（计算机应用技术专业论文）分布式防火墙策略分发与分类研究.pdf

湖北工业大学硕士学位论文 摘要 在典型的分布式防火墙模型中，由策略控制中心统一管理安全策略的制定和 分发工作。随着网络规模的不断扩大，策略控制中心的负载越来越重，同时分布 式防火墙规则的制定也越来越复杂，如果在策略规则的定义和分发过程中稍有不 慎，就会造成策略异常，导致网络脆弱从而给全网带来安全隐患。因此，分布式 防火墙策略分发和分类研究对分布式防火墙技术的发展有着重要意义。 本文首先分析研究了具有代表性的分布式防火墙系统模型的设计及实现方 案，总结了分布式防火墙实现的关键技术，归纳了当前该研究领域中各种策略分 发技术，同时指出了目前这些策略分发技术的缺陷以及不完善之处。然后本文提 出了一个三层分布式防火墙的模型，引入汇聚防火墙的概念，通过汇聚防火墙代 理主机防火墙的策略申请和证书申请以及转发策略和证书的工作，有效分担了策 略控制中心的负载，解决策略分发中的链路拥塞问题，消除了系统安全性能瓶颈。 同时还对汇聚防火墙的功能进行了有效扩展。在三层分布式防火墙模型的基础之 上，本文制定了“推送、“索取 和“查询 相结合的策略分发机制来确保策略 分发的及时性和有效性，并详细阐述了该策略分发机制的实现过程。为了在分布 式异构环境下实现策略分发，本文选择x m l 语言来描述分布式防火墙的安全策略， 并深入研究了基于s o a p 协议的分布式防火墙策略分发的原理及其技术可行性。 其次，针对当前提出的基于域的策略分类思想，本文通过在k e y n o t e 模型上 进行的实例分析，证明了该思想的可行性，也说明了该思想的不足之处在于用户 迁移时策略管理复杂以及策略更新的困难性。文中提出了基于成员角色权限的策 略分类思想，并将成员角色权限封装在属性证书中，使管理员贴近机构和人员的 组织形式和资源的分布来实施策略的分类制定和管理维护，更有利于策略分发的 安全性和有效性。文中详细表述了防火墙策略规则的定义、基于成员角色权限策 略分类方案及添加规则算法，并给出了属性证书封装成员角色权限的实现过程。 最后，本文设计了一个基于s o a p 的分布式防火墙安全策略分发系统，详细描 述了策略控制中心及节点防火墙各个子功能模块，给出了该系统关键技术的实现， 从而论证了在异构平台下基于s o a p 的分布式防火墙策略分发方案的技术可行性。 关键词：分布式防火墙，策略分发，策略分类，s o a p 湖北工业大学硕士学位论文 a b s t r a c t i nat y p i c a ld i s t r i b u t e df i r e w a l lm o d e l 。t h ed e f i n i t i o na n dd i s t i l b u t i o no fp o l i c i e sa r e m a n a g e db yt h ep o l i c yc o n t r o lc e n t e r w i t ht h ee n l a r g e m e n to ft h en e t w o r k t h el o a do f t h ep o l i c yc o n t r o lc e n t e ri si n c r e a s i n g ，a tt h es a m et i m e ，t h ed e f i n i t i o no fd i s t i l b u t e d f i r e w a l lr u l e sb e c o m em o r ea n d m o r ec o m p l e x ，t h ep o l i c i e sw i l lb ee a s i l ya b n o r m a la n d t h ew h o l en e t w o r kw i l lb e c o m ev u l n e r a b l et ot h es a f e t yh i d d e nd a n g e r si ft h ed e f i n i t i o n a n dd i s t r i b u t i o no ft h ep o l i c i e sa r ci nt h el e a s tb i to fc a r e l e s s n e s s t h e r e f o r e 。t h e r e s e a r c ho nt h ec l a s s i f i c a t i o na n dd i s t i l b u t i o no fd i s t i l b u t e df i r e w a l li si m p o r t a n tf o rt h e d e v e l o p m e n to fi t st e c h n o l o g y t h i sp a p e rf i r s ta n a l y s e sa n ds t u d i e so nt h ed e s i g na n dt h ei m p l e m e n t a t i o no ft h e d i s t r i b u t e df i r e w a l ls y s t e mm o d e l s ，g i v e sac o n c l u s i o no nt h ek e yt e c h n o l o g i e so f d i s t r i b u t e df i r e w a l li m p l e m e n t a t i o n ，a c h i e v eas p e c i f i ca n a l y s i so ft h ep o l i c yd i s t r i b u t i o n t e c h n o l o g i e s ，a n dp o i n t so u tt h a tt h ec u r r e n tt e c h n o l o g i e so fp o l i c yd i s t i l b u t i o nh a v e f l a w sa n di m p e r f e c t i o n s t h ep a p e rp r o p o s e sat h r e e t i e rd i s t r i b u t e df i r e w a l lm o d e l w h i c hi n t r o d u c e s t h ec o n c e p to fc l u s t e r i n gf i r e w a l lt h a ti su s e dm a i n l yt oa p p l yt h e p o l i c i e sa n dt h ec e r t i f i c a t e sf o rh o s tf i r e w a u s t h i sm o d e li se f f e c t i v es h a r i n gt h el o a do f t h ep o l i c yc o n t r o l c e n t e r ，s o l v i n gt h ep r o b l e mo ft h ec h a i nj a ma n de l i m i n a t i n g p e r f o r m a n c eb o t t l e n e c k s a n dt h ee x p a n s i o no fc l u s t e r i n gf i r e w a l lf u n c t i o n si sm a d e b a s e do nt h en e wm o d e l ，t h e p u s h ，g e t a n d s e a r c h p o l i c yd i s t r i b u t i o n m e c h a n i s mi s # v e nt oe n s u r et h et i m ea n de f f e c t i v e n e s so fp o l i c yd i s t r i b u t i o n ，a n dt h e d e t a i li m p l e m e n t a t i o n so fe a c hp o l i c yd i s t i l b u t i o nm e t h o da r em a d e c o n s i d e r i n gt h e d i s t r i b u t e dh e t e r o g e n e o u sp l a t f o r m s ，t h i sp a p e rc h o o s e sx m lt od e s c r i b et h ep o l i c yo f d i s t r i b u t e df i r e w a l l s ，t h e na n a l y s i sa n ds t u d yt h ep r i n c i p l eo fp o l i c yd i s t r i b u t i o na n d t e c h n i c a lf e a s i b i l i t yb a s e do ns q 敞 s e c o n d l y , i nv i e wo ft h ei d e ao fp o l i c yc l a s s i f i c a t i o nb a s e do nt h ed o m a i nw h i c h s c h o l a r sp u tf o r w a r d ，t h r o u g ha n a l y z i n gt h ee x a m p l eb a s e do nt h ek e y n o t em o d e l ，t h i s p a p e rp r o v e dt h ef e a s i b i l i t yo ft h ej d e a ，a n ds h o w st h es h o r t a g eo ft h ei d e ai sc o m p l e x p o l i c i e sm a n a g e m e n ti n t h ec a s eo fu s e rm i g r a t i o n ，a n dt h ed i f f i c u l t yo fp o l i c i e s u p d a t i n g t h e nt h en e wp o l i c yc l a s s i f i c a t i o ni d e ab a s e do nt h em e m b e rr o l ed o m a i n w h i c hi sp a c k a g e di n t ot h ea t t r i b u t ec e r t i f i c a t e si sp r o p o s e d i tm a k e sa d m i n i s t r a t o r s c l o s et ot h ea g e n c i e sa n do r g a n i z a t i o n a lf o r mo fp e r s o n n e l ，a n dm a k e st h e me a s yt o d e f i n e ，c l a s s i f ya n dm a n a g et h ep o l i c i e s t h ep a p e re x p r e s s e dt h ed e f i n i t i o no ff i r e w a l l r u l e s ，t h em e t h o do fp o l i c yc l a s s i f i c a t i o nb a s e do nt h er o l ed o m a i n ，t h e nt h ea l g o r i t h m o fa d d i n gr u l ei sg i v e na n dt h ei m p l e m e n t a t i o no fp a c k a g i n gt h ep o l i c i e s f i n a l l y , t h i sp a p e rd e s i g n e dap o l i c yd i s t r i b u t i o ns y s t e mo fd i s t r i b u t e df i r e w a l lb a s eo n s o a p ad e t a i l e dd e s c r i p t i o no ft h em o d u l e so ft h ec e n t e ra n df i r e w a l le n di sm a d e a n d t h er e a l i z a t i o no fk e yt e c h n o l o g i e si sg i v e n a tl a s t t h ep a p e rd e m o n s t r a t e dt h a tt h e m e t h o di sf e a s i b l et h r o u g he x p e r i m e n t a lr e s u l t s k e y w o r d s ：d i s t r i b u t e df i r e w a l l ，p o l i c yd i s t r i b u t i o n ，p o l i c yc l a s s i f i c a t i o n ，s o a p n 湖咖二堂火謦 学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所里交的学位论文，是本人在导师指导下，独立进行研究工作所取 得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个人或集体已经 发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在文中以明确方 式标明。本声明的法律结果由本人承担。 学位论文作者签名： 刁、) 若 日期：劲岖年5 月弓。e l 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权保留 并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授 权湖北工业大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采 用影印、缩印或扫描等复制手段保存和汇编本学位论文。 学位论文作者签名：刹岳 日期：2 p 。圆年s 月3 0 e l 指导教师签名： 日期：凇脾6 月日 湖北工业大学硕士学位论文 1 1 论文的研究背景 第1 章绪论 因特网正以指数级的速度迅速发展和广泛应用。然而，大量事实表明网络安 全也出现了前所未有的严峻形势，它已成为影响网络技术进一步发展和应用的关 键因素之一。在目前所使用的网络安全技术手段中，在网络边界的入口处安装防 火墙来阻止攻击是安全防范的主要手段，其基本功能是通过对网络外部和内部用 户的区分和访问授权机制来防止非法访问，从而实现保护网络安全的目的。然而， 随着网络技术的发展和网络规模的扩大，传统防火墙的局限性逐步暴露出来。主 要的缺点在于它的运行完全依赖于严格的网络拓扑结构，检查机制集中在网络边 界。事实上，接近8 0 的攻击和非授权访问来自于内部网络乜1 ，而传统防火墙对此 显然无能为力。 为了克服传统防火墙的缺陷又保留其优点，1 9 9 9 年，美国a t & t 实验室研究员 s t e v e nm b e l l o v i n n l 首次提出了分布式防火墙( d i s t r i b u t e df i r e w a l l ) 的概念， 给出了分布式防火墙的原型框架，奠定了分布式防火墙研究的基础。这种防火墙 打破了传统防火墙的拓扑限制，将内部网的概念变成逻辑意义，具有更好的灵活 性和可扩展性。 分布式防火墙“策略集中定义，分散实施舻的思想解决了传统边界防火墙遗 留的安全问题，已经被广泛接受。随着网络规模的不断扩大化，分布式防火墙各 个通信节点可能分布在不同的物理地域，且节点对安全策略要求各不相同，特别 是在大中型网络的分布式防火墙系统中，安全策略管理员负担沉重，为每一个节 点单独设定安全策略显然相当复杂而且稍不注意容易引起策略冲突。如何分类制 定全网的安全策略从而避免产生策略异常将会是分布式防火墙面临的新问题。 与此同时，分布式防火墙的策略控制中心的负荷也将随着节点数目的扩展而 越来越大，由于其任务过重必然导致性能的下降，如果策略控制中心负载过重而 不能及时更新和分发安全策略，就必定给全网的安全带来一定的隐患。如何消除 这种隐患，同时保证策略分发在分布式异构环境下的及时性和有效性也是分布式 防火墙策略分发机制需要研究的重要问题。 由此可见，策略分发和分类是分布式防火墙的策略集中管理、分布执行特征 。的重要体现。要实现分布式防火墙中安全策略的可定制以及网络安全的可管理性， 湖北工业大学硕士学位论文 并将安全策略和管理控制命令从策略控制中心分发到网络节点或远程节点进行分 布的执行，就需要制定一套策略分发和分类机制，保证策略上传下达的及时性、 可靠性、安全性及其易管理性。分布式防火墙的策略分发和分类研究对目前分布 式防火墙的研究现状来看有着极其重要的意义。 本文将在深入研究分布式防火墙技术、策略分发及策略分类机制的基础上， 提出一个三层新型分布式防火墙模型，以汇聚防火墙代理策略的思想为指导，以 实现完善的策略分发机制以及优化策略分类制定管理和分发过程为目标，研究并 实现异构平台下的分布式防火墙策略分发系统。 1 2 国内外研究现状 目前，在分布式防火墙研究领域中，国外研究学者更加关注过滤性能和策略 异常的检测问题上，而国内则主要研究分布式防火墙的框架结构和策略描述方面。 有关分布式防火墙策略的研究主要有以下几个方面： h u n t r a y 1 从考察防火墙策略开始，详细说明了网络服务访问控制和防火墙设 计策略，然后讨论了各种防火墙体系结构，包括从简单的包过滤，到子网掩码和 代理网关。最后提出了各模块之间的安全传输方案，包括加密隧道技术，i p v 6 、 点对点的隧道协议、s s l 等。 a 1 - s h a e r e h a b s h l 分析识别出所有在单个或者多个防火墙环境中所有可能出 现的策略异常，并给出了这些异常的具体表达式，最后设计了一种软件工具来实 现这些异常的处理，简化了过滤规则的管理，保证了防火墙的安全性。 针对典型的交换网络和其安全策略的需求，w uj i a n p i n g 、l ix i n g 提出了一 种基于策略的访问控制框架( p a c f ) 晦1 。这种框架基于三层抽象的访问策略：组织 访问控制策略，全局访问控制策略和局部访问控制策略。全局访问控制策略主要 来自i d s 的结果和根据组织访问控制策略的搜索引擎，和局部访问控制策略一样 自动或者手动的发送给防火墙。 吉林大学的唐怡针对传统过滤匹配算法的缺陷，提出了结合基于角色访问控 制策略3 的思想，对截获到的网络数据包进行过滤处理，从逻辑上将网络用户划归 为不同的网段，系统管理员可以针对不同网络用户分别制定不同的过滤规则，从 而简化了过滤规则的管理，降低了数据包过滤匹配的时间，提高了系统效率和安 全性。 针对分布式系统中管理的特点，秦晰，周保群口1 详细介绍了一种基于策略的管 理模式，给出了利用这种管理模式对信息流进行过滤的工作实例，并将这种模式 2 湖北工业大学硕士学位论文 应用在分布式防火墙中。该模式由三部分组成：策略描述语言、策略发布和策略 实施。策略描述语言可以表达授权、身份认证、访问控制、信息流过滤等多种管 理策略，由k e y n o t e 语言实现。策略发布要保证策略的机密性和完整性。机密性 采用i p s e c 密钥管理协议或其他的安全协议。完整性可通过安全通信协议或安全 的策略对象描述来实现，确保策略的真实可靠。管理者的任务是根据具体需求， 向各个管理域内的被管理者发布策略。策略实施就是根据管理者制定的管理策略， 对整个分布式系统中被管理者的行为进行实际的处理。 c h e ny a o m i n 提出了基于策略的入侵防御系统( p b i p s ) i s ，目的在于实现安 全管理与网络管理系统真正的结合，以网络管理系统为中介，将防火墙技术和入 侵检测技术融于一体，实现全新的网络安全保护措施。 大连理工的何容盛阳3 采用控制中心签名的证书表示通信节点的身份，通过数字 签名与认证来建立节点之间的信任关系。节点之间的关键通信信息都被认为是一 个策略，采用策略语言h g n o t e 来表示。每个策略都有策略发布者，接收者的证书， 策略制定的时间戳及有效期，同时还要附上发布者的数字签名，用于保证策略的 安全验证；每个策略还可包含策略管理命令及策略内容，用于保证有效的策略管 理与节点间通信。对于策略的分发和执行，论文口们中策略分发机制采用了一种 “推 、“拉 式的策略分发协议，节点防火墙按照协议与策略控制中心建立连接， 确认身份，采用加密通信“拉回安全策略。而策略服务器更新策略以后，可直 接“推 到网络边界进行执行。 南京理工大学的张雪n 基于一种新型的分布式防火墙模型对策略分发技术进 行了研究。该模型没有集中的策略控制中心，而是将策略控制中心的工作转移到 节点防火墙中，使得每个节点防火墙都有一个策略控制模块。当某个节点防火墙 受到攻击后，该防火墙生成一条安全策略并将其分发给其他节点防火墙，给其他 防火墙提出预警，共同防御网络攻击。将改进后的n i c e 算法应用到策略分发机制 中，用这个算法创建策略分发路径，使用应用层多播技术分发策略，并且用面向 连接和无连接两种方式在实际网络环境中进行了测试，证明其具有更高的策略分 发效率。 。 1 3 论文的主要研究内容 本文的课题来源：湖北省科技攻关项目“分布式防火墙研究 ( 项目编号： 2 0 0 4 从1 0 1 c 6 7 ) 本文的研究工作主要包括以下几个方面： 湖北工业大学硕士学位论文 曼皇皇! ! 曼! 詈曼曼! ! ! ! ! ! 曼! ! 曼巴! ! 鼍! 曼曼曼曼曼曼鼍詈! 詈! ! 詈曼曼曼鼍皇詈! 鼍詈! 鼍舅曼! 曼! 曼一 i 研究了分布式防火墙技术 本文综述了分布式防火墙产生背景及其基本原理、体系结构及特点，详细分 析研究了近几年国内外专家学者对分布式防火墙系统模型的设计及实现方案。分 析并总结了分布式防火墙实现的关键技术。 2 研究了分布式防火墙策略分发技术 本文分析了当前分布式防火墙研究领域中策略分发的实现方法，归纳了各种 策略分发技术，同时指出了目前这些策略分发技术的缺陷以及不完善之处，并提 出了自己的构想。 3 研究了分布式防火墙策略分类技术 针对有些学者的研究论文中都提到的域这个概念，文中通过在k e y n o t e 模型 上进行的实例分析，对该思想是否理想进行了研究并给出答案，证明了该思想有 效的减轻了策略管理员的负担，但存在用户迁移时策略管理复杂的问题，在此基 础之上提出了基于成员角色权限的策略分类思想。 4 分析设计了分布式防火墙策略分发与分类总体框架 针对目前分布式防火墙策略分发与分类机制存在的问题，提出一个新型三层 分布式防火墙模型，并将策略分发与分类机制融入其中。在策略分类管理中引入 了基于成员角色权限的策略分类思想，并将其封装在属性证书中。在策略的分发 机制中，通过汇聚层防火墙的策略申请及代理服务，有效解决了策略控制中心的 负载过重而带来的问题，并制定了“推送 、“索取以及“查询 相结合的分发 机制来确保策略分发的及时性和有效性。 5 研究并实现了分布式异构平台下基于s o a p 的分布式防火墙策略分发系统 在选择x m l 做为分布式防火墙策略描述语言的基础上，深入研究了s o a p 协议 的分布式防火墙策略分发的原理，设计和实现了基于s o a p 的分布式防火墙策略分 发系统，解决了分布式防火墙环境下的分布式通信问题，同时利用s o a p 签名和加 密技术，保证了策略在中转、存储和传输中的安全性问题。 1 4 论文的主要贡献 针对当前分布式防火墙研究领域中策略分发技术以及分类方案的不足，本文 在策略分发机制上，首先提出了一个新型三层分布式防火墙模型，引入汇聚防火 墙来代理主机防火墙的策略以及证书的请求工作，减轻了策略控制中心的负荷， 平衡了系统的负载，同时对汇聚防火墙功能进行了有效的扩展。此外，制定了推 送”、“索取 以及“查询”相结合的策略分发机制，保证策略实时，安全，高效 4 湖北工业大学硕士学位论文 的传输到节点防火墙执行。最后，基于异构环境下如何进行策略分发的问题，文 中深入研究了s o a p 协议的分布式防火墙策略分发的原理，设计和实现了基于s o a p 的分布式防火墙策略分发系统，从而论证了其技术可行性，同时对s o a p 的安全机 制进行了完善。 在策略分类思想上，提出了基于成员角色权限的方案，使得用户的身份与策 略相分离，使得用户与成员角色权限相关联，成员角色权限与策略相关联。成员 角色权限的数目远远少于用户的数目，适应大规模分布式应用环境，更有利于策 略分发的安全性和有效性。同时在分发过程中，引入属性证书的概念，将成员角 色权限封装其中，保证策略和用户的完整性和一致性，确保在传输过程中系统集 中授权的策略不被篡改。 1 5 论文的组织 第1 章，绪论。阐述了课题背景和国内外的研究现状，说明了本文的主要研 究内容、主要贡献以及论文的组织结构。 第2 章，分布式防火墙技术。介绍了分布式防火墙基本原理，体系结构及特 点。总结了当前的分布式防火墙系统模型，并对分布式防火墙系统实现方案进行 了分析和思考。 第3 章，分布式防火墙策略分发与分类技术。介绍了分布式防火墙的策略描 述语言，深入研究了分布式防火墙的策略分发技术，归纳了五种当前研究领域中 的策略分发技术。然后分析了基于逻辑域的策略分类思想，并对该思想在k e y n o t e 模型的应用进行了实例化分析，证明了其有效性同时也指出了其中的不足。 第4 章，分布式防火墙策略分发与分类总体框架的分析与设计。提出了一个 基于三层的分布式防火墙系统模型，介绍了该模型的体系结构、特点以及其应用 部署。对策略分发和分类思想进行了论述，对其实现过程的进行了详细的阐述。 第5 章，分布式防火墙策略分发系统的实现。设计了基于s o a p 的分布式防火 墙策略分发系统，详细描述了策略控制中心服务器端和节点防火墙端的各子功能 模块，并对此系统的关键技术进行了实现，分别给出了分发策略和请求策略的实 现过程和实验结果。 第6 章，总结与展望。总结全文并对未来的工作提出建议。 5 湖北工业大学硕士学位论文 2 1 引言 第2 章分布式防火墙技术 随着网络技术的发展，传统边界防火墙的应用受到了愈来愈多的结构性和功 能性限制。它依赖于物理上的拓扑结构，将网络划分成为内部网络和外部网络， 这一点影响了防火墙在v p n 中的应用。另外，多种上网连接方式如无线连接和拨 号访问等很容易建立一个绕过防火墙的连接，给网络留下后门造成网络安全隐患。 传统防火墙把检查机制集中在单一的网络接入点上，极易形成网络流量的瓶颈和 单点故障隐患等问题。同时，当加密技术和新一代网络协议被使用的时候，防火 墙因为没有密钥而不能理解流过的数据包内容，从而不能实施检查。此外，边界 防火墙难以平衡网络效率与安全性设定之间的矛盾，无法为网络中的特点服务器 或者主机定制规则，它只能使用一个折衷的规则来近似满足全网的需要，因此或 者损失效率或者损失安全性。 为了解决传统边界防火墙的缺陷并保留其优点，美国a t & t 实验室研究员 s t e v e nm b e l l o v i n 于1 9 9 9 年在他的论文“d i s t r i b u t e df i r e w a ! l s 中，首次提 出了分布式防火墙的概念并给出了分布式防火墙的基本框架。 2 2 分布式防火墙概述 2 2 1 分布式防火墙的基本原理 分布式防火墙的基本思想是“策略集中定义，分散实施，日志集中收集 。由 策略中心统一制定策略，并将策略分发到主机上执行。它使用一种策略语言来制 定策略，策略被编译成内部形式存储在策略数据库中，由管理软件分发到主机防 火墙上执行。主机防火墙根据这些安全策略和加密的证书来决定是放行还是丢弃 网络数据包，从而对主机实施保护。各台分散主机的审计事件要被上传到策略控 制中心的日志数据库中集中保存和分析。 由此可见，分布式防火墙系统主要依赖于以下三个主要概念： ( 1 ) 能够不依赖于网络拓扑结构进行规则定义的策略描述语言。 ( 2 ) 策略分类与分发机制。策略分发机制用于将形成的策略文件准确高效安 全的分发给被防火墙保护的所有主机。策略分发的过程需要采取加密措施，因为 6 湖北工业大学硕士学位论文 曼i i 曼詈! ! ! 曼! 曼曼曼詈! 鼍曼曼! ! ! 曼曼曼量曼鼍曼曼曼曼曼曼曼! 曼曼皇曼曼曼皇曼皇! 曼曼曼曼曼! 曼曼皇曼! 曼皇曼 如果策略在分发过程中被窃听，那么攻击者可以随心所欲的进行攻击。同时，策 略分笈过程中还要进行身份认证以保证策略分发准确性。在策略管理方面，就要 涉及如何实现全网策略的分类制定方案来减小策略制定的复杂度，避免产生策略 异常，同时保证策略分发的准确性和有效性，在此基础上也保证了全网安全策略 的执行。或者考虑在怎样的策略分发机制下使用怎样的策略分类制定方案。两者 相辅相成，密不可分。 ( 3 ) 能够保障数据安全传输的安全通讯协议。 2 2 2 分布式防火墙的体系结构及特点 一个典型的分布式防火墙的体系结构如图2 1 所示，主要包含了三个部分： 舾 一零 a n 舞暴一篇。、一瀚曩 产丁i 黧，呷一霪歹j 搭p c帮登 w ”e b 7济 图2 1 分布式防火墙的体系结构 ( 1 ) 网络边界防火墙 网络边界防火墙功能继承着传统边界防火墙，作为内部网络对外的第一道屏 障，有效地将大量的外部攻击抵御于内部网络之外，减少内部网络的数据流量， 并与主机防火墙结合，可获得更高的系统性能。但与传统边界防火墙相比，它多 了一种用于对内部子网之间的安全防护层，这样整个网络的安全防护体系就显得 更加全面，更加可靠。 ( 2 ) 主机防火墙 主机防火墙对网络中的服务器和桌面机进行保护，其物理位置可能在内部网 络中，也可能在外部网络中。主机以外的网络，不管是内部网还是外部网，都被 认为是不可信任的，因此可以对该主机运行的具体应用和对外提供的服务设定针 对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是，使安 全策略不仅仅停留在网络与网络之间，而是把安全策略推广到每个网络终端n 引。 ( 3 ) 策略控制中心 策略控制中心是整个分布式防火墙的核心，用来对安全策略进行统一策划和 7 湖北工业大学硕士学位论文 管理，对布置在网络中任何位置上的防火墙分发安全规则以及进行同志汇总等。 这样防火墙就可进行智能管理，提高了防火墙的安全防护灵活性，具备可管理性。 综合归纳起来，分布式防火墙具有以下几个技术特点： ( 1 ) 主机驻留：分布式防火墙的重要特征是驻留在被保护的主机上，该主机 以外的网络不管是处在网络内部还是网络外部都认为是不可信任的，因此可以针 对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。 ( 2 ) 嵌入操作系统内核：主机防火墙的安全监测核心引擎要以嵌入操作系统 内核的形态运行，直接接管网卡，在把所有数据包进行检查后再提交操作系统。 ( 3 ) 类似于个人防火墙：针对桌面应用的主机防火墙的安全策略由网络管理 员统一安排和设置，除了对该桌面机起到保护作用外，也可以对该桌面机的对外 访问加以控制，并且这种安全机制是桌面机的使用者不可见和不可改动的。 ( 4 ) 提供了安全防护扩充的能力：分布式防火墙分布在整个企业的网络或服 务器中，所以它具有很好的扩展能力。随着网络的增长，它们的处理负荷也在网 络中进一步分布，因此它们的高性能可以持续保持住。 ( 5 ) 应用更为广泛，支持v p n 通信：分布式防火墙最明显的优势在于能够保 护逻辑上的“内部 主机。对于v p n 的发展，传统处理方法是将远程内部主机和 外部主机的通信依然通过防火墙隔离来控制接入，而远程内部主机和防火墙之间 采用隧道技术保证安全性，这种方法使原本可以直接通信的双方必须绕过防火墙， 不仅效率低而且增加了防火墙过滤规则设置的难度。对分布式防火墙而言，远程 内部主机与物理上的内部主机没有任何区别，可以有效防止这种情况的发生n 羽。 2 一3 分布式防火墙的实现技术 分布式防火墙技术还在不断的发展之中，因而没有固定的体系和模式，但有 些经典的模型在分布式防火墙的发展中具有重要地位，如基于k e y n o t e 的分布式 防火墙模型。近几年国内很多专家学者也对分布式防火墙系统模型进行了研究和 设计，以下对这些系统模型的设计和实现方案进行研究和分析。 2 3 1 分布式防火墙的系统模型分析 l 。基于k e y n o t e 的分布式防火墙模型 a t t 实验室的m a t tb l a z e 在1 9 9 6 年提出信任管理系统的概念，并提出采用 策略语言描述通信节点之间的安全策略，还提出了一种原型系统p o c il y m a k e r n 钉。 m a t tb l a z e 等人于1 9 9 9 年提出一种k e y n o t e 信任管理系统，s o t i r i si o a n n i d i s 湖北工业大学硕士学位论文 等人提出了一种分布式防火墙模型，并在o p e n b s d 平台上实现了分布式防火墙原 型n 副。该原型系统由三个模块组成：内核扩展集合，用户级守护进程和用于内核 与守护进程间双向通讯的设备驱动程序。其结构如图2 2 所示。 k e r n e ls p a c e 图2 2o p e n b s d 平台的分布式防火墙原型 内核扩展集产生并提交策略上下文即决策请求、根据策略守护进程的答复对 包进行处理。策略守护进程是负责做出决策的用户级进程，向管理中心注册以获 取本地安全策略，并对策略进行解析，根据这些策略来决定允许还是拒绝连接。 内核和策略守护进程间的通讯是使用设备驱动实现的。守护进程通过读取设备驱 动从内核接收请求。请求的处理由守护进程使用k e y n o t e 库完成，得到一个接受 或拒绝的决定，最后守护进程将答复写回到内核并等待下一个请求。 2 基于i p s e c 的分布式防火墙模型 1 9 9 9 年，s t e v e nm b e l l o v i n 教授在文献n 3 中描述了二个基于i p s e c 的分布式 防火墙模型，使用i p s e c 的加密证书名称标识网络主机，完全摒弃了以往使用i p 地址标识主机的方法。该模型由系统管理模块，翻译器和主机策略执行模块三个 部分组成。网络安全管理员使用系统管理模块来管理所有主机，根据主机标识符 定义安全策略，将定义好的安全策略使用翻译器编译成某种环境的内部格式传送。 安全策略被分发到分布式防火墙的各个主机上，由主机策略执行模块负责执行。 使用i p s e c 中的密码证书机制来标识主机，分布式防火墙仅授权给拥有对应私有 密钥的结点，远程主机如果能提供相应的证书就能和内网结点具有同样的安全保 护和授权。同样，即使主机是拓扑结构上的内网结点，如不能提供相应的密码证 书，依然无法取得相应的服务，并且i p s e c 密码证书机制可以抵御i p 欺骗攻击， 在本地执行安全策略变得更加安全和方便。 3 基于a g e n t 的分布式防火墙模型 基于a g e n t 的分布式防火墙模模型n 刚将a g e n t 技术的自主性、交互性和反应 性融入分布式防火墙系统的设计中，强调策略管理中心同主机防火墙的联动及本 湖北工业大学硕士学位论文 鼍! ! 皇! 量皇曼曼曼! ! ! ! ! ! ! ! 鼍! ! ! ! 鼍皇! ! 鼍! ! ! ! ! ! 曼詈! ! ! 曼曼曼曼鼍! 詈曼苎! ! 皇! 曼鼍曼皇曼曼! 。 地安全策略的动态更改，如图2 3 描述了该模型的基本组成。 中心服务器 消息队列 趟 代码装载器 代码装载器 熏嚣圆il 巡糯磊赢眦到ii 龇划妊丽 图2 3 基于a g e n t 的分布式防火墙模型 该模型基于一对多的体系结构，由一个中心服务器和多个分布在不同主机上 的代理子系统组成。系统充分的利用代理子系统中的代码装载器动态、按需地装 载代码块。当受保护主机的入侵检测代理检测到某种潜在的攻击时，它立即向中 心服务器发出一个事件消息，中心服务器接收到该事件消息后根据自身的分类引 擎将事件分类，并定位到相应的审计代理中，将审计代理的代号传送到产生该事 件消息的代理子系统的代码装载器中。代码装载器检测本地的规则执行器是否已 经加载了相应保护措施的代码，尚未安装则提出代码装载请求，然后代码装载器 搜索该代码的位置信息。若发现本地系统中有所需代码的副本则直接从本地系统 装载代码并交给规则执行器执行。如果所需代码不在本地系统，则向中心服务器 发出申请，将所需代码从服务器上装载到本地主机上，。并缓存在本地文件系统中。 4 基于k e r b e r o s 认证的分布式防火墙模型 华中师范大学的杨毅坚等人在2 0 0 1 年6 月份发表文献n 刀中提出了一个基于 k e r b e r o s 认证的分布式防火墙模型。基于k e r b e r o s 认证的分布式防火墙模型将密 码认证机制和陷阱机制融入分布式防火墙的设计当中，其组成结构如图2 4 。 规 则 制 定 中 心 安全中心结构s c o p p miip p ml p p mi ls h 羔型e u 匕型鬯j 匕型- _ _ _ - - _ - _ - ，、_ _ _ ，- _ - _ 一- - _ - _ _ _ _ _ _ - _ _ ，、_ _ _ - - 。- _ 。_ ，、_ _ _ - - _ _ _ _ _ _ ， 异常流量信。日【j 【异常流量信息 规 则 制 定 中 心 图2 4 基于k e r b e r o s 认证的分布式防火墙模型 l o p p m 策略执行器 s h ：陷阱主机 s c o ：安全中心结构 湖北工业大学硕士学位论文 陷阱主机是指为一台主机配置多个i p 地址，但只有一个为“主地址 ，其余 的则是“陷阱i p ，每个陷阱主机都是一个普通的受保护主机，都有策略执行器。 s c o 是一个服务器组，每个服务器对应于不同安全级别的用户组。s c o 对其直属主 机进行保护，每个直属主机又可以有多个下属分支，以达到对每一个合法用户的 所有安全要求的满足。对于不同用户及不同安全要求级别，将其分散到不同的组 别中，通过各个组别的上级节点进行直接的安全规则发送以达到安全保护。 5 分布式动态防火墙系统 白跃彬等人提出了一种新型的分布式动态防火墙系统 1 8 o 在n a s 访问服务器 中的防火墙系统使用基于i p 包过滤的防火墙，通过对防火墙中i p 包过滤规则的 定义实现对用户访问网络资源的控制。远程用户认证系统由认证服务器a u h t s 和 位于n a s 中的认证系统客户端程序组成。当远程用户要访问网络资源，它必须通 过n a s 向a u t h s 申请认证，认证系统会返回该用户的包过滤器的唯一标识p fi d 。 将一个用户的所有过滤规则形成用户的i p 包过滤器。对于一个远程访问用户来说， n a s 中的防火墙系统的相应模块首先要检查本地有无标识为p f _ i d 的包过滤器驻 留。如没有，需要从防火墙服务器的规则库中下载。当用户的物理位置发生变化 时，它可通过另外一个n a s 对网络进行访问，但下载到的包过滤器将是唯一的。 6 h y w a v e g u a r d 分布式防火墙 大连理工大学的张志云等设计了一个具有实际意义的分布式防火墙模型系统 h y w a v e g u a r d 口1 。该模型用统一的、层次化的自定义策略描述语言h g n o t e 来描述， 同时采用证书作为分布式防火墙系统用户的标识符。使用公私钥匙认证体系对防 火墙中的通信节点进行认证，节点之间的信任关系由数字签名与证书来保证，通 信的机密性用会话钥匙加密来保证策略和证书的传输。策略的分发采用“推”、“拉 结合的策略分发协议。在控制中心更改策略之后，“推 到节点防火墙进行更新； 执行节点进行初始化或者证书、策略到期的时候主动到控制中心“拉”策略。 2 3 2 分布式防火墙的实现方案分析 通过对分布式防火墙系统模型的分析不难看出，所有分布式防火墙系统的共 同点在于“集中管理、分散执行”，都是由一个控制中心管理端点主机，制定和分 发安全策略，然后由端点主机上的主机防火墙执行安全策略。各个系统模型设计 的区别也主要体现在通用策略描述语言、系统内部的信任机制和通信机制以及增 强分布式防火墙系统的互动性和响应能力上。在此基础上，对分布式防火墙实现 方案主要分析思考如下： ( 1 ) 采用何种策略描述语言。分布式防火墙必须考虑的首要问题是策略执行 湖北工业大学硕士学位论文 程序如何理解控制中心统一制定的安全策略文件。也就是说控制中心和策略执行 程序之间需要一个协议，可以使用通用的协议也可以使用自定义的策略描述语言。 如基于k e y n o t e 的分布式防火墙模型就是使用的k e y n o t e 信任管理系统来表达策 略，而h g n o t e 就是自定义的策略语言。选择哪一种策略描述语言并不重要，关键 是语法清晰、结构性好、可读性强，不仅可以描述控制中心发往执行节点的访问 控制规则，还可以描述各个通信节点之间重要的通信信息，如管理配置命令等。 ( 2 ) 如何标识“内部 主机。仅仅使用i p 地址标识主机是不够安全的，特别 是处在物理边界外的主机以及分支机构，因此很多的分布式防火墙模型采用的是 证书标识主机。市场上的大多数分布式防火墙系统还是使用i p 地址标识主机，也 有将i p 地址和m a c 地址绑定的方法在增强安全性。 ( 3 ) 安全通信协议或通信机制的制定。将认证和加密机制引入分布式防火墙 系统的目的就是保护物理上位于外部网络但需要与企业服务器或局域网内任何主 机通讯