（计算机软件与理论专业论文）分布式防火墙与网络管理.pdf

分布式防火墙与网络管理 专业：计算机软件与理论 硕士生：王永亮 指导教师：苏开乐 摘要 随着网络在社会中的作用变得越来越重要，其安全问题也日益受到人们的 重视。防火墙作为一种成熟的安全技术已经得到人们的普遍认可。传统防火墙 假设内部网是可信的，外部网是不可信的，但事实上超过8 0 的攻击来于内部。 传统防火墙由于基于拓扑结构，俗称边界防火墙，其愈来愈不适应现在网络发 展的需要，如远程办公，移动计算等。另外传统防火墙与v p n 也不能很好的集 成。 分布式防火墙的提出，解决了传统防火墙大多数的缺陷，而保留了其所有优 点。它不再是基于边界，也不再假设内部网络是可信的，外部网络是不可信的。 因而能够有效的防止内部和外部攻击，能够有效的消除网络瓶颈，适用于远程办 公，移动计算，而且能够与v p n 无缝集成。 但是，分布式防火墙管理很复杂，一直没有找到很好的解决办法，从而限制 了其应用。本文利用网络管理技术，较为完美的解决了此问题，从而为分布式防 火墙的广泛使用提供了基础。 论文通过以下方法设计和实现了一种有效的分布式防火墙的管理方法。 l 、设计和实现了一个主机防火墙 在分布式结构中，主机防火墙安装在内部的所有可能成为攻击或目的端的主 机中从而把外部和内部网络攻击统一到防火墙的周边来防御。为此我们设计一个 主机防火墙，起传统防火墙的作用。 2 、讨论了基于移动a g e n t 的网络管理技术，提出了一种新的网络管理模型 网络管理一般分为集中式网络管理、层次式网络管理和分布式网络管理。其 中分布式网络管理相对于其它两种网络管理有如下优点：可扩展性好，管理带来 的网络开销少，管理时延少等。其缺点是实现困难。本文讨论了用移动a g e n t 实现分布式网络管理的优点和缺点，给出了一种新的网络管理框架。其优点是能 够利用现有网络管理设备，平滑过渡到分布式网络管理。 3 、有选择的实现了基于a g e n t s n m p 网关的网络管理 要彻底的实现基于a g e n t s n m p 网关的网络管理，其工作量是非常大的，本 文有选择的实现了基于a g e n t s n m p 网关的网络管理并用其来管理分布式防火 墙。 本文得到如下结果： 1 、分布式防火墙相对于传统防火墙有无可比拟的优势。 2 、提出了一种新的基于a g e n t s n m p 网关的网络管理框架，这种框架能使现 有网络管理向分布式网络管理平滑过渡。 3 、用基于a g e n t s n m p 网关的网络管理管理分布式防火墙是现实可行的，实 现简单可靠，并且升级方便，管理灵活。 关键词：防火墙，移动a g e n t ，网络管理 d is t r i b u t e df i r e w a l la n dn e t w o r km a n a g e m e n t m a j o r ： c o m p u t e rs o f t w a r ea n dt h e o r y n a m e ： w a n gg o n g l i a n g s u p e r r i s o t ：s uk a i l e a b s t r a c t n e t w o r kb e c o m e sm o r ea n dm o r e i m p o r t a n ti no u rl i v e s s on e t w o r k s e c u r i t yp r o b l e m sm a k em o t ei m p o r t a n ti ns o c i a ll i v e s p e o p l ec o n s i d e r f i r e w a l la sag e n e r a l s e c u r i t y m e a s u r eb e c a u s ei tb e c o m e sam a t u r e s e c u r i t yt e c h n o l o g y c o n v e n t i o n a lf i r e w a l l s r e l y o n t o p o l o g y r e s t r i c t i o d sa n dc o n t r o l l e dn e t w o r ke n t r yp o i n t st oe n f o r c et r a f f i c f i l t e r i n g t h ea s s u m p t i o no fc o n v e n t i o n a lf i r e w a l li st h a ta l li n s i d e r s a r et r u s t e da n da llo u t s id e r sa r en o tt r u s t e d s oi tc a n n o tp r e v e n tt h e i n s i d e ri n c i d e n t s b u t8 0p e r c e n ta t t a c k sa r ef r o mi n s i d e r s c o n v e n t i o n a l f i r e w a l li sb a s e do np e r i m e t e ra n di sc a l l e dp e r i m e t e rf i r e w a l l i tc a n n o t b ea d a p tt ot h en e e do f m o d e r nn e t w o r kd e v e l o p m e n t f o re x a m p l e ，i tc a n n o t b eu s e di nr e m o t e o f f i c e ，m o b i l ec o m p u t i n ga n d s oo n i tc a n n o tb e s e a m l e s s l yu s e di nv p na l s o t h e c o n c e p t i o n o fd i s t r i b u t e df i r e w a l lc a na v o i dm o s to ft h e d i s a d v a n t a g e so fc o n v e n t i o n a lf i r e w a l la n dr e m a i ni t sa d v a n t a g e s i t s n o tb a s e do np e r i m e t e r i td o e s n ta s s u m et h a ta l li n s i d e r sa r et r u s t e d a n do u t s i d e r sa r ed i s t r u s t e d s oi tc a np r o t e c ta t t a c k sf r o mi n s i d e r sa n d o u t s i d e r s t h eb o t t l en e c ko fn e t w o r ki sn o tap r o b l e mf o rd i s t r i b u t e d f i r e w a l li ta d a p t st or e m o t eo f f i c e ，m o b i l ec o m p u t i n ga n ds oo n i tc a n b eu s e dw it hv p ns e a m l e s s l y b u ti m p l e m e n t i n gad i s t r i b u t e df i r e w a l li sv e r yc o m p l i c a t e d u n t i l n o w t h e r ei sn og o o dw a y st od oi t a n ds oi t su s ei s1 i m i t e d t h i sp a p e r u s en e t w o r km a n a g e m e n tt os o l v et h ep r o b l e mp e r f e c t l y m t h e p a p e ri m p l e m e n t sac o n v e n t i o n a lf i r e w a l la n di tc a np r o t e c th o s t s b u ti t sf i l t e r r u l ei sd e c i d e db y s e r v e r t h ep a p e ri n t r o d u c e san e w n e t w o r km a n a g e m e n tw a y a g e n t s n m pg a t e w a yb a s e dn e t w o r km a n a g e m e n ta n d i m p l e m e n t si t t o m a n a g et h ed i s t r i b u t e df i r e w a l l a c c o r d i n g t ot h i s p a p e r ，w ek n o w t h e r ea r e m a n ya d v a n t a g e so f d i s t r i b u t e df i r e w a l l c o m p a r e d t oc o n v e n t i o n a lf i r e w a l l d i s t r i b u t e d n e t w o r km a n a g e m e ntist h ed i r e c ti o no fn e t w o r km a n a g e m e n ta n da g e n t s n m p g a t e w a yb a s e dn e t w o r km a n a g e m e n ti sag o o dw a yt oi m p l e m e n td i s t r i b u t e d n e t w o r km a n a g e m e n t a g e n t s n m pg a t e w a yb a s e dn e t w o r k m a n a g e m e n t c a n m a n a g ed i s t r i b u t e df i r e w a l lp e r f e c t l y k e yw o r d s ：f i r e w a l l ，m o b i l ea g e n t ，n e t w o r km a n a g e m e n t 第1 章绪论 本章首先讨论了现有网络安全问题，然后讨论了现有防火墙的不足，提出了 用分布式防火墙克服现有防火墙的不足，用网络管理的方法来管理分布式防火 墙，最后简述论文的组织。 1 1 问题的由来 众所周知，作为全球使用范围最广的信息网，i n t e r n e t 自身协议的开放性极 大地方便了各种计算机入网，拓宽了共享资源。但是，由于在早期网络协议设计 上对安全问题的忽视，以及使用和管理的无政府状态，逐渐使i n t e r n e t 自身的 安全受到严重威胁，与它有关的安全问题屡有发生。这就要求我们对与i n t e r n e t 互连的安全性问题予以足够重视。随着计算机网络的迅猛发展，尤其是i n t e r n e t 的广泛应用，网络安全逐渐成为日益关注的问题。如何才能快捷地访问外部网络， 同时又能有效地保护内部局域网的安全呢? 防火墙无疑是达到此目的的有效选 择，在内部网络和外部网络之间有效地使用防火墙就成为网络安全的关键。 1 2 网络安全存在的威胁 下面是是些网络普遍存在的安全漏洞 使用明码文本口令进行身份验证 疏于网络监控 依靠网络地址的能力 低质量的安全工具 1 2 1 明码文本认证 当前使用的网络业务应用程序使用明码文本口令是非常普遍的，这些应用 程序包括： f t p t e l n e t p o p 3 邮件客户 任何运行网络监视器的人都可以截获网络信息包并将它们重组，从而得知 账户和口令。 1 2 2 网络监视软件的传播 网络信息包很容易获得，当他们穿越网络线路时，可以用网络监视软件观看 信息包。如果使用了带有明码文本口令的应用程序，那么这个安全漏洞足以做任 何运行网络监视软件的人截获口令和账户信息，以便以后使用。这个威胁不仅局 限于本地网络，信息包从使用者到用户通过的所有网络段都会受到影响。在两个 末端之间的任何网络监视设备都可以截获账户和1 ：1 令信息。 1 2 3 电子欺骗 有些办法可以让一台主机伪装成另一台。这项技术通常叫做i p 欺骗。下列 步骤表示通常的伪装i p 地址的方法： 进攻的工作站改变它的i p 地址为它要伪装的客户的地址。 进攻的工阼站随后建立一个源路由信息包。这个信息包指出一个i p 信息 包从服务回来的路径。可靠的被伪装的客户就是源路由上到达服务器之前的最后 一个中继。于是信息包就象从被伪装的工作站发出的一样。 进攻的工作站随后发送一个目的地为使用此源路由信息包的服务器的信息 包。 因为此信息包己经被路由为通过可靠的客户，所以服务器接受了这个信息 包。 因为执行了源路由，可靠的客户将此响应转发给进攻的工作站。 这是伪装一个i p 地址的一般方法。另一个方法包括当一个可靠主机断开时 伪装它，只要使用了正确的账户口令组合体，进攻的工作站就可以伪装成可靠 的主机。 1 2 4 有缺陷的安全配置 最普通的网络安全与不恰当的安全配置有关。这往往是下列原因造成的： 网络管理者经验。 安全补丁没有提供给操作系统。 台主机的安全性不够就会影响整个网络。 1 3 用分布式防火墙堵住网络漏洞 以l 可归结为一个问题：为了防止信息外泄和信息渗入，应该建立一种让 “好”的数据迸，“坏”的数据不能进来的机制。一种方法是加密，这种办法可 以保护数据在两个端点间的传送，但并不能防止数字害虫和黑客的入侵，要达到 这一目的，我们就要用到防火墙。防火墙技术的核心思想是在不安全的网际环境 中构造一个相对安全的子网环境。 然而，传统防火墙由于基于拓朴结构，并且假设内部的用户都是可靠的，而 外部用户都不可信任，因此存在如下缺点： 不能防止内部攻击，但统计表明8 0 的网络攻击来自内部。 。由于基于拓扑结构，不适用未来网络发展的需要，如不适合于移动计算， 远程办公等。 由于过滤工作集中于一点，因此会造成网络瓶颈。 端对端加密阻止了防火墙查看需要过滤的包体，因此传统防火墙很难与 v p n 无缝集成。 单点失效，一旦攻破服务器上的防火墙，内部所有主机都将受到威胁。 鉴于此，b e l l o v i n 提出分布式防火墙的概念“1 ，它能有效的克服传统防火墙 的缺点，而又保持现有防火墙的优点。它可以在网络的任何交界点和节点设置屏 障，从而形成一个多层次、多协议、内外皆防的安全体系。主要优势如下“1 ： 增强的系统安全性 在传统边界式防火墙中，企业内部网络非常容易受到有目的的攻击， 一旦已经接入了企业网的某台计算机，并获得这台计算机的控制权，他们 可以利用这台机器作为入侵其它系统的跳板。而最新的分布式防火墙功能 分布到各个子网、桌面系统、笔记本计算机以及服务器p c 上。因此攻破 一点，不会对其它系统造成危害。所以它能有效地防止内部攻击，消除单 点失效。 提高了系统性能 传统防火墙由于受单一接入点控制，无论对网络的性能还是对网络的可 靠性都有不利的影响，分布式防火墙则从根本上去除了单一接入点的限制， 使系统安全防护性能得到有效的提高。 良好的系统扩展性 因为分布式防火墙分布在整个企业的网络或服务器中，所以它具有无限 制的扩展能力。随着网络的增长，它们的处理负荷也在网络中进一步分布， 因此它们的高性能可以持续保持住。而不会像边界防火墙一样随着网络规模 的增大而不堪重负。 主机策略保护 现在的防火墙大多只能根据数据包的外在特性进行过滤控制，而分布式 防火墙依赖主机作出合适的决定能很自然的解决这一问题。 应用广泛，与v p n 等无缝集成 分布式防火墙最主要的优势在于能够保护物理拓扑上不属于内部网络， 但逻辑上位于“内部”网络的那些主机，从而可与v p n 无缝集成。适应于移 动计算，远程办公等现代网络应用。 但是分布式防火墙管理复杂，阻碍它的广泛应用。分布式防火墙的提出者 b e l l o v i n 等最早提出了用k e y n o t e 和i p s e c 实现分布式防火墙的管理【3 j ，他们使 用k e y n o t e 进行过滤规则的分发，用i p s e c 实现交换信息的保密，其缺点是 k e y n o t e 和i p s e c 实现困难，计算复杂，并且升级困难，难以实现联动防御等。 因而一直没得到应用。 a b s o l u t e f i r e w a l l | 4 j 是一个商业的分布式防火墙，其相对于i p s e c 和 k e y n o t e 方法具有安装容易，升级方便等特点，但是要单独安装组件，难以 实现联动防御，扩展性差。 为此，我们研究了网络管理技术，提出了基于a g e n t s n m p 网关的网络管理 方法，此方法既充分利用了现有网络管理设备，又具有基于移动a g e n t 的网络管 理的优点。 我们用此网络管理方法来管理分布式防火墙，其特点是能高效、灵活的管理 分布式防火墙，并且扩展性好，很容易在此基础上实现联动防御，主动防御等。 并且不需要单独安装软件，升级方便。 1 4 论文的组织 论文分为七部分： 第一章是绪论。首先，分析了网络安全的需求，指出了现有防火墙的不足， 然后提出以分布式防火墙代替传统防火墙，最后提出了用网络管理的方法来有效 的管理分布式防火墙。 第二章是防火墙技术。主要介绍防火墙的分类，体系结构等。重点介绍了现 有防火墙的不足，然后指出怎样用分布式防火墙来克服其不足，指出分布式防火 墙的现有问题，提出了用网络管理来灵活、有效的管理分布式防火墙。 第三章是w i n d o w s 防火墙的实现。介绍了w i n d o w s 2 0 0 0 系统下的网络体系结 构，在w i n d o w s 2 0 0 0 系统下实现防火墙的几种途径，最后实现了一个w i n d o w s 2 0 0 0 下的防火墙。 第四章是基于移动a g e n t 的网络管理技术。主要介绍了现有网络管理的问 题，指出分布式网络管理是现有网络管理的发展方向，介绍基于移动a g e n t 的网 络管理体系结构及相对于其它网络管理的优点。 第五章是网络管理系统的设计、实现及应用。本章介绍了基于a g e n t s n m p 网关的网络管理的设计目标、功能及应用。重点介绍了其设计及应用，此设计能 从现有网络管理平滑过渡。我们比较了几种分布式防火墙管理方法，结果是我们 的管理方法相对于其它方法具有扩展性好，管理灵活，升级方便等优点。 第六章w f i r e w a l l 分布式防火墙系统简介。简单的介绍我们实现的分布式防 火墙系统。 第七章是总结与展望。总结论文的结论和创新性，展望了其应用前景，提出 了些有待进一步探讨的问题。 4 第2 章防火墙技术 本章主要介绍防火墙与防火墙技术的基本知识，重点介绍了边界防火墙与分 布式防火墙的区别及分布式防火墙怎样克服边界防火墙的不足。 2 1 防火墙的基本概念 防火墙”“原是建筑物大厦用来防止火灾蔓延的隔断墙，在这里引申为保护内 部网络安全的一道防护墙。从理论上讲，网络防火墙服务的原理与其类似，它用 来防止外部网上的各类危险传播到某个受保护网内。从逻辑上讲，防火墙是分离 器、限制器和分析器；从物理角度看，各个防火墙的物理实现方式有所不同，但 它通常是一组硬件设备( 路由器、主机) 和软件的多种组合；而从本质上来说防 火墙是一种保护装置，用来保护网络数据、资源和用户的声誉；从技术上来说， 网络防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障 碍，阻止对信息资源的非法访问，换句话说，防火墙是一道门槛，控制进出两个 方向的通信，防火墙用来保护安全网络免受来自不安全网络的入侵，如安全网络 可能是企业的内部网络，不安全网络是因特网，当然，防火墙不只是用于某个网 络与因特网的隔离，也可用于企业内部网络中的部门网络之间的隔离。 2 2 防火墙的工作原理 防火墙的工作原理是按照事先规定好的配置和规则，监控所有通过防火墙的 数据流，只允许授权的数据通过，同时记录有关的联接来源、服务器提供的通信 量以及试图闯入者的任何企图，以方便监测和跟踪，并且防火墙本身也必须能够 免于渗透。 2 3 防火墙的基本特性 一个好的防火墙应具有以下属性”3 ：一是所有的信息都必须通过防火墙；二 是只有在受保护网络的安全策略中允许的通信才允许通过防火墙：三是记录防火 墙的信息内容和活动：四是对网络攻击检测和告警；五是防火墙本身对各种攻击 免疫。 2 4 防火墙的主要功能构件 防火墙的主要构件包括”：认证功能( a f ) 、完整性功能( i f ) 、访问控制功 能( a c f ) 、审计功能( a u d f ) 和访问执行功能( a e f ) 。 2 4 1 认证功能( a f ) 认证就是对一个声称的身份确认。在通信关系的上f 文中，认证提供对一个 主体的身份的证实。一个主体是有一个或多个不同标识符的实体，实体使用认证 服务来证实主体所声称的身份。另一种认证形式叫做连接认证，它提供在一次连 接中数据发送者的真实性和传送数据的完整性的保证。 2 4 2 完整性功能( i f ) 完整性功能防止报文传送时发生不被注意的或未授权的修改，如：插入、删 除或替换。虽然该功能不能阻止这些入侵的发生，但是，它能探测出是否发生了 修改，并对已发生修改的信息进行标记，为了防止基于网络的主动搭线窃听，完 整性功能是必需的。 2 4 3 访问控制功能( a c f ) 网络访问控制功能决定是否允许报文传送经过防火墙转发到目的端。对于进 入网络安全域的报文传送。如果说在其传送通路上没有访问控制功能，那么对任 意服务的访问是可能的。而且，如果没有访问控制功能，那么，包含恶意代码的 传送就不能被阻止。所以，为了提供网络访问控制，访问控制功能a c f 是必需的。 对于离开网络安全域的传送单元也必须执行访问控制功能。否则，对于“在 繁忙时间，不允许对外部w e b 站点进行访问的控制策略能被执行。再者，访问控 制功能能防止信息泄露。 2 4 4 审计功能( a u d f ) 审计功能具有记录连续有序的重要系统事件曰志的能力，哪些事件为重要事 件取决于有效的安全策略。一个防火墙系统的所有构件需要用一致的方式记录信 息，这些信息用于一些系统，如：通知应用程序，审计跟踪分析工具，入侵探测 引擎和记帐代理等。这些信息也应提供给负责监视系统安全的授权人员。 2 4 5 访问执行功能( a e f ) 访问执行功能执行前面所解释的功能( 认证功能、完整性功能等) 。如果认 证和完整性检测都被通过，则信息就可通过防火墙到达内部网。 防火墙的构件可以是集中式的，位于网络的一个位置，这样的防火墙会成为 网络的阻塞点，从而成为系统的瓶颈；防火墙的功能构件，也可以是分布式的。 6 在分布式应用中，在每个位置有较少的功能构件需要计算，这样，功能构件的分 布式应用中，在每个位置有较少的功能构件需要计算，这样，功能构件的分布式 应用减少了在网络边界的系统性能开销；而且，在网络内部的功能构件能够并发 执行。所以，功能构件的冗余分布可以大大提高系统的可行性、可用性和灾难防 护能力。 2 5 防火墙的分类 防火墙主要包括包过滤防火墙、代理服务器及复合防火墙等。 2 5 1 包过滤防火墙( p a c k e tf i l t e rf i r e w a l l ) 包过滤防火墙，又称筛选路由器( s c r e e n i n g ) 或网络层防火墙( n e t w o r k l e v e lf i r e w a l l ) ，它工作在网络和传输层。它基于单个数据包实旌网络控制， 根据所收到的数据包的源i p 地址、目的i p 地址、t c p u d p 的端口号、i c m p 消息 类型、包出入接口、协议类型和数据包中的各种标志为参数，与用户预定的访问 控制表进行比较，决定数据是否符合预先制定的安全策略，决定数据包的转发或 丢弃，即实现过滤。它实际上是控制内部网络上的主机直接访问外部网络，而外 部网络上的主机对内部网络的访问则受到限制。这种防火墙的优点是简单、方便、 速度快和透明性好，对性能影响不大，但它缺乏用户日志和审计信息，缺乏用户 认证机制，不具备登录和报告性能，不能进行审核管理，且过滤规则的完备性难 以得到检验，过滤规则的管理很困难，因此安全性较差，且由于不同操作系统下 t c p 和u d p 端口号所代表的应用服务协议类型有所不同，故兼容性差。 包过滤路由器通常安装在路由器上，绝大多数的路由器缺省配置包过滤。另 外那些用来充当路出器的p c 机上同样可以安装包过滤，而且可能会有更强的功 能，因此基于包过滤的防火墙又称为基于路由器的防火墙。包过滤规则的制定基 于如下两种模式：( 1 ) 基于关闭式的，即缺省情况上阻断所有内外互访，个别开 放单项服务；( 2 ) 基于开放式的，即缺省情况下开放所有内外互访，个别关闭新 时期单项服务。 2 5 2 代理服务器型防火墙( p r o x ys e r v i c ef i r e w a l l ) 代理服务器防火墙通过在主机上运行代理的服务程序，直接对特定的应用层 进行服务，因此也称为应用型防火墙。其核心是运行于防火墙主机上的代理服务 器进程，它代替网络用户完成特定的t c p i p 功能。一个代理服务器实际上是一 个特定网络应用而连接两个网络的网关。对于每一种不同的应用服务，都必须有 一个相应的代理，外部网络和内部网络之间要建立连接，必须通过代理的转换， 内部网络只接受代理服务器提出的服务请求，拒绝外部网络的直接连接。这种防 火墙的优点是它能完全控制通信双方的会话过程，具有用户级的身份验证、同志 管理和帐号管理功能，提供了比过滤路由器更为严格的安全性，缺点是缺乏透明 性，影响网络性能，必须针对每一+ 项服务都建立对应的应用层网关并能提供全面 的安全保证，这势必严重限制新应用的采纳，且实现起来比较复杂。 2 5 3 复合型防火墙( h y b r i df i r e w a l l ) 由于对更高安全性的要求，通常把数据包过滤和代理服务系统的功能和特点 综合起来，构成复合型防火墙系统。应用主机称为堡垒主机，负责代理服务。各 种类型的防火墙都有其各自的优缺点。当前的防火墙产品已不再是单一的包过滤 型或代理服务器型防火墙，而是将各种安全技术结合起来，形成一个混合的多级 防火墙，以提高防火墙的灵活性和安全性。混合型防火墙一般采用以下几种技术： ( 1 ) 动态包过滤；( 2 ) 内核透明技术；( 3 ) 用户认证机制；( 4 ) 内容和策略感知 能力；( 5 ) 内部信息隐藏；( 6 ) 智能日志、审计和实时报警；( 7 ) 防火墙的交互 操作性。 2 6 防火墙的体系结构 防火墙的体系结构一般有以下几种6 双重宿主主机体系结构； 屏蔽主机体系结构： 屏蔽子网体系结构。 2 6 1 双重宿主主机体系结构 双重宿主主机体系结构是围绕具有双重宿主功能的主机而构筑的。它通过 在中间插入两块网卡实现硬件连接，是防火墙系统使用的最基本配置。这种防火 墙主机至少有两个网络接口，一个是内部网络接口，一个是外部网络接口。这样 的主机可以充当这两个接口之间的路由器，它能够从一个网络向另一个网络发送 i p 数据包。双重宿主主机的防火墙体系结构禁止这种直接的发送功能，因而i p 数据包并不是直接地从一个网络( 例如因特网) 发送到其他的网络( 例如内部的、 被保护的网络) 。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的 系统( 在因特网上) 也能与双重宿主主机通信。但是这两个系统不能直接相互通 信，它们之间的i p 通信被完全阻止。 双重宿主主机防火墙的体系结构非常简单，双重宿主主机位于内部网络和外 部网络之间，如图2 一l 所示： 8 图2 1 双重宿主主机体系结构 2 6 2 屏蔽主机体系结构 双重宿主主机体系结构防火墙没有使用路由器。而屏蔽主机体系结构防火墙 则使用一个路由器把内部网络和外部网络隔离开，如图2 2 所示。在这种体系 结构中，主要的安全由数据包过滤提供( 例如，数据包过滤用于防止人们绕过代 理服务器直接相连) 。 这种体系结构涉及到堡垒主机。堡垒主机是因特网上的主机能连接到的唯一 的内部网络上的系统。任何外部的系统要访问内部的系统或服务都必须先连接到 这台主机。因此堡垒主机要保持更高等级的主机安全。 数据包过滤容许堡垒主机开放可允许的连接( 什么是”可允许连接”将由你的 站点的特殊的安全策略决定) 到外部世界。 在屏蔽的路由器中数据包过滤配置可以按下列方案之一执行： 允许其它的内部主机为了某些服务开放到i n t e r n e t 上的主机连接( 允许 那些经出数据包过滤的服务) 不允许来自内部主机的所有连接( 强迫那些主机经由堡垒主机使用代理服 务) r 盼，e 着 r 霹鞲鞲由簟 笛、 、 一 堡垒| ：帆 图2 - 2 屏蔽主机体系结构 9 2 6 3 屏蔽子网体系结构 屏蔽予网体系结构添加额外的安全层到屏蔽主机体系结构，即通过添加周边 网络更进一步的把内部网络和外部网络( 通常是i n t e r n e t ) 隔离开，如图2 3 所示。屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到 周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络( 通常 为i n t e r n e t ) 之间。这样就在内部网络与外部网络之间形成了一个“隔离 带”( d m z ) 。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路 由器。即使侵袭者侵入堡垒主机，他将仍然必须通过内部路由器。 l f 嗣一 中一黼罄一m 粤画 t l 。，聃目 寿火壤内懈。曩勇占胃 f 1 ，一一阪。， 图2 - 3 屏蔽子网体系结构 2 6 4 防火墙体系结构的不同形式 前面我们讲述了三种最一般的防火墙体系结构，实际的防火墙在体系结构方 面还有很多变化，如： ( 1 ) 使用多堡垒主机； ( 2 ) 合并内部路由器与外部路由器； ( 3 ) 合并堡垒主机与外部路由器； ( 4 ) 合并堡垒主机与内部路由器： ( 5 ) 使用多台内部路由器； ( 6 ) 使用多台外部路由器； ( 7 ) 使用双重宿主主机与屏蔽子网。 每种体系结构的的防火墙都各有其优缺点，要根据所用的硬件、你的预算及 安全策略来配置和组合网络防火墙部件。 2 7 防火墙的实现技术 实现防火墙的主要技术有：数据包过滤和代理服务器等“3 。 1 0 2 7 1 数据包过滤 包过滤( p a c k e tf il t e r ) 技术是在网络层中对数据包实现有选择的通过。依 据系统内事先设定的逻辑，检查数据流中每个数据包，根据数据包的源地址、目 的地址、t c p u d p 源端口号、t c p u d p 目的端口号及数据包头中的各种标志位等 因素来确定是否允许数据包通过，其核心是安全策略即过滤算法的设计。 2 7 2 代理服务器 代理服务器( p r o x ys e r v e r ) 作用在应用层，它用来提供应用层服务的控制， 考虑到内部网络向外部网络申请服务时的中间转接作用。内部网络只接受代理提 出的服务请求，拒绝外部网络其它结点的直接请求。 具体地说，代理服务器是运行在防火墙主机上的专门的应用程序或者服务器 程序；防火墙主机可以是具有一个内部网络接口和一个外部网络接口的双重宿主 主机，也可以是一些可以访问因特网并被内部主机访问的堡垒主机。这些程序接 受用户对因特网服务的请求( 诸如f t p 、t e l n e t ) ，并按照一定的安全策略转发它 们到实际的服务。代理提供代替连接并且充当服务的网关。 2 7 3 状态检测 状态检测技术又称动态包过滤技术，通过维护一些状态表来跟踪每个连接的 状态，同时控制应用层，进而控制数据流。防火墙在数据被允许接触防火墙操作 系统之前要检查这些状态表。如果预先定义的策略允许此次访问，则让来自源连 接的报头信息通过防火墙而不对其进行修改。例如：若一个包属于一个已经建立 的连接，就不必再对其进行过滤而直接允许包通过。 状态检测能基本上达到代替代理服务器技术所能达到的安全性，而且效率很 好，事实上，c i s c o 的p i x 的性能接近了线速。但代理技术的支持者们认为代理 更安全一些，因为代理应用程序针对特定协议截取通过数据，但代理服务器使防 火墙的性能大大下降，它的另一个缺点是用户要受厂商的控制，需要厂商写代理 程序束支持用户要用到的各种应用程序。 2 7 4n a t n a t 就是n e t w o r ka d d r e s st r a n s l a t i o i l ( 网络地址转换) ，实际上就是修 改包的源地址端口或目的地址端口。为什么要修改数据包的地址呢? 代理上网。很多企业都只有一个公用i p 地址，怎么样能让整个局域网的主 机( 没有公用i p ) 都能上网呢? 只要当内部主机的包经过网关时，将源地址改 成网关的地址，等相对的回应包到达网关时，再把地址改回原来的内部i p 发给 内部主机就行了。至于哪个包对应哪个连接的问题，可以使用端口号来标识。这 就是s n a t ( s o u r c en a t ) ，也可以称为m a s q u e r a d i n g 。 内部服务器。只用一个公用i p 的网络如果需要向外界提供多种服务，把所 有服务都放在网关服务器上显然会令服务器负担过重。如果将目的网关的8 0 端 口的数据包的目的地址改为1 9 2 1 6 8 1 2 ：8 0 ，然后转发到1 9 2 1 6 8 1 2 进行处 理，处理后的响应包( 源地址为1 9 2 1 6 8 1 2 ：8 0 ) 经过网关时，再将其源地址 改为网关地址的8 0 端口。这样就能将服务分散到内部主机上了。这就是d n a t ( d e s t i n a t i o i ln a t ) ，也称为负载分担。 2 7 5v p n v p n ( v i r t u a lp r i r a c yn e t w o r k 虚拟专用网络) 是指将物理上分布在不同地点 的网络通过公用网联接而成为逻辑上的虚拟专用网，这里的公用网主要指 i n t e r n e t 。为了保障信息在i n t e r n e t 上传输的安全性，v p n 技术采用了认证、 存取控制、机密性、数据完整性等安全措施，以保证信息在传输中不被偷看、篡 改、复制。 防火墙显然是设置v p n 的地方。众所周知防火墙技术的着眼点在于限制某些 用户或某些资源的访问而达到网络的安全性，但因为网络中所传输的数据报文绝 大多数仍是以明文传输的，所以数据的完整性和保密性仍得不到保障。从而，虚 拟专用网( v p n ) 技术成为目前因特网技术发展的一个焦点。而现在很多防火墙 产品也都实现了该功能。虚拟专用网主要用i p s e c 协议实现。 2 7 6 入侵检测和入侵预防技术 在防火墙中可以集成一些预防简单攻击的功能，比如每秒接受数据包的最大 数量就能预防d o s 攻击。其他一些攻击手段，也可以根据其特征做些预防措施。 入侵检测实际上是一项与防火墙有平等地位的技术，但在防火墙中集成简单 的入侵检测功能可以探测那些防火墙本来就无法阻止的攻击形式，并向管理员做 出警报或者让操作系统采取某种措施。目前，防火墙中入侵检测主要是通过分析 防火墙r 志文件，根据入侵行为特征找出可能的入侵行为，并做出处理。 2 8 防火墙的优点与不足 2 8 1 防火墙的优点 防火墙能强化安全策略。 因为在因特网上每天都有上百万的人浏览和交换信息，所以不可避免地 会出现个别品德不良或违反因特网规则的人。防火墙是为了防止不良现象发 生的“交通警察”，它执行网络的安全策略，仅仅允许经许可的、符合规则 的请求通过。 防火墙能有效地记录因特网的活动。 因为所有进出内部网的信息都必须通过防火墙，所以防火墙非常适用于 1 2 已录网络信息。作为网间访问的唯 网络之间发生的所有事件。 防火墙可以实现网段控制。 防火墙能够用来隔丌网络中某 网段中的问题在整个网络中的传播。 防火墙是一个安全策略的检查点。 通路，防火墙能够记录内部网络和外部 个网段，这样它就能够有效地控制这个 所有进出网络的信息都必须通过防火墙，这样防火墙便成为一个安全检 查点，把所有可疑的访问据之门外。 2 8 2 防火墙的缺点 如上所述，网络防火墙可以提高内部网的安全性，具有很多优点，但它也存 在缺点，主要表现在： 防火墙不能防范恶意的知情者。 防火墙可以通过网络传输机密信息，但用户可以不通过网络，比如将数 据复制到磁盘或磁带上，然后放在公文包中带出去。如果入侵者是在防火墙 内部，那么它也是无能为力的。内部用户可以不通过防火墙而偷窃数据、破 坏硬件和软件等。对于内部的威胁只能通过加强管理来防范，如主机安全防 范和用户教育等。 防火墙不能防范不通过它的连接。 防火墙能够有效地防止通过它的信息传输，但它不能防止不通过它的信 息传输。例如，如果你允许防火墙后面的内部系统进行拨号访问，那么防火 墙绝对没有办法阻止入侵者进行拨号入侵。 防火墙不能防备全部的威胁。 防火墙是一种被动式的防护手段，用来防备已知的威胁，一个很好的防 火墙设计方案可以防备新威胁，但没有一个防火墙能自动地防御所有新的威 胁。 肪火墙不能防范病毒。 防火墙不能防范网络上或p c 机中的病毒。许多防火墙可以扫描所有通 过它的信息，以决定是否允许通过，但这种扫描是针对源地址、目标地址和 端口号，而不是数据的具体内容。即使是先进的数据包过滤系统，也难以防 病毒，因为病毒的种类太多，而且病毒可以通过多种手段隐藏在数据中。防 火墙要检测随机数据中的病毒十分困难，它要求：确认数据包是程序的一 部分：确定程序的功能；确定病毒引起的改变。事实上，大多数防火墙 采用不同的方式来保护不同类型的机器。当数据在网络上进行传输时，要被 打包并经常被压缩，这样便为病毒带来了可乘之机。无论防火墙是多么安全， 用户只能在防火墙后面消除病毒。 防火墙极有可能限制某些有用的网络服务。 防火墙为了提高被保护网络的安全性，限制或关闭了很多有用但存在安 全缺陷的网络服务。由于大多数网络在设计之初根本没考虑安全性，只考虑 使用的方便性和资源共享，所以都存在安全问题。这样防火墙限制了某些网 络服务，等于从一个极端考虑到了另外一个极端。 防火墙无法防范数据驱动式攻击。 数据驱动的攻击从表面上看是无害的数据被邮寄或拷贝到i n t e r 。e t 主 机上，但一旦执行就开始攻击。例如，一个数据驱动式攻击可能导致主机修 改与安全相关的文件，使得入侵者很容易得到对系统的访问权。 2 9 边界防火墙和分布式防火墙 边界防火墙基于拓扑结构，而分布式防火墙不再基于拓扑结构，所以它具有 很多边界防火墙不具有的优点。 2 9 1 边界防火墙的概念及其缺点 前面我们讨论的防火墙是传统意义上的防火墙概念，由于它的特点是防火墙 位于网络边界，所以有人称之为边界防火墙。它具有以下特点“，”： 传统的边界防火墙要求网络所有流量都经过防火墙，而且它依赖于一个基 本假设：防火墙把一端的用户看成是可信任的，而另一端的用户则都被作为潜在 的攻击运行者来对待。 很长一段时间以来，边界防火墙在拓扑结构简单的中小型网络上工作得很 好，但网络发展的几个新趋势使得它有点过时了。 - 网络传输速度正迅速的增长，加上高计算强度协议( 特别是i p s e c ) 的使 用，使得防火墙越来越成为速度瓶颈。在可预知的未来，处理速度和网络速度之 间的差距可能会拉大；在计算速度( 也就是防火墙速度) 加快的同时，更复杂的 协议的结合和数据量的极大增加使得通过防火墙的流量将继续增加并超过摩尔 定律的速度。 有些已经存在的协议和正在被设计的协议在防火墙这里很难处理，因为防 火墙缺乏在端点处随手可得的相应知识。f t p 和r e a l a u d i o 就是两个例子。尽管 有解决这类协议问题的应用代理，但那样的解决方案被认为在结构上“不清晰” 且太容易被入侵。 所有内部网用户都可信的这个假设不再适用已经很长时间了。特定的个人 或远程网络需要得到许可访问部分或全部被保护网络( 包括外部连接、远程办公 等) ，而远程办公的系统也应该服从公司的安全策略。实践表明大部分攻击来自 内部。 更坏的是，没有网络管理知识的人都能很容易地在网络上设置一个未经授 权的入口点。各种隧道、无线或拨号访问方法允许某些人安置后门来绕过传统防 火墙提供的安全机制。防火墙大多无法防范内部网中的不法行为，而且集中的防 火墙对满足内部更多的连接请求也遇到很大的困难。 当今，大型( 甚至不是很大的) 网络都趋向于有很多入口点( 为了执行失 败恢复或其他原因) 。另外一些站点配置内部防火墙来提供一定形式的内部分割， 不论从实践方面还是策略一致性考虑，这都使得管理变得特别，因为不存在统一 全面的管理机制。 端到端加密也是防火墙的一个威胁，因为他阻止了防火墙查看需要过滤的 包体。允许端到端加密通过防火墙意味着代理管理员给用户相当程度的信任。 最后，标准的防火墙若不大大提高其复杂性和处理速度就无法马上满足迅 速增长的更小的粒度的( 甚至是基于特定应用的) 存取控制需要。 2 9 2 分布式防火墙概述 虽然有一些缺点但防火墙仍然能提供基本的网络安全。防火墙仍然有用的原 因是它提供一种明显的、最无可非议的加强网络安全策略的机制。对于旧的应用 程序和网络应用，这是唯一的安全机制。较新的协议代表性地拥有一些安全规定， 而老的协议( 及其实现) 则很难