（通信与信息系统专业论文）防火墙关键技术的研究与硬件实现.pdf

西北工业大学硕士学位论文 摘要 摘要 随着互联网的迅猛发展，网络安全成为信息化、网络化过程中必须解决的首 要问题，防火墙技术从出现到发展至今一直是网络安全研究中的关键技术之一。 本文以日益突出的网络安全问题作为背景，深入研究了防火墙系统的理论和一些 关键技术，并在此基础上设计了一款基于网络处理器的防火墙平台。 论文首先阐述了网络安全的现状以及网络安全研究的重大意义，分析了防火 墙目前的发展状况，简要提出了未来防火墙的发展趋势。然后重点讲述了防火墙 的概念、功能和分类，根据防火墙的不同种类，详细深入的研究了防火墙的一些 关键技术，其中重点讲述了包过滤防火墙的设计规则和状态检测防火墙的工作原 理。通过对防火墙技术的理论研究，提出了基于i n t e l 网络处理器的防火墙平台 设计方案，并详细讲述了防火墙各个模块的设计思想、设计原理和p c b 实现的方 法，最终完成了预想的设计方案。论文的最后给出了所设计系统的测试报告，从 实践中验证了设计方案的可行性和系统的可靠性。 本文中提出的防火墙平台设计方案和设计成果，已经推广到防火墙市场中， 并取得了可观的效益。 关键词：网络安全防火墙网络处理器包过滤状态检测 西北工业大学硕士学位论曼 a b s t r a c t a b s t r a c t w i t ht h ed e v e l o p m e n to f t h ei n t e m e t , t h em o s ti m p o r t a n tp r o b l e mo u t s t a n d i n gi n t h ep r o c e s so fi n f o r m a t i o na n dn e t w o r ki sn e t w o r ks e c u r i t y f i r e w a l it e c h n o l o g yh a s b e e no n eo ft h ek e yt e c h n o l o g yi nt h er e s e a r c ho fn e t w o r ks e c u r i t yf r o mi t s a p p e a r a n c et i l ld e v e l o p m e n t h a v i n gi t sb a c k 掣0 1 蚰di no b 、，i o 璐n e t w o r ks e c u r i t y p r o b l e m , t h ep a p e rm a k e sad e e ps t u d yo f t h et h e o r ya n dt h ek e yt e c h n o l o g yo ft h e f i r e w a l ls y s t e m b a s e do ft h o s e ，w ed e s i g n e daf i r e w a l lp l a t f o r mb a s e do nn e t w o r k p r o c e s s o r f i r s t l y , t h et h e s i si l l u s t r a t e st h ec u r r e n ts i t u a t i o no fn e t w o r ks e c u r i t ya n dt h e i m p o r t a n c eo f i t ss t u d y s e c o n d l y , w ea n a l y z et h ep r e s e n td e v e l o p m e n to ft h ef i r e w a l i a n dp u tf o r w a r dt h ed e v e l o p m e n to ft h ef i r e w a l lb r i e f l y f i n a l l y , w ec o n c e n t r a t eo n g i v i n gt h ec o n c e p t i o n , f u n c t i o na n dc l a s s i f i c a t i o no ff i r e w a l l a c c o r d i n gt ot h e d i f f e r e n tk i n d so ft h ef i r e w a l l ，w er e s e a r c ht h o r o u g h l ys o m ek e yt e c h n o l o g y w e d e t a i l e di n t r o d u c et h ed e s i g nr u l e so ft h ep a c k e tf i l t e r i n gf i r e w a na n dt h eo p e r a t i n g p r i n c i p l eo f s t a t e f u li n s p e c t i o nf i r e w a l l t h r o u g ht h o s er e s e a r c h e s , w ep u t f o r w a r dt h e d e s i g np l a no ft h ef i r e w a l lp l a t f o r mb a s e do ni n t e ln e t w o r kp r o c e s s o r , t h e nw eg i v e t h ed e s i g n i n gi d e a sa n dd e s i g n i n gp r i n c i p l ei nd i f f e r e n tm o d u l e so ff i r e w a l l sa n dt h e m e t h o df o rt h ei m p l e m e n t a t i o no fp c bd e s i g n w ef i n a l l yc o m p l e t et h ee x p e c t e d d e s i g n a tl a s t , w eg i v et h e t e s tr e p o r t so f t h ed e s i g n e ds y s t e mt ov e r i f yt h ef e a s i b i l i t y o f t h ed e s i g na n dt h ec r e d i b i l i t yo f t h es y s t e m 1 1 地d e s i g np r o j e c ta n dd e s i g np r o d u c t i o nw ep u tf o r w a r dh a v eb e e na l r e a d y e x t e n d e dt ot h ef i r e w a l l sm a r k e ta n dh a v eg o tc o n s i d e r a b l eb e n e f i t k e y w o r d s ：n e t w o r ks e c u r i t y f i r e w a l ln e t w o r kp r o c e s s o r p a c k e tf i l t e r i n g s t a t e l f i l li n s p e c t i o n i i 西北工业大学硕士学位论文 第一章绪论 第一章绪论 1 1 网络信息安全的现状 随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。信息 网络已经涉及国家的政府、军事、科技、文教等各个领域，其中存储、传输和加 工处理的信息有很多涉及政府宏观调控决策、商业经济信息、银行资金转帐、股 票证券、能源资源数据等重要内容，难免会受到来自世界各地人为的信息攻击。 近年来，计算机犯罪案件急剧上升，各国的计算机系统特别是网络系统面临着很 大的威胁，并已经成为严重的社会问题之一。据美国联邦调查局的报告，计算机 犯罪是商业犯罪中最大的犯罪类型之一，每笔犯罪的平均金额为4 50 0 0 美元， 每年计算机犯罪造成的经济损失高达5 0 亿美元。国际互联网络的广域性和可扩 展性，使计算机犯罪已成为具有普遍性的国际问题。 我国的互联网从科技网、教育网起步，现已发展到商业网并已经成熟，这标 志着我国已跨入互联网的新时代。我国的网络信息安全技术虽然起步较晚，但发 展速度很快，与国际先进国家的差距正在缩小。我国从2 0 世纪8 0 年代中期开始 研究计算机网络的安全保密系统，并在各个信息系统中陆续推广应用，其中有些 技术已经赶上或超过了国际同类产品，从而把我国的信息安全保密技术推进到新 的水平。从2 0 世纪9 0 年代中期开始，我国进入了互联网发展时期，其发展势头 十分迅猛，孕育着信息安全技术的新跃进。 面对如此严峻的网络信息安全问题，对目前我国的网络安全，有必要对现阶 段的网络安全状况做一个总结，以得出一个关于网络安全的清晰认识，形成一种 关于网络安全的正确观念，对于提高网络安全意识，增强网络安全水平都很有意 义。目前网络安全状况，可以从以下几个方面来体现出来： 互联网的安全隐患 网络安全本来是互联网发展的最基本目标之一，然而很多的互联网网站在建 站开始及其发展过程中，没有重视到网络完全的重要性，只注重向网络的便利性、 实用性发展，这样发展的互联网是不健全的，存在着巨大的隐患。因为这样网站 留下了太多的技术、管理和基础设施的漏洞，给黑客以太多的可乘之机，使很多 个人的隐私或者企业的机密信息无声无息中被他人窃取，造成了更多的不便和蒙 受更多的损失。 西北工业大学硕士学位论文第一章绪论 网络安全意识的矛盾性 如今，社会的信息化、网络化已经成为整个社会发展的必然趋势，而网络安 全却是社会信息化、网络化过程中必须面临的事实。因此，人们的网络安全意识， 对于社会信息化、网络化的推进就显得非常重要。可遗憾的是，很多人都存在一 种矛盾的网络安全意识。网络安全在人的眼里限于了一种怪圈，他们认为如果花 大量的人力和物力来考虑一个公司的网络安全，要是不出问题，似乎这些投入的 人力和物力就自费了；要是还出问题，岂不是赔了夫人又折兵。这种看似有理的 看法，却忽略了网络安全一个重要特性，即网络安全是一种以防患于未然为主要 目标的安全防范。事实上所有的网络安全措施和机制都不能保证绝对的安全，而 只能提高相应的安全程度。 安全法规的不健全 非法破坏网络安全，非法入侵计算机系统，其实是一一种计算机犯罪。而法律 控制作为犯罪控制中最有效果、最具有强制性的手段，理所当然地需要好好加以 利用。我国虽已出台了一系列关于网络安全，惩治计算机违法犯罪的法律法规。 但是，现有立法远远不能适应控制计算机违法犯罪的需要，经常在制裁计算机违 法犯罪分子时显得软弱无力。因此，网络安全的法律法规有待进一步健全。 先进的攻击手段 随着网络技术的发展，互联网规模的不断增长，网络带宽的增加，软硬件平 台下新安全漏洞的发现，危害网络安全的攻击手段也将e t 益先进，而且一旦发动 攻击，受害对象的受损程度也将更加严重。 1 2 网络信息安全的意义 网络安全的根本目的就是防止通过计算机网络传输的信息被非法使用。如果 国家信息网络上的数据遭到窃取、更改或破坏，那么它必将关系到国家的主权和 声誉、社会的繁荣和稳定、民族文化的继承和发扬等一系列重要问题。为避免机 要信息的泄露对社会产生的危害和对国家造成的极大损失，任何网络中国家机密 信息的过滤、防堵和保护将是网络运行管理中极其重要的内容。网络技术是把“双 刃剑”，它的有用之处在于互联和信息共享，它的问题也在于此。网络互联的信 息化、国际化和开放化使人们的生活提供方便，提高了人们的工作效率和生活质 量，但也同时给人们的信息安全带来了隐患。有时网络信息安全的不利影响甚至 超过信息共享所带来的巨大效益。从企业和个人角度来看，涉及个人隐私和商业 利益的信息在网络上传输时，其保密性、完整性和真实性也应受到应有的关注， 避免其他人或商业对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐 2 西北工业大学硕士学位论文第一章绪论 私，造成用户资料的非授权访问和破坏。 网络安全较全面地对计算机和计算机之间想连接的传输线路进行管理，特别 是对网络的组成方式、拓扑结构和网络应用的重点研究。它包括了各种类型的局 域网、通信与计算机相结合的广域网，以及更为广泛的计算机互联网络。因此保 护网络系统中的硬件、软件及其数据不受偶然或者恶意原因而遭到破坏、更改、 泄露，系统连续可靠地正常运行，网络服务不中断，就成了网络安全的主要内容。 由于网络安全问题的敏感性，我们不能象引进其它高科技产品一样，大量引 进国外的网络安全设备，特别是在政府、军队、研究所等国家信息保密部门。因 此，先进的网络信息安全技术和数据加密技术的研究与开发的重要性和必要性显 而易见，而且迫不及待 1 3 防火墙技术现状和发展趋势 解决网络信息安全问题的主要途径是利用密码技术和网络访问控制技术。密 码技术用于隐蔽传输信息、认证用户身份等。网络访问控制技术用于对系统进行 安全保护，抵抗各种外来攻击。 目前，在市场上比较流行，而又能够代表未来发展方向的安全产品有以下几 类：防火墙、安全路由器、虚拟专用网( v p n ) 、安全服务器、用户认证产品、安全 管理中心、入侵检测系统( i d s ) 、安全数据库、安全操作系统等，可以说网络安 全的解决是一个综合性问题，涉及到诸多因素，包括技术、产品和管理等。 防火墙是一种综合性的技术，涉及到计算机网络技术、密码技术、安全技术、 软件技术、安全协议、网络标准化组织( i s o ) 的安全规范以及安全操作系统等多 方面。自从1 9 8 6 年美 d i g i t a l 公司在i n t e r n e t 网上安装了全球第一个商用防火 墙系统，提出了防火墙概念后，防火墙技术得到了飞速的发展。现在防火墙产品 正成为互联网业发展最快的新兴行业之一。目前已经有c h e c k p o i n t ，m i l k y w a y ， s u n ，i b m ，t i s 。3 c o m ，c i s c o ，m i c r o s o f t ，n o v e l l ，华为，联想网御，启明星，天融 信等几十家国内外公司推出了功能各不相同的防火墙产品系列。 第一代防火墙，又称包过滤路由器( p a c k e tf i i t e r i n gr o u t e r ) 或筛选路由 器( s c r e e n i n gr o u t e r ) ，即通过检查经过路由器的数据包源地址、目的地址、t c p 端口号、u d p 端口号等参数来决定是否允许该数据包通过，对其进行路由选择转 发。例如c i s c o 路由器提供的防火墙功能是接入控制表( a c c e s sl i s t ) ，但是这种 防火墙很难抵御地址欺骗等攻击，而且审计功能差。 第二代防火墙，也称代理服务器( p r o x ys e r v e r ) ，它用来提供网络服务级的 控制，起到外部网络向被保护的内部网申请服务时中间转接作用。内部网只接受 西北工业大学硕士学位论文 第一章绪论 代理提出的服务请求，拒绝外部网络其它节点的直接请求。代理服务器可以根据 服务类型对服务的操作内容等进行控制，可以有效地防止对内部网络的直接攻 击，安全性高。但是对于每一种网络应用都必须为其设计一个代理软件模块来进 行安全控制。而每一种网络应用服务的安全问题各不相同，分析困难，因此实 现也困难。同时代理的时间延迟一般比较大，现在为了有效提高防火墙的安全性， c h e c kp o i n t ，s u n ，n e t g u a r d 等公司开发了具有状态检测( s t a t e f u li n s p e c t i o n ) 功能的第三代防火墙，它在网络层对数据包的内容也进行检查，如s u n 的s u n c r e e n e f s v 1 c h e c kp o i n t 的f i r e w a l l - iv 2 1 等防火墙产品。 随着新的网络技术的出现，防火墙技术呈现以下新的发展； ( 1 ) 目前防火墙在安全性、效率和功能方面的矛盾还是比较突出。防火墙的 技术结构，往往是安全性高效率低，效率高就会牺牲安全为代价。未来的防火墙 要求高安全性和高效率。使用专门的芯片负责访问控制功能、设计新的防火墙的 技术构架是未来防火墙的方向。 ( 2 ) 数据加密技术的使用，使合法的访问更安全。 ( 3 ) 混合使用包过滤技术、代理服务技术和其它一些新技术。 ( 4 ) 目前人们正在尝试使用新的i p 协议i p 6 。i p 协议的变化将对防火墙的 建立与运行产生深刻的影响。 ( 5 ) 分布式防火墙。现在防火墙一般都安放在网络的边界，并假设内部网络 中的所有主机是可信任的，所有外部网络主机是不信任的。但是攻击往往是从内 部发起的，所以不是所有内部主机都是可以信任的，因此提出了分布防火墙概念。 分布式防火墙是指那些驻留在网络中主机如服务器或p c 机对主机系统自身提供 安全防护的软件产品。从广义上讲，分布式防火墙是一种新的防火墙体系结构， 它包括以下产品： 网络防火墙。 主机防火墙。 中心管理。 ( 6 ) 对数据包的全方位的检查。不仅包括数据包头的信息，而且包括数据包 的内容，查出恶意行为，阻止通过。 1 4 论文的内容安排 本论文的核心有两点：首先，详细研究了网络防火墙的一些关键技术和理论 实现方法，在此基础上，设计了一款基于i n t e 网络处理器的防火墙平台，在论 文中详细阐述了平台的原理和p c b 的实现。所设计的防火墙平台，具有很大的实 4 西北工业大学硕士学位论文第一章绪论 际工程意义，目前在市场上具有很好的销售量，创造可观的价值。本论文的内容 安排如下： 首先，阐述了网络安全的现状以及网络安全研究的重大意义，分析了防火墙 目前的发展状况，简要提出了未来防火墙的发展趋势。 第二章详细讲述了防火墙的概念、功能和分类，研究了防火墙的一些关键技 术，其中深入研究了包过滤防火墙的设计规则和状态检测防火墙的工作原理。 第三章提出了基于网络处理器的防火墙平台的设计方案。在本章介绍了网络 处理器的内核，提出了防火墙的设计框图，根据设计框图详细叙述了重要模块的 设计方法和难点，以及相应的解决办法。 第四章讲述了防火墙的p c b 实现和产品最终的测试结果。本章详细叙述了 p c b 设计中要点，提出解决办法，展示了设计成果，最后给出了系统详细的测 试报告。 第五章对全文做了总结。 j 西北工业大学硕十学位论文 第二章防火墙关键技术的研究 第二章防火墙关键技术的研究 信息安全是防止对知识、事实、数据或能力非授权使用、误用、篡改或拒绝 使用所采取的措施。随着社会和技术的进步，信息安全经历了通信安全、计算机 安全、网络安全三个阶段。目前，我们所处的就是信息安全的第三阶段网络安全 阶段，网络安全的主要目的是解决在分布网络环境中对信息载体及其运行提供的 安全保护问题，主要措施是提供完整的信息安全保障体系，包括防护、检测、响 应、恢复。防火墙技术作为网络安全中的一个关键安全技术，在网络安全体系结 构中扮演着非常重要的角色。 2 1 防火墙的概念和功能 防火墙是建立在内外网络边界上的过滤封锁机制，内部网络被认为是安全和 可信赖的，而外部网被认为是不安全和不可信赖的。防火堵的作用是防止不希望 的、未经授权的通信进出内部网络，通过边界控制来达到内部网络的安全政策。 对防火墙而言网络可分为可信网络和不可信网络，防火墙的安放位置是可信网络 和不可信网络的边界，它所保护的对象是网络中有明确闭合边界的网段。可信网 络和不可信网络是相对的，一般来讲内部网络是可信网络，i n t e r n e t 是不可信 网络；但是在内部网络中，比如会计部的那些需要特殊保护的网络是可信网络， 其他的就成了不可信网络。防火墙在网络中的位置如图2 1 所示。 图2 1 防火墙在网络中的位置 如果没有防火墙，整个内部网络的安全性就完全依赖于每一个主机，因此， 所有的网络系统为了达到高安全性，每一个主机安全性都必须共同达到同一高度 6 国士一3 国雏竽 蕊誊誊誉一誉蝌增 黜一 西北工业大学硕士学位论文 第二章防火墙关键技术的研究 水平，这样对一个网络系统来说是不可能的。 如图2 1 ，防火墙的安放位置是可信网络和不可信网络的边界，它被设计为 只运行专用的访问控制软件的设备，而没有其他的服务，因此也就意味着相对少 一些缺陷和漏洞。防火墙是可信网络通向不可信网络的惟一出口，在被保护网络 周边形成被保护保护网与外部网络隔离，防范来自被保护网络外部的对保护网络 安全的威胁。如果采用了防火墙，可信网络中的主机将不在直接暴露给来自不可 信网络的攻击。因此，对内部网络主机的安全管理就变成了对防火墙的管理，这 样就是安全管理更加易于控制，也使可信网络更加安全。 一个防火墙系统需要具备功能如下： ( 1 ) 访问控制功能。这是防火墙最基本也是最重要的功能。 ( 2 ) 内容控制功能。通过控制可信任网络与不可信任网络之间的通信内容来 保证信息的安全。 。 ( 3 ) 全面的日志功能。防火墙需要完整地纪录网络访问情况，对网络进行监 控，一旦发生入侵或是遭到破坏，就可以对日志进行审计和查询。 ( 4 ) 集中的管理功能。一个网络系统不是单个简单的计算机，防火墙也可能 不只一台，所以防火墙必须易于集中管理，这样更方便，更人性化。 ( 5 ) 自身的安全和可用性。防火墙首先要保证自身的安全，才能真正起到对 整个安全体系的保护。另外，防火墙也要保证可用性，如果网络连接中断，防火 墙的使用也就失去了意义。 ( 6 ) 随着防火墙功能的强大防火墙也渐渐融合了一些设备的功能，如流量控 制，网络地址转换( n a t ，n e t w o r k a d d r e s s t r a n s l a t i o n ) ，虚拟专用网( ，n 。、r m u a l p r i v a t en e t w o r k ) 。 2 2 防火墙的局限性 防火墙放在可信网络的边界，直接面对的是不可信网络所有可能的攻击，由 于大多数主机操作系统和服务存在缺陷、薄弱点和安全漏洞，所以安装防火墙并 不能做到绝对的安全，它有许多防范不到的地方，具体如下： 防火墙不能防范不经由防火墙的攻击。例如，如果允许从受保护网内部 不受限制地向外拨号，一些用户可以形成与i n t e r n e t 直接的连接，从而绕过防 火墙，造成一个潜在的后门攻击渠道。 防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上 装反病毒软件。这是因为病毒的类型太多，操作系统也有多种，不能期望防火墙 对每一个进去内部网的文件进行扫描，查出潜在的病毒，否则，防火墙将成为网 7 西北工业大学硕士学位论文第二章防火墙关键技术的研究 络中最大的瓶颈。 防火墙不能防止数据驱动式攻击。如收到一封表面无害的邮件，一旦 被执行就形成攻击，从而导致对安全文件的修改或是取得访问权限。 防火墙不能防范恶意的内部人员入侵。内部人员通晓内部网络的结构， 如果他从内部入侵内部主机，或进行一些破坏活动，因为该通信没有通过防火墙， 所以防火墙无法阻止。 防火墙不能防范不断更新的攻击方式，防火墙制定的安全策略是在已知 的攻击模式下制定的，所以对全新的攻击方式缺少阻止功能。 2 3 防火墙的性能指标介绍 防火墙是网络的开放性和安全的控制性一组对立的产物。一方面，网络需要 更快速，更流畅；另一方面，网络需要更安全，所以需要添加安全规则，增加访 问权限，这样使网络性能下降。所以对防火墙的访问效率提出了一些性能指标。 ( 1 ) 吞吐量：指防火墙在不丢数据包的情况下能达到的最大的转发数据包的 速率。这个指标主要反应的是防火墙的包转发能力，是防火墙性能中的一项非常 重要的指标。 ( 2 ) 延时：指从入口进入的输入帧的最后一个比特到达，到从出口发出的输 出帧的第一个比特输出所用的时间间隔。这个指标主要衡量出防火墙的处理数据 的快慢。 ( 3 ) 丢包率：在特定负载下，指应由网络设备传输，但由资源耗尽而丢弃帧 的百分比。在连续负载下，指由于资源不足应转发但却未转发的帧所占的酉分比。 丢包率是衡量防火墙设备稳定和可靠性的重要指标。 ( 4 ) 背靠背：指从空闲状态开始达到传输介质最小合法间隔极限的传输速率 发送相当数量的固定长度的帧，当出现第一个帧丢失时所发送的帧数。背靠背能 够反应出设备的缓存能力和对突发数据流的处理能力。 ( 5 ) 最大并发连接数：指穿越防火墙的网络设备之间能同时建立的最大连接 数。这主要是测试防火墙的建立和维持t c p 连接的性能，体现防火墙对客户端 连接请求的响应能力。 2 4 防火墙的分类和相关技术 防火墙可以按照处理模式和形态上来分类。按照处理模式来分类，防火墙可 分为包过滤防火墙、应用网关防火墙、状态检测防火墙、电路网关防火墙和代理 3 西北工业大学硕士学位论文 第二章防火墙关键技术的研究 服务器。从形态上来分类，防火墙可以分为软件防火墙和硬件防火墙。软件防火 墙提供防火墙应用软件，安装在公共机的操作系统上。硬件防火墙是将防火墙软 件安装在专用的硬件平台上和专有操作系统之上，这种方式可以减少系统漏洞， 性能更好，是比较常见的防火墙方式。以下主要按照处理模式来详细探讨一下防 火墙的相关技术。 2 4 1 包过滤防火墙的技术研究 2 4 1 1 包过滤的技术概念 包过滤( p a c k e tf f l t e d n g ) 技术是防火墙在网络层中根据数据包中包头信息 有选择地实施允许通过或阻断。依据防火墙内事先设定的过滤规则，检查数据流 中每个数据包头部，根据数据包的源地址、目的地址、t c p f u d p 源端口号、 t c p a j d p 目的端口号及数据包头中的各种标志位等因素来确定是否允许数据包 通过，其核心就是安全策略即过滤规则的设计。， 包过滤防火墙核心是由一组接受和禁止规则列表组成，这些规则明确定义了 什么样的包将被允许或不允许通过网络接口。设计是的整体思想就是要非常细心 的控制那些在可信任网络和不可信任网络之间传递的东西。把防火墙作为一个网 络边界，防火墙独立地过滤从接口进来的数据包以及从接口输出的数据包。输入 和输出可以有完全不同的规则。过滤规则的列表可以称为是一个规则链，每一个 包都针对列表上每一个规则予以匹配，一个接一个，直到一个匹配规则或到表被 穷尽为止，如图2 2 ，输入和输出规则链。 图2 - 2 输入和输出规则链 9 西北工业大学硕士学位论文第二章防火墙关键技术的研究 2 4 1 2 包过滤的策略 如果包不匹配任何规则，那么就要执行一个默认的包过滤策略。一般的防火 墙有两种基本的策略方法： 默认禁止一切，明确选择的数据包允许通过 默认接受一切，明确选择的数据包禁止通过 一般的防火墙都选择默认禁止一切策略，这种方法使设置一个安全防火墙更加容 易。接受一切策略是启动和运行防火墙更加容易，但是你要在规则链中列出一切 存在危险的访问类型，从而禁止其通过防火墙，这样是不可能的。所以要开发一 个安全的接受一切的防火墙工作量大、难度也很大，因此容易出错。 在包过滤的最后，对禁止的数据包一般有两种处理方式：一是拒绝，二是禁 止。当一个包被拒绝时，包被丢掉并且返回发送者一个错误消息。当一个包被禁 止时，包将简单地被仍掉，而对发送者没有任何通知。防火墙设计中，禁止是一 个比较好的选择。原因有三，首先，发送一个错误响应将使网络通信量加倍。多 半包被丢弃都是因为它们是有恶意的。第二，你所响应的任何一个包都可以被用 于拒绝服务攻击。第三，任何响应，即使是一个错误消息，也将会给黑客潜在的 有用信息。 2 4 1 3 输入包的过滤和输出包的过滤 在制定输入包的过滤和输出包的过滤规则链时候，主要是基于源地址、目的 地址、源端口、目的端口。在下面的对输入包过滤的研究中主要就是围绕数据包 信息中以上的四个信息进行讨论。 ( 1 ) 远程输入包源地址过滤 在识别包发送者的唯一方法就是包头中的源地址，而它能被修改，这样就给 源地址欺骗创造了机会，从而来突破你的系统。远程源地址过滤主要有以下三个 方面： 第一，源地址欺骗和非法地址。在所有情况下，主要有六种类型的源地址是 应当在外部接口上加以禁止的，这些输入包声称来自： 你的i p 地址你将永远不会看到合法的、从外部输入、声称来自你 的计算机的数据包。声称来自你的计算机的输入数据包是欺骗的，是被修改过的。 a 、b 和c 类内部专用i p 地址一“b 和c 类范围内的地址集是为专用 l a n 内使用而保留的。它们并未被打算用在i n t e r n e t 上。因此，你的计算机将 决不可能看到来自这些源地址的输入数据包。 a 类内部专用地址范围是从1 0 0 0 0 到1 0 2 5 5 2 5 5 2 5 5 b 类内部专用地址范围是从1 7 2 1 6 0 0 到1 7 2 3 1 2 5 5 2 5 5 c 类内部专用地址范围是从1 9 2 1 6 8 0 0 到1 9 2 1 6 8 2 5 5 2 5 5 1 0 西北工业大学硕士学位论文 第二章防火墙关键技术的研究 d 类多点投递i p 地址d 类范围内的i p 地址是预留用作多点投递广 播的目标地址，如音频或视频广播时的目的地址。它们的范围是从2 2 4 0 0 0 到2 3 9 2 5 5 2 5 5 2 5 5 。你的计算机应当永远不会看到来自这些源地址的数据包。 e 类保留i p 地址e 类范围内的i p 地址是为实验用途预留的，未公 开分配。他的范围是从2 4 0 0 0 0 到2 4 7 2 5 5 2 5 5 2 5 5 。因此，你的计算机决不 可能看到来自这些源地址的输入数据包。 回环接口地址一回环接口是一个由u n i x 系统为本地网络服务使用的 内部专用网络接口。不用把本地网络流量通过网络接口驱动器发送，操作系统通 过回环接口短路，大大提高了性能。根据定义，回环网络业务流的目标是该系统 本身，它不会发送到网络上回环接口地址的范围是从1 2 7 0 0 0 到 1 2 7 2 5 5 2 5 5 2 5 5 畸形广播地址广播地址是对网络上所有机器都适用的特殊地址。地 址0 0 0 0 是一个特别的广播地址，它不是一个合法的点对点的源地址。当它作 为一个源地址出现在某常规的、点对点的、非广播包中时，此地址一定是伪造的。 ( 2 ) 阻断有问题的站点 阻断来自某特定计算机的源地址是一个普通但是不常用的过滤规则配置，更 典型的是，来自某整个网络i p 地址块的所有访问。这就是i n t e r n e t 社会想要对 有问题站点以及不管辖他们的用户的i s p 所采取的措施。如果某站点有坏的 i n t e r n e t 邻居的不良声誉，则其他站点就会阻断它的访问。当远程网络上某个 计算机经常制造麻烦时，在单个层次上阻断所有来自特定网络的访问是很方便 的。 ( 3 ) 限制从特定远程主机发来的数据包 当只想接受来自明确指定的外部站点或单个主机的特定的数据包时，防火墙 规则可以定义所能接受包的明确i p 地址或限定的i p 源地址范围。这样的数据包 一般分为两类，第一类输入包是来自远程服务器，对本地计算机的请求响应的数 据包。第二类输入的包是远程客户访问你的站点所提供的服务的请求包。 ( 4 ) 本地目的地址过滤 对输入的数据包进行基于目的地址的过滤不是一个很复杂的问题。网络接口 卡会忽略目的地址不是它本身的普通包，广播包是一个例外，它对网络上所有主 机进行广播。 ( 5 ) 远程源端口过滤 输入数据包中的源端口信息中标识了发送此消息的远程主机程序。一般来 讲，所有从远程客户到你的服务器的请求包都遵循相同的模式，所有来自远程服 务器对你本地客户机的响应都遵循另外一种不同的模式。从远程客户到你本地服 西北工业大学硕士学位论文 第二章防火墙关键技术的研究 务器的输入请求和连接将拥有一个非特权范围内的源端口。来自远程服务器的、 对你请求的响应将有一个分配给特定服务的源端口。 ( 6 ) 本地目的端口过滤 输入包中的目的端口标识了包所需的本地计算机上的程序或服务。正如源端 口一样，通常来说，所有从远程客户到本地服务器的请求都遵循相同的模式，所 有从远程服务器到本地客户的输入响应则遵循另一种不同的模式。从远程客户到 本地服务器的请求连接把目的端口设置为特定服务的服务端口号。来自你连接的 远程服务器的响应将拥有一个非特权端口范围内的目的端口。 如果内部网络是一个完全可信的环境，那么输出包的过滤就不如输入包过滤 那样重要和不可缺少。但是，现实环境中内部网络也不是完全可信的，特别是对 那些涉及机密的计算机而言，输出包的过滤是十分必要且不可缺少的，另外对称 过滤对信息安全来说也是更加安全的。以下将讨论一下有关输入包的过滤： ( 1 ) 本地源地址过滤 基于源地址的输出包过滤是很容易的，对于一个小型站点或单个连接到 i n t e r n e t 上的计算机来说，正常操作下的源地址总是你计算机的i p 地址。因此， 就只允许带有你计算机的源地址的输出包通过。 对于那些拥有内部局域网，并且该l a n 上的防火墙机器具有动态分配的i p 地址的人们来说，输出包中包含防火墙的i p 地址作为源地址是强制限定的。 ( 2 ) 远程目的地址过滤 同输入包一样，是要限定特定类型的输出包，其目的也只能是特定的远程网 络或单个机器。在这种情况下，防火墙规则将定义这些包允许到达的目的地只能 是明确指定的i p 地址或限定的i p 地址范围。受目的地址过滤的输出包，主要是 以下两类： 目的地址是已经与你有联系的远程服务器。 目的地址是那些正在访问由你的站点提供服务的远程客户机。 ( 3 ) 本地源端口过滤 。一 明确地定义本地服务器的能用于连接的服务端口，有两个目的：一个用于本 地的客户机程序，另一个用于本地的服务器程序。指定用于输出连接的源端口有 助于确保本机程序的正确地执行，并且保护其他人不受来自不属于i n t e r n e t 上 的其他任何本地网络业务流的危害。 ( 4 ) 远程目的端口过滤 本地客户机程序是被设计用于连接网络服务器的，这些服务器在分配的服务 端口上提供服务。从这个角度看，限制本地客户机只能连接到与它们相关的服务 器的服务端口就确保了协议的正确性。限制客户机连接到指定的目的端口同样也 1 2 西北工业大学硕士学位论文第二章防火墙关键技术的研究 可用做其他的目的，第一，它有助于防止本地内部专用网络客户程序不经意地企 图访问i n t e r n e t 上的服务器。第二，它也为禁止错误输出、端口扫描和其他源 于你站点的可能的潜在的损害做了许多的工作。 2 4 2 应用网关防火墙 应用网关技术( a p p l i c a t i o ng a t e w a y ) 是建立在网络应用层上的协议过滤， 它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包进行分析并 形成相关的报告。应用防火墙常常安装在专用计算机上，与访问路由器分开，但 通常和过滤路由器一起是用。应用网关对某些易于登录和控制所有输入输出的通 信环境给予严格的控制，以防重要数据被窃取。另一个主要功能是对通过的信息 进行纪录，如哪个用户什么时间连接了什么站点。 应用网关与包过滤防火墙不同，它不使用通用目标机制来允许各种不同种类 的通信，而是针对每个应用来使用专用目的的处理方法。这样做虽然看起来有些 浪费系统资源，但是它却比其他任何方法都安全的多，因为这样可以不必担心不 同过滤规则集之间的交互影响和对外不提供安全服务的主机中的漏洞，而只需仔 细检查选择的应用程序。， 应用网关的优点是它易于纪录并控制所有的进出通信，并对i n t e r n e t 的访 问做到内容级的过滤，而且还具有登记、日志统计和报告功能，使对整个网络易 于控制，安全性能高。缺点是它是为特定的协议而设计的，不能方便地重新配置 为对抗其他协议的攻击，这样就使对它的维护比较困难，另外由于自身的特点也 决定了它所需的处理时间较长和资源较大，降低了这类防火墙的处理速度和处理 能力。 2 4 3 状态检测防火墙 状态检测( s t a t e f u li n s p e c t i o n ) 防火墙对每个合法网络连接保存的信息包 括源地址、目的地址、协议类型、协议相关信息、连接状态和超时时间等，防火 墙把这些相关的信息成为状态。状态检测相当于4 、5 层的过滤技术，它不限于 包过滤的3 4 层的过滤，又不需要应用层网关技术防火墙的5 层过滤，既提供了 比包过滤更高安全性和更灵活性的处理，也避免了应用层网关防火墙带来的速度 降低的问题。 要实现状态检测防火墙，最重要的是实现连接的跟踪功能。当防火墙接收到 初始化t c p 连接的s y n 包时，要对这个带有s y n 的数据包进行安全规则检查。将 该数据包在安全规则里依次比较，如果在检查了所有规则后，该数据包都没有被 西北工业大学硕士学位论文第二章防火墙关键技术的研究 接受，那么拒绝或禁止该次连接。如果该数据包被接受，那么本次会话的连接信 息被添加到状态检测表里。该表位于防火墙的状态检测模块中。对于随后的数据 包，就将包信息和该状态检测表中所纪录的连接内容进行比较，如果会话是在状 态表内，而且该数据包状态正确，该数据包被接受；如果不是会话的一部分，该 数据包被丢弃。这种方式提高了系统的性能，因为不是每一个数据包都要和安全 规则比较。只有在新的请求连接的数据包到来时才和安全规则比较。所有的数据 包与状态检测表的比较都在内核模式下进行，所以执行速度很快。 状态检测防火墙的理论基础是使用客户机服务器模式进行的连接具有连接 状态，最典型的是t c p 连接，t c p 连接由1 1 个状态组成，其状态转换图如图2 3 所示。在t c p 包头中有6 个标志位：f i n 、s y n 、r s t 、p s h 、a c k 、u r g 。最初双方 软件启动时都处于c l 0 s e d 状态，当服务器启动后将打开某一t c p 端口而进入 l i s t e n 状态，等待t c p 客户端的连接，当客户端程序启动后要与服务器连接， 客户端向服务器发送s y n 连接请求包，使客户端进入s y n _ s e n d 状态，服务器接 收到s y n 包后如果允许客户端连接将发送s y n _ a c k 包，确认连接，服务器端进入 s y n _ r c v o 状态，客户端接收到s y n _ a c k 包后发送一个确认a c k 包，客户端进入 e s t a b l i s h e d 状态，服务器接收到该a c k 包后也进入e s t a b l i s h e d 状态，此即t c p 协议的三次握手过程，连接建立后就可以进行t c p 数据传输了。t c p 的断开过程 比较复杂，这里就以正常断开为例来简单描述一下其断开的一般过程。正常断开 是连接一方先发送f i n 包( 连接双方都可以先发送f i n 包) ，假设是服务器端发送 f i n 包，此时服务器进入f i n _ w a i t l 状态，服务器接收到此a c k 包后，将回应一 个a c k 包，客户端进入c l o s e _ w a i t 状态，服务器端接收到此a c k 包后进入 f i n _ w a i t 2 状态，此时t c p 连接处于半关闭状态，在此状态下服务器将不再向客 户端发送数据，但客户端仍然可以向服务器发送数据，如果客户端也不再发送数 据，将发送f i n 包，客户端进入l a s k _ a c k 状态，服务器接收到客户端的f i n 包 后发送一个a c k 包确认，服务器进入t i m e _ w a i t 状态，客户端收到次a c k 包后进 入c l o s e d 状态，客户端就认为t c p 连接已经结束，而服务器端再经过2 倍 m s l ( m a x i m u ms e g m e n tl i f e t i m e ) 超时后进入c l s o e d 状态，连接断开，在这段过 程中各种t c p 实现可能会略有差异，淞l 时间也可能有差别。 从以上的t c p 连接建立和断开描述中可以总结出以下四点原则： i t c p 连接是有状态的，连接进入不同的阶段有不同的状态； i i t c p 连接状态的转换是有一定顺序的，不是任意改变的； i i i t c p 连接过程中客户端和服务端的可能的状态是有区别的，如客户端 不可能进入l i s t e n 状态，服务端也不可能进入s y n _ s e n d 状态； i v 对于t c p 包中的标志，有些表示是不能同时存在的，如s y n 标志不可 1 4 西北工业大学硕士学位论文第二章防火墙关键技术的研究 起点 ：2 m s l 超时 ： _ 一一- - - - - - 一 + 正常情况下。客户端的状态变迁； 卜 正常情况下，服务器端的状态变迁； a p p l ： 应用程序执行操作引起的状态变迁； f v ：接收报文引起的状态变迁； 舢： 状态变迁中发送的报文 图2 - 3t c p 状态转换图 西北工业大学硕士学位论文第二章防火墙关键技术的研究 能和f i n ，r s t ，p s h 标志同时存在，如同时存在必定是伪造包，非正常包。根据 以上的原则，防火墙就可以很清楚的判断出连接双方目前所处的状态，此时一旦 发现所发送的包和状态不符，就可以认定是状态异常的包，马上拒绝，而不必再 对i p 地址或t c p 端口进行检查；对于一些端口扫描工具进行t c p 端口扫描时不 再发送s y n 包，而是相对异常一些t c p 标志包，如f i n 、r s t 、s y n f i n 等；而防 火墙对于一个新t c p 连接的判断是从s y n 包开始的，一旦发现这些包不属于任何 已经建立的连接，就可将其作为状态异常包而丢弃。 2 4 4 电路级网关防火墙 电路级网关防火墙工作在会话层，它在两个主机首次建立t c p 连接时创立一 个电子屏障。它作为服务器接收外来请求，转发请求；与被保护的主机连接时则 担当客户角色，其代理服务的作用