（计算机软件与理论专业论文）linux内核下基于netfilter的状态检测防火墙研究与实现.pdf

哈尔滨理工大学工学硕士学位论文 l i n u x 内核下基于n e t f i l t e r 的状态检测防火墙 研究与实现 摘要 随着互联网的飞速发展，社会的信息化程度不断提高，计算机网络已经 深入到社会的各个方面，带来了巨大的经济效益和社会效益，然而也带来不 可忽视的安全风险。 防火墙是一种安全有效且应用广泛的网络安全机制，但是传统的包过滤 防火墙只对数据包的i p 地址、协议和端口进行分析，不支持应用层协议， 难以履行保护内网安全的职责；而应用代理网关防火墙难于配置，处理延迟 很大，很容易成为内外部网络之间的瓶颈。因此，状态检测技术成为目前研 究最广泛的防火墙技术，对每一个包的检查不仅根据规则表，更考虑了利用 状态表跟踪每一个网络会话的状态，动态地打开和关闭端口，并加以会话超 时的限制，能在很大程度上提高过滤安全性。 l i n u x 作为近几年迅速发展起来的易于管理、维护并可完全免费使用的 操作系统，在系统的稳定性、健壮性及价格的低廉性方面都独具优势，随着 l i n u x 服务器的应用日益广泛，其安全性也越来越重要。 本文开发的防火墙以保护l i n u x 服务器的安全为目标，通过对l i n u x 内 核的深入研究，首先提出了l i n u x 系统中状态检测技术的内核原理及用户空 间实现方法，采用n e t f i l t e r 的连接跟踪技术对传统包过滤做出了改进。然后 从防火墙策略、总体设计、具体设计和i p t a b l e s 用户空间实现等几个方面来 考虑，提出了较全面的防火墙设计方案，在此基础上分别实现了适用于 l i n u x 服务器s s h 、f t p 、d n s 、w e b 等基本网络服务的防火墙模块，通过 对包连接状态的检测而绕开其他繁琐的过滤规则，完成迅速数据流状态的分 析，从而大大提高了防火墙的过滤效率，并通过测试证明其在实际应用中的 有效性和可靠性，为l i n u x 防火墙技术的下一步发展提供借鉴作用。 关键词 状态检测；n e t f i l t e r ；l i n u x ；防火墙 哈尔滨理工大学工学硕士学位论文 r e s e a r c ha n di m p l e m e n t a t i o no fs t a t ei n s p e c t i o n f i r e w a l lb a s e do nn e t f i l t e ri nl i n u xk e r n e l a b s t r a c t w i t ht h ed e v e l o p m e n to ft h ei n t e r n e t t h ed e g r e eo fs o c i a li n f o r m a t i o n i z a t i o n h a v ec o n t i n u o u s l yg r o w n ，n e t w o r kh a ss t r e t c h e di n t oe v e r ya s p e c to fs o c i e t y , w h i c hb r i n g se n o r m o u se c o n o m i ca n ds o c i a lb e n e f i t s ，b u ti ta l s ob r i n g ss e c u r i t y r i s k st h a tc a nn o tb eo v e r l o o k e d f i r e w a l li san e t w o r ks e c u r i t ym e c h a n i s mw h i c hw a ss a f e e f f e c t i v ea n d w i d e l yu s e d b u tt h et r a d i t i o n a lp a c k e tf i l t e r i n gf i r e w a l lo n l ya n a l y s i st h ed a t a w h i c hw a so nt h ed a t ap a c k e t si pa d d r e s s ，p r o t o c o la n dp o r t ，n o ts u p p o r t t i n g a p p l i c a t i o nl a y e rp r o t o c o l ，s o i ti sd i f f i c u l tt o p r o t e c t t h e s a f e t y o f i n t r a n e t g a t e w a ya p p l i c a t i o np r o x yf i r e w a l li sd i f f i c u l tt oc o n f i g u r a t i o n ，d e a l p a c k e tw i t hg r e a td e l a y ，i tb e c o m e sb o t t l e n e c kb e t w e e nt h ei n t e r n a la n de x t e r n a l n e t w o r ke a s i l y t h e r e f o r e ，t h ec u r r e n ts t a t ei n s p e c t i o no ft e c n o l o g ya st h em o s t e x t e n s i v es t u d yo ff i r e w a l lt e c h n o l o g y , i n s p e c t i o no fe a c hp a c k e ti sn o to n l y a c c o r d i n gt ot h er u l e so ft a b l e ，c o n s i d e rt h eu s eo fs t a t et a b l et r a c k i n gt h es t a t u s o fe a c hn e t w o r ks e s s i o n ，o p e n i n ga n dc l o s i n gp o r t sd y n a m i c ，a n dt ot h es e s s i o n o v e r t i m er e s t r i c t i o n s ，b ea b l et oi m p r o v ee f f i c i e n c yo ff i r e w a l lf i l t e r i n gs a f e t y l i n u xa sap r o m p td e v e l o p m e n to si se a s yt om a n a g ea n dm a i n t e n c e ，f r e et o b ep u ti n t ou s e ，h a v i n ga d v a n t a g ei nt h ef i e l do ft h e s y s t e m a t i cs t a b i l i t y , r o b u s t n e s sa n dt h ec h e a pp r i c e w i t ht h ew i d ea p p l i c a t i o no fl i n u xs e r v e r ，t h e s e c u r i t yb e c o m e sm o r ei m p o r t a n t t h ef i l e w a l lw h i c h b r i n g su pb yt h ea r t i c l ea i m sa tp r o t e c tt h es a f e t yo fl i n u x s e r v e r , a f t e rr e s e a r c h i n gt h ek e r n e lo fl i n u x f i r s t l y , t h ep a p e rb r i n g sf o r w a r dt h e s t a t ei n s p e c t i o np r i n c i p l ei nk e r n e la n du s e rs p a c ei m p l e m e n tm e t h o di nl i n u x ， i m p r o v et h et r a d i t i o np a c k e tf i l t e r i n gb yt h ec o n n e c tt r a c k i n gt e c h n o l o g yi n n e t f i l t e r s e c o n d l y , w i t ht h ec o n s i d e r o fa s p e c t ss u c ha sf i r e w a l l p o l i c y , t o t a l d e s i g ni d e a ，d e t a i ld e s i g ni d e aa n di p t a b l e su s e rs p a c ei m p l e m e n t ，b r i n g sf o r w a r d - i i aa l l s i d e df i r e w a l ld e s i g np r o j e c t b a s e do ni t ，i ti m p l e m e n t a t e d t h es t a t e i n s p e c t i o nm o d u l ew h i c h w a sf i to nl i n u xs e r v e rs u c ha sf t p ，d n s ，s s h ，w 曲， a c c o m p l i s h e dp r o m p ta n a l y s i so fd a t af l o ws t a t e ，i m p r o v ee f f i c i e n c yo ff i r e w a l l f l i t e r a t i o n h a v er e a l i z e das a f e ra n dr e l i a b l e ra n dh i g h s p e e de f f e c t i v e s t a t e i n s p e c ：t i o nf i r e w a l li nl i n u x ，a n db yt e s t i n gi na p p l y i n g t or e a l i t yv e r i f i e di t s v a l i d i t ya n dr e l i a b i l i t y ，p r o v i d ee f f e c t f o rf u r t h e rd e v e l o p m e n to ft h el i n u x f i r e w a l lt e c h n o l o g y k e y w o r d s s t a t ei n s p e c t i o n ，n e t f i l t e r , l i n u x ，f i r e w a l l i i i 哈尔滨理工大学硕士学位论文原创性声明 本人郑重声明：此处所提交的硕士学位论文( ( l i n u x 内核下基于n e t f i l t e r 的 状态检测防火墙研究与实现，是本人在导师指导下，在哈尔滨理工大学攻读硕 士学位期间独立进行研究工作所取得的成果。据本人所知，论文中除已注明部 分外不包含他人己发表或撰写过的研究成果。对本文研究工作做出贡献的个人 和集体，均已在文中以明确方式注明。本声明的法律结果将完全由本人承担。 作者签名：预 白 日期： 2 0 0 8 年3 月 j 厂日 哈尔滨理工大学硕士学位论文使用授权书 ( ( l i n u x 内核下基于n e t f i l t e r 的状态检测防火墙研究与实现系本人在哈尔 滨理工大学攻读硕士学位期间在导师指导下完成的硕士学位论文。本论文的研 究成果归哈尔滨理工大学所有，本论文的研究内容不得以其它单位的名义发 表。本人完全了解哈尔滨理工大学关于保存、使用学位论文的规定，同意学校 保留并向有关部门提交论文和电子版本，允许论文被查阅和借阅。本人授权哈 尔滨理工大学可以采用影印、缩印或其他复制手段保存论文，可以公布论文的 全部或部分内容。 本学位论文属于 保密口，在年解密后适用授权书。 不保密函。 ( 请在以上相应方框内打4 ) 作者签名：该i 包 日期：2 0 0 8 年月( s - l j 导师签名： 专f 彬岩奢 日期： 2 0 0 8 年弓月馇日 哈尔滨理工大学工学硕士学位论文 1 1 网络安全概述 第1 章绪论 随着互联网的飞速发展，社会的信息化程度不断提高，当资源共享广泛用 于经济、政治、军事以及科学、生活的各个领域，网络的用户来自于社会各个 阶层与部门时，大量在网络中存储和传输的数据就需要保护，这些数据在存储 和传输的过程中，都有可能被盗用和篡改，计算机网络十分脆弱，它的安全性 遭到破坏就要付出很高的代价。现在在各领域的计算机犯罪和网络侵权方面， 无论是数量、手段，还是性质、规模，已经到了令人咋舌的地步，据统计，全 球平均每2 0 s 就发生1 次网上入侵事件，黑客一旦找到系统的薄弱环节，所有 用户均会遭殃。这些事件再次暴露了互联网络的脆弱性，网络的安全问题成为 信息化、网络化过程中必须解决的首要问题1 1 】。 网络安全的主要任务就是保护用户在网络上的程序、数据以及设备免遭别 人在非授权情况下非法使用或访问，使其免遭损坏、偷窃或误用，同时也包括 需要时使网络提高安全服务。它实际还包括若干较为复杂的系统管理方面的问 题，保护企业的权益不受侵犯【2 1 。 目前常见的网络安全技术、相关产品包括： 1 防病毒软件防病毒软件对好的安全程序式必须的部分，如果恰当地配 置和执行，能减少一个组织对恶意程序的暴露。 2 访问控制组织内的每一个计算机系统具有基于用户身份的访问权限的 控制。 3 防火墙防火墙是用于网络的访问控制设备，有助于帮助保护组织内部 的网络，以防止外部攻击。 4 智能卡对身份进行鉴别可以根据口令、智能卡、指纹等或它们的组合 来完成。智能卡是一种比较安全的鉴别方法，可减少人们猜测口令的风险。 5 网络负载平衡网络负载平衡可维持对外服务的品质，提升服务的有效 性。网络负载平衡系统的目标，包含了实体线路上的负载平衡、以及提供服务 的负载平衡。 6 v p n 虚拟私有网络在跨越不安全网段时，v p n 提供各个私有网段间 传输的安全性。v p n 可以保证在v p n 设备间的传输讯息的完整性及私密性， 哈尔滨理工大学工学硕士学位论文 使得跨过网际网络的通讯达到相当高的安全性。 7 漏洞扫描对计算机系统进行漏洞扫描可以帮助组织发现入侵者潜在的 进入点。 8 i d s 入侵检测系统i d s 是一种主动保护自己免受攻击的一种网络安全 技术。通过收集计算机网络系统中的若干关键点的信息，检查网络中或系统中 是否存在违反安全策略的行为和被攻击的对象，尽可能发现各种攻击企图、攻 击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 9 i p s 入侵防御系统位于防火墙和网络的设备之间，检测到攻击时，i p s 会在这种攻击扩散到网络的其他地方之前组织这个恶意的通信。i p s 将依靠对 数据包的检测检查入网的数据包，确定这种数据包的真正用途，然后决定是否 允许这种数据包进入网络。 1 0 物理安全机制除上述网络安全产品之外，有很多物理安全的保护机 制可以保护计算机系统及信息【3 4 1 。 1 2 防火墙概述 防火墙是指隔离在本地网络与外界网络之间的一道执行控制策略的防御系 统，它对网络之间传输的数据包依照一定的安全策略进行检查，以决定通信是否 被允许，对外屏蔽内部网的信息、结构和运行状态，并提供安全和审计的安装 控制点，从而到达保护内部网络不受外部非授权用户访问，过滤不良信息的目 的【5 1 。 典型的防火墙具有以下三个方面的基本特性： 第一，内部网络和外部网络之间的所有网络数据流都必须经过防火墙。 第二，只有符合安全策略的数据流才能通过防火墙。 第三，防火墙自身应具有非常强的抗攻击免疫力【6 1 。 防火墙一般放在私网、信任网络和公网之间，当把本地网或内部网与外部 网络或i n t e r n e t 相连接的时候，最有效的保证网络安全的办法就是在它们之间 加入防火墙，因此，从防火墙的功能来说，主要包含以下几个方面： 1 防止易受攻击的服务防火墙可以大大提高网络安全性，并通过过滤天 生不安全的服务来降低子网上住系统所冒的风险。防火墙还可以防护基于路由 选择的攻击，如源路由选择和企图通过i c m p 改向把发送路径转向遭致损害的 网点。 2 控制访问网点系统防火墙有能力控制对网点系统的访问，除了邮件服 2 哈尔滨理工大学工学硕士学位论文 务器或者信息服务器等特殊情况外，网点可以防止外部对其主系统的访问。 3 集中安全性如果一个子网的所有或大部分需要改动的软件以及附加的 安全软件能集中地放在防火墙系统中，而不是分散到每个主机中，防火墙的保 护就相对集中一些，也相对便宜一些。 4 增强保密，强化私有权对一些站点而言，私有性是很重要的，使用防 火墙系统，站点可以防止f i n g e r 以及d n s 域名服务。 5 有关网络使用、滥用的记录和统计如果对i n t e m e t 的往返访问都通过 防火墙，那么，防火墙可以记录各次访问，并提供有关网络使用率的有价值的 统计数字，在可疑活动发生时发出音响警报，提供防火墙和网络是否在受到试 探或攻击的细节。 6 防止不安全协议和服务提供包括安全和统计数据在内的审计跟踪数 据，使用这些数据可保证内部网的安全并有效运行。 7 提供与外部世界相关的网络安全的集中式管理防火墙是内部网通向因 特网的网关，对于大的内网，与外部世界可能不止一个连接，于是具有多个防 火墙 7 , 8 1 。 1 3l i n u x 防火墙应用 l i n u x 是近几年迅速发展起来的，具备较高安全可靠性和实用性、易于管 理、维护并可完全免费使用的操作系统，其开放性和技术先进性早已受到各国 政府和世界企业的认可，而成为全球增长最快的操作系统。在中国软件市场上 l i n u x 更是崭露头角，成为软件产业里一个新的发展方向，中国l i n u x 市场需 求蒸蒸日上。l i n u x 在系统的稳定性、健壮性及价格的低廉性方面都独具优 势，近年来，采用和配置其来完成基础工作的企业正在逐渐增多，客户也开始 更多的采用l i n u x 作为平台在防火墙和其他企业应用软件方面的应用，并且随 着它的采用面的扩大，l i n u x 服务器平台品种将更为多样化，它将承担起更多 的任务【9 j 。l i n u x 的应用目前主要还是在服务器端，l i n u x 的优势在于处理海量 数据的能力，那么与高端的u n i x 相比，l i n u x 的低价优势就凸显出来了，有人 用“比u n i x 便宜，比w i n d o w s 快、稳定”来概括l i n u x 的特点1 1 0 】。 鉴于l i n u x 在各个领域的应用越来越广泛，l i n u x 下的安全问题已变得十 分重要，l i n u x 防火墙今后的发展方向已经为业内人士所密切关注。在基于内 核的防火墙市场里面，l i n u x 内核的相对稳定和安全是很好的优势，而且由于 l i n u x 的源代码开放，全球有很多的公司和个人都在研究和改写其内核源代 哈尔滨理工大学工学硕士学位论文 码，这样就使其内核能够不断的完善，而且能在第一时间发现漏洞。 1 4 研究背景与课题内容 1 4 1 研究背景 防火墙可说是信息安全领域最成熟的产品之一，但是成熟并不意味着发展 的停滞，恰恰相反，日益提高的安全需求对信息安全产品提出了越来越高的要 求，防火墙也不例外，未来的防火墙产品由于在功能性上的扩展，以及应用日 益丰富、流量日益复杂所提出的更多性能要求，会呈现出更强的处理性能要 求。而作为广泛采用的l i n u x 操作系统，现在应用中的当务之急，是尽快发展 与之相配套的安全软件，才能保障用户在使用过程中的网络安全问题【l 。赛迪 顾问副总裁黄勇在分析结论中指出：“l i n u x 在中国发展十分迅速，虽然还没有 形成完全有效的商业模式。至少从国内目前的发展现状来看，要改变我国软件 企业的命运，l i n u x 必须加强应用上的发展，突破现有的一些障碍。” 因此，对l i n u x 防火墙的分析不仅具有研究意义，同时还具有很重要的现 实意义。目前对于l i n u x 的防火墙还有很大的研究空间，而且如前分析，鉴于 网络安全的日益重要性，所以本课题是在l i n u x 系统下，系统的研究和实现一 个基于n e t f i l t e r 的具有较强灵活性，较高性价比的状态检测防火墙。 1 4 2 课题内容 本课题来自于上海帝联信息科技发展有限公司的l i n u x 服务器防火墙开发 项目。 本文首先研究了状态检测防火墙的原理，l i n u x 内核中n e t f i l t e r 功能框架 的结构和功能；然后利用n e t f i l t e r 框架可扩展性功能，将状态检测防火墙技术 应用到l i n u x 中，通过对t c p 、u d p 基础协议的状态检测分析，采用灵活的防 火墙模块方式，使用i p t a b l e s 用户工具分别实现了f t p 、d n s 、s s h 、h t t p 等 常用协议的状态检测机制，对l i n u x 服务器的起到高效可靠的保护作用，进一 步探讨l i n u x 防火墙技术。具体要研究的工作内容安排如下： 1 绪论主要讨论网络安全现状，防火墙概述，l i n u x 防火墙介绍，以及 研究背景和内容。 2 防火墙和l i n u x 下的防火墙技术主要讨论防火墙技术的历史发展，几 种常用的防火墙构架，l i n u x 防火墙的3 代发展沿革和n e t f i l t e r 框架组成部 分，以及国内外防火墙及技术展望等几个方面。 4 哈尔滨理工大学工学硕士学位论文 3 基于n e t f i l t e r 的状态检测防火墙的研究是本论文实现的基础理论研究 部分，首先详细分析了t c p i p 协议的分层及工作流程，l i n u x 协议栈结构；然 后对n e t f i l t e r 的钩子函数和过滤流程进行了详解，以及i p t a b l e s 配置工具的语 法规则，在内核中的调用；提出了l i n u x 下状态检测的实现方法，连接跟踪模 块基础，s t a t e 状态匹配、i pe o n n t r a e k 结构等。并从防火墙策略、总体设计、 具体设计和i p t a b l e s 几个方面来考虑，提出了较全面的防火墙设计方案。 4 防火墙实现首先通过l i n u x 内核中n e t f i l t e r 的准备，防火墙的启动与 停止、默认规则的设置，然后采用i p t a b l e s 分别实现了f t p 、d n s 、s s h 、 w e b 等应用的状态检测模块，完成了一个基本应用的l i n u x 状态检测防火 墙。 5 防火墙测试主要是对防火墙分模块进行测试，并分析测试结果，验证 防火墙的安全性和有效性。 6 结论总结开发过程中的收获和本文的成果，提出不足和下一步的展 挈。 哈尔滨理工大学工学硕士学位论文 第2 章防火墙及l i n u x 下的防火墙技术 2 1 防火墙技术的发展 2 1 1 防火墙技术的发展 所有来自i n t e r n e t 的传输信息或从内部网发出的信息都必须穿过防火墙， 防火墙通常安装在受保护的内部网络与i n t e r n e t 的连接点上。防火墙技术的发 展经历了包过滤型、应用级网关( 代理服务器型防火墙) 和检测型三种基本类 型。 2 1 1 1 包过滤型( p a c k e tf i l t e r i n g ) 技术包过滤技术事实上是基于路由器的技 术，它通常由分组过滤路由器对i p 分组进行选择，允许或拒绝特定的分组通 过。在网络层对数据包进行选择，选择的依据是每个数据包的源地址、目的地 址、所用的端口号、协议等因素，或它们的组合来确定是否允许该数据包通 过。 包过滤的优点是配置简单，一个过滤路由器能协助保护整个网络，数据包 过滤对用户透明，过滤路由器速度快、效率山【1 2 1 。 包过滤防火墙具有根本的缺陷，其安全控制在网络层、传输层实现，安全 控制的力度也只限于源地址、目的地址和端口号，因而只能进行初步的安全控 制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能 为力【1 3 1 。可见，传统的包过滤防火墙技术面太过初级，难以履行保护内网安全 的职责。 2 1 1 2 应用代理网关( a p p l i c a t i o nl e v e lg a t e w a y s ) 技术应用代理网关是在网络 应用层上建立协议过滤和转发功能，安装在客户机与真实服务器之间。它针对 特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据 包进行必要的分析、登记和统计，形成报告。应用代理网关防火墙彻底隔断内 网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后 再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者 任何时候都不能与服务器建立直接的t c p 连接，应用层的协议会话过程必须 符合代理的安全策略要求【1 4 1 。 6 哈尔滨理工大学工学硕士学位论文 应用代理网关的优点是能生成各项记录，能灵活、完全地控制进出的流 量、内容，能过滤数据内容，能为用户提供透明的加密机制，可以检查应用 层、传输层和网络层的协议特征，对数据包的检测能力比较强，安全性高。 应用代理网关的最大缺点就是速度相对比较慢，对于内网的每个w e b 访 问请求都需要开一个单独的代理进程，这样，应用代理的处理延迟会很大，内 网用户的正常w e b 访问不能及时得到响应，所以给系统性能带来了一些负面 影响。而且代理防火墙缺少透明度，对网络性能有一定影响，对每一种应用服 务都必须有特定的代理模块，实现起来比较困难【1 5 】。 2 1 1 3 状态检测( s t a t ei n s p e c t i o n ) 技术状态检测技术的创始者是以色列的 c h e c k p o i n t 公司，结合包过滤防火墙和应用级网关防火墙的优点，克服了其不 足之处1 1 6 1 。状态检测防火墙判断允许还是禁止数据流的依据不仅仅是依靠源i p 地址，目的i p 地址，源端口，目的端口和通讯协议等数据包信息，采用基于 连接的机制将属于同一连接的所有包作为一个整体的数据流看待，构成连接状 态表，监视每个连接发起到结束的全过程。它通过检查应用程序信息，来判断 端口是否允许需要临时打开，当传输结束时，端口马上又恢复为关闭状态，完 成对数据包的检测和过滤，最大限度地保证了网络的安全 1 7 , 1 8 , 1 9 1 。而且状态检 测技术在大为提高安全防范能力的同时也改进了流量处理速度，状态检测防火 墙截取到数据包时，首先检查其是否属于状态表中某一有效连接，若是则说明 该包所属的数据流已通过安全规则检查，从而不再需要进行规则检查，而只要 检查其在数据流中的状态是否正确即可，这样避开了复杂的安全规则检查，可 极大地提高防火墙的整体效率1 2 啦! 1 。 2 i 2 防火墙架构 针对不同的需求和应用环境，可以量身定制出不同的防火墙系统。防火墙 大到可由若干路由器和堡垒主机构成，也可小到仅仅是网络操作系统上一个防 火墙软件包所提供的包过滤功能，现在采用的主要有4 种不同的体系结构f 2 2 l ： 2 1 2 1 包过滤功能的路由器或主机这是最简单的防火墙架构。它可以由厂家 专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的唯 一通道，要求所有的报文都必须在此通过检查。路由器上可以装基于i p 层的 报文过滤软件，实现报文过滤功能。 单纯由包过滤路由器构成的防火墙的危险带包括路由器本身及路由器允许 访问的主机，它的缺点是一旦被攻陷后很难发现，而且不能识别不同的用户， 如图2 1 所示： 7 哈尔滨理工大学工学硕士学位论文 图2 - 1 包过滤路由器 f i g 2 - 1p a c k e tf i l t e r i n gr o u t e r 2 1 2 2 双宿主主机体系结构在局域网和因特网之间放置一台双宿主机之后， 局域网上的客户机就不再与因特网直接相连，防火墙内部的系统能与双重宿主 主机通信，同时防火墙外部的系统( 在因特网上) 能与双重宿主主机通信，但是 这些系统不能直接互相通信，它们之间的i p 通信被完全阻止。双宿主机与包过 滤路由器的一个不同是它常常用作应用代理服务器，包过滤器基于规则来决定 接口之间包的转发，而双宿主机则靠运行一个或多个代理程序来实现。如图2 2 所示： 图2 - 2 双宿主主机体系结构 f i g 2 - 2d o u b l eh o s t sa r c h i t e c t u r e 8 哈尔滨理工大学工学硕士学位论文 2 1 2 3 屏蔽主机体系结构双重宿主主机体系结构提供来自与多个网络相连的 主机的服务( 但是路由关闭) ，而被屏蔽主机体系结构防火墙则使用一个路由器 把内部网络和外部网络隔离开，提供来自仅仅与内部的网络相连的主机的服 务。在这种体系结构中包含堡垒主机，它是i n t e m e t 上的主机能连接到的唯一 的内部网络上的系统。屏蔽主机防火墙的体系结构利用了包过滤器和应用代理 网关二者的保护能力，在配置过程中，用包过滤器连接因特网，用代理服务器 为局域网上的客户机提供服务。 多数情况下，被屏蔽的主机体系结构提供比双重宿主主机体系结构具有更 好的安全性和可用性，如图2 3 所示： 够蓊同 黔j7 ：两癸：。：翻 l 琵缎荔z 荔笼如蓐：i 名孽芸麓秘貔囊纱 i 上上上上 i i - i - _ 作站 服务器 p c打印机 i 图2 - 3 屏蔽主机体系结构 f i g 2 - 3m a s k i n gh o s ta r c h i t e c t u r e 2 1 2 4 屏蔽子网体系结构屏蔽子网体系结构添加额外的安全层到被屏蔽主机 体系结构，即通过添加周边网络更进一步地把内部网络与i n t e m e t 隔离开。这种 方法是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路 由器将这一子网分别与内部网络和外部网络分开。在很多实现中，两个分组过 滤路由器放在子网的两端，在子网内构成一个“非军事区”d m z 。有的屏蔽子 网中还设有一堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代 理。这种配置的危险带仅包括堡垒主机、子网主机及所有连接内网、外网和屏 9 哈尔滨理工大学工学硕士学位论文 蔽子网的路由器。如果攻击者试图完全破坏防火墙，他必须重新配置连接三个 网的路由器，既不切断连接又不要把自己锁在外面，同时又不使自己被发现， 这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问 它，则攻击会变得很困难。在这种情况下，攻击者得先侵入堡垒主机，然后进 入内网主机，再返回来破坏屏蔽路由器，并且整个过程中不能引发警报，如图 2 - 4 所示： 图2 - 4 屏蔽子网体系中的d m z f i g 2 4d m zi nt h em a s k i n gs u b n e ta r c h i t e c t u r e 2 1 2 5 组合建造防火墙时，一般很少采用单一的技术，通常是多种解决不同 问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务， 以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费，投资的大 小或技术人员的技术、时间等因素。一般有以下几种形式： 1 使用多堡垒主机。 2 合并内部路由器与外部路由器。 3 合并堡垒主机与外部路由器。 l o 哈尔滨理工大学工学硕士学位论文 4 合并堡垒主机与内部路由器。 5 使用多台内部路由器。 6 使用多台外部路由器。 7 使用多个周边网络。 8 使用双重宿主主机与屏蔽子网。 2 2l i n u x 防火墙的发展 2 2 1l i n u x 防火墙发展的历史 每一个主要的l i n u x 版本中都有不同的防火墙软件套件。第一代是l i n u x 内核1 1 版本所使用的a l a nc o x 从b s du n i x 中移植过来的i p f w 。在2 0 版的 内核中，j o sv o s 和其它一些程序员对i p f w 进行了扩展，并且添加了i p f w a d m 用户工具。在2 2 版内核中，r u s s e l l 和m i c h a e ln e u l i n g 做了一些非常重要的 改进，也就是在该内核中，r u s s e l l 添加了帮助用户控制过虑规则的i p c h a i n s 工 具。后来，r u s s e l l 又完成了名为n e t f i l t e r 的内核框架。这些防火墙软件套件一 般都比其前任有所改进，表现越来越出众。 系统地说，随着l i n u x 内核版本的不断升级，l i n u x 下的包过滤系统经历 了如下3 个阶段： 1 在2 o 的内核中，采用i p f w a d m 来操作内核包过滤规则。 2 在2 2 的内核中，采用i p c h a i n s 来控制内核包过滤规则。 3 在2 4 的内核中，采用一个全新的内核包过滤框架和管理工具n e t f i l t e f f i p t a b l e s t 2 3 1 21 2 2n e t f i l t e r i p t a b l e s 框架介绍 i p c h i a n s 在2 2 版本l i n u x 使用以后，随着网络安全需要及计算机技术的 不断提高，其设计的缺陷慢慢地浮现出来了，其中一些最主要的问题如下： 1 没有提供传递数据包到用户空间的框架，所以任何需要对数据包进行 处理的代码都必须运行在内核空间，而内核编程只能用c 语言实现，容易出现 错误并对内核稳定性造成威胁。 2 透明代理实现非常复杂，必须查看每个数据包来判断是否有专门处理 该地址的s o c k e t 。 3 必须利用本地接口地址来判断数据报是本地发出、还是发给本地的或 哈尔滨理工大学工学硕士学位论文 是转发的，创建一个不依赖于接口地址的数据报过滤规则是不可能实现的。 4 伪装和数据包过滤都在同一个模块内实现，导致防火墙代码过于复 杂。 5 i p c h a i n s 代码即不模块化又不易于扩展( 例如对m a c 地址的过滤) 】。 自2 4 版本以后的l i n u x 针对以上的问题，在内核实现了一个抽象、通用 化的防火墙框架n e t f i l t e r 。 n e t f i l t e r 框架包含以下三部分： 1 为每种网络协议( i p v 4 、i p v 6 等) 定义一套钩子函数( i p v 4 定义了5 个 钩子函数) ，这些钩子函数在数据报流过协议栈的几个关键点被调用。在这几个 点中，协议栈将把数据报及钩子函数标号作为参数调用n e t f i l t e r 框架。 2 内核的任何模块可以对每种协议的一个或多个钩子进行注册，实现挂 接，这样当某个数据包被传递给n e t f i l t e r 框架时，内核能检测是否有任何模块 对该协议和钩子函数进行了注册。若注册了，则调用该模块的注册时使用的回 调函数，这样这些模块就有机会检查( 可能还会修改) 该数据包、丢弃该数据包 及指示n e t f i l t e r 将该数据包传入用户空间的队列。 3 那些排队的数据包是被传递给用户空间进行处理。一个用户进程能检 查数据包，修改数据包，甚至可以重新将该数据包通过离开内核的同一个钩子 函数中注入到内核中【2 5 】。 l i n u x 2 4 中的防火墙机制分为内核空间n e t f i l t e r 框架和用户空间i p t a b l e s 配置工具两部分，n e t f i l t e r 钩子提供了方便的方式来在包通过l i n u x 内核的不 同位置上接货和操纵处理过的i p 报，基于这样的背景，i p t a b l e s 是用来配置 n e t f i l t e r 过滤规则的工具。实际上，用n e t f i l t e r 建立防火墙就是用户通过 i p t a b l e s ，可以设置自己的规则对进出计算机的数据包进行过滤，来把守自己的 计算机网络，做出访问控制。i p t a b l e s 模块实现了三个规则列表来筛选传入、 转发和外发i p 包：f i l t e r ( 包过滤) 、n a t ( 地址转换) 、和m a n g l e ( 数据报处理) ，一 个规则表就是一组类似的防火墙r u l e s 的集合1 2 6 2 7 l 。 2 3 国内外防火墙及技术展望 在国外，自从1 9 8 6 年美国d i g i t a l 公司在i n t e r n e t 上安装了全球第一个商 用防火墙系统后，提出了防火墙的概念，防火墙技术得到了飞速的发展。近几 年防火墙发展迅速，产品众多，而且更新换代快，并不断有新的信息安全技术 和软件技术等被应用在防火墙的开发上。国外产品类别较全，有以c i s c o 为典 1 2 哈尔滨理工大学工学硕士学位论文 型的硬件型、以c h e c k p o i n t 为典型的软件型，以阿尔卡特为代表的软硬一体化 型。国外品牌的优势主要是在技术和知名度上比国内产品高，产品类别也比较 全，目前在市场占有率方面占一定优势。 国内也很重视这方面的研究，国内防火墙产品以企业级硬件防火墙居多， 天融信、东方龙马、东软股份等已取得可喜的成果。最近两年进入市场的国内 防火墙产品主要还是中低端产品，现在一些国内厂商已开始开发高端产品，如 千兆防火墙等。 虽然防火墙技术和产品已经相对成熟，然而从长远来看，网络攻防是一对 矛盾，用户需求激发技术创新，网络与应用也在日新月异。从防火墙技术发展 趋势来看，提高性能和采用模块化设计是主要发展方向。处理能力的提高主要 集中在两个方面：硬件结构的优化和软件算法的更新，而硬件结构优化走向硬 件一体化，充分发挥硬件最高性能，又提高了系统自身安全。功能设计模块化 提高防火墙的适应能力，处理能力提高是追求防火墙性能的线速处理能力，达 到对整个会话过程中的所有传输内容进行检查，审计报告也会向智能化方向发 展，在报告的基础上对整个网络安全状况进行全盘的把握，并进行总结改进， 根据充分的日志记录，为用户提供详细而又灵活的使用分析报告，而且入侵检 测是防火墙产品不可回避的问题，因此未来防火墙的发展趋于协同互动的分布 式防火墙【2 引。 2 4 本章小结 本章详细地介绍了防火墙技术方面的内容，为以后的研究打下基础。首先 介绍了防火墙技术的发展及它们各自的特点，指出在实际网络应用中目前研究 最广泛的是状态检测防火墙，阐述了其优点；然后介绍了防火墙的几种常用架 构；接着介绍了l i n u x 防火墙的发展历程，n e t f i l t e di p t a b l e s 框架的组成部分； 最后讨论了国内外防火墙及技术展望。 1 3 哈尔滨理工大学工学硕士学位论文 第3 章基于n e t f i l t e r 状态检测防火墙研究与设计 3 1t c p i p 协议分析 3 1 1t c p i p 协议分层 t c p i p ( 传输控制协议网间协议) 是目前世界上应用最为广泛的协议，提供 了一整套方便实用、能应用于多种网络上的协议，它使网络互联变得容易起 来，成为i n t e m e t 的事实标准。 确切地说，t c p i p 协议是一组包括t c p 协议和i p 协议，u d p ( 用户数据 报协议) 、i c m p ( i n t e m e t 控制报文协议) 和其他一些协议的协议组。t c p i p 是一个四层协议系统，每一层分别负责不同的通信功能： 1 数据链路层也称作数据链路层或网络接口层，是t c p i p 的最底层， 承担各台计算机之间的信息的实际传递，通常包括操作系统中的设备驱动程序 和计算机中对应的网络接口卡。它们一起处理与任何传输媒介的物理接口细 节。 2 网络层也称作互连网层，处理分组在网络中的活动，在端点和端点之 间实现正确无误的信息传送。在t c p f i p 协议中，网络层协议包括i p 协议( 网际 协议) ，i c m p 协议( i n t e m e t 互连网控制报文协议) ，以及i g m p 协议( i m e r n e t 组 管理协议) 。 3 运输层主要是完成从终端端点到另一终端端点的可靠传输服务。在 t c p i p 协议组件中，有两个互不相同的传输协议：t c p ( 传输控制协议) 和 u d p ( 用户数据报协议) 。 4 应用层负责处理特定的应用程序细节，为用户提供应用的接口，提供 不同计算机之间的文件传送、访问与管理、电子邮件的内容处理、不同计算机 通过网络交互访问的虚拟中断功能等。通常会包括一些通用的应用程序，如 t e l n e t 远程登录、f t p 文件传输、s m t p 电子邮件的简单邮件传输、s n m p 简 单网络管理等1 2 9 1 。 3 1 2t c p 协议连接的工作流程 t c p 为两台主机提供面向连接的、高可靠性的数据通信。它所做的工作包 1 4 哈尔滨理工大学工学硕士学位论文 括把应用程序交给它的数据分成合适的小块交给下面的网络层，确认接收到的 分组，设置发送最后确认分组的超时时钟等。 对于使用t c p 的应用，在彼此交换数据前都必须先在双