（计算机应用技术专业论文）结合入侵检测机制的netfilter防火墙的研究.pdf

摘要 针对网络入侵、攻击等各种安全问题，防火墙、入侵检测等安全 技术得到了广泛的应用。但是，不同的安全技术侧重解决的安全问题 不同，加上攻击技术的日趋成熟，攻击工具和手法的日趋复杂，单独 的某一种安全技术已不能满足网络安全的需求，因而结合多种网络安 全防御技术来实现系统安全性的思想越来越得到重视，防火墙和入侵 检测联动是安全技术相结合的重要的研究与应用的方面。 本文提出了一种基于n e t f i l t e r i p t a b l e s 防火墙框架实现的包过滤 技术，通过在该防火墙中结合了入侵检测机制，使得防火墙不仅能够 依据规则阻断数据包，同时能够对网络中的异常数据包作出响应，与 防火墙形成联动，能够及时地发现预警，增加防火墙规则，提高了系 统的安全性。本文中还在l i n u x 操作系统下将该防火墙进行了实现， 并对其性能进行了测试，结果表明联动系统使用简便，工作稳定，能 够按照系统设置实现对p i n g 攻击、s y - nf l o o d 攻击和l a n d 攻击实现自 动响应和防御。 关键词防火墙，入侵检测，n e t f i l t e r i p t a b l e s ，l i n u x a b s t r a c t a g a i n s ts e c u r i t yi s s u e ss u c h a si n t r u s i o n sa n da t t a c k s ，f i r e w a l l ， i n s t r u s i o nd e t e c t i o ns y s t e ma n do t h e rs e c u r i t yt e c h n o l o g i e sa r ee m e r g e d a n du s e dw i d e l y b e c a u s ed i f f e r e n ts e c u r i t yt e c h n o l o g i e sm a i n l yf o c u so n s o l v i n gap a r t i c u l a ra s p e c to fs e c u r i t yi s s u e s ，b e s i d e st h ea d v a n c e m e n to f t e c h n o l o g ya n dt h ec o m p l i c a t i o no ft o o l s ，m o r ea n dm o r ep e o p l ep a y a t t e n t i o nt ot h ed e f e n s ew i t hav a r i e t yo fn e t w o r ks e c u r i t yt e c h n o l o g i e s d e s i g n i n gas y s t e mb a s e do nt h ec o m b i n a t i o no ff i r e w a l la n di d st o p r o t e c tt h es y s t e m ss e c u r i t yi sa ni m p o r t a n t r e s e a r c h i nt h i sa r t i c l e ，t h ea u t h o rp r e s e n t sam e t h o dt oc o m b i n a t ef i r e w a l l a n di d sb a s e do nn e t f i l t e r i p t a b l e sa r c h i t e c t u r ei nl i n u x t h es y s t e mn o t o n l ym a k e sf i r e w a l lt ob l o c kp a c k e t sb a s e do nr u l e s ，b u ta l s or e s p o n d so n t h ef a l t ep a c k e t s i tl i n k st of i r e w a l l ，f i n d se a r l yw a r n i n gt i m e l y , i n c r e a s e s f i r e w a l l sr u l e s ，i m p r o v e st h es y s t e m ss e c u r i t y t h es y s t e mh a sr e a l i z e d ，i t s r e s u l ts h o w st h a tt h es y s t e mi su s e ds i m p l ya n dw o r k ss t a b l y , i tc a n d e f e n s ea t t a c k ss u c ha sp i n ga t t a c k ，s y nf l o o da t t a c ka n dl a n da t t a c k k e yw o r d sf i r e w a l l ，i n t r u s i o nd e t e c t i o ns y s t e m ，n e t f i l t e r i p t a b l e s ， l i n u x 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得中南 大学或其他单位的学位或证书而使用过的材料。与我共同工作的同志对本 研究所作的贡献均已在论文中作了明确的说明。 作者签名：0 礅 学位论文版权使用授权书 本人了解中南大学有关保留、使用学位论文的规定，即：学校有权 保留学位论文并根据国家或湖南省有关部门规定送交学位论文，允许学位 论文被查阅和借阅；学校可以公布学位论文的全部或部分内容，可以采用 复印、缩印或其它手段保存学位论文。同时授权中国科学技术信息研究所 将本学位论文收录到中国学位论文全文数据库，并通过网络向社会公 众提供信息服务。 作者签名：杜塑 导师签名至鱼垒日期：丝巫年上月盟日 第一章绪论 1 1 课题的研究背景和研究意义 随着全球信息高速公路的建设，i n t e m e t 的飞速发展，给整个社会的科学与 技术、经济与文化带来了巨大的推动与冲击。近几年来，随着计算机网络资源共 享进一步加强，因特网以变革的方式，提供了检索信息和发布信息的能力，这是 个不可思议的技术进步：但它也以变革的方式带来了信息污染和信息破坏：计算 机病毒在不断产生和传播，计算机网络不断遭受黑客的攻击，重要情报资料被窃 取，甚至造成网络系统瘫痪，给各个国家以及众多的公司和部门造成了巨大的经 济损失，甚至危害国家和地区的安全【l 】。根据资讯周刊( i n f o r m a t i o nw e e k ) 的全 球安全调查报告指出，去年全球各地企业由于安全入侵、病毒感染等原因产生的 修复和营运停摆已造成超过几十亿美元的利益损失。但是同一份调查指出，仅有 3 8 的企业相信其安全性政策相当符合其营运目标的需求。也就是说，另有将近 2 3 的企业正处于众多安全性入侵的威胁下。 这些问题均是由于计算机网络联结形式多样性、终端分布不均匀性和网络的 开放性、互联性等特性致使了网络易受到黑客、恶意软件和其他不轨的攻击，使 网络面临严重的安全威胁。网络安全的主要威胁包括非授权访问、信息泄露和丢 失、破坏数据完整性、破坏通信规程和协议、拒绝合法服务请求、设置陷阱和重 传攻击等【2 j 。要保证信息安全就必须想办法在一定程度上克服各种威胁，采取安 全技术策略，确保信息系统的安全。 因而为了保证网络上信息的安全，避免这些侵袭损害我们的系统，我们需要 得到各方面的帮助。目前网络安全防御机制中最常用的是防火墙、i d s 和防病毒 软件【3 】，这三类安全产品在保护计算机及网络的安全中做出极大的贡献。但是， 随着网络环境的变化和攻击手段的发展，这些防护手段的局限性也暴露无遗。 传统上，防火墙只能阻止外部对内部未公开的主机和端口服务的攻击，无法 阻止文件型和网页脚本型病毒经过防火墙的传递。致命的原因在于防火墙不是 “智能”的，只能检测做到允许或阻止特定端口发送的数据1 4 1 。其次，防火墙对 于内部攻击是完全不能阻止的。并且对于计算机病毒也无能为力。因此，在网络 入口处部署防火墙就足够安全的想法是不切实际的。 在这种需求背景下，入侵检测系统( i d s ) 应运而生。入侵检测技术是一种 主动保护自己免受黑客攻击的一种网络安全技术【5 l 。入侵检测技术帮助系统对付 网络攻击，拓展了系统管理员的安全管理能力( 包括安全审计、监视、进攻识别 和响应) ，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关 键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到 袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，它在不影响网络 性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实 时保护。然而，入侵检测系统是一种典型的被动防护方式1 6 j ，只能检测到入侵， 并不能对入侵采取任何的防御措施，而且误报漏报率较高，因此从信息安全整体 防御的角度出发，将入侵检测和防火墙进行联动构建一个较全面的能实时检测入 侵并及时响应的安全系统是十分必要的，必然会极大地提高网络安全体系的防护 能力。 1 2 联动技术国内外研究现状和水平 联动1 7 1 通常是指关联和互动，相互作用和相互影响，即通过组合的方式将不 同的技术或产品进行整合，提高整体技术性能来应对多种攻击手段，以适应网络 安全整体化、立体化的要求。联动本质上是安全产品之间一种信息互通的机制【8 】， 其理论基础是：安全事件的意义不是局部的，将安全事件及时通告给相关的安全 系统，有助于从全局范围评估安全事件的威胁，并在适当的位置采取动作。通常 所说的联动技术一般包含两方面的含义： ( 1 ) 不同安全技术之间进行联动。对不同的安全技术的优势进行融合，消除 单一安全技术的不足和漏洞所带来的安全隐患，如入侵检测和防火墙的联动、入 侵检测和蜜罐的联动【9 j 等。 ( 2 ) 不同安全产品之间进行联动。同类技术的不同安全产品联合进行多重防 护，同时也可以进行资源和安全事件的共享，如不同的入侵检测系统互通安全警 告和规则库i i 训。 这两方面的含义给出了联动技术的定义，同时针对现有的安全技术和安全产 品的自身的特点和局限性，提出了实现联动的可能性。 目前基于联动的协议与实现，主要是以防火墙为中心提出的。一些防火墙厂 商以自身的产品为中心平台，提出了安全联动的协议标准，志在使单一的防火墙 产品与其它功能产品紧密结合，共同协作，在提高防火墙本身性能的同时，利用 其它功能产品的特殊功能，共同构建集成的网络安全环境，以适应现代网络安全 整体化、立体化的要求。 当然，目前安全联动的概念并不仅限于防火墙应用领域，在i d s 领域分布 式的应用研究也开展得如火如荼，各分散的功能部分之间也需要密切的协作与交 互，i d s 领域的联动也是目前联动研究的一个重要领域。 2 当前应用范围较为广泛的联动方式主要包括防火墙与入侵检测间的联动，防 火墙与防病毒系统间的联动，防火墙与日志审计间的联动和i d s 功能模块之间 的联动四个方面。 l 、防火墙与入侵检测间的联动 防火墙与入侵检测间的联动是现有联动体系中重要的一环，主要是因为这两 种技术具有较强的互补性。通常i d s 安装在网络中的监控主机上，这种分散的 配置决定了当i d s 发现网络入侵时，很难对其作出有效的响应。也就是说，i d s 在网络中的位置决定了其本身的响应能力相当有限，需要响应协同。i d s 需要通 过与有充分响应能力的网络设备或网络安全设备协同，构成响应和报警互补的综 合安全系统。另一方面，防火墙也需要联动。防火墙通常提供的是静态防御，它 的包过滤规则都事先设置，对于实时的攻击或异常的行为不能做出实时反应【l 。 防火墙无法自动调整策略设置来阻断正在进行的攻击。防火墙不对数据包的内容 进行分析，对规则中允许的端口和服务一直视为正常的用户，不进行过滤和检测。 对一些针对应用层协议和服务的攻击，防火墙通常无能为力。这种情况下，防火 墙需要借助i d s 的检测能力，防火墙不保留数据包内容的日志，所以在遭到黑 客攻击后，无法把日志作为监查日志。目前实现入侵检测和防火墙之间的联动有 两种方式：一种是实现紧密结合，即把入侵检测系统嵌入到防火墙中。入侵检测 系统的数据来源不再仅限于抓包，而是流经防火墙的数据流，所有通过的包不但 要接受防火墙检测规则的验证，还需要经过入侵检测系统，判断是否具有攻击性 同时进行相应的反应，以达到真正的实时阻断。这实际上是把两个产品合成一体。 由于入侵检测系统本身也是一个很庞大的系统，所以无论从实施难度、合成后的 性能等方面都会受到很大影响，因此目前这一步仍处于理论研究阶段，不过从技 术发展的趋势来看，不难看出，各个安全产品的紧密结合是大势所趋。第二种方 式是通过开放接口来实现联动。防火墙或入侵检测系统开放一个接口供对方调 用，双方共同按照一定的协议进行通讯、报警和传输。目前开放协议的常见形式 有：i d s 厂商提供i d s 的开放接口，供各个防火墙厂商使用，以实现互动，如中 科网威的n e t p o w e r o p e n l d s 1 2 j ：防火墙厂商提供开放接口，供各个非防火墙安全 设备厂商使用，如天融信的t o p s e c 协议。这种方式比较灵活，不影响防火墙 和入侵检测系统的性能，不会明显增加两方面系统的复杂性。 2 、防火墙与防病毒系统间的联动 网络病毒目前己经成为病毒的主要形式，它对系统的应用和安全造成了巨大 的破坏和威胁。因此，构建可靠的网络防毒体系是网络安全的必要保障和必然要 求。而防火墙处于网络边界间信息流的必经之地，在网关一级就对病毒进行查杀， 成为网络防病毒系统的重要一环。n e t s c r e e n ，c h e c k p o i n t 等防火墙都可以与病毒 防治软件进行联动，通过提供a p i 定义异步接口，将数据包转发致装载了网关 病毒防护软件的服务器上，病毒防护程序可以执行内容验证，允许用户扫描经过 网络的所有数据包内容。 3 、防火墙与日志审计间的联动 防火墙与日志处理之间的联动比较有代表性的是c h e c kp o i n t 防火墙【1 3 】，它 提供两个a p i 接口：l e a ( l o ge x p o r ta p i ) 和e l a ( e v e n tl o g g i n ga p i ) ，允许第三 方访问日志数据。报表和事件分析采用l e aa p i ，而安全与事件整合采用e l a a p i ，利用这个接口与其他日志服务器合作，将大量的日常处理工作由专门的服 务设备完成，提高了专业化程度。 防火墙除上述联动外，与其他一些技术之间也有一定的联动。如与认证系统 联动、w e b 资源联动、内容过滤联动以及电子商务、事件集成、负载均衡、用户 端口映射等都是通过a p i 实现的。 4 、i d s 功能模块之间的联动 随着网络环境的日趋复杂以及i d s 技术的演变发展，i d s 也越来越向分布式、 智能化的方向发展，如移动代理技术的应用与发展。i d s 的各项功能也越来越分 散于网络环境中的各个部分，而这些功能模块并不是完全孤立地存在，而是独立 地工作，紧密地配合，这就需要在这些不同的功能实体间进行协作与交互，也就 是存在“联动。 从整体安全防御的角度来说，联动技术只是初步实现了防护、检测和响应的 一种简单协同，并不意味联动就能达到绝对理想的安全防御效果。网络安全牵涉 到诸多领域，防火墙和入侵检测联动只是各种网络安全技术走向整合的一个先 兆，在目前网络攻击手段层出不穷的情祝下，防火墙和入侵检测联动能够实现技 术优势互补，比单一的防御手段具有了更高的安全性。 目前国内外对各种安全技术联动所进行的研究非常积极，研究的方向也很 多，如天融信公司提出了t o p s e cb s a 体系结构【l4 1 ，t o p s e c 旨在以天融信网 络卫士( n g f w ) 系列防火墙产品为核心，以t o p s e 为基础框架，构造一个以防 火墙为中心，多种安全技术和产品协同工作的安全体系。它的核心思想是要求安 全系统防护、监测、审计、管理5 个环节之间联动，实现产品之间、安全产品与 集中管理平台之间、安全产品与集中审计平台之间、安全服务与其他安全环节和 安全产品之间的联动；c h e c kp o i n t 扩展了c h e c kp o i n ts v n ( s e c u r ev i r t u a l n e t w o r k ) 的体系结构，提供集成和互操作开放平台o p s e c l l 5 】，供o p s e c 合作 开发商使用。该平台通过一个开放的、可扩展的框架支撑和管理网络安全的各个 方面。开发商的应用程序可以通过公开的a p i 、工业标准协议、i n s p e c t 和高 层脚本语言插入到o p s e c 框架中。这样，就可以通过一个中心控制点，利用统 4 一的安全策略来配置和管理这些应用程序，从而实现统一、集中的网络安全管理， 实现o p s e c 集成；安氏中国公司提出了l i n k t r u s t 联动方案，该方案是把 l i n k t r u s t c y b e r w a u 防火墙和i s s 公司的r e a l s e c u r e 产品、趋势科技公司的病毒 防治网关产品i n t e r s c a n 实现联动。与o p s e c 不同的是，l i n k t r u s t 方案l l6 j 的专一 性很强，在设计构架上也是紧密结合r e a l s e c u r e 与i n t e r s e a n 。l i n k t r u s t c y b e r w a l l 防火墙的设计可以使防火墙与i d s 系统完全融为一体，在使用c y b e r w a l l 的插 件后，r e a l s e c u r e 在特定事件配置其响应策略时，可以选择通过c y b e r w a l l 禁止 特定数据包来进行访问控制，达到保护内部网络和i d s 系统的双重目的。另外， c h e c kp o i n t 等国外防火墙可以与病毒防治软件进行联动，通过提供a p i 定义异 步接口，将数据包转发到装载了网关病毒防护软件的服务器上进行检查。此外， c h e c kp o i n t 的防火墙还可以实现与日志处理之间的联动。但是从目前的现状来 看，很多防火墙厂商都是根据自己的理解和应用环境，开发独立的数据接口，因 此联动缺乏统一标准的接口。 1 3 研究的目标和主要内容 本论文首先介绍了防火墙、入侵检测和联动技术的相关技术和基本概念，在 此基础上，重点讨论了l i n u x 下的防火墙及入侵检测技术，包括其体系结构、数 据包截获、数据包检测、防火墙与入侵检测的联动。结合内部网络的需求，开发 针对中小型网络用户需求，结合带入侵检测机制的n e t f i l t e r 个人防火墙，实现内 部网络的动态防护。本文主要的目标和研究工作如下： ( 1 ) 研究防火墙与入侵检测的工作原理，以及相关联动技术的研究现状。 ( 2 ) 研究n e t f i l t e r i p t a b l e s 的实现框架，基于n e t f i l t e r i p t a b l e s 框架将入侵检 测机制结合进防火墙系统，设计一种结合入侵检测机制的防火墙联动系统。该系 统能够完成数据包的入侵检测分析，确定可能存在的攻击和探测，及时完成防火 墙阻断规则的动态配置和更新。 ( 3 ) 运用c 语言实现该防火墙体系，并进行相关的实验测试，分析系统性能。 1 4 论文的组织结构 第一章绪论。这一章主要对本文的研究背景和网络安全的现状进行介绍，分 析阐述了国内外研究的现状和水平，提出课题的研究内容和目标。 第二章相关技术研究。这一章主要介绍了动态安全模型，防火墙的概念、分 类，对当前防火墙的技术研究与发展进行了重点分析和阐述，针对当前国内外对 包过滤防火墙的扩展设计，阐述了防火墙和入侵检测结合的联动系统、智能防火 墙、集成防火墙和分布式防火墙的思想。同时探讨了入侵检测系统模型和分类， 以及入侵检测的发展方向。 第三章基于n e t f i l t e r i p t a b l e s 框架配置防火墙。本章节详细介绍了 n e t f i l t e r i p t a b l e s 的结构和工作原理，并对防火墙规则的建立和保存进行了详细说 明。 第四章结合入侵检测机制的n e t f i l t e r 防火墙的设计。提出了联动型防火墙的 总体设计思路，介绍了结合入侵检测机制的n e t f i l t e r 防火墙的功能需求，给出了 系统框架设计和模块设计。 第五章结合入侵检测机制的n e t f i l t e r 防火墙的实现。实现系统的各个模块， 并对实现中的关键技术进行说明。 第六章结论与展望。本章节对所做的研究设计工作进行总结，并阐述了将来 扩展完善此系统所需要做的进一步工作。 6 第二章相关技术研究 i n t e m e t 的迅速发展给现代人的生产和生活带来了前所未有的飞跃，同时也 使人们面临着网络安全的严峻问题。很多企业为了保障自身服务器或数据安全都 采用了动态安全模型，其中防火墙和入侵检测系统是动态安全模型中重要的组成 部分。 2 1 动态安全模型 当前的信息环境是一个动态和变化的坏境，信息业务不断发展变化，如业务 竞争环境的变化、信息技术和安全技术( 包括攻击技术) 的飞速发展；同时系统自 身也在不断变化，如人员的流动、不断更新升级的系统等等。总之，面对这样一 个动态的系统、动态的环境，需要用动态的安全模型、方法、技术和解决方案来 应对当前的安全问题。 从2 0 世纪9 0 年代起，随着以漏洞扫描和入侵检测为代表的动态检测技术和 产品的发展，动态安全模型也得到了发展。p d r 模型就是其中典型代表【1 7 】。所 谓p d r 模型指的是基于防护( p r o t e c t i o n ) 、检测( d e t e c t i o n ) 以及响应( r e s p o n s e ) 的安全模型。在p d r 安全模型的基础上，著名的网络安全公司安氏提出了 白适应网络安全模型( a d a p t i v en e t w o r ks e c u r i t ym o d e l ) ，该模型是可量化、可 由数字证明基于时间的、以p d r 为核心的安全模型，也称为p 2 d r 模型【1 8 j 。p 2 d r 的基本思想是以安全策略为核心，通过一致性检查、流量统计、异常分析、模式 匹配以及基于应用、目标、主机、网络的入侵检查等方法进行安全漏洞检测。检 测使系统从静态防护转化为动态防护，为系统快速响应提供了依据。当发现系统 有异常时，根据系统安全策略快速作出反应，从而达到保护系统安全的目的。 p 2 d r 动态安全模型如图2 1 所示。 防护 protection 响应红一 检测 r e s p o n s e d e t e c t i o n 图2 ip 2 d r 模型 7 ( 1 ) p o l i c y ( 安全策略) 根据风险评估产生的安全策略描述了系统中哪些资源需要得到保护，以及如 何实现对它们的保护等。安全策略是p 2 d r 安全模型的核心，所有的防护、检测、 响应都是依据安全策略实施的，安全策略为安全管理提供了方向和支持手段。 ( 2 ) p r o t e c t i o n ( 防护) 通过正确设计开发以及合理地安装软件系统来预防安全事件的发生；通过定 期检查来发现可能存在的系统脆弱性，并及时修补；通过教育等手段，使用户正 确使用系统；通过访问控制等手段来阻止可能的攻击行为。 ( 3 ) d e t e c t i o n ( 检测) 检测是p 2 d r 模型的一个重要环节。检测是动态响应的依据，也是强制落实 安全策略的有力工具。通过实时监测网络和系统行为、状态，可以及时发现新的 威胁和弱点，并通过反馈来及时做出有效的响应。 ( 4 ) r e s p o m e ( 响应) 响应是在检测到安全事件发生后采取相应补救措施和行动，以阻止或减小事 件对系统安全性带来的影响。响应是一个承上启下的关键环节。首先，响应的依 据来源于检测，检测是手段与途径，而目的在于响应。再者，响应是与防护相衔 接的，响应可以看作是一种再防护。从防护、检测、响应，到再防护，这个模型 已经不是一个平面的圆环，而是一个螺旋上升的状态。 p 2 d r 模型采用基于时间安全理论( t i m eb a s e ds e c u r i t y ) 的数学模型作为其 论述基础【1 9 1 。其基本原理是信息安全相关的所有活动，不管是攻击行为、防护 行为、检测行为和响应行为等都是要消耗时间的，因此可以用时间来衡量一个体 系的安全性和安全能力，下面对其进行简要分析。 防护时间n ：表示成功入侵一个系统所需花费的时间。衡量攻击时间的两 个方面：入侵能力和系统坚固程度，高水平的入侵者及安全薄弱的系提高攻击的 有效性，使攻击时间p t 缩短。 检测时间d f ：在入侵行为发生的同时，检测系统也在发挥作用，检测行为 也要花费时间即检测时间d ，。改进检测算法可以缩短d f ，从而抗攻击的效 率。另外，检测与响应是相关联的。 响应时间m ：检测到入侵行为后，系统采取相应的遏制及补救措施所的时 间。 系统暴露时间毋：指系统处于不安全状况的时间。 p 2 d r 模型可以用一些典型的数学公式来表达安全的要求： ( d t + r t ) p t 1 的情况下，系统暴露时间越小越安全。 基于时间安全理论为安全问题的解决指明了方向：提高系统的防护时间p ， 降低检测时间历和响应时间m 。 2 2 防火墙技术及相关研究 防火墙【2 0 】是指设置在不同网络( 如可信任的企业内部网和不可信的公共网) 或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的 唯一出入口，能根据企业的安全政策控制( 允许、拒绝、监测) 出入网络的信息 流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安 全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析 器1 2 ，有效地监控了内部网和i n t e m e t 之间的任何活动，保证了内部网络的安全， 如图2 2 所示。 防火墙 图2 - 2 防火墙把内部网和因特网隔开 由于互联网或从内部网上所产生的任何活动都必须经过防火墙，它可被认为 是一种访问控制机制，用来确定哪些内部服务允许外部访问，以及允许那些外部 服务访问内部服务，这样防火墙就可以保证对主机和应用安全访问，保证多种客 户机和服务器的安全性，保护关键部门不受到外来攻击。 2 2 1 防火墙的分类 从诞生到现在，防火墙已经历了四个发展阶段：基于路由器的防火墙、用户 化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火 墙。目前防火墙供应商提供的大部分都是具有安全操作系统的软硬件结合的防火 墙，按照防火墙对内外来往数据的处理方法，大致可以将防火墙分为两大体系： 9 包过滤防火墙和代理防火墙( 应用层网关防火墙) 1 2 2 1 。前者以以色列的 c h e c k p o i n t 防火墙和c i s c o 公司的p i x 防火墙【2 3 1 为代表，后者以美国n a i 公司 的g a u n t l e t 防火墙【冽为代表。 1 、包过滤防火墙 第一代：静态包过滤 静态包过滤防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否 与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息 中包括i p 源地址、m 目标地址、传输协议( t c p 、u d p 、i c m p 等等) 、t c p u d p 目标端口、i c m p 消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最 小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包1 2 5 1 ， 如图2 3 所示。 应用层 蠢丞层 会话层 传输层 应用层 麦丕层 会话层 传输层 应用层 ：区丑：z 丘 会话层 传输层 网络层 网络层网络层 数据链路层 物理层 数据链路层 物理层 数据链路层 物理层 图2 3 简单包过滤防火墙 第二代：动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具 有的问题。这种技术后来发展成为所谓包状态监测( s t a t e f u li n s p e c t i o n ) 技术。 采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可 动态地在过滤规则中增加或更新条引2 6 1 ，如图2 _ 4 所示。 应用层 li 应用层l i应用层 丞z i ! 医 会话层 传输层 会话层 传输层 盘丕层 会话层 传输层 网络层网络层 数据链路层 物理层 数据链路层 物理层 图2 - 4 动态包过滤防火墙 2 、代理防火墙 第一代：代理防火墙 代理防火墙也叫应用层网关( a p p l i c a t i o ng a t e w a y ) 防火墙。如图2 5 所示， l o 这种防火墙通过一种代理( p r o x y ) 技术参与到一个t c p 连接的全过程。从内部 发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡样，从 而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公 认为是最安全的防火墙，它的核心技术就是代理服务器技术。 成川胺 = 麻川层 口 成川麟 袤爪磋袤刀i 层 会磁层 表示毖 会话联 佐输谨 会话层 专输以 列络层 。 传输j 0h w 鲫厂1 l 数据键翳屡 嵯络层 删钮，露 数摄链蹈层 数据链路屡 l 物群堪 物理层 物理膳 图2 5 传统代理型防火墙 所谓代理服务器是指代表客户处理在服务器连接请求的程序【2 7 】。当代理服 务器得到一个客户的连接意图时，它们将核实客户请求，并经过特定的安全化的 p r o x y 应用程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接 受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。代理服务 器在外部网络向内部网络申请服务时发挥了中间转接的作用。 代理类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接 都要通过p r o x y 的介入和转换，通过专门为特定的服务如h t t p 编写的安全化的 应用程序进行处理，然后由防火墙本身提交请求和应答，没有给内外网络的计算 机以任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵 内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。就像你要向一个陌生 的重要人物递交一份声明一样，如果你先将这份声明交给你的律师，然后律师就 会审查你的声明，确认没有什么负面的影响后才由他交给那个陌生人。在此期间， 陌生人对你的存在一无所知，如果要对你进行侵犯，他面对的将是你的律师，而 你的律师当然比你更加清楚该如何对付这种人。 代理防火墙的最大缺点就是速度相对比较慢，当用户对内外网络网关的吞吐 量要求比较高时，比如要求达到7 5 1 0 0 m b p s 时，代理防火墙就会成为内外网络 之间的瓶颈。所幸的是，目前用户接入i n t e m e t 的速度一般都远低于这个数字。 在现实环境中，要考虑使用包过滤类型防火墙来满足速度要求的情况，大部分是 高速网( a t m 或千兆位以太网等) 之间的防火墙。 第二代：自适应代理防火墙 自适应代理技术【2 8 】( a d a p t i v ep r o x y ) 是最近在商业应用防火墙中实现的一 种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度 等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高1 0 倍以上。 组成这种类型防火墙的基本要素有两个：自适应代理服务器( a d a p t i v ep r o x y s e r v c l ) 与动态包过滤器( d y n a m i cp a c k e tf i l t e r ) ，如图2 - 6 所示。 在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置 时，用户仅仅将所需要的服务类型、安全级别等信息通过相应p r o x y 的管理界面 进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用 代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知 包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。 麻用层 = 釜，应川穗戍j f 】埃 表示毯 表。，j ：瑶襄，j ：层 会西瑶 会蹈联会话联 传输瞪 传输层f 专输层 网络屡 网络层列络层 1 i 数据链蹿层 数搦链路联 i 数掘链路层 i i , a - i 物理膳 物理层 i 物理层 图2 - 6 自适应代理防火墙 3 、复合型防火墙 由于对更高安全性的要求，有的厂商把包过滤的方法和代理服务结合起来， 形成新的防火墙产品。这种结合通常是以下两种方案之一： 屏蔽主机或屏蔽子网。在第一种方案中，一个包过滤路由器与i n t e m e t 相连， 同时，一个双宿主主机安装在内部网络。通常情况下，在路由器上设立过滤规则， 使这个双宿主主机成为i n t e m e t 上其他节点所能到达的唯一节点，这确保了内部 网络不受未被授权的外部用户的攻击，如图2 7 所示。 图2 - 7 屏蔽主机方案 屏蔽子网的方法与此相反，双宿主主机放在这一子网内，用包过滤路由器使 这一子网与内部网络分开。在许多屏蔽子网的实现中，两个包过滤路由器放在子 网的两端，在子网内构成了一个“非军事区d m z ”( d e m i l i t a r i z e d z o n e ) ，如图2 8 所示。 这两种方案中，双宿主主机必须有高度的安全性能，能够抵抗来自外部的各 种攻击，因此也把它称为堡垒主机【2 9 1 。这个主机和包过滤共同构成了整个防火 墙的安全基础。这样的方案构成了这样一个防火墙系统，数据在通过这个快速的 1 2 包过滤系统时进行详细的注册和审计。 2 2 2 国内外相关研究 图2 - 8 屏蔽子网方案 针对目前的网络安全状况，已有的防火墙技术并不能完全解决我们所遇到的 问题。除了这些相对成熟的防火墙技术，已经有很多新的方法和技术应用于防火 墙的研究，主要的方向有入侵检测与防火墙的联动系统、集成防火墙、智能防火 墙和分布式防火墙。 入侵检测与防火墙的联动系统利用i d s 发现入侵，通过一定的联动协议将阻 断要求传递到防火墙从而实现对入侵源数据通道的封堵。入侵检测是目前应用广 泛的安全技术之一，它是一种动态的安全防护手段，它能主动寻找入侵信号，给 网络系统提供对外部攻击、内部攻击和误操作的安全保护。入侵检测分为数据采 集、数据分析和响应三个部分。为了寻找入侵行为和痕迹，数据采集从网络系统 的多个点进行，采集内容包括系统日志、网络数据包、重要文件以及用户活动的 状态和行为等。数据分析通过模式匹配、异常检测和完整性检测三种技术手段对 采集的数据进行分析【3 0 1 。入侵检测系统一旦发现入侵行为，立即会进入响应过 程。入侵检测系统弥补了防火墙非动态防御的缺点，它可以和防火墙进行相互通 信。 i 竹j j f | 规j f ! i l 发现入1 广 l i d s 防火墙 i d sa g e n t j 戗入俊 羔 入侵者 l _ 一 检溯入经u 图2 - 9i d s 与防火墙联动 其原理是通过在防火墙中驻守一个i d sa g e n t 对象，来接受自i d s 的控制消 息，然后再增加防火墙的过滤规则，最终实现联动，如图2 - 9 所示。这种方法使 得防火墙具有一定的检测和发现功能，而不是被动地进行防御。 集成防火墙【3 i j 是由英国南安普顿大学的u l r i c hu l t e sn i t s c h e 和i n s e o ny o o 提出的，它研究了几种不同的安全技术，尽可能将其结合在防火墙中，比如入侵 检测，病毒扫描等。基本的概念就是在防火墙中加入一个智能引擎，这个智能的 检测引擎可以发现潜在的恶意数据包。这样生成的防火墙的一个重要特性就是异 常检测能力。他们将人工智能技术应用于检测异常的网络流量，来使得防火墙具 有异常检测能力，也就是一种入侵检测能力，同时也可以检测数据包的异常的内 容，从而生成智能防火墙。比如他们使用恶意的代码模式训练一个人工神经网络， 当相似的模式被检测到的时候将会报警。 智能防火墙1 3 2 j 是由s u s a nc l e e 提出，将神经网络等人工智能的方法直接用 于防火墙的设计实现。她提出一种b p 神经网络的方法，使用人工生成的实验数 据来训练一个检测异常的模块，从而进行检测异常的学习。她的实验结果显示， 这样的检测模块能够对异常进行反应，而且不只是对那些已知的攻击。她所检测 到的那些攻击并不需要事先给出信息或针对它们进行训练，但必须事先给出正常 行为的特征。由于网络协议能够很容易在形式上说明，因此利用协议实现缺点进 行攻击的行为就容易被进行模拟建模，这样的防火墙就具有了学习功能。 分布式防火墙【3 3 】是使用一种基于h c p n 的方法对防火墙系统和防火墙组件 进行描述，组合和模拟分析。这个引用模块给了防火墙设计者在网络防火墙系统 中所需要功能的理解，比如什么功能是网络访问控制需要的功能，它的先决条件 是什么，如何组建模块，他们之间如何相互作用。这一模块是描述和说明性的， 它并不说明具体功能如何实现。在这个模块中主要的组件有认证，完整性，访问 控制，审计和这些功能的执行，这些组件在分布式的方式中配置实现，并且能够 获得扩展。同时由于网络技术已经提供了许多特性和服务，防火墙系统的实现也 要靠下层的网络技术，因此他们要实现整个体系的支持，而不是如包过滤这样的 防火墙技术的高性能的实现，为防火墙的设计和实现提供一个框架。以前的防火 墙主要是通过对最新的基于网络的攻击的反应来制定，然而这一框架的实现可以 使防火墙走出这一状态，它可以使防火墙设计成一个对于网络访问进行控制的可 预见方法，同时也成为一个体系结构的设计，方便同后的扩展，它挖掘出防火墙 作为一个网络安全设备和体系结构的潜力。我们可以看到，将功能组件分开的好 处是通过冗余的机制配置来可以进行整体的保护，并提高可用性。 2 3 入侵检测技术及相关研究 尽管防火墙能够保护内部网络免受外部攻击，但由于防火墙技术的局限性和 网络安全问题的复杂性，由此引入入侵检测系统。入侵监测系统处于防火墙之后 对网络活动进行实时检测，许多情况下，由于可以记录和禁止网络活动，所以入 1 4 侵监测系统被认为是防火墙的延续。 2 3 1 入侵检测的概述 入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的 信息进行操作，检测到对系统的闯入或闯入的企图”( 参见国标g b t 1 8 3 3 6 ) 。入 侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情 况评估、攻击预测和起诉支持阴】。入侵检测技术是为保证计算机系统的安全而 设计配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用 于检测计算机网络中违反安全策略行为的技术。把入侵检测的软件与硬件组合起 来便成了入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) 。 入侵检测通常执行以下任务【3 5 j ： ( 1 ) 监视、分析用户及系统活动。 ( 2 ) 系统构造和弱点的审计。 ( 3 ) 识别反映己知的进攻的活动模式并报警。 ( 4 ) 异常行为模式的统计分析。 ( 5 ) 评估重要系统和数据的完整性。 ( 6 ) 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 入侵检测这个概念第一次出现是在2 0 世纪7 0 年代初，到了1 9 8 0 年j a m e s e a n d e r s o n 为美国空军发表著名的研究报告“计算机安全威胁监控与监视”的文 章第一次详细阐述了入侵检测的概念。可以这样说j a m e se a n d e r s o n 为主机i d s 的发展奠定了理论基础。1 9 8 7 年2 月，d o r o t h yd e n n i n g 发表了名为“a n i n t r u s i o n d e t e c t i o nm o d e l ”的著名论文，这篇文章实际上是对i d s 前几年研究与 开发工作的总结。d e n n i n g 在该文中提出了入侵检测系统的抽象模型，并且提出 这样的假设：建立一个专家系统支持的框架来描述发生在用户和程序或设备间的 正常的交互作用，来识别入侵者的异常使用模式，检测出入侵者违反安全规定的 蛛丝马迹。虽然，入侵检测的概念很早就提出来了。但是，入侵检测系统却是近 年来才出现的一种新兴的网络安全技术。同时，由于传统的数据加密技术及防火 墙技术的不足之处越来越明显。因此，入侵检测技术开始在网络安全领域中崭露 头角，并且开始发挥越来越大的作用。 2 3 2 入侵检测系统模型 为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化 工作，目前对i d s 进行标准化工作的有两个组织：i e t f 的i n t r u s i o nd e t e c t i o n w o r k i n gg r o u p ( i d w g ) 和c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ( c l d f ) 。 c i d f 阐述了一个入侵检测系统( i d s ) 的通用模型【3 6 】。它将一个入侵检 测系统分为以下组件：事件产生器( e v e n tg e n e r a t o r s ) ，用e 盒表示；事件分析 器( e v e n ta n a l y z e r s ) ，用a 盒表示；响应单元( r e s p o n s e u n i s