（计算机应用技术专业论文）分布式防火墙及安全联动技术研究与实现.pdf

西北丁业大学删十学位论业 摘要 网络信息安全的意识已被各方接受和认同，防火墙、入侵检测、防病毒、安 全审计等安全技术己经得到了广泛的应用。在此基础上，如何构建一个动态的、 全方位的安全防护体系，成为网络安全中研究的热点。 本文把研究重点放在了分布式防火墙和安全联动技术的研究上，研究以分布 式防火墙为中心，构建开放式安全联动框架，将防火墙嵌入到已有的网络平台， 实施安全联动交换协议，为其他安全产品提供一个开放的、通用的、可扩展的安 全框架，实现全方位的网络安全系统。 本文选题来源于国家高技术研究发展计划( 国家8 6 3 计划) 资助项目“网络 协同安全技术研究”，并作为已完成的国家高技术研究发展计划资助项目“黑客 监控技术研究”的进一步深入研究。 首先，本文研究了现有的分布式防火墙关键技术和系统模型，确立了本文分 n 布式防火墙系统的设计目标；其次分析了目前的安全联动技术，提出了本文安全 联动的设计目标；然后构建了开放式安全联动框架，主要包括安全联动交换协议 和安全联动信息交换格式：最后，本文完成了分布式防火墙的设计，并给出了关 键组件策略执行组件和安全联动管理组件的软件实现方案。 关键字：分布式防火墙安全联动 开放式安全联动框架安全联动交换协议 安全联动信息交换格式策略执行组件安全联动管理组件 西北n 大学坝l ：学位论义 a b s tr a c t t h e i m p o r t a n c e o fn e t w o r ki n f o r m a t i o n s e c u r i t y h a s a l r e a d y b e e n w i d e l y r e c o g n i z e d m e a n w h i l e ，d i v e r s es e c u r i t yt e c h n o l o g i e s s u c ha s f i r e w a l l ，i n t r u s i o n d e t e c t i o n ，a n t i v i r u sa n ds e c u r i t ya u d i th a v eb e e nw i d e l ya p p l i e d b a s e do nt h ef a c t s a b o v e ，h o wt oc o n s t r u c t u r ead y n a m i ca n dc o m p r e h e n s i v es e c u r i t yp r o t e c t i o ns y s t e m ， b e c o m e sh o ti nt h ea r e ao f n e t w o r k s e c u r i t y t h i s p a p e r f o c u s e so nt h er e s e a r c ho nd i s t r i b u t e df i r e w a l l t e c h n o l o g y a n d s e c u r i t yi n t e r a c t i o nt e c h n o l o g y ac o m p r e h e n s i v en e t w o r ks e c u r i t ys y s t e mi sa c h i e v e d ， w h i c hr e g a r d sd i s t r i b u t e df i r e w a l l ( d f w ) a st h ec e n t e ra n dc o n s t r u c t u r e sa l l o p e n s e c u r i t y i n t e r a c t i o n f r a m e w o r k ( o s i f ) a no p e n ，g e n e r a l a n ds c a l a b l e s e c u r i t y f r a n a e w o r kf o ro t h e rs e c u r i t yp r o d u c t si sp r o v i d e db yo s i f , w h i c hf i x e st h ef i r e w a l l i n t oe x i s t i n gn e t w o r kp l a t f o r m ，a n ds e t so u ts e c u r i t yi n t e r a c t i o ne x c h a n g ep r o t o c o l ( s i e p ) t h i s p a p e r i s s u p p o r t e db y t h en a t i o n a l h i g ht e c h n o l o g yr e s e a r c ha n d d e v e l o p m e n tp r o g r a m o fc h i n a ( 8 6 3 p r o g r a m ) ，n e t w o r kc o o p e r a t i v es e c u r i t y t e c h n o l o g yr e s e a r c h ，a n di saf u r t h e rr e s e a r c hf o rh a c k e rm o n i t o r i n gt e c h n o l o g y r e s e a r c h ( 8 6 3p r o g r a m ) f i r s t ，t h ed i s t r i b u t e df i r e w a l lt e c h n o l o g i e sa n ds y s t e mm o d e l sa r ei n t r o d u c e d ，a n d ap l a no ft h ed i s t r i b u t e df i r e w a l li s e s t a b l i s h e d s e c o n d l y , t h es e c u r i t yi n t e r a c t i o n t e c h n o l o g i e sa r ed i s c u s s e d ，a n da s o l u t i o nt os e c u r i t yi n t e r a c i t o ni sg i v e n m e a n w h i l e ， o p e ns e c u r i t y i n t e r a c i t o nf r a m e w o r ki s p r e s e n t e d ，w h i c hi n c l u d e st h e d e s i g n o f s e c u r i t yi n t e r a c t i o ne x c h a n g ep r o t o c o la n dd e f i n i t i o no fs e c u r i t yi n t e r a c t i o nm e s s a g e e x c h a n g ef o r m a t ( s i m e f ) i nt h ee n d ，t h i sp a p e rg i v e sd e t a i l e dd e s c r i p t i o n so ft h e d e s i g n o fd f w i m p l e m e n t i o n o fp o l i c y p e r f o r mm o d u l e ( p p m ) a n ds e c u r i t y i n t e r a c t i o nm a n a g em o d u l e ( s i m m ) k e y w o r d s ：d i s t r i b u t e df i r e w a l l ，s e c u r i t yi n t e r a c t i o n ，o s i f , s i e p , s i m e f , p p m ， s i m m 两北丁业大学顺i 。学位论史 1 1 网络安全现状 第一章绪论 为了加固网络，防范各种入侵，减少因网络安全事件而带来的损失，各个机 构对网络安全方面的投入都达到了前所未有的水平。据市场研究公司i d c 公布 的一项研究报告显示，预计到2 0 0 6 年i t 安全市场的收入将会增长到4 5 0 亿美元， 年增长率高达2 0 以上。目前主要采用防火墙、加密、身份认证、访问控制、 操作系统加固等手段实现对网络的安全防御。 防火墙作为现在市场上应用范围最广、最易被客户接受的网络安全产品，它 实现了网络的静态防御。防火墙作为不同网段之间的逻辑隔离设备，将内部可信 区域与外部危险区域有效隔离，将网络的安全策略制定和信息流动集中管理控 制，为网络边界提供保护，是网络的防盗门，也是抵御入侵最可靠有效的手段。 防火墙技术一直在发展，从静念包过滤，到状态检测包过滤，应用代理防火墙， 电路代理防火墙等，技术上相对走向成熟。 但是，随着攻击技术的日趋成熟，攻击工具与手法的日趋复杂多样，同时各 种系统、软件存在安全漏洞，这种单纯的被动的静态安全防御己经无法满足需要。 单一的防火墙无法解决自身系统和被动防御的脆弱性问题；无法解决d m z 的安全 问题；无法解决安全逻辑( 非线路故障) 上的单点故障：无法满足用户对高安全、 高可靠性和高可用性的要求，仍然存在这样或那样的缺陷和不足。因此，动态网 络防御技术逐步占据重要位置。 动态防御策略利用入侵检测系统、防病毒系统、安全审计系统和漏洞扫描系 统去主动发现可能的入侵活动，并进行报警。一般动态防御系统具有很强的检测 报警能力，然而，它很少能够自动正确的进行响应，而是仅仅给出报警。单纯的 动念防御策略并不是万能的，因此它必须同静态的防御策略相结合。 p 2 d r 网络安全模型的提出为安全策略的有机结合实现可信网络深度防御提 供了理论指导。该模型是在整体的安全镀略( p o l i c y ) 控制和指导下，综合运用 防护工具( p r o t e c t i o n ，如防火墙、身份认证、加密等手段) ，利用检测工具 ( d e t e c t i o n ，入侵检测系统i d s 和漏洞扫描等) 了解系统的安全状态，并通过 适当的响应( r e s p o n s e ，安全评估和策略管理系统) 将系统调整到“最安全”和 “风险最低”状态。防护、检测和响应组成了一个完整的、动态安全循环。 可是，在目前p 2 d r 安全解决方案中，缺乏实现安全产品和安全策略联动的 安全标准、胁议和技术规范。由于各种安全产品出自不同的厂商，各种安全策略 的实现需要不同的管理界面，操作繁琐，实现统管理比较的困难。因此p 2 d r 分布式防火础发安争联动技术研究与实现 第一章绪论 还难以真正的实现2 。 1 2 本文的研究背景及意义 面对复杂的网络拓扑结构，网络速度的飞速发展，分布式技术的广泛应用， 作为安全防护主要手段的防火墙系统架构已经开始发生变化。分布式防火墙系统 的出现，扩展了原有的防火墙结构，使之更加分散，对网络中的信息传递提供了 有力保证。与此同时网络安全的解决方案也变得多样化，要求多种安全系统( 防 火墙、入侵检测、安全审计、电子取证、灾难恢复等) 的运用，从不同层面上对 网络实施安全保护。但是目前并没有很好的得以实现，各种安全系统间还是缺乏 统一的管理和互动。 网络安全体系应该是一个综合的、动态的安全体系。因此，为了能更好地实 现各种安全系统间的动态联动，更为完善地实现网络安全，本文在现有理论成果 的指导下，研究以分布式防火墙( d i s t r i b u t e df i r e w a l l ，d f w ) 为中心，构建开 放式安全联动框架( o p e n s e c u r i t y i n t e r a c t i o n f r a m e w o r k ，o s i f ) ，将防火墙嵌入 到已有的网络平台，实施安全联动交换协议，为其他安全产品提供一个开放的、 通用的、可扩展的安全框架，实现全方位的网络安全系统。 本文的选题是来源于国家高技术研究发展计划资助项目课题“网络协同安全 技术研究”( 国家8 6 3 计划，课题编号：2 0 0 3 a a l 4 2 0 6 0 ) ，并作为已完成的国家 高技术研究发展计划资助项目课题“黑客监控技术研究”( 国家8 6 3 计划，课题 编号：2 0 0 1 a a l 4 2 i 0 0 ) 的进一步深入研究。国家8 6 3 项目“黑客监控技术研究” 于2 0 0 3 年2 月2 2 同在北京顺利通过8 6 3 专家组验收，并于2 0 0 3 年1 0 月1 2 同 成功通过了出国防科工委组织的成果鉴定。 分布式防火墙和安全联动技术的研究，对我国加强网络安全建设，推动政治、 经济、贸易、军事等敏感领域信息化的发展，都具有十分重要的意义。分布式防 火墙和安全联动技术都体现了分布式技术发展的潮流，也体现了系统组成的模块 化思想，可以根据用户需要构建安全的网络系统，在最大程度上保障了用户利益。 通过安全模块的增加，完成安全功能的升级，避免了一体化结构可能造成的功能 浪费。以防火墙为核心，实施安全联动技术，定位在高级网络安全性，使得网络 安全体系得到有效的组合，并提升了整体性能。 分布式防火墙和安全联动技术是网络安全领域新兴的研究热点。国外在这方 面的研究资料与经验也并不十分丰富，因此我国若能及早开展研究，借机缩短与 国外领先科技的差距，是十分必要的。 网络安全体系的发展趋势是分布式的、联动的和全方位的。因此，本文对分 布式防火墙和安全联动技术所做的研究是一次有意义的探索。 西北t 业人学坝l 。学位论文 1 3 本文的主要工作及结构 1 3 1 主要工作 本文针对分布式防火墙系统和安全联动技术展开研究。主要工作包括了以下 几个方面： ( 1 ) 分布式防火墙技术及系统研究。分析现有的分布式防火墙技术，除了包 括传统的防火墙技术：包过滤、状态检测、n a t 等，还有身份认证、i p s e c 、s s l t l s 、 信任管理等多项安全技术。并且研究了现有具有代表性的几个分布式防火墙的系 统模型：基于k e y n o t e 的分布式防火墙模型、基于k e r b e r o s 的分布式防火墙模 型和基于a g e n t 的分布式防火墙模型。根据关键技术和现有理论模型的研究，本 文设计了分布式防火墙系统。它由中心管理组件、策略执行组件、安全联动管理 组件和远程接入组件，构成了一个功能性完备的分布式防火墙系统。安全联动管 理组件的引入，实现了分布式防火墙系统的功能拓展，使得整个系统不再仅仅是 静态防护系统，而是通过实旋具有安全响应能力的系统( 防火墙) 与具有安全检 测能力的系统( 入侵检测、审计等) 问的联动，增强了安全防护的动态性，为整 个业务网络抵御恶意攻击，实现主动防御提供了有力的支持。 ( 2 ) 安全联动技术及框架模型研究。联动即通过一种组合的方式，将不同的 技术与防火墙技术进行整合，在提高防火墙自身功能和性能的同时，由其他技术 完成防火墙所缺乏的功能，以适应网络安全整体化、立体化的要求。目前构建的 较为完善的联动体系平台是o p s e c 和t o p s e c ，它们都是以自身防火墙产品为 中心，提供开放的协议和接口，但是它们的通用性相对较差。l a p 和i d x p 协议 是i e t f 正在标准化的应用层信息交换协议，但是它们的开放性相对较差，只是 入侵检测系统内部的信息交换协议。e 是因为目前的安全联动技术还不够完善， 其丌放性、通用性不能真正的体现。本文设计了丌放式安全联动框架o s i f ，它 包括安全联动交换协议s i e p 和安全联动信息交换格式s i m e f ，同时o s i f 充分 集成了b e e p 框架。采用o s i f 框架，可以实现以防火墙为中心的安全联动系统。 ( 3 ) 分布式防火墙系统的实现。按照设计方案，完成了分布式防火墙系统的 关键组件策略执行组件和安全联动管理组件的实现。 1 3 2 组织结构 本文一共分为七个主要章节，结构安排如下： 第一章，绪论部分介绍了网络安全的发展现状，叙述了本文的研究背景及 意义，对本文的主要研究内容做了简单介绍。 分布式防火端发安牟联动披术研究1 j 实现 第一章绪论 第二章，分布式防火墙关键技术和系统模型部分指出了传统防火墙存在的 问题分析了分布式防火墙的应用现状。对分布式防火墙的关键技术进行了逐一深 入的分析，同时研究了现有的分布式防火墙系统模型。最后给出了本文分布式防 火墙系统的设计目标和在网络中的部署方案。 第三章，安全联动技术部分首先概述了联动技术的发展现状，明确了防火 墙是一切安全联动技术的中心和基础。然后分析了现在较具代表性的构建较为完 善的安全体系平台o p s e c 和t o p s e c 。还分析了正在标准化的i a p 和i d x p 协议。 由于现在的安全联动实施方案还比较的混乱，制定的协议还不全面，不能充分地 体现安全联动的丌放性和通用性。因此，在本章最后，给出了本文安全联动的设 计目标。 第四章，开放式安全联动框架设计部分完成了丌放式安全联动框架o s i f 的 设计。其中包括安全联动交换协议s i e p 设计和安全联动信息交换格式s i m e f 的 定义、表示。o s i f 框架是以f i r e w a l l 为中心，通过把f i r e w a l l 嵌入到已有的 网络平台，实施安全联动交换协议s i e p ，为其他安全产品提供一个开放的、通用 的、可扩展的安全框架。o s i f 框架集成了现有的b e e p 框架，具备了b e e p 框架 中的优点，为o s i f 应用程序的具体实施带来了很大的灵活性。 第五章，分布式防火墙系统设计部分完成了分布式防火墙系统的设计。其 中主要包括中心管理组件、策略执行组件、安全联动管理组件和远程接入组件的 设计。并且对各个组件在网络中的部署进行了说明。中心管理组件由网络管理、 策略管理、日志管理和远程管理等组成。策略执行组件由包过滤、入侵阻止和 n a t 等组成。安全联动管理组件由事件引擎、设备管理、事件分析、联动策略等 组成。 第六章，分布式防火墙关键组件的实现部分在w i n d o w s 2 0 0 0 环境下实现了 分稚式防火墙的关键组件策略执行组件和安全联动管理组件。策略执行组件中的 包过滤、入侵阻止和n a t 采用n d i sh o o k 成功嵌入操作系统内核，从系统底层得 到了良好的实现。安全联动管理组件则利用o p e n s s l 、b e e p 和x m l 应用程序接口 得以实现。在本章，给出了组件实现的模块结构、数据结构、函数说明和程序流 程图。 第七章，是对本文的总结和评价，提出不足和期待改善的地方。阐述了进 一步研究的方向和关键技术难点。 西北= _ = 业人学倾卜学位论文 第二章分布式防火墙关键技术及系统模型 2 1 分布式防火墙概述 2 1 1 传统防火墙存在的问题 防火墙技术的发展经历了五个阶段。第一代防火墙技术几乎与路由器同时出 现，采用了包过滤( p a c k e tf i l t e r ) 技术。1 9 8 9 年，贝尔实验室的d a v ep r e s o t t o 和h o w a r dt r i c k e y 推出了第二代防火墙，即电路层防火墙，同时提出了第三代 防火墙应用层防火墙( 代理防火墙) 的初步结构。1 9 9 2 年，u s c 信息科学院 的b o b b r a d e n 开发出了基于动态包过滤( d y n a m i cp a c k e tf i l t e r ) 技术的第四 代防火墙，后来演变为目前所说的状态检测( s t a t e f u li n s p e c t i o l l ) 技术。1 9 9 4 年，c h e c k p o i n t 公司开发出了第一个采用这种技术的商业化的产品。1 9 9 8 年， n a i 公司推出了一种自适应代理( a d a p t i v ep r o x y ) 技术，并在其产品c ：a u n t l e t f i r e w a l lf o rn t 中得以实现，给代理类型的防火墙赋予了全新的意义，可以称 之为第五代防火墙。 这些防火墙技术有一个共同的特点，就是采用逐匹配方法，计算量太大。 包过滤是对i p 包进行匹配检查，状态检测包过滤除了对包进行匹配检查外还要 对状态信息进行匹配检查，应用代理对应用协议和应用数据进行匹配检查。因此， 它们都有一个共同的缺陷安全级别越高，检查的越多，效率越低。 没有人怀疑防火墙在网络安全防护中的重要地位，但传统的防火墙并没有解 决网络主要的安全问题。目前网络安全的三大主要问题是：以拒绝访问( d d o s ) 为主要目的的网络攻击，以蠕虫( w o r m ) 为主要代表的病毒传播，以垃圾电子邮 件( s p a m ) 为代表的内容控制。这三大安全问题覆盖了网络安全方面的绝大部分 问题。而这三大问题，传统的防火墙是无能为力的。原因有三：一是传统防火墙 计算能力的限制。传统的防火墙是以高强度的检查为代价，检查的强度越高，计 算的代价越大。二是传统防火墙的访问控制机制是一个简单的过滤机制。它只是 简单的条件过滤器，不具有智能功能，无法应对复杂的攻击。三是传统的防火墙 无法区分识别善意和恶意的行为，该特征决定了传统的防火墙无法解决恶意的攻 击行为。 2 1 2 分布式防火墙应用现状 针对传统防火墙的缺欠，分布式防火墙的概念”“应运而生。从狭义和与传 分布式| l _ f 火墙艘安伞呋动技术1 i | = 究_ 实现第一章分布止防火墙关键拙术技系统模型 统边界防火墙对应来讲，分布式防火墙是指那些驻留在网络中主机如服务器或桌 面机并对主机系统自身提供安全防护的软件系统；从广义来讲，分布式防火墙是 一种新的防火墙体系结构，它包含以下部分： ( 1 ) 网络防火墙。用于内部网与外部网之削( 即传统防火墙) 和内部网子 网之阳j 的安全防护，它区别于传统防火墙的一个特征是需支持内部网可能有的 i p 平口 ei p 仂、议。 ( 2 ) 主机防火墙。对于网络中的服务器和桌面机进行防护，这些主机的物 理位置可能在内部网中，也可能在内部网外，如托管服务器或移动办公的便携机。 ( 3 ) 中心管理。传统防火墙只是网络中的单一设备，管理是局部的。对分 布式防火墙来说，每个防火墙作为安全监测机制可以根据安全性的不同要求布置 在网络中的任何需要的位置上，但总体安全策略又是统一策划和管理的，安全策 略的分发及同志的汇总都是中心管理应具备的功能。中心管理是分布式防火墙系 统的核心和重要特征之一。 分布式防火墙以两种方式发挥着其安全保护作用。它们对远程终端用户提供 安全保护，使它们不会成为黑客进入企业网络的入口；保护网络中的关键服务器 免受恶意代码的入侵，并能够对其它类似的代码进行监视，以防止这些被保护的 服务器成为黑客攻击他人的基地。 分布式防火墙可以针对各个服务器及终端计算机的不同需要，对防火墙进行 最佳配置，配置时能够充分考虑到这些主机上运行的应用，如此便可在保障网络 安全的前提下大大提高网络运转效率。由于分布式防火墙分布在整个企业的网络 或服务器中，所以它具有无限制的扩展能力。随着网络的增长，它们的处理负荷 也在网络中进一步分布，因此它们的高性能可以持续保持。 据权威机构调查显示，来自网络内部的攻击占有很大的比例。分布式防火墙 既能对来自i n t e r n e t 的信息流进行过滤，也能对来自内部网络的信息流进行过 滤。这种内外皆防的优势使黑客无论是来自i n t e r n e t ，还是来自内部网络都能 望而却步。分布式防火墙还可作为边界防火墙和个人防火墙使用。 2 2 分布式防火墙关键技术 分布式防火墙技术既包括了传统的防火墙技术，还在此基础上应用了多项 安全技术。 2 2 1 包过滤 数据包过滤可以控制站点与站点、站点与网络、网络与网络之间的相互访问。 通过包过滤，防火墙能拦截和检查所有出站和进站的数据。防火墙的包过滤模块 西北工业人学坝卜学位论义 首先验证这个包是否符合过滤规则，不管是否符合过滤规则，防火墙一般要记录 数掘包情况，不符合规则的包要进行报警或通知安全管理员。对丢弃的数据包， 防火墙可以给发送方一个消息，也可以不发，这取决于包过滤的策略。如果返回 一个消息，攻击者可能会根据拒绝包的类型猜测包过滤规则的大致情况，所以对 是否发一个返回消息给发送者要慎重。包过滤能检查包中的所有信息，一般是网 络层的i p 头和传输层的头。包过滤要检查的内容一般包括：i p 源地址、i p 目标 地址、协议类型( t c p 包、u d p 包、i c i p 包) 、t c p 或u d p 的源端口、t c p 或u d p 的目标端口、i c m p 消息类型和t c p 报头中的a c k 等。 2 2 2 状态检测 传统的包过滤只是通过检测i p 包头的相关信息来决定数据流的通过还是拒 绝，而状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的 所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共 同配合，对表中的各个连接状态因素加以识别。动态连接状态表中的记录可以是 以前的通信信息，也可以是其他相关应用程序的信息，因此，与传统包过滤的静 态过滤规则表相比，它具有更好的灵活性和安全性。 状态检测防火墙读取、分析和利用了全面的网络通信信息和状态，主要包括： 通信信息：即所有七层协议的当前信息。防火墙的检测模块位于操作系统的 内核，在网络层之下，能在数据包到达网关操作系统之前对它们进行分析。防火 墙先在低协议层上检查数据包是否满足企业的安全策略，对于满足的数据包，再 从更高协议层上进行分析。它验证数据的源地址、目的地址和端口号、协议类型、 应用信息等多层的标志，因此具有更全面的安全性。 通信状态：即以前的通信信息。对于简单的包过滤防火墙，如果要允许f t p 通过，就必须作出让步而打开许多端口，这样就降低了安全性。状态检测防火墙 在状态表中保存以前的通信信息，记录从受保护网络发出的数据包的状态信息， 例如f t p 请求的服务器地址和端口、客户端地址和为满足此次f t p 临时打开的端 口，然后，防火墙根据该表内容对返回受保护网络的数据包进行分析判断，这样， 只有响应受保护网络请求的数据包力被放行。这里，对于u d p 或者r p c 等无连接 的协议，检测模块可创建虚会话信息用束进行跟踪。 应用状态：即其他相关应用的信息。状态检测模块能够理解并学习各种协议 和应用，以支持各种最新的应用，它比代理服务器支持的协议和应用要多得多； 并且，它能从应用程序中收集状态信息存入状态表中，以供其他应用或协议做检 测策略。例如，已经通过防火墙认证的用户可以通过防火墙访问其他授权的服务。 操作信息：即在数据包中能执行逻辑或数学运算的信息。状态监测技术，采 坌塑生堕j 大些些窒全壁垫堑查堕堑兰兰型 笙= 至坌塑苎堕盔些苎塑垫查丝墨竺塑翌 用强大的面向对象的方法，基于通信信息、通信状态、应用状态等多方面因素， 利用灵活的表达式形式，结合安全规则、应用识别知识、状态关联信息以及通信 数据，构造更复杂的、更灵活的、满足用户特定安全要求的策略规则。 2 2 3n a t n a t ( n e t w o r ka d d r e s st r a n s l a t i o n ) 技术可以用来建立对外部用户透明的 私有网。n a t 可以解决i p 地址不够用的问题，同时还能隐藏内部网络的i p 地址。 这样对外部网络的用户来讲私有网络是透明的、不存在的，可以防止内部网络结 构被人窃取，从一定程度上降低了内部网络被攻击的可能性，提高了私有网络的 安全性。n a l 提供的透明的完善的解决方案，网络管理员可以决定哪些内部的i p 地址需要隐藏，哪些地址需要映射成为一个对i n t e r n e t 可见的i p 地址。n a t 可 以实现单向路由，这样不存在从i n t e r n e t 到内部网的或主机的路由。 2 2 4 身份认证 在分布式计算环境中，用户需要访问分布在网络不同位置上的服务。通常为 了保护自身资源安全性，服务提供者需要通过授权来限制用户对资源的访问。对 用户进行授权和访问限制策略是建立在对用户服务请求进行鉴别的基础上。也就 足说，用户的服务请求或用户自身必须要通过鉴别或认证，才能访问服务器提供 的服务。为了保证网络系统的安全性，可以采用不同的身份认证策略实现”。 ( 1 ) 基于客户工作站的用户身份鉴别，由客户工作站确保用户身份的真实性， 服务器对用户身份进行标识，以强化其安全策略。 ( 2 ) 基于客户系统的身份鉴别，客户系统向服务器证实自身，服务器将信任 该客户系统中的用户的身份。 ( 3 ) 用户在访问网络中的每一项服务时都必须证实其自身的身份，同时服务 器必须向用户证实其身份。 1 k e r b e r o s 认证 k e r b e r o s 提供了一个集中式的认证服务器结构，认证服务器的功能是实现 用户与其访问的服务器间的相互鉴别。k e r b e r o s 建立的是一个实现身份认证的 框架结构，采用的是对称密钥加密技术，而未采用公开密钥加密。k e r b e r o s 支 持上述的三种身份认证策略，因此可以适应于多种网络环境。k e r b e r o s 采用c s 结构，使用一个或多个k e r b e r o s 认证服务器来提供用户身份的鉴别。 k e r b e r o s 认证包括两种服务器：一个认证服务器，一个或多个门票分配服务 器( t g s ) 。其认证| 办议基本结构”“如图2 1 所示。 图2 1k e r b e r o s 认正协议的基本结构 认证过程如下： ( 1 ) 客户请求k e r b e r o s 认证服务器发给接入k e r b e r o st g s ( 门票分配服务 器) 的门票。请求以报文形式形成。 ( 2 ) 认证服务器在其数据库中查找客户实体，产生一个会话密钥，k e r b e r o s 使用客户的秘密密钥对此会话密钥进行加密；然后生成- - t g t ( 门票分配许可证) ， 该许可证包括客户实体名、地址、t g s 名、时间印记、时限、会话密钥等信息； 并用t g s 的秘密密钥( 此密钥只有认证服务器和t g $ 知道) 对t g t 进行加密：认证 服务器把这两个加密报文发还给客户。 ( 3 ) 客户将第一个报文解密得到会话密钥，然后生成一个认证单，包括客户 实体名、地址及时间印记，并用会话密钥对认证单进行加密。然后，向t g s 发出 请求，申请接入某一目标服务器的门票。此请求包括目标服务名称、收到k e r b e r o s 发来的加过密的t g t 以及加密的认证单。 ( 4 ) t g s 用其秘密密钥对t g t 进行解密，使用t g t 中的会话密钥对认证单进 行解密。然后将认证单中的信息与t g t 中的信息进行比较。此时，t g s 产生新的 会话密钥供客户实体与目标服务器使用，利用客户实体和t g s 用的会话密钥将新 的会话密钥加密；还将新的会话密钥加入客户向该服务器提交的有效门票之中， 门票中还包括客户实体名、网络地址、服务器名、时间印记、时限等，并用目标 服务器的秘密密钥将此门票加密；然后将这两个报文发送给客户。 ( 5 ) 客户将接收到的报文解密后，获得与目标服务器共用的会话密钥。这时， 客户制作一个新的认证单，并用获得的会话密钥对恢认证单进行加密。当请求进 入访问目标服务器时，将加密的认证单和从t g s 收到的门票一并发送给目标服务 器。由于此认证单有会话密钥加密的明文信息，从而证明发信人知道该密钥。 ( 6 ) 目标服务器对门票和认证单进行解密检查，包括地址、时间印l 己、时限 等。如果一切都核对无误，服务器则知道了客户实体的身份，并与之共享一个可 用于他们之阳j 秘密通信的加密密钥。 分布式防火墙披立仝联动技术研究与实现 第一章分布式防火端关键技术发系统模型 2 x 5 0 9 认证 x 5 0 9 认证服务是i t u t 制定的。x 5 0 9 是 t u t 的x 5 0 0 ( 目录服务) 系列 建议中的一部分。x 5 0 0 是一套有关目录服务的建议，而x 5 0 9 定义了目录服务 中向用户提供认证服务的框架。目录服务是由一个或一组分布式的服务器束完 成，目录中保存的是用户信息数据库，包括用户名、用户i d 、用户到网络地址 的映射以及用户的其他属性等等。通常情况下可以认为目录就是一个保存了用户 的公开密钥汪书的知识库。在每1 个证书中部包含了用户的公开密钥以及一个可 信的权威证书颁发机构的数字签名。x 5 0 9 定义了一种基于公开密钥证书的认证 协议。x 5 0 9 协议的实现基于公开密钥加密算法和数字签名技术。 x 5 0 9 支持单向认证、双向认证和三向认证3 种不同的认证过程，以适应不 同的应用环境。x 5 0 9 的认证过程使用公丌密钥签名。它假定通信双方都知道对 方的公开密钥：用户可以从目录获得对方的证书，或者从对方的证书包古在的初 始化报文中获得。 2 2 5ip s e e i p s e c 是出i e t f 制定的开放性i p 安全标准协议l ，它基于i p 网络( 包括 i n t r a n e t 、e x t r a n e t 和i n t e r n e t ) ，是将多个安全协议结合在一起形成的一个较 为完整的安全协议包。它支持信息通过i p 公网的安全传输，在o s i 模型的第三 层( 网络层) 提供加密、验证、授权和管理。 i p s e c 为i p 网络通信提供对应用程序透明的加密服务，定义了一套用于认 证、保护私有性和完整性的标准协议，并通过三种不同的形式来保护传送的数据。 认证：用于确定所接受的数据与所发送的数据是一致的，同时确定申请发送 者是真实的发送者，而不是伪装的。 数据完整：用于保证数据从原发地到目的地的传送过程中没有发生任何不可 检测的数据丢失与改变。 机密性：使相应的接收者能获取发送的真正内容，而在无意中获取数据的接 收者无法获知数据的真正内容。 i p s e c 通过兰个基本要素来提供以上三种保护形式：认证协议头( a h ) 、安全加 载封装( e s p ) 和互联网密钥管理协议( i k m p ) 。可以通过分开或组合认证协议头和 安全加载封装来达到所希望的保护等级。 认证协议头( a h ) 是在所有数据包头加入一个密码。正如整个名称所示，a h 通过一个只有密钥持有人才知道的“数字签名”来对用户进行认证。这个签名是 数据包通过特别的算法得出的独特结果；a h 还能维持数据的完整性，因为在传 两北t 业人学碳ij 学位论文 输过程中无论多小的变化被加载，数据包头的数字签名都能把它检测出来。不过 由于a h 不能加密数据包所加载的内容。因而它不保证任何的机密性。 安全加载封装( e s p ) 通过对数据包的全部数据和加载内容进行全加密来严格 保证传输信息的机密性，这样可以避免其他用户通过监听来打开信息交换的内 容，因为只有受信任的用户拥有密钥打丌内容。e s p 也能提供认证和维持数据的 完整性。由于e s p 实际上加密所有的数据，因而它比a h 需要更多的处理时间， 从而导致性能下降。 密钥管理包括密钥确定和密钥分发两个方面，最多需要四个密钥：a h 和e s p 各两个发送和接收密钥。密钥本身是一个二进制字符串，通常用十六进制表示。 密钥管理包括手工和自动两种方式，手工管理系统在有限的安全需要下可以工作 得很好，而自动管理系统能满足其他所有的应用要求。 i p s e c 用来在多个防火墙和服务器之间提供安全性，确保运行在t c p i p 协 议上的v p n s 之间的互操作性，最适合可信的t a n 到t a n 之间的虚拟专用网，即 内部网虚拟专用网。 2 2 6s s l t l s 为了确保网络通信的安全，可咀采用安全套接字层( s s l ) 协议或传输层安 全( t l s ) 协议，两者非常接近”“。 s s l 在t c p 基础上提供一种可靠的端到端的安全服务，其服务对象一般是w e b 应用。在s s l 利体系结构中包含两个协议子层，其中底层是s s l 记录协议层( 8 s l r e c o r dp r o t o c o ll a y e r ) ；高层是s s l 握手协议层( s s lh a n d s h a k ep r o t o c o l l a y e r ) 。 s s l 记录协议层的作用是为高层协议提供基本的安全服务。s s l 记录协议针 对h t t p 协议进行了特别的设计，使得超文本的传输能够在s s l 上运行。汜录协 议层封装各种高层协议，具体实施压缩解压缩、加密解密、计算和校验m a c 等与 安全有关的操作。 s s l 握手阱泌层包括s s l 握手协议( s s lh a n d s h a k ep r o t o c 0 1 ) 、s s l 密码参 数修改胁议( s s lc h a n g ec i p h e rs p e cp r o t o c 0 1 ) 、应用数据协议( a p p l i c a t i o n d a t ap r o t o c 0 1 ) 和s s l 报警协议( s s la l e r tp r o t o c 0 1 ) 。握手协议层的这些协 议用于s s l 管理信息的交换，允许应用协议传输数据之前相互验证，协商加密算 法和生成密钥等。 当一个应用程序( 客户机) 想和另一个应用程序( 服务器) 通信时，客户机 打丌一个与服务器相连接的套接字连接。然后，客户机和服务器对安全连接进行 协商。作为协商的一部分，服务器向客户机作自我认证。客户机可以选择向服务 分布式防火端及曩牟联动技术1 卅究j 宴现第一章分布武胁冬地墨壁丝查些至鉴堡型 器作或不作自我认证。一旦完成了认证并且建立了安全连接，则两个应用程序就 可以安全地进行通信。 $ s l 在网络上传输数据时，使用s s l 握手时选定的一种对称算法对数据进行 加密，s s l 可使用的加密算法有很多种，如果某种算法被新的攻击方法识破了， 它可以选择另外的算法。s s 。将信息验证码放在数据包的后部，和数据一块被加 密，保证了数据不被修改。s s l 还使用序列号来保护通信方免受报文重放攻击。 在整个s s l 握手中，都有一个惟一的随机数来标记这个$ s l 握手，这样重放便无 机可乘；同时，序列号也可以防止攻击者记录数据包并以不同的次序发送。 2 2 7 a g e n t a g e n t 是一个具有信息处理能力的主动实体，在特定环境下能感知环境，并 能自治地运行以代表其设计者或使用者实现一系列目标的计算实体或程序。它能 随环境的变化去调整自己，以期在变化的环境中仍能达到与环境相一致的结果。 a g e n t 的最基本特性包括：反应性、自治性、面向目标性和针对环境性。a g e n t 根据应用情况而具备不同的其他特性，包括：移动性、自适应性、通信能力、理 性、持续性或时间连续性、自启性等特性。 在分布式防火墙研究中，可以利用a g e n t 的反应性和可移动性实现移动 a g e n t 。移动a g e n t 是指能在异构网络主机之间自主进行迁移的程序。它能自主 地决定在什么时候迁移到什么地方，也能在程序运行的任意点上挂起，然后迁移 到另外一台主机上，并接着从这一点继续往下执行。移动a g e n t 还能克隆自己或 产生子代理，迁移到其他的主机上以共同协作完成复杂的任务。移动代理系统是 指能创建、解释、执行、传送和终止移动代理的平台，他由名字和地址唯一标识。 每个系统都可以运行多个代理，代理通过和主机进行交互来获得所需服务。 分布式防火墙系统可以利用a g e n t 的这些特性很好地解决了实时报警和有 规则的动态更新的问题，使得防火墙可以随着周围环境的变化而不断地调整自己 的安全措施，进而满足用户的实时需求。 2 3 分布式防火墙系统模型 2 3 1 基于k e y n o t e 的分布式防火墙系统模型 基于k e y n o t e 的分布式防火墙系统模型”l 在o p e n b s d 平台上实现了的分旆 式防火墙原型。， 西j i t 业大学坝i 学位论义 信任管理是在公用密钥系统中，对公钥进行签名认证的机构或人的管理方 式。它直接面向丌放、分布式应用的授权问题，与传统的、基于a c l 的授权机制 相比，它具有灵活性、可扩展性和可靠性的特点。在防火墙系统中，信任管理是 指用来统一定义和解释安全策略、信任书和关系的方法。k e y n o t e 信任管理就提 供了一个定义策略和信任书的统一的语言。 该分布式防火墙原型系统有三个部分：内核扩展组件，用于实施安全机制； 策略守护进程，用于执行d f w 策略；策略设备驱动程序，为内核和策略后台程序 之矧的双向通信提供接i z l ，如图2 2 所示。 悟高 匦留。 ! ! 坚! 塑：= ： 一! 哩璺哩上 i ? 以却：i f modified皑到as 。v p o l i c y 1 i y s t e mc a l l s ，葛：i a “，p “” 图2 2 基于k e y n o t e 的分布式防火墙原型系统 1 内核扩展 内核扩展组件的功能是生成并提交策略内容，由策略守护进程对包进行处 理。用来进行过滤的两个系统调用是c o n n e c t ( ) 和a c c e p t ( ) 。当一个用户应用 程序使用c o n n e c t ( ) 时，系统调用被内核捕获，于是产生了一个与该连接关联 的策略内容( 见图2 2 ) 。 策略内容与特定的一个序列号联系在一起，内容信息有本机发起的连接信息 和进入本机的连接信息。本机发起的连接信息包括初始化该连接的用户i d 、目 的地址和端口等。进入本机的连接信息