（计算机应用技术专业论文）分布式防火墙信任管理模型的研究.pdf

湖北工业大学硕士学位论文 摘要 跨入2 1 世纪，i n t e m e t 技术带领信息科技进入了新的时代，越来越多的计算机 联入了i n t e m e t 。作为当今规模最大的互联网络，它为全世界众多用户提供了多样 化的网络与信息服务，它改变了人们的工作、生活的方式，使信息的获取、传输、 处理和利用更加高效快捷，人们多互联网的依赖也越来越强，网络已经成为人们 生活中不可缺少的一个部分。但是，i n t e r a c t 是一个面向大众的开放系统，对于信 息的保密和系统的安全考虑得并不完备，加上计算机网络技术的飞速发展，互联 网上的攻击破坏事件举不胜举。目前，我国存在着大量的中小型企业、实验室等 单位，这些机构内部拓扑简单、通过网关上网，网络中存在着w e b 服务器、f 1 口 服务器等用于对外提供服务。这类网络中可能有远程用户要求接入，对内部弼资 源进行存取，需要对不同的内部子网采用不同的访问控制，这些需求都是针对网 络中的部分用户进行的网络安全管理，采用传统的防火墙不能很好的达到要求。 本文针对这种实际需求，将分布式防火墙技术应用于小型网络环境中，利用其分 布性特征来解决小型网络条件下对特定服务的需求，并实现了一个分布式防火墙 的模型系统。 本文先阐述信任管理的定义和模型，然后对d f w 中的信任管理系统进行了分 析，对信任管理系统用于分布式防火墙中进行了研究，最后给出了一个分布式防 火墙的信任管理系统的模型，并对模型进行了描述。 在论述分布式防火墙系统策略管理机制中，本文分析了系统复杂性和管理复 杂性问题，提出了一个合理的系统管理模型，阐述了k e y n o t e 信任系统，论述了 分布式管理和策略合成，最后讨论了策略更新和撤销问题。 在论述带有信任管理机制的i p s e c 网络层控制实施机制中，本文简要描述了 i p s e c 的背景，说明了i p s e c 在分布式防火墙系统中所处的位置，详细描述了安全 关联( s a ) 的作用，提出了通过控制安全关联的创建来控制i p s e e ，并结合系统用到 的k e y n o t e 信任管理机制详细的论述了基于k e y 的控制机理，最后详 尽的描述了基于控制的 输入、输出n 处o t e 理的i 基p s 本e c k e y n o t e i p s e c 流程。 关键词：分布式防火墙，k e y n o t e 模型，信任管理，i p s e c ，i k e 湖北工业大学硕士学位论文 a b s t r a c t a tp r e s e n t t h e r ea r cl a r g en u m b e r so fs m a l l - s c a l ee n t e r p r i s e sa n dl a b o r a t o r y t h e y h a v es o m ec h a r a c t e r i s t i c s ，s u c h 勰t h et o p o l o g yo ft h e s eu n i t si ss i m p l e ，t h e yc o n n e c tt o i n t e m e tt h r o u g hag a t e w a y , a n dt h e r ea r eo f t e ns o m ew e bs e i v e ro rf 1 ms e r v e ri nt h e n e t w o r kt op r o v i d es e r v i c e i nt h i sk i n do fn e t w o r k , t h e r ea r eo f t e ns o m ei o n g - d i s t a n c e u s e r sw h ow a n tt oc o n n e c tt oa c c e s si n t e r n a lr e s o u “，e sa n dd i f f e r e n ta c c e s sc o n t r o l sa r e a d o p t e do nd i f f e r e n ti n t e r n a ls u b - n e t w o r k s t h e s er e q u i r e m e n t sa i ma tp a r t so fu s e r si n t h en e t w o r k , s ot h ec o n v e n t i o n a lp e r i m e t e rf i r e w a l l sc a n n o tf i l lt h e s en e e d s t h i sp a p e r a i l f l l sa tt h ea c t u a l r e q u i r e m e n ta n da p p l i e sd i s t r i b u t e df i r e w a l lt e c h n o l o g i e s t o s m a l l s c a l en e t w o r k , u s i n gt h ed i s t r i b u t e dc h a r a c t e r i s t i c st os o l v et h er e q u i r e m e n t so f d i s t r i b u t e ds e r v i c e ，a n di m p l e m e n t sad i s t r i b u t e df i r e w a l lm o d e ls y s t e m t h i sp a p e rd e s i g nan e wt y p ed i s t r i b u t e df i r e w a l l ，w ei n t r o d u c e dt h ec o n c e p to f t r u s tm a n a g e m e n ta n dd e s c r i b e dk e y n o t et r u s tm a n a g e m e n tm o d e l a n dd e s c r i b eat r u s t m a n a g e m e n tm o d e li nd i s t r i b u t e df i r e w a l la n dg a v ea f u r t h e rr e s e a r c ht o p i c i nt h ep r i n c i p a lp a r to fd i s s e r t a t i o n ，t h et w ok e yt e c h n o l o g i e sa d o p t e db yt h e p r o t o t y p e ，t h em a n a g e m e n tm e c h a n i s mo f d i s t r i b u t e df i r e w a l ls y s t e ma n di e s e c n e t w o r kl a y e rc o n t r o le n f o r c e m e n tm e c h a n i s mw i t ht r u s tm a n a g e m e n ta p p r o a c h ，a r e a n a l y z e da n dd i s c u s s e di nd e t a i l i nd e s c r i b i n g 叫磅m a n a g e m e n tm e c h a n i s mo fd i s t r i b u t e df i r e w a l ls y s t e m ，t h i s d i s s e r t a t i o na n a l y s e sc o m p l e x i t yo fs y s t e ma n dm a n a g e m e n t ，p u t sf o r w a r dar e a s o n a b l e s y s t e mm a n a g e m e n tm o d e l , e x p l a i n sk e y n o t et r u s ts y s t e m ，d i s c u s s e s d i s t r i b u t e d m a n a g e m e n ta n dp o l i c yc o m p o s i t i o n ，a n dd e s o - i b e st h ep r o b l e mo fp o f i c yu p d a t ea n d r e v o c a t i o n k e y w o r d s ：d i s t r i b u t e df i r e w a l l ，k e y n o t e ，t r u s tm a n a g e m e n t ，i p s e c ，i k e 讯l l 工繁火鬻 学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工作所取 得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个人或集体已经 发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在文中以明确方 式标明。本声明的法律结果由本人承担。 学位论文作者签名： 鸯孙舀日期：歹。歹声占月f 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权保留 并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授 权湖北工业大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采 用影印、缩印或扫描等复制手段保存和汇编 学位论文作者签名： 日期：) 句年易月 f 日 日期：眵1 年6 月歹日 湖北工业大学硕士学位论文 1 1 课题来源 第1 章引言 湖北省教育厅2 0 0 4 年自然科学基金重点项目。网络隧道代理机制的研究弋项 目编号：2 0 0 4 a b 0 6 1 ) 2 0 0 4 年湖北省科技攻关项目“支持隧道代理的主动防御型防火墙的研究”( 项 目编号；2 0 0 4 从l o l c 6 7 ) 。 1 2 国内外研究现状 1 9 8 6 年美国d i g i t a l 公司在i n m e t 上安装了全球第一个商用防火墙系统并提 出了防火墙的概念，在随后的几十年里，随着i n m e t 的迅猛发展，防火墙产品在短短 几十年里异军突起，i 艮快形成了一个庞大的产业，前景广阔。 防火墙( f k e w 乱i ) 是指设置在不同网络( 如可信任的企业内部网和不可信的公 共网1 或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信 息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽 网络内部的信息、结构和运行状况，有选择地接受外部访问，对内部强化设备监管、 控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以 防止发生不可预测的、潜在的破坏性侵入。 最早，一个防火墙是由一个单独的机器组成，放置在私有网络和公网之间。近些 年来，防火墙机制已更多涉及到整个从内部网络到外部网络的区域，由一系列复杂 的机器和程序组成。 跨入2 1 世纪，i n t e m c t 技术带领信息科技进入了新的时代，越来越多的计算机 联入了i n t c r n e t 。作为当今规模最大的互联网络，它为全世界众多用户提供了多样 化的网络与信息服务，它改变了入们的工作、生活的方式，使信息的获取、传输、 处理和利用更加高效快捷，人们多互联网的依赖也越来越强，网络已经成为人们 生活中不可缺少的一个部分。但是，i n t e r a e t 是一个面向大众的开放系统，对于信 息的保密和系统的安全考虑得并不完备，加上计算机网络技术的飞速发展，互联 网上的攻击破坏事件举不胜举。网络中的主机可能会受到非法入侵者的攻击，网 络中的敏感数据有可能泄露或被修改，从内部网向公共网传送的信息可能被他人 湖北工业大学硕士学位论文 窃听或篡改等等。系统安全威胁归纳起来通常表现为以下特征： 1 ) 网络窃听：网络的开放性使攻击者可通过直接或间接窃取所需信息； 重传：攻击者事先获得部分或全部信息，以后将此信息发送给接收者； 3 ) 口令破解：攻击者可通过获取口令文件然后运用口令破解工具获得1 2 1 令， 也可通过猜测或窃听等方式获取口令； 钔连接盗用：在合法的通信连接建立后，攻击者可通过阻塞或摧毁通信的一 方来接管已经认证建立起来的连接，从而假冒被接管方与对方通信； 5 1 伪造：攻击者将伪造的信息发送给接收者； 回数据篡改：攻击者可通过截获并修改数据或重访数据等方式破坏数据的完 整性； 刀拒绝服务攻击：攻击者可通过截获并修改数据或重访数据等方式破坏数据 的完整性； 鳓行为否认：通讯实体否认已经发生的行为； 9 ) 非授权访问：没有预先通过同意，就使用网络或计算机资源被看作非授权 。 访问。它主要由以下几种形式：假冒、身份攻击、非法用户进入网络进行 违法操作等； l o ) 恶意稍描：攻击者可编制或使用现有扫描工具发现目标的漏洞进而发起攻 击； 面对日益严重的网络安全问题，防火墙作为一种行之有效的安全技术被用户 经常采用。防火墙的基本功能是通过网络外部和内部用户的区分和访问授权机制 来防止非法访问，从而实现保护网络安全的目的。然而，随着网络技术的发展和 网络规模的扩大，传统防火前的局限性逐步暴露出来，并且开始难以满足现代网 络安全的需要。传统防火前严格依赖于网络拓扑结构，且基于这样一个假设基础： 那就是防火前把在受控实体点内部，即防火墙保护的内部连接认为是可靠和安全 的；而把在受控实体点的另外一边，即来自防火培外部的每一个访问都看作是带 有攻击性的，或者说至少是有潜在攻击危险的，因而产生了其自身无法克服的缺 陷。 针对传统防火墙的局限性，募国a t & t 实验室研究员s t e v e n mb e l l o v i n ! l 】首次 提出了分布式防火前( d i s t r i b u t e df i e r w a l l ) 的概念，给出分布式防火前的原型框 架，奠定了分布式防火墙研究的基础。传统防火前局限性的根源在于它的拓扑机 构，分布式防火墙打破了这种拓扑限制，将内部网的概念变成逻辑意义。分布式 防火墙的基本思想是：界定合法连接的安全策略集中定义，而安全策略的执行则 由相关节点独自实施，在一个典型的使用分布式防火墙的系统中，每个节点都有 2 湖北工业大学硕士学位论文 一个证书，通常是一个与该节点所持有的公钥相对应的数字证书，系统安全管理 员与本地系统管理员可以不是同一个人，因为安全管理员可以凭他的数字证书来 证明他的身份，不再受网络拓扑的限制，安全策略还是与传统防火墙一样集中定 义，然后分发到各相关节点，有各节点独立实施，各节点在处理输入输出包时， 必须咨询安全策略文件，以保证与整个系统的安全策略一致，由于安全策略的执 行发生在终端节点，传统防火墙的许多缺点都被克服了 1 3 课题研究内容和目的 在阅读和研究当前防火墙技术面临的问题后，本文在s t e v e nm b e l l o v i n 提出 的分布式防火墙概念【2 l 的基础上，建立了一个完整的分布式防火墙系统框架，并详 细论述了分布式防火墙系统的策略管理机制和带有信任管理机制的i p s e c 网络层 控制实施机制。 1 ) 在分布式防火墙的系统结构上，采用全新的部署方式； 本文提出了一个可伸缩的策略管理机制； 3 1 在策略管理机制中引入k e y n o t e 信任管理机制1 3 1 作为其低级安全 策略实施机制。 铆在网络层的安全控制上采用了更为有效、更安全的i p s e c 协议作为 网络层的安全控制机制。 1 4 结构分层 第1 章， 第2 章， 产生的优点， 第3 章， 第4 章， 第5 章， 第6 章， 介绍i n t c r n c t 安全当前状况，并说明了课题研究的意义。 回顾了传统防火墙面临的问题，介绍分布式防火墙基本概念，及其 提出了分布式防火墙系统的结构模型； 对分布式防火墙中的核心和安全策略技术进行了深入研究。 提出了分布式防火墙系统策略管理模型： 论述了带有信任管理机制的i p s c c ； 总结全文并对今后的工作提出建议。 3 湖北工业大学硕士学位论文 2 1 传统型防火墙 第2 章防火墙技术 2 1 1 传统型防火墙概念 随着网络应用的不断扩大，网络安全隐患也越来越多，人们采用各种网络安全 技术来构建安全的网络系统。而防火墙则是作为一种行之有效的安全技术被用户 经常采用。防火墙的基本功能是通过对网络外部和内部用户的区分和访问授权机 制来防止非法访问。从而实现保护网络安全的目的。然而这种防火墙建立在受限拓 扑( r e s t r i c t e dt o p o l o g y ) 和受控入口点( c o n t r o l l e de n t r yp o i n t ) 的概念之上，准确地说， 它们建立在这样的假定之上，每个入口点是这种防火墙严防死守之要道，防火墙外 部都为潜在的敌人，内部的人是可信的。然而，这种概念在现实生活中是错误的，没有 人能保证内部的人一定是良民，而且对于校园网，更有群蠢蠢欲动对各种技术都 好奇的学生们，由此，内部安全更是岌岌可危1 4 】。 防火墙是一类安全防范措施的总称，传统防火墙是设置在内部网和外部网之 间的唯一出入口，通过它可以有效地实现内外网之间存取控制。由于它处于内外 网之间，又称边界防火墙，一般是一台路由器或是一台主机。它确保通过该出入 口的信息均符合确定的安全策略n 2 1 2 传统型防火墙核心技术 当前比较成熟的边界防火墙技术主要有两种：包过滤技术和代理服务器1 6 1 。 ( 1 ) 包过滤技术( i pf i l t e rf i r e w a l l ) 包过滤是在m 层实现的，通常，路由器能将通过它的两个接口之间的口包进 行过滤。i p 包过滤根据系统事先设定好的过滤逻辑，对数据流中的每个数据包进 行检查，禁止不符合要求的数据包通过，从而实现网路安全。 ( 2 ) 代理服务器( p r o x ys e r v e r ) 代理服务器通常也称作应用的防火墙，它接受外来的应用连接请求，进行安全 检查，再与被保护的网络应用服务器连接，使得外部服务用户可以自爱受控的前 提下，使用内部网络的服务。另外，内部网络到外部的服务连接也可以受到监控， 应用网关的代理服务实体将对所有通过它的连接做出日志纪录，以便对安全漏洞 进行检查和收集相关的信息 4 湖北工业大学硕士学位论文 传统边界防火墙( t r a d i t i o n a lp e r i m e t e rf i r e w a l l ) 建立在受限拓扑 ( r e s t r i c t e dt o p o l o g y ) 和受控入口点( c o n t r o l l e de n t r yp o i n t ) 的概念之上，准 确防火墙内部的人是可信的，每个外部的人至少是潜在的敌人。这种防火墙在物理 上严格区分内部网和外部网，内部网和外部网之间只有唯一的通道，防火墙则死守 这一“咽喉要道”。它通过两种方法区分数据流是来自内部网还是外部网：一是防 火墙的接口，进入内部接口的就是内部网数据流，进入外部接口的就是外部数据流 二是主机的i p 地址。 2 1 3 传统型防火墙技术的不足 当网络规模增大、网络新技术不断出现，这种工作模型的缺陷日益暴露出来， 主要表现在以下方面”1 ： ( 1 ) 防外不防内。传统防火墙对内部数据流无法监视，全然不知，自然谈不上阻 止内部攻击。有关资料表明，多数网络攻击来自内部，防范内部攻击己必不可少。 ( 2 ) “瓶颈”问题。一方面网络带宽越来越高，这要求防火墙有很高的吞吐量， 另一方面，黑客的攻击方法也越来越多，防火墙处理的规则也必然越来越复杂，使 防火墙处理速度下降。因而防火墙的功能( 即防范攻击的能力) 和性能( 即处理速度) 之间是一对矛盾。 ( 3 ) “单点失效”问题。防火墙集万千重任于一身，因而一旦防火墙配置不当 或出现问题，则全网皆暴露于攻击者面前。 ( 4 ) 未授权访问问题。多样化的联接方法诸如隧道、无线连接和拨号访问等可 使个人很容易建立一个绕过防火墙的连接，给网络留下一个后门，造成网络安全隐 患。 ( 5 ) 网络新业务受到限制。外联网、移动用户和通过网络在家办公 ( t e l e c o m m u t i n g ) 等新业务新需求的出现使得内网的概念难以维持。 ( 6 ) 端到端的加密对防火墙造成威胁。传统的网络协议没有使用加密，因而防 火墙能对数据流实施过滤。当加密技术和新一代网络协议被使用的时候，防火墙因 为没有密钥而不能理解流过的数据包的内容，从而不能实施检查。 ( 7 ) 安全模式单一。传统防火墙的安全策略是针对全网制定的，全网中的所有 主机遵从单一的安全模式，网络中的主机和服务器在安全性上不具针对性和个性 特点。 湖北工业大学硕士学位论文 2 。2 分布式防火墙 2 2 1 分布式防火墙概念 针对传统边界防火墙的欠缺，美国a t & t 实验室研究员s t e v e nm b e l l o v i n l l l 首次提出力分布式防火墙( d i s t r i b u t e df i r e w a l l ，d f w ) 的概念，分布式防火墙有狭 义和广义之分，侠义分布式防火墙是指驻留在网络主机并对主机系统提供安全防 护的软件产品。广义分布式防火墙是一种全新的放火墙，体系结构包括网络防火 墙、主机防火墙和中心管理三部分。 ( 1 ) 网络防火墙：它承担着传统边界防火墙看守大门的职责，用于内部网与 外部网之同，以及内部各子网之间的防护。 ( 2 ) 主机防火墙：用于确保内部网络的安全，它解决了边界防火墙不能解决 的问题( 例如来自内部的攻击和结构限制等) 。另外，由于传统的入侵检测系统已 经不再适用于分布式防火墙系统，所以，主机防火墙必须也有入侵检测功能，日 志转发到中心管理服务器。 ( 3 ) 中心管理服务器：负责总体安全策略的制定、管理、分发以及日志的汇 总。它解决了由分发技术而带来的管理问题，提高了防火墙的安全防护灵活性。 2 2 2 分布式防火墙技术概述 分布式防火墙的基本思想是：安全策略的制定采用由中心管理服务器集中定 义方式，而安全策略的执行则由相关主机节点独立实施；安全日志由主机节点分 散产生，而安全日志的保存则集中到中心管理服务器上。由此，我们可以看出分 布式防火墙规则的制定还是采用集中定义和更新的方式，然后将这些定义好的规 则策略分发到各个相关节点，最后再在每个受保护的主机节点上独立实施执行。 分布式防火墙工作流程如下： 首先，由制定防火墙接入控制策略的中心通过编译器将策略语言的描述转换 成内部格式，形成策略文件。然后，中心将采用系统管理工具把策略文件分发给 各台内部主机，内部主机得到策略后，根据策略来判定是否接受收到的包，一方 面根据m 安全协议，另一方面根据策略文件。( 如图2 1 ) 。 6 湖北3 - 业大学硕士学位论文 图2 1 分布式防火墙工作流程 s t e v e nm b e o v i n l l j 提出的分布式防火墙虽然解决了传统防火墙的不足，但也 带来了一些不足： ( 1 ) 过度使用证书认证，每个属于分布式防火墙的主机( 即主机防火墙) 之间的 相互访问要使用证书认证，需要消耗相对多的时间在密钥的计算比较上，另外，如果 一些恶意主机用非法证书大量连接，也会消耗大量资源，因此，更容易受到来自内部 的拒绝服务攻击。由于i p v 4 协议本身的不安全性，所以不管传统防火墙或分布式防 火墙都不能很好地解决拒绝服务的攻击，使用i p s e c 主要是防止与中心管理服务的 通信进行认证和防篡改，主机问的业务通信安全不应该由分布式防火墙来统一完成， 应该由口协议层的升级( 如：口v 6 ) ，现阶段则应由应用层自行处理，而不应该由防火 墙去做。证书认证使用范围应该限于防火墙( 网络防火墙与主机防火墙) 与中心管理 服务器之间的策略分发与管理，不作为防火墙之问通信使用。 ( 2 ) 中心管理服务器按网络拓扑针对经过认证的网络防火墙、主机防火墙生 成其特定的规则，这有助于全网规则的一致性、有助于网络防火墙生成最小规则集， 一些与主机相关的规则将不再出现于网络防火墙中，从而提高网络防火墙的吞吐能 力。 ( 3 ) 日志信息在各主机和中心策略服务器之间频繁地传送将极大地增加网络 通信量。解决的办法，应该是对日志进行分类，只有严重等级的日志信息才立即向中 心管理服务器传送，其他日志在防火墙内驻留，只有在需要时，由中心管理服务器进 行读取。 ( 4 ) 由于现有的操作系统自身存在许多安全漏洞，运行在其上的应用软件无一 不受到威胁。分布式主机防火墙主机部分也运行在主机上。为了自身的安全和彻 底堵住操作系统的漏洞，主机防火墙的安全监测核心引擎一般要以嵌入操作系统内 7 湖北工业大学硕士学位论文 核的形态运行，直接接管网卡，把所有数据包进行检查后再提交操作系统。但是为了 实现这样的运行机制，除防火墙厂商自身的开发技术外，与操作系统厂商的技术合 作也是必要的条件。因为这需要一些操作系统不公开的内部技术。不能实现这种分 布式运行模式的主机防火墙由于受到操作系统安全性的制约，存在着明显的安全隐 患，这就限制了分布式防火墙的发展。为了避免与不同的操作系统厂商的合作，也许 在网络接口卡直接集成主机防火墙功能是个不错的选择。 2 2 3 分布式防火墙技术优势 从前面的分析中我们可以看出传统防火墙缺陷的根源在于它对网络物理拓扑 结构的依赖，而分布式防火墙打破了这种网络拓扑依赖关系，将内部网的概念由物 理意义变成逻辑意义。在分布式防火墙系统中，每个主机节点都有一个标识该主机 身份的证书，通常是一个与该节点所持有的公钥相对应的数字证书，内部网络服务 器的存取控制授权根据请求客户的数字证书来确定，而不再是由节点所处网络的 位置来决定。由于一般情况下证书不易伪造，并独立于网络拓扑结构，所以只要拥 有合法的证书，不管它处于物理上的内网还是外网都被分布式防火墙系统认为是 。内部”用户，这样就彻底打破了传统防火墙对网络拓扑的依赖。但各主机节点在 处理数据包时，还是必须根据中心管理服务器所分发的安全策略和加密的证书来 决定是接受还是丢弃包。这样不但可以对主机实施保护，还能保证与整个系统的安 全策略一致。由于在分布式放火墙系统中安全策略的执行被推向了网络的边缘一 一终端节点，这样不仅保留了传统防火墙的优点，同时又解决了传统防火墙的问 题。其中最主要的是解决了对网络拓扑结构的依赖、内部攻击以及网络瓶颈问题： 同时还实现了分级策略的制定、加密技术应用的支持。s t e v e nm b e l l o v i n 1 提 出的分布式防火墙解决了传统防火墙的不足： ( 1 ) 由于分布式防火墙使用了i p s e c ，能够很好地识别在各种安全协议下的内 部主机间的通信，使各主机间的通信得到了很好的保护，因此它有能力防止各种类 型的被动和主动攻击。 ( 2 ) 分布式防火墙从根本上去除了单一接入点，因此在性能上不再成为网络 通信的瓶颈，同时也解决了单点失效问题，使系统安全防护性得到了有效的提高。 ( 3 ) 分布式防火墙最重要的优势在于，它能够保护物理上不属于内部网络，但 位于逻辑上的内部网络的那些主机，因为分布式防火墙的建立本身就是基于逻辑 网络的概念，对它而言，远程内部主机与物理上的内部主机没有任何区别，这种需 求随着v p n 的发展越来越多。 8 湖北工业大学硕士学位论文 2 。3 小结 本章首先介绍了防火墙的主要技术，然后分析了传统防火墙的缺陷，在此基 础上提出了分布式防火墙的概念，对分布式防火墙的结构工作原理进行了概述， 最后对目前国内外学者对分布式防火墙的相关研究做了总结归纳 9 湖北工业大学硕士学位论文 第3 章分布式防火墙技术研究 3 1 分布式防火墙现存的结构模型和分析 3 1 1i p s e c 防火墙模型 i p s e c 提供了一种标准的、健壮的以及包容广泛的机制，可以用它为i p 及上 层协议提供安全保证。i p s e c 协议中鉴别以及机密性机制中的s a 是个关键的概念， 它详细规定了用于保密通信的一组安全参数，如加密算法、加密密钥、协议模型、 s a 源地址、s a 生存周期和序列计数器等“”。 i p s e c 从安全体系机构方面来说包括3 个方面： ( 1 ) 鉴别首部a l ，提供访问机制，连接完整性，数据源的鉴别，拒绝重放的 分组服务。a h 协议对数据完整性和i p 分组的鉴别提供支持。 ( 2 ) 封装安全有效载荷e s p ，除a h 提供的服务外还提供机密性以及有限通信 量的机密性。e s p 协议实际上是一种加密协议，它除了对数据包提供a h 保护外， 还提供机密性保护。 ( 3 ) i n t e r n e t 密钥交换协议i k e ，为通信双方提供密钥确认、安全关联和密 钥管理的服务。i k e 协议的主要功能是负责协商用于i p s e c 协议的s a ( 包括使用 的安全协议、加密认证算法以及相应的密钥资料) 。 通过这3 个方面的协调作用，i p s e c 协议为通信双方提供了完备的条件：身份 真实性，完整性，保密性，并保证了大型网络中密钥传输的安全。 由以上三个方面，基于i p s e c 的分布式防火墙可按如下方式进行安全架构体系 搭建，它不仅融合分布式防火墙和i p s e c ，还采取其他安全措施，给分布式防火墙 带来更加可靠的安全性。 分布式防火墙安全体系基本架构( 如图3 1 ) 所示，安全策略仍然是管理员在 策略中心集中定义，并通过编译器将策略语言的定义转换成内部格式，形成策略 文件；然后中心将通过i p s e c 协议把策略文件分发给各内部及其，这样安全策略 的实施将被转移到由各内网结点完成，内部机器将从两方面来判定是否接受收到 的包，方面是根据i p 安全协议，另一方面是根据安全策略文件。 1 0 湖北工业大学硕士学位论文 图3 1 分布式防火墙安全体系基本架构 值得注意的是，主机标志不再局限于网络拓扑结构，框架使用i p s e c 中的密码 证书机制来标志主机，分布式防火墙仅授权给拥有对应私有密钥的结点。远程及 其通过i n t e r n e t 连接( 如果能得到相应的证书) 就能和内网结点连接一样具有同 样的安全保护和授权，同样，即使主机是拓扑结构上的内网结点，如不能够提供 相应的密码证书，依然无法取得相应的服务，且i p s e c 密码证书机制使得i p 欺诈 攻击变得困难很多，在本地执行安全策略则变得安全和方便o ”。 3 1 2k e y n o t e 模型 美国宾夕法尼亚( p e n n s y l v a n i a ) 大学计算机与信息科学系有一个正在进行研 究的项目，叫做s t r o n g m a n 。s t r o n g m a n 项目是由美国宾夕法尼亚大学的分布式系 统实验室的j o n a t h a nm s m i t h 、哥伦比亚大学的a n g e l o sk e r o m y t i s 、a t & t 实验 室的m a t tb l a z e 和j o h ni o a n n i d i s 、耶鲁大学的j o a nf e i g e n b a u m 教授等人合 作的汹。该项目的目的是在k e y n o t e ( 由宾夕法尼亚大学和a t t 实验室合作开 发的) 的基础上构建“下一代安全信息基础结构”。其中包括一个基于k e y n o t e ( 在 3 1 2 中曾介绍) 的分布式防火墙系统，而且已经实现了o p e n b s d 平台上的分布 湖北工业大学硕士学位论文 式防火墙原型。 该原型系统由三个部分组成：一个实现执行机制的内核扩展集合、一个实现分 布式防火墙策略的用户级守护进程和一个用于内核和策略收回进程间双向通讯的 设备驱动程序，如下图3 2 所示。 应用策略守护进 库 o p e n o c l o s e o r e a d o w r i l e 0 c e p t o c o n n e c t ( )i o c o o ? i 修改系统参数i 策略- i ，d 删c y 内核空间 c o n t e x tq 图3 2 o p e n b s d 平台上的分布式防火墙原型 其中，执行机制的核心位于内核空间。策略描述和处理单元在策略守护进程的 用户空间。两者通过一个可载入的虚拟设备驱动器接口进行通讯。使用策略上下 文队列在系统调用和用户级守护进程之间传递消息。 下面我们将对每个部件做详细的介绍： ( 1 ) 内核扩展 内核扩展模块是整个系统的执行模块，其功能是产生并提交策略上下文、根据 策略守护进程的答复对包进行处理。这里要对策略上下文做个解释，策略上下文 是一个与特定连接相关的所有信息的容器。我们将每个策略上下文与一个序列号 联系在一起，并把所有策略守护进程需要用来决定是否允许连接的信息放进去。 由本机发起的连接，这些信息包括初始化该连接的用户i d 、目的地址和端口等。 而对于进入本级的连接，则包括源地址和端口等。 用来进行过滤的两个系统调用是c o n n e c t ( ) 和a c c e p t ( ) 。当一个用户应用 程序使用c o n n e c t ( ) 时，系统调用被内核捕获，于是产生了一个与该连接关联 的策略上下文。 所有的信息都到位，我们就提交该上下文。提交操作把上下文添加到一个策略 守护进程要处理的上下文列表中去。然后应用程序被阻塞并等待策略守护进程的 答复。 1 2 湖北工业大学硕士学位论文 ( 2 ) 策略设备 过滤可以在用户空间也可以在内核空间实现，两者各有优缺点。为了使系统灵 活性达到最大并能进行简单试验，将策略守护进程作为用户级进程。为了支持这 个体系结构，就需要实现一个虚拟设备驱动器，d e v p o l i c y ，将它作为用户空间 的策略守护进程和内核中修改的系统调用之间的通讯通道。设备驱动器支持一般 的操作如o p e n ( ) 、c l o s e ( ) 、r e a d ( ) 、w r i t e ( ) 和i o c t l ( ) 等。而且，将 该设备驱动器做成可加载模块。这更增强了系统的功能性，因为这样只需增加功 能而无需重新编译整个内核。 如果没有策略守护进程打开过d e v p o l i c y ；就没有过连接过滤。打开这个设 备就会激活分布式防火墙并初始化数据结构。所有并发的c o n n e c t ( ) 和a c c e p t ( ) 都要经过“内核扩展模块”中的程序。关闭这个设备则可以释放所有分配的 资源并使分布式防火墙失效。 当从该设备读取数据时，策略守护进程将阻塞，直到出现待处理的请求为止。 策略守护进程处理内核来的策略分析消息并写回一个答复。w r i t e ( ) 负责返回策 略守护进程的决定、阻塞连接调用及唤醒它。应该注意设备和有关的消息协议都 没有绑定到任何类型的应用，事实上，其他需要类似的安全策略处理的内核部件 可以不做任何修改就使用它。 最后，使用一个i o c t l ( ) 来做“家务事”。当产生或解析请求消息中发生错 误时，它通过丢弃当前策略上下文并放弃相关连接令内核和策略守护进程重新同 步。 ( 3 ) 策略守护进程 策略守护进程是个负责做出决定的用户级进程，根据由某些管理员和远程检索 的信任书定义的或内核提供的策略来决定允许还是拒绝连接。 像以前提到的，内核和策略守护进程间的通讯是可以使用策略设备实现的。守 护进程通过读取策略设备从内核接收每个请求。请求包括所有与连接有关的信息。 请求的处理由守护进程使用k e y n o t e 库完成，得到一个接受或拒绝的决定。最后 守护进程将答复写回到内核并等待下一个请求。从某特定消息接收到的信息是依 赖于应用的( 在这里，和分布式防火墙有关) ，但守护进程夺身却对特定的应用没 有认识。所以它可以用来为许多不同的应用来提供策略分析服务而不需修改。 当使用远程信任仓库服务器时，守护进程可以根据与连接有关的用户i d 或本 地远程i p 地址取得信任书。一个非常简单的方法是使用h t t p 从远程w e b 服务器 取得信任书。信任书使用用户i d 和i p 地址存入，可以提供给任何请求它们的人。 如果信任书需要保密，你可以使用i p s e c 或s s l 来保护连接。为了避免潜在的死 湖北工业大学硕士学位论文 锁。策略守护进程不受连接过滤机制限制。 3 1 3 混合模型 s t e v e n 在他的文章中提到的一种混合防火墙模型也值得介绍一下。虽然完全 实现分布式防火墙是最安全和最灵活的，但在很多情况下还做不到这一点时，将 分布式防火墙中的某些技术与传统防火墙相结合的混合型防火墙依然有其存在的 价值。在本节中我们提供了两个这方面的模型。 ( 1 ) 远程节点和i p 安全协议 在这一模型中，一部分“内部”主机位于传统防火墙的内部，而另一部分“内 部”主机位于外部网络，一个i p 安全协议网关提供位于外部网络的。内部”主机 与内部网络的安全连接。传统的防火墙依旧保护物理上的内部网络，其执行的策 略与“内部”主机一样都由制定策略的中心分发。在i p 安全协议尚未普及时，仅 使用i p 安全协议保护外部的“内部”主机与内部主机之间的通信，无疑是个不错 的选择。 ( 2 ) 依赖拓扑结构的分布式防火墙 如果所处的环境完全不支持i p 安全协议，我们仍然能够利用分布式防火墙的 一些技术对传统防火墙加以改进。在这种情况下，依赖于地址的策略规则将分发 给各个站点，然后由各个站点实施这些规则。虽然这样一来分布式防火墙由于对 拓扑结构的依赖而丧失了保护远程“内部”主机的能力，但它还是解决了传统防 火墙单一接入点的问题。 3 2 分布式防火墙的结构模型 分布式防火墙的设想很显然极大的增强了各种分布式应用的安全性。在上一 节中所讲述分布式防火墙的优点正是现在我们防火墙安全所急需的。本节将在该 设想的基础上提出分布式防火墙的结构模型的设计目标，并定义一个实际意义上 的分布式防火墙结构模型。 3 2 1 分布式防火墙结构模型的设计目标 很显然分布式防火墙结构模型的目标应该充分考虑当前以及今后一段时间网 络应用的现状及趋势。分布式防火墙结构模型的目标是： 1 4 湖北工业大学硕士学位论文 1 ) 标识符应基于证书。只有采用证书作为分布式防火墙系统用户的标识符才 能充分体现该系统带来的好处。因为分布式防火墙的一大优势就是摆脱了 对拓扑结构的依赖。采用m 作为用户标识符己不再适合。当然为了和以 前的系统兼容，部分的允许口作为用户标示符也应该允许，但这会带来 一定的安全风险。 2 ) 要能支持多点实施。这一系统应该能在不同网络层次上布置控制点。众所 周知的是，只在一个网络层次上布置控制点是难以解决所有的控制问题 1 3 4 1 。这是由于网络层次结构中上层对于下层是完全透明的。从另一个角度 说，上层的内部信息是不为下层所知的。因此必须允许在不同的网络层次 上布置控制点，这样才能更有效的增加控制范围和控制能力，增大防御的 纵深。 3 ) 要在网络层采用i p s e c 安全协议。i y s e c 安全协议是目前网络层安全的最 佳解决方案，它已成为网络层安全的标准。i f s e c 能在网络层提供访问控 制、无连接的完整性、数据源认证、抗重播( r e p l a y ) 保护、保密性和有限传 输流保密性在内的服务。 。 4 ) 要采用分布式的受信管理机制。分布式防火墙的设计目标就是要管理大型 的，复杂的，广布的网络的安全。其安全策略的管理难度之高是可想而知 的。一个由数名管理员在某一指定机器上制定全部策略的方式基本上是不 可行的。这样傲的结果只能是无限制的增加管理者的工作负荷，到最后必 然造成策略上的漏洞，从而引发深层次的安全危机。而这将使分布式防火 墙的优势难以发挥。相反，这还可能降低了整个网络的安全等级。 5 ) 要采用合适的策略定义、分布、撤销机制。 3 2 2 分布式防火墙的结构模型 根据上一节提出的设计目标，本文建立了一个分布式防火墙的结构模型，如 图3 3 所示 湖北工业大学硕士学位论文 图3 3 分布式防火墙系统的结构模型 整个系统有下列几个部分构成：策略与信任证书仓库( p o l i c ya n dc r e d e n t i a l r e p o s i t o r y 审计信息管理中一g ( a u d i ti n f o r m a t i o nm a n a g e m e n tc e n t e o ，防火墙部署 单元( f j r c w a nd e p l o y m e n tu m o 。 本文将分别阐述各自的功能以及彼此间的关系。 策略与信任证书仓库( p c r ) ， 策略与信任证书仓库( p c r ) 的主要用于存储和维护整个系统或部分系统所拥 有的策略与信任证书。其模块结构如图3 4 所示： 湖北工业大学硕士学位论文 1 l 策略数据库 一陶协议模块 1 i c l lj | 待黼则 m a n a g e r 图3 4 策略与信任证书仓库模块结构 如图3 4 中所示，该模块有4 部分组成：1 待制定规则队列。它的目的主要是 让规则制定请求和数据库处理的祸合度降低，使请求能异步处理，处理完成后再 给制定者一个确认信号：2 策略数据库。它的主要功能就是高效的存储策略，更应 使之便于检索。3 p q ( p o l i c yq u e u e ) 协议模块。处理各种策略的查询请求。4 m a n a g e r 。主要是用于策略与信任证书仓库模块中各个部分的控制和协调。 审计信息管理中心( a 姒c ) 审计信息管理中心的作用是十分明显的。其主要作用就是收集整个系统中产 生的审计信息。对于审计信息的收集，处理，存储，加工后所形成的信息，对于 系统管理者及时、准确地了解系统状态大有帮助。在查处恶意攻击，事后追究责 任等方面有着重要的作用。它是任何全面的