多层防火墙技术的研究-状态检测

1、多层防火墙技术的研究-状态检测目 录 摘 要III ABSTRACTORIV 引 言V 第一章 防火墙技术的概论 1.1 防火墙的概念 1.2 防火墙的功能 1.3 防火墙的特性 1.4 防火墙技术的发展 第二章 多层防火墙技术的研究背景 2.1 多层防火墙技术的研究背景 2.2 多层防火墙技术的概论 第三章 多层防火墙系统的功能及其组成 3.1 地址转换技术 3.2 数据包过滤技术 3.3 状态检测技术 3.4 电路级网关技术 3.5 应用代理网关技术 第四章 状态检测技术概论 4.1 状态检测技术的优点 4.2 状态检测技术的原理 4.3 状态检测技术的工作机制 4.4 状态检测技术的新技

2、术 第五章 防火墙系统的设计 5.1 防火墙的分层技术 5.2 防火墙系统设计工具 5.3 防火墙系统设计与实现 5.3.1 系统概要设计 5.3.2 基本功能 5.3.3 增强功能 5.3.4 系统详细设计 5.3.5 功能实现的设计 5.3.6 系统具体实现 5.3.7 其他说明界面 5.3.8 系统测试 5.3.9 需要注意的几个问题 5.3.10 系统维护和总结 第六章 防火墙技术发展动态和趋势 结 束 语 致 谢 参考文献 附录：（程序源代码） 摘 要 黑客技术的提升和黑客工具的泛滥，造成大量的企业、机构和个人的电脑系统遭受程度不同的入侵和攻击，或面临随时被攻击的危险。迫使大家不得不

3、加强对自身电脑网络系统的安全防护，根据系统管理者设定的安全规则把守企业网络，提供强大的、应用选通、信息过滤、流量控制、网络侦听等功能。其他的诸如访问控制虚拟专网、身份认证、虚拟网桥、网络地址转换、提供完善的安全性设置，通过高性能的网络核心进行访问控制的功能我决定进一步来实现。系统采用了VB管理界面，通过直观、易用的界面管理强大、复杂的系统功能。界面全中文化，操作简单直接，真的是量身定做。从而大大减少了他们对企业的攻击。事实上，多层防火墙技术已经成为当今网络安全的主流策略。 . 关键字：防火墙、状态检测、多层防火墙、VB。 第二章 多层防火墙技术的研究背景 2.1 多层防火墙技术的研究背景 防火

4、墙技术是一种安全防范措施，所谓网络入侵和安全防范，实际上就是指网络攻防技术。攻防技术的此消彼长始终是网络安全领域前进的动力。攻击技术包括目标网络信息收集技术、目标网络权限提升技术、目标网络渗透技术、目标网络摧毁技术四大类。随着网络技术的快速发展和应用的日渐普及，黑客工具不仅变得越来越先进，而且也越来越容易被一般人获取和滥用。黑客技术的提升和黑客工具的泛滥，造成大量的企业、机构和个人的电脑系统遭受程度不同的入侵和攻击，或面临随时被攻击的危险。这就迫使大家不得不加强对自身电脑网络系统的安全防护，甚至追求所谓彻底的、一劳永逸的、100%的网络安全解决方案。 对于用户而言，不管你是否已经受到这些攻击，

5、不管这些攻击是否会产生比较严重的后果，你都必须假设它们对信息系统的威胁总是存在的。因为一旦你的信息系统受到攻击，你也许会蒙受无法估量的损失。所以在任何时候，对信息系统实施连续不断的保护是非常必要的。经过对攻防技术发展和网络安全实践的研究分析，我们可以得知单一的安全保护往往效果不理想，而最佳途径就是采用“多层安全防护措施”对信息系统进行全方位的保护。 但是对攻防技术发展和网络安全实践的研究分析表明，单一的防火墙有许多“难言之隐”即“三难防”困扰。 “一难防”。单一的防火墙不能防范不经由防火墙的攻击。如果外部网络用户直接从因特网服务提供商那里购置直接的SLIP或PPP链接，绕过了防火墙系统所提供的

6、安全保护，就会造成一个潜在的后门攻击渠道。 “二难防”。单一的防火墙不能阻止已受到病毒感染的软件或文件的传输，因而不能防止网络受到病毒的侵扰。由于操作系统、病毒、二进制文件类型的复杂性，而且更新速度很快，它无法逐个扫描每个文件查找病毒，病毒很可能隐藏在合法邮寄的数据包内，它很难对其进行识别。 “三难防”。单一的防火墙不能防止数据驱动式的攻击。当有些表面看起来无害的数据通过邮寄或拷贝到内部网的主机上并被执行时，就会发生数据驱动式的攻击。例如，一种数据驱动式的攻击，可以导致主机修改与系统安全有关的配置文件，从而使入侵者下一次更容易攻击该系统。 正因为上述单一的防火墙的“三难防”困扰，我们提出了“多

7、层次防护”的概念，它采用多层安全防护措施对信息系统进行全方位的保护。在各个层次上部署相关的网络安全产品以增加攻击者侵入时所需花费的时间、成本和所需要的资源，大大减少了他们的攻击频度，从而卓有成效地降低被攻击的危险，达到安全防护的目标。 2.2 多层防火墙技术的概论 针对上述单一防火墙系统安全性能不高，防护效果往往不够理想的情况，我们提出“多层次防护”即多层防火墙的概念。巩固我们的网络安全性能，提高网络的安全防范能力，使信息系统的安全系数得到了大大的提升。 我们所研究的多层防火墙系统就是结合不同的防火墙安全策略和技术，该防火墙的“多层次安全防护” 就是应用和实施一个基于OSI网络参考模型的多层次

8、安全系统的全面信息安全策略，采用了“多级过滤技术”在各个层次上部署相关的网络安全产品，例如地址翻译技术、数据包过滤技术、状态检测技术、电路级网关技术和应用级网关技术等其他技术，来创建一个比单一防护有效得的多的综合的保护屏障，层层高度戒备。 所谓“多级过滤技术”，是指防火墙采用多级过滤措施，并辅以鉴别手段。在分组过滤（网络层）一级，过滤掉所有的源路由分组和假冒的IP源地址；在传输层一级，遵循过滤规则，过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等；在应用网关（应用层）一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火

9、墙技术的不足而产生的一种综合型过滤技术，它可以弥补以上各种单独过滤技术的不足。这种过滤技术在分层上非常清楚，每种过滤技术对应于OSI网络参考模型上的不同的网络层，从这个概念出发，又有很多内容可以扩展，为将来的防火墙技术发展打下基础。 我们所研究的多层防火墙系统，就是采用多种防火墙技术构成多层防护屏障，对网络中传送的信息进行重重检测，鉴定其安全性，从而来对网络进行层层防护。因为多层次的防火墙和单一的防火墙相比起来，不是一个单一的物理实体，它除了具有防火墙的功能外，而且还能执行其他的功能，如加解密和认证等，能更好的实现控制对受保护的网络（即网点）的往返访问。 该多层防火墙最大的优点就是可以成倍地增

10、加了攻击者侵入时所需花费的时间、成本和所需要的资源，大大减少了他们的攻击频度，即而卓有成效地降低被攻击的危险，达到安全防护的目标，使信息系统得到连续不断的保护。事实上，多层次防护已经成为网络安全设计的主流策略。4.3 状态检测技术的工作机制 状态监测应该如何工作 无论何时，一个防火墙接收到一个初始化TCP连接的SYN包，这个带有SYN的数据包被防火墙的规则库检查。该包在规则库里依次序比较。如果在检查了所有的规则后，该包都没有被接受，那么拒绝该次连接。一个RST的数据包发送到远端的机器。如果该包被接受，那么本次会话被记录到状态监测表里。该表是位于内核模式中的。随后的数据包(没有带有一个SYN标志

11、)就和该状态监测表的内容进行比较。如果会话是在状态表内，而且该数据包是会话的一部分，该数据包被接受。如果不是会话的一部分，该数据包被丢弃。这种方式提高了系统的性能，因为每一个数据包不是和规则库比较，而是和状态监测表比较。只有在SYN的数据包到来时才和规则库比较。所有的数据包与状态检测表的比较都在内核模式下进行所以应该很快。 状态监测表建立？ 那么初始化一个连接时使用ACK行不行？它又会出现什么问题呢？ 如果防火墙的状态检测表使用ACK来建立会话，将会是不正确的。 如果一个包不在状态检测表中时，那么该包使用规则库来检查，而不考虑它是否是SYN、ACK或其他的什么包。如果规则库通过了这个数据包，本

12、次会话被添加状态检测表中。所有后续的包都会和状态检测表比较而被通过。因为在状态监测表中有入口，后续的数据包就没有进行规则检查。而且我们在做状态监测表项时，也需要考虑时间溢出的问题。使用这种方法，一些简单的DOS攻击将会非常有效地摧毁防火墙系统。 那么状态检测表建立应该怎么进行呢？ 首先，对于一个会话我们使用什么来区分。从最简单的角度出发，我们可以使用源地址、目的地址和端口号来区分是否是一个会话。 当通过使用一个SYN包来建立一个会话时，防火墙先将这个数据包和规则库进行比较。如果通过了这个数据连接请求，它被添加到状态检测表里。这时需要设置一个时间溢出值，参考CHECK-POINT FW-1的时间

13、值，将其值设定为60秒。然后防火墙期待一个返回的确认连接的数据包，当接收到如此的包的时候，防火墙将连接的时间溢出值设定为3600秒。对于返回的连接请求的数据包的类型需要做出判断，已确认其含有SYN/ACK标志。（注：对于时间溢出值，应该可以由用户自行设定。） 在进行状态监测时，对于一个会话的确认可以只通过使用源地址、目的地址和端口号来区分，在性能设计上如果能满足要求，也应该考虑对于TCP连接的序列号的维护，虽然这样可能需要消耗比较多的资源。 连接的关闭 在连接被通讯双方关闭后，状态监测表中的连接应该被维护一段时间。下面的处理方法可以作为在连接关闭后状态检测行为的参考。 当状态监测模块监测到一个

14、FIN或一个RST包的时候，减少时间溢出值从我们缺省设定的值3600秒减少到50秒。如果在这个周期内没有数据包交换，这个状态检测表项将会被删除，如果有数据包交换，这个周期会被重新设置到50秒。如果继续通讯，这个连接状态会被继续地以50秒的周期维持下去。这种设计方式可以避免一些DOS攻击，例如，一些人有意地发送一些FIN或RST包来试图阻断这些连接。 UDP的连接维护 虽然UDP连接是无状态的，但是仍然可以用类似的方法来维护这些连接。当一个完成规则检查的数据包通过防火墙时，这次会话被添加到状态检测表内，并设置一个时间溢出值，任何一个在这个时间值内返回的包都会被允许通过，当然它的SRC/DST的I

15、P地址和SRC/DST的端口号是必须匹配的。 ICMP的状态检测问题 对于一些ICMP包的分析，在许多防火墙系统中都是做的很不够的，在对做状态检测时是需要对ICMP的内容进行分析的。对于什么样的ICMP可以发出和放入在状态监测模块中如何确定是关键。下面只是列出了什么样的ICMP包是安全的，可以作为对状态检测模块ICMP支持的参考。 #define ICMP_ECHOREPLY 0 /* Echo Reply */ Needed if you want to allow ping, so you can allow that for trusted peers out going and inc

16、oming for all to allow them to ping the internet #define ICMP_DEST_UNREACH 3 /* Destination Unreachable */ Some Sub Types are needed in and out, see below #define ICMP_SOURCE_QUENCH 4 /* Source Quench */ Allow it outbound anyway, inbound is less likely to be a problem, unless you are doing some stre

17、aming or multicast feeding to the internet. #define ICMP_REDIRECT 5 /* Redirect (change route) */ block! #define ICMP_ECHO 8 /* Echo Request */ you might allow it incoming for trusted addresses (note some NICs will require you to make your primary DNS Server pingable!) #define ICMP_TIME_EXCEEDED 11

18、/* Time Exceeded */ helpfull if you allow it incoming, could allow exploring your network if you allow it outbound. #define ICMP_PARAMETERPROB 12 /* Parameter Problem */ helpfull if you allow it incoming, could allow exploring your network if you allow it outbound. #define ICMP_TIMESTAMP 13 /* Times

19、tamp Request */ #define ICMP_TIMESTAMPREPLY 14 /* Timestamp Reply */ #define ICMP_INFO_REQUEST 15 /* Information Request */ #define ICMP_INFO_REPLY 16 /* Information Reply */ #define ICMP_ADDRESS 17 /* Address Mask Request */ #define ICMP_ADDRESSREPLY 18 /* Address Mask Reply */ Block those on the e

20、xternal interface /* Codes for UNREACH. */ #define ICMP_NET_UNREACH 0 /* Network Unreachable */ ignored, so block it #define ICMP_HOST_UNREACH 1 /* Host Unreachable */ allow it at least inbound, best would be if you can do that stateful #define ICMP_PROT_UNREACH 2 /* Protocol Unreachable */ you can

21、block that #define ICMP_PORT_UNREACH 3 /* Port Unreachable */ you should allow that at least inbound. Be aware that some filter rules should send PORT_UNREACH on connection request (at least 137,139 and auth), so make sure not to block those ICMP packetes which are generated by your reject rule. #define ICMP_FRAG_NEEDED 4 /* Fragmentation Needed/DF set */ Allow