 商接与外部的网特网上的真实的服务器交谈。这个代理服务器接收来自客户的要 6 求，井决定那个清求可以传送，那个可以不考虑。如果一个请求是许可的，代理 服务器就会代表客户与真止的服务器交谈，继而将存户请求传达给真实服务器， 并将真实服务器的应谷返回给客户。 代理服务对 户是透明的，州户与代理服务器交谈就像与真实服务器交谈一 样；而对奠实服务器米说，它是1 ：一个运行。r 代理服务器主机上的刖户交谈，而 并不知】道j j 户的真实所在。 代理不需要任何特殊的硬件支持，但对j 二人部分服务，它需要特殊的软件。 在li n u x 上实现这种防火墒模型的软件有s q u i d 等。 3 1 1 代理是如何工作的 一些服务可以很容易地或臼动地提供代理，对丁这些服务，可以通过改变服 务器配置米安装代理：而对1 ：人部分服务，它 j 对代理有一定的要求，如在服务 器方要求合适的代理服务器软件，在弃户一方可能要求如r 的配簧之一： 定制客户软件 当州户提出淆求( 如f t p 战t e t h e r 淆求) 时，由定制客户软件与代理服务器 进行l 姨系，弗告诉代理服务器如何与真实服务器进行连接。 定制州户进程 用户使川标准客户软件米与代理服务器交谈，井通知它与真实服务器相连， 以此代替与真实服务器直接交流。 3 1 1 1 将定制客户软件应用于代理 定制客户软什通常只适川f 一些平台。例如，s t m 的l g a t e w a y 软件包姓一个 f t p 利t e l n e t 的代理软件包，但是只能在s u n 的机器上使h | 它，因为它只提供编 译的s u n 二元码。如果想耍使川代理软1 ，i ：，需要选择它所要求的平台。 即使某个软竹适合某个平台，但刖户可能不想川它。例如，m a c i n t o s h 平台上 有很多f t p 客户科序，其中有些 i 有生动的h j 户界面，有些则具备半富的功能。 例如，a n a r c h i e 是一个同时支持a r c h i e 和f t p 的客户端应州栏序，可_ i _ ja r c h i e 查 找一个文件并州f t p 获得这个文件，所有的这些操作可在同一的用户界面下完成。 但这种客户程序可能不支持你的特殊代理服务器。某些情况f ，可以修改客户程 序米支持你的代理服务器，但这要求有客户烈序的源码，还要有重新编泽它的1 ： 具和能力。 很少有客户科序可以支持多种形武的代理系统。但w w w 客户程序( 如 m o s a i c ) 是个例外。很多这样的程序支持各种类型的代理( 特别是s o c k s i lc e r n h r r p 守护程序) ，这些程序人部分是枉防火墙和代理系统在因特网上将及之后产 生的，闵此任设计州就考虑了代埋问越