（计算机软件与理论专业论文）基于corba的分布式防火墙的研究与实现.pdf

南京邮电学院硕士论文 摘要 摘要 传统防火墙不能过滤其不可见的流量，也就是说其安全策略是内部网络可以 信任。这种模式在中小型网络中得到了很好的应用，但是随着带宽的增长、流量 的增加，这样的防火墙已经不能满足我们的需要。为了克服这样的缺陷，分布式 防火墙应运而生。在这种防火墙中，安全策略是集中定制的，但是功能由各个宿 主主机来实施。 目前，很多公司提出了自己的分布式防火墙的策略和实现方案，这些防火墙 认为网络外部的人是不可信任的，网络内部的人也是不可信任的，所以在实施时 每个客户端都需要执行严格的安全策略，这样固然确保了信息安全，但同时也给 同一个内部网络之间的信息共享带来了很多不方便。本文就此提出新的防火墙模 型，新模型在安全性和灵活性上作了折衷考虑，它的出发点是网络外部的人是不 可信任的，网络内部的人是部分可以信任的。这样确保了核心网络的安全性，同 时也保证了内部网络之间信息访问的便捷性。 论文首先介绍了目前常用的中间件，并详细阐述了c o r b a 的工作原理。在此 基础上选择提出了基于c o r b a 的分布式防火墙模型。然后以日志系统为例，详细 给出了i d l 、客户端和服务器端的实现方法以及程序的运行结果。最后从软件工 程的角度分析了c o r b a 语言中的泛型之美以及c o r b a 的发展趋势。 关键词：分布式防火墙c o r b a i d l 泛型 南京邮电学院硕士论文 a b s t r a c t a b s t r a c t c o n v e n t i o n a lf i r e w a l lc a n n o tf i l t e rt r a f f i ct h a ti td o e sn o ts e e ，t h a ti st os a y , e v e r y o n eo nt h ep r o t e c t e ds i d ei st r u s t e d w h i l et h i sm o d e lh a sw o r k e dw e l lf o rs m a l l t om e d i u ms i z en e t w o r k s ，n e t w o r k i n gt r e n d ss u c ha si n c r e a s e dc o n n e c t i v i t y , h i g hl i n e s p e e d s ，e x t r a n e t s ，a n dt e l e c o m m u t i n gt h r e a t e nt om a k ei to b s o l e t e t or e s o l v et h es h o r t c o m i n g so f t r a d i t i o n a lf i r e w a l l s ，t h ec o n c e p to fa ”d i s t r i b u t e d f i r e w a l l ”h a sb e e np r o p o s e d i nt h i ss c h e m e ，s e c u r i t yp o l i c yi ss t i l lc e n t r a l l yd e f i n e d ， b u te n f o r c e m e n ti sl e f tu pt ot h ei n d i v i d u a le n d p o i n t s n o w a d a y sm a n yf i r m sh a v er e l e a s e dt h e i rd i s t r i b u t e df i r e w a l l s ，b u ta l lt h e f i r e w a l l sh a v et h es a l t l ed e f e c t t h e yt l l i n kt h a te v e r y o n ei sd i s t r u s t e dw h e t h e r t h e ya r e i ni n t e m e to ri n t r a n e tw h i c hc a u s e dal o to fi n c o n v e n i e n c ew h e ns h a r i n gi n f o r m a t i o n i nt h el o c a ln e t w o r k i nf a c tw ec a nd i v i d et h e mi n t od i f f e r e n ts e c u r i t yl e v e la n d s u p p o s et h a tt h e ya r et r u s t e di nt h es a m el e v e lw h i c hi st h em o s ti m p o r t a n ti d e ai nt h e n e wd i s t r i b u t e df i r e w a l lp u tf o r w a r di nt h i st h e m e w ei m p l e m e n t e dt h ed i s t r i b u t e df i r e w a l lb a s e do nc o r b a b e c a u s eo ft h e c o m p l e x i t yo ft h ew h o l es o l u t i o n ，o n l yl o gh a sb e e nr e a l i z e di nt h et h e m e o fc o u r s e w ec o m p a r e dc o r b aw i t ht h eo t h e rm i d d l e w a r ea n di n v e s t i g a t e dt h em e c h a n i s mo f c o r b a k e y w o r d s ：d i s t r i b u t e df i r e w a l lc o r b ai d lg e n e r i c s 南京邮电学院硕士论文缩略词 缩略词 缩略词英文全称译文 a c e a d a p t i v ec o m m u n i c a t i o ne n v i r o n m e n t自适配通信环境 b o ab a s i co b j e c ta d a p t e r基本对象适配器 c o m c o m p o n e n to b j e c tm o d e l组件对象模型 公共对象请求代理体系 c o r b ac o m m o no b j e c tr e q u e s tb r o k e ra r c h i t e c t u r e 结构 啪 e n t e r p r i s ej a v a b e a n企业j a v a b e a n g i o pg e n e r a li n t e r _ o r bp r o t o c o l 通用o r b 间互操作协议 i d li n t e r f a c ed e f i n i t i o nl a n g u a t e 接口定义语言 i i o p【r i t e m e ti n t e r - o r bp r o t o c o l 网络o r b 交换协议 j 2 e ej a v ae n t e r p r i s ee d i t i o n j a v a 企业版 o r b o b j e c tr e q u e s tb r o k e r对象请求代理 p o ap o r t a b l eo b j e c ta d a p t e r 可移植对象适配器 r p cr e m o t ep r o c e d u r ec a l l 远程过程调用 南京邮电学院学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电学院或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名：益主日期：芝：垒：! 南京邮电学院学位论文使用授权声明 南京邮电学院、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电学院研究生部办理。 研究生签名：导师签名：2 潋日期：型丑 南京邮电学院硕士论文引言 引言 课题背景 随着计算机安全技术的发展和网络安全问题的日益严峻，用户对防火墙也 提出了更高的要求。传统的防火墙只是对来自网络外部的流量进行过滤，认为 网络内部是可以信任的。但在实际应用中，内部网络的安全也越来越重要，在 同一个网络中需要有不同的安全等级，来自网络内部的信息同样需要监测和过 滤。分布式防火墙就是在这样的背景下诞生的，它集中定制策略，对流量的过 滤由各个主机独立承担。这样一种结构既保证了各个终端的安全，同时也大大 降低了维护成本。 目前已经有一些国外厂家推出了自己的分布式防火墙产品，但是它们的策 略是网络外部的人是不可以信任的，网络内部的人同样也是不可信任的，在每 个终端都架有分布式防火墙的终端，虽然保证了每个主机的安全，但是增加了 网络负荷和管理的复杂性，同时也给网络内部成员的信息共享造成了不便。 本文基于以上现状，提出了更符合实际应用的分布式防火墙模型，在网络 内部中，按照不同的要求细分成不同的子网，对不同的予网实施相应的安全策 略。然后选择c o r b a 作为实施的中间件，并以分布式防火墙中的日志系统为例， 给出了解决方案和运行结果。 论文组织结构 本文从分布式防火墙，中间件的原理和性能分析，c o r b a 的工作过程到基 于c o r b a 的分布式防火墙模型的研究及具体日志系统的实现进行了全面的阐 述。全文共分五个章节，内容组织如下： 第一章主要介绍了防火墙技术的发展。首先介绍传统防火墙的不足，而后 重点阐述分布式防火墙的功能原理及特点，产生的背景和运行环境，并将其与 传统防火墙进行比较。 第二章介绍了中间件的概念，作用和分类，及目前市场上常见的中间件， 并对各种中间件的性能作了比较和分析，着重阐述了我们选择c o r b a 作为中间 件的理由及其优点。 南京邮电学院硕士论文 引言 第三章深入分析了c o r b a 的原理、运行机制和o r b 互操作体系结构，从客 户端、服务器端以及调用机制作了详尽的说明和分析。 第四章提出了基于c o r b a 的新型分布式防火墙的模型，并从防火墙的安全 特性、服务器端的多线程策略以及可扩展性和可维护性方面进行了分析，然后 从具体实施的层次给出了o r b 的选择、开发环境的设置等。 第五章是全文的核心部分。首先给出了系统框架，然后从i d l 、客户端、 服务器端三个方面分别给出了我们编写的实旌方法和关键代码，之后说明了r 志文件管理工具。最后从软件工程的角度对c o r b a 作了深入分析并分析了中间 件的发展趋势。 最后，总结了全文所做的工作，并展望了分布式防火墙的发展趋势。 南京邮电学院硕士论文第一章分布式防火墙 1 1 传统防火墙 1 1 1 防火墙的定义 第一章分布式防火墙 防火墙一词的原始含义是指能阻挡火蔓延的墙，具有隔离作用，在计算机 中借用这一词来表示类似的含义。在计算机中防火墙是指能将局域网与外部网 络隔离开来的软件或硬件实体。传统上认为，防火墙是指设置在不同网络( 如 可信任的企业内部网和不可信的公共网) 或网络安全域之间的一系列部件( 包 括软件和硬件) 的组合。它处在不同网络或网络安全域之间数据传输的唯一出 入口处，在两个网络环境之间提供一个安全网关，对所有进出的数据流进行检 查和过滤，在被保护网络和外部网络之间架起一道屏障，以阻止外部用户非法 使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据 被盗取。 目前一般认为，防火墙是一个分离器、限制器，也是一个分析器，它有效 地监控了内部网和外部网之间的活动，从而保证了内部网络的安全。通过制订 安全策略，它可监测、限制、更改跨越它的数据流，尽可能地对外部屏蔽网络 内部的信息、结构和运行状况，有选择地接受外部访问，以实现网络的安全保 护。传统防火墙结构见图卜l 。 1 i 。2 传统防火墙的分类 图卜1 传统防火墙结构 防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体 来讲可分为包过滤、应用层网关和代理服务器等几大类型。 南京邮电学院硕士论文 第一章分布式防火墙 l _ 数据包过滤型防火墙 数据包过滤( p a c k e tf i l t e r i n g ) 技术是在网络层对数据包进行选择，选择 的依据是系统内设置的过滤逻辑，被称为访问控制表( a c c e s sc o n t r o lt a b l e ) 。 通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态 等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透 明性好，它通常安装在路由器上。路由器是内部网络与i n t e r n e t 连接必不可少 的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主 机上的软件和配置漏洞进行攻击：二是数据包的源地址、目的地址以及l p 的端 口号都在数据包的头部，很有可能被窃听或假冒。 分组过滤或包过滤，是一种通用、廉价、有效的安全手段。之所以通用， 是因为它不针对各个具体的网络服务采取特殊的处理方式：之所以廉价，是因 为大多数路由器都提供分组过滤功能：之所以有效，是因为它能很大程度地满 足企业的安全要求。过滤所根据的信息来源于i p 、t c p 或u d p 包头。 包过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络 层和传输层，与应用层无关。但其弱点也是明显的：能够用于过滤判别的只有 网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤 器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大 地影响；由于缺少上下文关联信息，不能有效地过滤如u d p 、r p c 一类的协议； 另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差：对 安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用 程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共 同组成防火墙系统。 2 应用层网关型防火墙 应用层网关( a p p l i c a t i o nl e v e lg a t e w a y s ) 是在网络应用层上建立协议过 滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并 在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的 应用网关通常安装在专用工作站系统上。 6 南京邮电学院硕士论文 第一章分布式防火墙 数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定 的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统 建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和 运行状态，容易实施非法访问和攻击。 3 代理服务型防火墙 代理服务( p r o x ys e r v i c e ) 也称链路层网关或t c p 通道( c i r c u i t1 e v e l g a t e w a y so rt c pt u n n e l s ) ，也有人将它归于应用层网关一类。它是针对数据 包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越 防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的”链接”， 由两个终止代理服务器上的”链接”来实现，外部计算机的网络链路只能到达代 理服务器，从而起到了隔离防火墙内外计算机系统的作用。 此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时 当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。 应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通 信流的作用。同时也常结合过滤器的功能。它工作在o s i 模型的最高层，掌握 着应用系统中可用作安全决策的全部信息。 4 复合型防火墙 由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法 结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。 屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与 i n t e r n e t 相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防 火墙上过滤规则的设置，使堡垒机成为i n t e r n e t 上其它节点所能到达的唯一节 点，这确保了内部网络不受未授权外部用户的攻击。 屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两 个分组过滤路由器放在这一子网的两端，使这一子网与i n t e r n e t 及内部网络分 离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整 个防火墙的安全基础。 1 1 3 防火墙的原理 南京邮电学院硕士论文 第一章分布式防火墙 上面介绍的几种防火墙中，最基础的是包过滤防火墙，下面介绍包过滤防 火墙的原理。 包过滤防火墙是基于数据包的头部信息( 或数据包的内容) 来决定转发还 是丢弃的。原则上每层的包头都可以作为检查的对象，包括数据链路层头、 i p 头、t c p u d p 头。由于在广域网上主机的硬件地址即m a c 地址很难与i p 地址 绑定，所以检查数据链路层包头没有多大意义，但在局域网内部可以将m a c 地 址与i p 绑定，从而可以为内部网的安全防范增加一个依据。另外，在应用层所 有的包头己全部被剥去，没有包头可以检查，但可以对包的内容进行检查，提 取有关信息作为判断是放行还是拒绝的依据。 在t c p i p 层，包过滤的一般过程是，在网络层对i p 包头处理之前抢先截 取包，检查包头( 包括i p 头和t c p u d p 头) 中的有关字段是否与规则集中的规 则匹配，如果允许转发就将包交给网络层按常规往下处理，否则丢弃。 表1 1 概括总结了各层包过滤所要检查的包头字段( 或内容信息) ，要理解 为什么要检查这些字段和内容，需要对t c p i p 协议以及黑客的攻击方法有较深 入的理解。 表卜1 包过滤的类型与检测字段 包类型 包头的功能检查的包头字段( 或包内容)检查该字段可以防范的攻击类型 应用无包头 1 分析s o c k e t 连接，可获取有关信1 防范木马攻击。 层包息，如哪个应用程序连网，源和目的 2 对奉机的服务和端口进行控制。 端口、ip 地址，协议。3 对访问的时间进行控制( 双向) 。 2 分析包中的内容，可获得网，邮4 对访问的网络进行控制( 双向) 。 箱地址，f t p 文件名等。 t c p 包连接的可靠 序列g - ：确认号：a c k 标志位；s y n 标拒绝服务攻击；拦截t c p 连接等 性：发送报文志位：端口等。 的顺序等。 i i d p 包 只提供端u 端口 对端u 进行控制 和校验 i p 包主要用于路 协议；i i ，地址；任选项；分段偏移量对协议、t p 地址和路由进行控制 由 l ( m p 包在双方之间 如下几种报文类型可被黑客利用，应向路由器发送错误报文来扰乱路由 发送控制和阻止：流入的e c h o 请求和e c h o 响应；表：探测网终 管理信息流入的重定向报文；流出的目的不可 达报文；流出的服务不可用报文。 南京邮电学院硕士论文 第一章分布式防火墙 链路 局域网中寻m c 地址对主机进行确认 层包址 i i 4 传统防火墙的优点与不足 防火墙是一种强有力的网络保护手段，大部分的安全问题归因于有错误的 代码，( 1 9 9 8 年，1 3 个c e r t 报告中有9 个是“缓冲区溢出”问题一b u f f e r o v e r f l o w ，另外有两个是加密错误) 且不能用加密和认证来防止。防火墙可以 防止这类的应用程序进行有危险的连接。 防火墙还可以保护老的应用程序。有些老的协议和实现不能进行认证和加 密，想在这些应用程序上加上加密和认证是不现实的。 防火墙还是一种策略控制机制。允许网络的管理员为外部连接制定策略。 与文件权限类似，防火墙能执行对外的安全策略。 但是在网络曰益发展的今天，传统防火墙已经渐渐的不能满足人们对安全 的需要。主要体现在以下几个方面： 首先，“内部可信”这个假设是不成立的。由于受到网络拓扑结构的限制， 传统的防火墙无法对内部成员之间的通信加以监控，一些特定的个人或是远程 网络甚至可以连接应该受保护的网络节点。根据美国f b i 公布的数据，7 0 的攻 击来自内部。 其次，传统的防火墙无法应对飞速增长的网络服务和网络协议。对于新的 服务和协议防火墙如果不能识别，也就不能对其进行监控。比如i p s e c 协议就 是一个例子。此外，随着电脑处理速度的快速增加，必须通过防火墙的数据量 将以超过摩尔定律速度增长，那时防火墙的处理能力将来不及处理如此大量的 数据，单点的阻塞将会成为必然。 第三，内部节点可以轻松的建立与外部网络的通信。比如，某公司内部网 络中如果有人利用m o d e m 拨号上网，就很容易将公司内的信息通过网络传送出 去，传统防火墙对此无能为力。 最后，加密技术为防火墙带来了难题。端到端的加密对防火墙可以形成威 胁，防火墙通常检查包的字段和内容来进行过滤，端到端的加密可以隐藏包的 内容，不易被监控。 9 南京邮电学院硕士论文第一章分布式防火墙 虽然传统防火墙有以上的不足，但它在目前仍然是一种较为有效的安全手 段。为了克服传统防火墙的缺点，保留它的优点，s t e v e nm b e l l o v i n 提出了 分布式防火墙的概念。 1 2 分布式防火墙 1 2 1 分布式防火墙的定义 s t e v e nm b e l l o v i n 在“分布式防火墙”( d i s t r i b u t e df i r e w a l l s ，d f w ) 一文中。首次提出了分布式防火墙的概念“分布式防火墙是这样的一个方 案：策略集中订制，在各台主机上执行，日志集中收集处理。” 在分布式防火墙中，安全策略在控管中心( c o n f i g u r a t i o nm a n a g e m e n t c e n t e r ，c m c ) 集中定义( 见图卜2 ) ，而运行在各个h o s t ( 网络端点，如主机、路 由器等) 上。系统将中心策略传送给各个端点，策略的传送可以有多种方法，可 以采用直接向端点推送策略或是端点下载策略；也可以提供给用户某种形式的 凭证，用户利用这些凭证与其它的主机通信；或者也可以是以上两种方式的结 合。端点之间相互信任的范围是通过策略描述的。 分布式防火墙不同于个人防火墙，虽然两者都需要在主机上安装防火墙， 但分布式防火墙的策略并不是由用户自己定制。而是由网络安全管理员在策略 服务器上制定，再发送到主机上执行的：而且分布式防火墙的运行对用户是透 明的，用户并不知道防火墙的存在，而认证，加密传输，包过滤却已经运行了。 图卜2 分布式防火墙结构 1 2 2 分布式防火墙的组成部分 0 南京邮电学院硕士论文第一章分布式防火墙 为了实现分布式防火墙，三个组成部分是必须的。 1 表达策略和处理请求的语言。 该语言的最基本的形式与包过滤规则功能相同，然而我们仍然希望能够使 用可扩展的语言，因为应用程序类型和安全检查等就可以被描述。这种语言及 其解决方案还应该支持凭证，以便进行授权认证过程。 2 安全发布策略的机制。 i p s e c 密钥管理协议可以用于安全发布策略，当然也可以用其它的协议。 策略的完整性和安全性必须得到保障，不论是通过通信手段还是策略对象的描 述。 3 策略能够正确执行的机制。 策略中可能包括的认证，加密，包过滤等等功能在主机端应该能够正确的 执行，非法策略不会被执行。 1 2 3 分布式防火墙的优点 首先，分布式防火墙去除了单阻塞点，原先的边界防火墙可以减轻负担甚 至取消，吞吐量不再受防火墙的限制，无论是从可行性上还是性能上都会有很 大的提高：同样，分布式防火墙也不再因为单点错误将整个网络与外界隔断。 有些网络通过使用多防火墙来解决这些问题，很多情况下，这种花高价买来的 设备只能用于繁重的防火墙间协议的开销。 其次，另一个优点是更加灵敏，当今的防火墙没有主机意图的知识。它可 能认为一个带有a c k 段的t c p 包是合法包，即使这种包只有在会话过程中才合 法，但这样欺骗a c k 包就可以用来秘密探测。进入内部网的l d p 包也不能正确 处理，因为无法区分是内部向外连接请求的应答还是来自外界的攻击；但是发 送的主机知道，所以基于主机的方法易做出更安全的正确决定。 最重要的一个优点是d f w 可以保护不在拓扑界限范围内的主机。试想一台 远程登录的机器通过i n t e r n e t 连上企业内部网，谁能保护这台主机? 由于要通 过i n t e r n e t ，除了效率的问题，与企业的安全制度也有冲突。还有，在没连接 内部网时，就没有保护。相比而言，分布式防火墙可以始终保护主机，不论是 连接是否建立；组织内部的包，经i p s e c 认证，保证了更多的权力。从i n t e r n e t 南京邮电学院硕士论文第一章分布式防火墙 随机进入的包可以拒绝。 1 3 两种防火墙的比较 1 3 1 端口扫描与服务探测 传统防火墙和分布式防火墙都擅长拒绝不正确服务连接，传统防火墙在边 界处丢弃不正确的连接请求，而分布式防火墙在主机处丢弃。传统防火墙一般 的做法是直接丢弃，不做任何回应；分布式防火墙在对等主机都使用i p s e c 的 情况下，会选择丢弃，也有可能会返回一个要求认证的请求，这是主机存在的 信息，容易被探测出主机的存在。 基于纯粹的包过滤防火墙不能很好的拒绝一些“秘密扫描”。如：有一种技 术就是用分段的包可以无检验的通过，因为端口号不在第一个段中。分布式防 火墙可以在重组之后将它丢弃。 总而言之，两者对于这种威胁还是差不多的。 1 3 2 应用层网关 一些服务需要应用层网关。传统防火墙常设在边界处，过滤代码复杂且在 主机平台上不可行。混合防火墙可克服这个问题。 某些情况下，应用层的控制可以完全避免这个问题。如果安全管理员可以 把所有的浏览器配置成禁止a c t i v e x ，那就没有必要通过代理来过滤输入的 h t m l 。 1 3 3d o s 拒绝服务攻击 两种防火墙在对d o s 的效果不能一概而论，但可以对一些已知的攻击方式 进行比较。 如“s m u r f ”攻击，它的手段主要是消耗i s p 到目标站点的带宽，没有一种 形式的防火墙可以很高效的抵御它。传统防火墙可以放在i s p 的出口，在到达 低带宽入口之前阻止攻击；分布式防火墙允许通过建立多条连接解决问题。 用伪造的安全协商请求轰击i k e 进程可能会消耗c p u 时间。这虽然可以影 南京邮电学院硕士论文第一章分布式防火墙 响传统防火墙，但内部主机仍可以通信。可分布式防火墙更易受影响，是否有 一个新的密钥交换协议可以抵御这种攻击成为了一个公开的问题。 一般的，任何对传统防火墙消耗资源的攻击，如e m a i l 的附件要接受病毒 检查，可以使防火墙陷入困境并影响所有用户。太多的合法传输也会使防火墙 超载。分布式防火墙却能不受其害。 1 3 4 内部攻击 以个公司的网络为例，有两台内部主机，其中h o s t 2 是不可信任的，有 可能是攻击者。该公司还有一个内部的w e bs e r v e r ，为公司的员工提供服务。 在传统的防火墙结构中，防火墙只作用于边界处，因此，即使它可以阻止 e x t e r n a lh o s t 的攻击，但不能阻止来自内部h o s t 2 的攻击，h o s t 2 可以随意的 与w e b s e r v e r 连接( 如图卜3 ) 。 在分布式防火墙中，分布式的策略可以限制内部用户的权限，使不可信用 户无法发起攻击( 如图卜4 ) 。但任何一种防火墙都不能完全防止内部的攻击， 正如你不能用软件来解决社会问题一样。 另方面，分布式防火墙可以通过建立组减少来自内部的威胁。类似很多 系统的权限管理，每个组都有自己的权限，权限的分级便与管理，且不易发生 超越权限的攻击。 ： ： 图卜3 传统防火墙的内部攻击 南京邮电学院硕士论文 第一章分布式防火墙 1 4 混合防火墙 图卜4 分布式防火墙的内部攻击 尽管完整实现分布式防火墙会更安全，更灵活，但混合实现也是可以存在 的。用少的开销来完成足够的功能，直到i p s e c 被广泛应用。 在混合实现下，一些主机在传统防火墙后，另一些主机在防火墙外部，i p s e c 中心路由器可以提供与防火墙外路由器的连接。 在正常v p n ( 虚拟专用网) 中，远程的主机可以完全的与内部的主机交互。 从内部主机到远程节点的传输是受保护的。不同的是从远程节点到其它 i n t e r n e t 是受集中网络安全策略的掌管。那就是，防火墙管理员把安全策略发 放到远程节点。理想情况下，同样的策略也用于控制传统防火墙，保证了安全 策略的一致。 另一种混合实现完全忽略i p s e c 。这种情况下，每一台网络的主机使用基 于地址的策略( 很多新的系统从内核支持这种功能，如l i n u x6 以上版本) 。基 于地址的认证是很弱的，如果用一个简单路由器防止从外界来的地址欺骗，安 全性还是比得上传统防火墙的。虽然我们也依赖t o p 结构，也没有对远程登录 主机的保护，但可以消除单一的阻塞点和失误点。 1 5 本章小结 南京邮电学院硕士论文 第一章分布式防火墙 分布式防火墙的出现是网络飞速发展的结果，传统防火墙的很多缺陷暴露 出来，如单点失效、防内不防外等。分布式防火墙集中定制策略，在各个端主 机上执行，解决了传统防火墙不能解决的上述问题。分布式防火墙和传统防火 墙可以并存形成混合防火墙，这也是一种解决方案。 南京邮电学院硕士论文 第二章常用中间件技术 第二章常用中间件技术 2 1 中间件的由来 计算机技术和网络技术的不断发展使得客户机n 务器体系结构开始成为 主流技术，将数据统一存储在数据服务器上，而有关的业务逻辑都在客户端实 现，这就是所谓胖终端的解决方案，这种两层结构的模式大大阻碍了系统的发 展。单一的服务器结构紧密地依赖供应商；数据存取受到限制；难以扩展到大 企业广域网或国际互联网；也难以管理客户端的机群，而且在分布式计算模式 环境中，无论是硬件平台还是软件平台都不可能做到统一，而大规模的应用软 件通常要求在软硬各不相同的分布式网络上运行。所以为了克服这些局限性、 更好地开发和应用能够运行在异构平台上的软件，迫切需要一种基于标准的、 独立于计算机硬件以及操作系统的开发和运行环境，所以两层结构将被三层或 四层体系结构取而代之。三层结构就是把用户端的业务逻辑独立出来，并与数 据库服务器中存储过程合并在一起，构成应用层，以提高计算能力，实现灵活 性。在这种结构中用户端仅仅是处理图形用户界面( g u i ) ，而目前趋势是采用具 有交互功能的浏览器，即形成瘦终端的工作方式，为此，中间又增加了一层， 称为w e b 服务器层，形成了四层体系结构。 这类多层结构的分布系统，各服务器和终端机之间都是通过网络连接起来 的，并有大量信息和数据进行传递。对每个应用系统而言，在设计和实现时需 要开发的，仅是在应用服务器上的业务逻辑部分的软件，除此之外，还必须要 设计处理分布系统所特有的功能软件，而目前的系统软件( 操作系统和支撑软件) 都不支持。为此出现了中间件，它是处于系统软件和应用软件之间的一类软件。 使设计者集中设计与应用相关的部分，大大简化了设计和维护工作。 2 2 中间件的概念 中间件是介于应用系统和系统软件之间的一类软件，它使用系统软件所提 供的基础服务( 功能) ，衔接网络上应用系统的各个部分或不同的应用，能够 达到资源共享、功能共享的目的。目前，它并没有很严格的定义，但是普遍接 1 6 南京邮电学院硕士论文 第二章常用中间件技术 受i d c 的定义：中间件是一种独立的系统软件或服务程序，是处于操作系统和 应用程序之间的软件，分布式应用软件借助中间件在不同的技术之间共享资源。 中间件位于客户机服务器的操作系统之上，管理计算资源和网络通信。人们在 使用中间件时，往往是一组中间件集成在一起，构成一个平台( 包括开发平台和 运行平台) ，但在这组中间件中必须要有一个通信中间件，因此，可定义：中间 件= 平台+ 通信，这个定义也限定了只有用于分布式系统中才能称为中间件，同 时还可以把它与支撑软件和实用软件区分开来。一般认为，中间件必须具有以 下特点： 1 ) 标准的协议和接口 2 ) 分布计算，提供网络、硬件、操作系统透明性 3 ) 满足大量应用的需要 4 ) 能运行于多种硬件和操作系统平台 其中具有标准的接口和协议非常重要，因为它可以实现不同硬件和操作系 统平台上的数据共享和应用互操作。 从理论上讲，中间件有以下的工作机制：在客户端上的应用程序需要从网 络中的某个地方获取一定的数据或服务，这些数据或服务可能处于一个运行着 不同操作系统和特定查询语言数据库的服务器中。客户朋务器应用程序中负责 寻找数据或服务的部分只需访问一个中间件系统，由中间件完成到网络中找到 数据源或服务，进而传输客户请求、重组答复信息，最后将结果送回应用程序 的任务。 在具体实现上，中间件是一个用a p i 定义的软件层，具有强大的通信能力 和良好的可扩展性的分布式软件管理框架。 2 3 中间件的作用和分类 中间件的作用简单来说就是试图通过屏蔽各种复杂的技术细节使技术问题 简单化。具体地说，中间件屏蔽了底层操作系统的复杂性，使程序开发人员面 对一个简单而统一的开发环境，减少程序设计的复杂性，将注意力集中在自己 的业务上，不必再为程序在不同系统软件上的移植而重复工作，从而大大减少 了技术上的负担。所以说中间件带给应用系统的，不只是开发的简便、开发周 南京邮电学院硕士论文 第二章常用中间件技术 期的缩短，同时也减少了系统的维护、运行和管理的工作量，还减少了计算机 总体费用的投入。其次，中间件作为新层次的基础软件，其重要作用是将不同 时期、在不同操作系统上开发的应用软件集成起来，彼此像一个天衣无缝的整 体协调工作，这就是操作系统、数据库管理系统本身做不了的。 根据中间件在系统中所起的作用和采用的技术不同，可以把中间件大致划 分为以下几种： 1 数据访问中间件( d a t aa c c e s sm i d d l e w a r e ) 在分布式系统中，重要的数据都集中存放在数据服务器中，它们可以是关 系型的、复合文档型的、具有各种存放格式的多媒体型的，或者是经过加密或 压缩存放的，数据访问中间件是在这种系统中建立数据应用资源互操作的模式， 实现异构环境下的数据库联接或文件系统联接的中间件，从而为在网络上虚拟 缓冲存取、格式转换、解压等带来方便。不过在数据访问中间件处理模型中， 数据库是信息存贮的核心单元，中间件完成通信的功能，这种方式虽然灵活， 但是并不适合于一些要求高性能处理的场合，因为它需要大量的数据通信，而 且当网络发生故障时，系统将不能正常工作。 2 远程过程调用中间件( r e m o t ep r o c e d u r ec a l l ，r p c ) 远程过程调用是另外一种形式的中问件，它在客户服务器计算方面，比数 据库中间件又迈进了一步。通过这种远程过程调用机制，程序员编写客户方的 应用，需要时可以调用位于远端服务器上的过程。r p c 的灵活特性使得它有比 数据库中间件更广泛的应用，它可以应用在更复杂的客户服务器计算环境中。 远程过程调用的灵活性还体现在它的跨平台性方面，它不仅可以调用远端的子 程序，而且这种调用是可以跨不同操作系统平台的，而程序员在编程时并不需 要考虑这些细节。 r p c 也有一些缺点，主要是因为r p c 一般用于应用程序之间的通信，而且 采用的是同步通信方式，因此对于小型的简单应用比较适合，因为这些应用通 常不要求异步通信方式。但是对于一些大型的应用，这种方式就不是很适合了， 因为此时程序员需要考虑网络或者系统故障、处理并发操作、缓冲、流量控制 以及进程同步等一系列复杂问题。 3 面向消息中间件( m e s s a g eo r i e n t e dm i d d l e w a r e ，m o m ) 南京邮电学院硕士论文 第二章常用中间件技术 消息中间件能在不同平台之间通信，实现分布式系统中可靠的、高效的、 实时的跨平台数据传输，它常被用来屏蔽掉各种平台及协议之间的特征，实现 应用程序之间的协同：其优点在于能够在客户和服务器之间提供同步和异步的 连接，并且在任何时刻都可以将消息进行传送或者存储转发，这也使它比远程 过程调用更进一步的原因。另外消息中间件不会占用大量的网络带宽，可以跟 踪事务，并且通过将事务存储到磁盘上实现网络故障时的系统恢复。当然和远 程过程调用相比，消息中问件不支持程序控制的传递。 4 面向对象中间件( o b j e c to r i e n t e dm i d d l e w a r e ，0 0 m ) 当前开发大型应用软件通常采用基于组件技术，在分布系统中，还需要集 成各节点上的不同系统平台上的组件或新老版本的组件：组件的含义通常指的 是一组对象的集成，其种类有数百万种。但这些组件面临着缺乏标准而不能相 互操作，各厂家的组件只能在各自的平台上运行。为此，连接这些组件环境的 面向对象中间件便应运而生。面向对象中间件是对象技术和分布式计算发展的 产物，它提供一种通讯机制，在异构的分布式计算环境中透明地传递对象请求， 而这些对象可以位于本地或者远程机器。在这些面向对象的中间件中，功能最 强的是c o r b a ，可以跨任意平台，但是太庞大：j a v a b e a n s 较灵活简单，很适合 于做浏览器，但运行效率差：d c o m 模型主要适合w i n d o w s 平台，己广泛使用。 5 事务处理( 交易) 中间件( t r a n s a c t i o np r o c e s s i n gm o n i t o r ，t p m ) 事务处理中间件是在分布、异构环境下提供保证交易完整性和数据完整性 的一种环境平台；它是针对复杂环境下分布式应用的速度和可靠性要求而实现 的。它给程序员提供了一个事务处理的a p i ，程序员可以使用这个程序接口编 写高速而且可靠的分布式应用程序基于事务处理的应用程序。 事务处理中间件向用户提供一系列的服务，如应用管理、管理控制、已经 应用于程序问的消息传递等。常见的功能包括全局事务协调、事务的分布式两 段提交( 准备阶段和完成阶段) 、资源管理器支持、故障恢复、高可靠性、网 络负载平衡等等。 6 网络中问件 它包括网管、接入、网络测试、虚拟社区、虚拟缓冲等，也是当前最热门 的研发项目。 9 南京邮电学院硕士论文第二章常用中间件技术 7 终端仿真屏幕转换中间件 它的作用在于实现客户机图形用户接口与已有的字符接口方式的服务器应 用程序之间的互操作。 2 4 常见中间件分析 2 4 1c o m 技术 c o m ( c o m m o no b j e c tm o d e l ) 有时被称为公共对象模型，微软官方则称之为 组件对象模型。c o m 允许客户调用服务，服务是由c o m 兼容的组件通过定义一 个二元兼容规范和实现过程来提供的。c 删兼容组件提供了一系列的界面，允 许客户通过这些界面来调用相关的对象。 c o m 对象可以具有复杂的界面，但是每一个类必须具有它自己唯一的类标识 符( c l s i d ) ，并且它的界面必须具有全球唯一的标识符( g u i d ) ，以避免名字 冲突。对象和界面是通过使用微软的界面定义语言来定义的。c o m 体系结构不 允许轻易地对界面作修改，这种方法有助于防止潜在的版本不兼容性。 2 4 2a c e 自适配通信环境( a d a p t i v ec o n l r n u n i c a t i o f ie n v i r o n m e n t ，a c e ) 是可以自 由使用、开放源码的面向对象框架，其中实现了许多用于并发通信软件的核心 模式。a c e 提供了一组丰富的可复用c + + w r a p p e rf a c a d e ( 包装外观) 和框架 组件，可跨越多种平台完成通用的通信软件任务，其中包括：事件多路分离和 事件处理器分派、信号处理、服务初始化、进程间通信、共享内存管理、消息 路由、分布式服务动态( 重) 配置、并发执行和同步等等。 a c e 的目标用户是高性能和实时通信服务和应用的开发者。它简化了使用 进程间通信、事件多路分离、显式动态链接和并发的面向对象网络应用和服务 的开发。此外，通过服务在运行时与应用的动态链接，a c e 还使系统的配置和 重配置得以自动化。 2 4 3c o r b a 南京邮电学院硕士论文第二章常用中间件技术 公用对象请求代理程序体系结构( c o m m o no b j e c tr e q u e s tb r o k e r a r c b i t e c t u r e ，c o r b a ) ，是对象管理组织( o b j e c tm a n a g e m e n tg r o u p ) 对应 当今快速增长的软硬件的协同工作能力的要求而提出的方案。简而言之，c o r b a 允许应用程序和其他的应用程序通讯，而不论它们在什么地方或者由谁来设计。 它定义了接口定义语言( i d l ) 和应用编程接口( a p i ) ，从而通过实现对象请 求