（计算机应用技术专业论文）分布式防火墙策略不规则的发现技术研究.pdf

硕士学位论文 分布式防火墙策略不规则的发现技术研究 摘要 分布式防火墙采用控制中心制定安全策略、多个节点防火墙执行策略的体系结 构，能很好地解决边界防火墙安全策略越来越膨胀的弊端以及内部网的安全问题。分 布式防火墙的策略管理比较复杂，在大型企业网络中，通常采用多层次分级管理方式， 各级防火墙管理员都可能向策略库中增加过滤规则，而这些策略被分发到各个节点实 施，容易导致防火墙内部以及防火墙与防火墙之间出现规则的冲突，即策略的不规则 现象。本文分析了分布式防火墙不规则现象产生的原因，设计了基于p n 的策略模型， 然后分别针对分布式防火墙内部策略不规则的各种可能情况，运用基于p n 的策略模 型设计了基于p n 的不能逆转发现算法，基于p n 的不可到达性发现算法，基于p n 的 的无边际性发现算法。策略库一旦变化，此算法能够自动启动并判断策略库是否存在 异常现象，如果存在，则分辨出不规则现象的类型，并调用维护方法对策略库进行修 改或者删除操作，消除策略库中的不规则现象。最后针对本算法，进行了模拟实现， 分析了算法的综合性能。 关键词：分布式防火墙，策略管理，异常发现，p n ，过滤规则，网络安全 a b s t r a c t硕士学位论文 a b s t r a c t t h ed i s t r i b u t i o n a if i r e w a l lu s e sa r c h i t e c t u r et h a tt h ec o n t r o lc e n t e re s t a b l i s hs e c u r i t y p o l i c ya n dm a n yn o d ef i r e w a l l sc a i t yo u tt h es t r a t e g y i tc a nb e t t e rr e s o l v et h es e c u r i t y p r o b l e m so fm o r ea n dm o r ei n f l a t em a l p r a c t i c ea n di n t r a n c to fb o u n d a r yf i r e w a l ls e c u r i t y p o l i c y t h es t r a t e g ym a n a g e m e n to fd i s t r i b u t i o n a lf i r e w a ui sq u i t e l yc o m p l e x i nl a r g e - s c a l e i n d u s t r yn e t w o r k st h em u l t i l e v e l a n di n h e r i t a g ea d m i n i s t r a t i o nm e t h o d sa l ea l w a y s s e l e c t e d b e c a u s ee v e r yl e v e lf i r e w a l lm a n a g e rc a l la d dt h ef i l t e rr u l e si n t ot h ef i r e w a l l p o l i c ys t o r e s t h e nt h e ya r ei s s u e di n t oa l ln o d e sa n di m p l e m e n t e d i tw i l le a s i l yc a u s et h e c o n f l i c t i o n so fr u l e si n s i n g l ef i r e w a l l a sw e l la sa m o n gf i r e w a l l s ，i no t h e rw o r d s ， a n o m a l o u sp h e n o m e n ao fp o l i c y i nt h i sp a p e r , t h er e a s o n so fp o l i c ya n o m a l i e si nt h e d i s t r i b u t e df i r e w a l l sa l ea n a l y s e d t h en o r m a t i v ed e f i n i t i o n sa r ep r o v i d e df o ra l lk i n d so f p o l i c ya n o m a l i e si nd i s t r i b u t e df i r e w a l l s t h ep o l i c ym o d e lb a s i n go np ni sd e s i g n e d ，i n v i e wo fa l lk i n d so fp o l i c ya n o r m a l i e so ft h ed i s t r i b u t i o n a lf i r e w a l l w ep r e s e n tas e to f a l g o r i t h m sb a s i n go np ni n o r d e rt of i n dt h ei r r e v e r s i b i l i t y , u n b o u n d e d n e s s ，a n d u n r e a c h a b i l i t y a ss o o na st h e r ei sa n yc h a n g ei nt h ep o l i c ys t o r e s ，o a ra l g o r i t h m sw i l l a u t o m a t i c a l l ys t a r ts oa st os e a r c ht h ep o l i c ya n o m a l i e sa n dd i s t i n g u i s ht h et y p e i ft h e r ei s a b n o r m a la f f a i ri np o l i c ys t o r e s ，t h e yc a l lc a l lm a i n t a i n a b l em e t h o d ss u c ha sm o d i f y i n go r d e l e t i n gt h er u l e sf r o mt h ep o l i c ys t o r e ss ot h a ta l lk i n d so fp o l i c ya n o m a l i e sa r e e l i m i n a t e d a tl a s t ，w eh a v es i m u l a t e dr e a l i z e do a ra l g o r i t h m sa n da n a l y s e dt h e i rg e n e r a l p r o p e r t i e s k e y w o r d s ：d i s t r i b u t i o n a lf i r e w a l l ，p o l i c y m a n a g e m e n t ，a b n o r m i t yf i n d i n g ，p n ，f i l t e r r u l e ，n e t w o r ks e c u r i t y 声明， 本学位论文是我在导师的指导下取得的研究成果，尽我所知，在本 学位论文中，除了加以标注和致谢的部分外，不包含其他人已经发表或 公布过的研究成果，也不包含我为获得任何教育机构的学位或学历而使 用过的材料。与我一同工作的同事对本学位论文做出的贡献均已在论文 中作了明确的说明。 研究生躲一涎海 印年，绸日 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅或 上网公布本学位论文的全部或部分内容，可以向有关部门或机构送交并 授权其保存、借阅或上网公布本学位论文的全部或部分内容。对于保密 论文，按保密的有关规定和程序处理。 研究生签名：3 暹一 ：车哆年，月 日 硕士学位论文分布式防火墙策略不规则的发现技术研究 1 绪论 1 1 课题来源和研究意义 ： ，： i i 1 网络安全威胁与主要安全防范技术 计算机的网络化和全球化使得i n t e r n e t 进入了社会的各个领域，渗透到人们的 方方面面。网络的普及使人们生活和工作更加方便，它消除了地域的差别，让人与人 之间可以不受地理限制而自由通讯。 信息化程度的迅速提高，给人们生活带来方便的同时也给二些人以可乘之机， 他们利用信息技术非法侵入他人的计算机系统窃取机密信息、篡改和破坏数据，据统 计，约7 0 以上的网络信息主管人员报告因机密信息泄露而受到了损失，一些专业的 j 名网站，如y a h o o 、c n n 等多个w e b 站点都遭到了来自i n t e r n e t 的分布式d o s ( 拒 绝服务) 攻击乜埘。现在无论企业还是个人用户，信息安全问题都日益成为被关注的 焦点，成为网络通信领域不可忽略的要素。 网络安全涉及到通信、；网络、密码学、协议、操作系统、数据库、病毒、电子 商务等多方面技术。目前的网络安全产品，主要分为以下几类：安全操作系统、安全 隔离与信息交换系统、防病毒产品、i d s ( 入侵检测系统) 、防火墙、v p n ( 虚拟专用 网) 、：密码生成器、p k i ( 公钥基础设施) 、c a ( 认证中心) 等。其中，防火墙是网络 安全的第一道屏障，它是最早出现的网络安全产品和使用量最大的安全产品，所占市 场最大，安全技术也比较成熟。 1 1 2 防火墙技术简介 防火墙是一类防范措施的总称，它可以在内部网与i n t e r n e t 或其他外部网之间 设立唯一的通道，将两者隔离、监视并限制网络访问以保护内部网络乜力。防火墙筛选 两个网络间所有的连接，决定哪些访问是允许的或者应该被禁止，这些决定是网络安 全管理员根据一定原则制定的安全策略。防火墙可以以硬件方式实现( 如路由器充 当) 、也可以用纯软件方式或者软硬件配合使用的形式实现啪儿3 3 1 。防火墙在网络中的 位置如图i - i 所示。 图l1 防火墙在网络中的位置 传统防火墙通过划分网络拓扑结构和控制网络入口实施强制数据过滤，这种工 作方式决定了它不能满足网络规模和结构发展的需要，传统防火墙依赖于网络拓扑结 构，它通过部署在网络边界来保护内部主机，称为边界防火墙，这有时候是兼顾防火 墙内外通信的效率和安全性的一种折衷办法9 1 。随着网络攻击的多样化，传统防火墙 为了对付外部攻击而加入了一些安全检测和防御的内容，这种负担极大地影响了防火 墙的性能，并使得防火墙可能成为网络数据通信的瓶颈。另外，传统防火墙信任被保 护的内部阿内的每一个成员，它不能抵御来自内部的攻击，对病毒的攻击也无能为力。 防火墙仍然是首要的不可替代的解决办法，是保证信息的私有性、完整性与可 用性的不可或缺的手段。传统的边界防火墙在网络发展初期规模还不大的情况下是有 效的，但随着网络的爆炸式发展，传统肪火墙的缺陷开始显露“1 。( 1 ) 防外不防内， 传统防火墙设置安全策略的一个基本假设是：网络的一边即外部的所有人是不可信任 的，另一边即网络内部的所有人是可信任的，但实际上，7 0 8 0 的攻击访问来自内 部网络“，造成内部网不够安全，因此，防范内部攻击十分必要。( 2 ) 传统防火墙 大多缺乏对主机意图的了解，通常只能根据数据包的外在特性来进行过滤控制。( 3 ) 单点问韪，传统防火墙把检查机制集中在单一的网络接入点上，极易形成网络流量的 瓶颈和单点故障隐患问题。( 4 ) 传统防火墙受网络拓扑结构的制约，其设置一般都 基于i p 地址，因而内部网络主机和服务器i p 地址的变化将导致设置文件中的规则改 变，但现实中，企业网的边界已经是一个逻辑的边界，物理边界日趋模糊，边界防火 墙的应用受到了愈来愈多的结构性限制，这种拓扑结构还影响了传统防火墙在虚拟专 用删( v p n ) 上的使用。 为了克服传统防火墙的欠缺，出现了新型的防火墙体系结构。新型防火墙技术 的发展趋势是这样三种“；自适应的代理服务防火墙、新型混合防火墙、分布式防火 墙等。其中分布式防火墙将边界防火墙技术与分布式理论相结合，它的设计思想台乎 i n t e r n e t 的发展趋势，给防火墙技术注入了新的活力。分布式防火墙具有拓扑独立、 可防止网络内部攻击等传统防火墙不可相比的优点。而且分布式防火墙从根本上消除 硕士学位论文分布式防火墙策略不规则的发现技术研究 了传统防火墙的数据通信瓶颈问题，更加符合网络安全应用的发展需要。 目前，国内外许多著名安全专家和学术组织已经开始在分布式防火墙技术领域 进行深入的研究和探讨n 羽。世界领先的网络安全产品生产商和咨询服务提供商一一美 国瑞安软件有限公司从1 9 9 9 年就开始推出了c y b e r w a l l p l u s 系列产品，成为了分布 式防火墙技术的领先厂商。在我国也已有公司开发了自主的分布式防火墙产品。北京 安软科技有限公司推出的e v e r l i n kd i s t r i b u t e df i r e w a l l 通过提供统一的安全策 略管理机制j 为企业构建一个方便易用的网络安全平台臼刀。它不仅适用于大中型组织 结构，同样适用于与公用网直接相连地个人用户、处于移动办公环境中的商业经理和 小企业用户等。总而言之分布式防火墙在我国还属于暂露头角的新兴技术，目前技术 及理论研究都还没有完全成熟，但是随着i n t e r n e t 技术的发展，市场上将会出现功 能强大的分布式防火墙产品，分布式防火墙会具有更广阔的前景，无疑将会成为下一 代防火墙的主流产品。 针对当前网络安全现状和现实需要，我们开展了网络安全领域的研究工作，在 对防火墙技术的学习和防火墙产品的市场调查过程中，发现很多优秀的防火墙产品都 是部分集成在硬件中实现的，通常需要专门的安装、配置人员，而且造价较高，不适 合我国企业尤其是中小型企业采用；而要在软件防火培方面达到技术上的突破，除了 结合先进的防火墙构件技术之外，防火墙的体系结构也是决定防火墙效率和安全性的 关键。 目前，我国广大中小型企业采用一种小规模的混合型网络结构，这种网络规模 较小，对外服务较少，网络边界不确定，具有分布式的结构特征，同时可能需要为不 同组的用户配置不同的安全策略和访问控制策略而当前能够满足这种需求的产品还 很少见到。针对这种网络结构的特点，我们采用了分布式的防火墙技术来满足用户的 需求，这是考虑到分布式防火墙可以有效的解决传统防火墙的种种弊端，而其分布性 的特点可以很好的满足用户对特定服务的需求。 通过对分布式防火墙的实验模型以及对现有产品的分析可以看出，分布式防火 墙共有的特征在于集中管理、分散执行，也就是通常都由一个策略控制中心管理、制 定和分发安全策略，管理节点防火墙，而安全策略的执行则在端点主机的节点防火墙 上进行，整体形成一个分布式系统。但是，在分布式防火墙的策略语言的统一、策略 语言与网络管理的融合、策略分发、加密认证以及执行过滤方法等问题上，仍有待迸 一步研究。 面对越来越严重的网络安全威胁，许多安全防范技术也应运而生。日前，网络 安全防范技术主要从网络访问和网络协议入手，主要包括这样一些技术n 幻u 鄙： ( 1 ) 密码学技术。密码学技术不只局限于对数据进行简单的加密处理，而是包括 加密、消息、摘要、数字签名及密钥管理在内的所有涉及到密码学知识的技术。网络 3 1 绪论 硕士学位论文 安全服务的实现离不开加密技术的支持，应用加密技术不仅可以提供信息的保密性和 数据完整性，而且能够保证通信双方身份的真实性。 ( 2 ) 访问控制。访问控制是根据网络中主体和客体之间的访问授权关系，对访问 过程作出限制，可分为自主访问控制和强制访问控制。自主访问控制主要基于主体及 其身份来控制主体的活动，能够实施用户权限管理、访问属性( 读、写、执行) 管理等。 强制访问控制，强调对每一主体及客体进行密级划分，并采用敏感标识来标识它们的 密级。 ( 3 ) 身份认证。身份认证主要是通过标识和鉴别用户的身份，防止攻击者假冒 合法用户获取访问权限。对于一般的计算机网络而言，主要考虑主机和节点的身份认 证，至于用户的身份认证可以由应用系统来实现。 ( 4 ) 安全审计。安全审计通过对网络上发生的各种访问情况一记录日志，并对日 志进行统计分析，从而对资源使用情况进行事后分析。审计也是发现和追踪事件的常 用措施。 ( 5 ) 安全监控。安全监控技术主要是对入侵行为的及时发现和反应，利用入侵者 留下的痕迹( 试图登录的失败记录、异常网络流量) 来有效地发现来自外部或内部的非 法入侵；同时能够对入侵做出及时的响应，包括断开非法连接、报警等措施。安全监 控技术以探测与控制为主，起主动防御的作用。 ( 6 ) 安全漏洞检测。安全漏洞检测技术是指利用已知的攻击手段对系统进行主动 的弱点扫描，以求及时发现系统漏洞，同时给出漏洞报告，指导系统管理员采用系统 软件升级或关闭相关服务等手段避免受到这些攻击。 网络安全产品主要有：防病毒产品、防火墙、密码产品和存取控制身份鉴别产 品等，应用最广泛的是防火墙产品。防火墙是置于内部网和外部网之间执行访问控制 或安全策略的系统工程，是集成多种安全技术( 如包过滤，网络地址转换n a t ，身份 认证，入侵检测等) 的综合解决方案，它的安全性能要比其他只使用单个网络安全技 术的安全产品要好，因此成为保护网络安全的主要措施。 1 1 3 传统防火墙的局限性与本文的研究意义 c a d r e 信息安全咨询公司总裁s t e v e n 指出阳，传统网络防火墙属于边界型防火 墙，它依赖于网络的物理拓扑结构及个控制入口点来实旌它的安全策略，更精确的 说，传统防火墙是假定防火墙保护的内部网是安全可靠的，而外部网则是潜在的敌人 n 羽。这种方案在过去网络规模不大、网络应用简单的情况下，因为配置简单，管理方 便，因而很有生命力。但是随着当前网络呈现大型化、分布式、多样化的趋势后，防 火墙的策略设置变得越来越复杂，逐渐成为一个性能瓶颈，甚至安全隐患。 在这样的网络发展背景下，s t e v e n 提出了分布式防火墙技术n 们。一般来说，分 4 硕士学位论文分布式防火墙策略不规则的发现技术研究 布式防火墙由控制中心节点与策略执行节点构成，在控制中心集中制定安全策略，而 在节点防火墙执行策略。控制中心可以根据用户权限、网络具体应用、网络的拓扑结 构等特点有针对性的制定安全策略，许多主机节点可以分散的执行策略，因此，可以 在性能、安全、灵活性上均可获得前所未有的优势。 由于分布式防火墙中各个通信节点通常分布在不同的物理地域，节点对安全策 略要求不同，同时节点之间的通信需要经过不可靠的互联网，因此分布式网络防火墙 也面临着新的问题：如何保证策略管理的顺利实施、保证防火墙内部规则不出现冲突、 保证各个防火墙之间不出现冲突等。 本文的研究意义就是在于针对这些问题提供一个可行的解决方案。 1 2国内外研究发展现状 1 2 1 防火墙技术发展概况 防火墙的历史并不长，第一代防火墙技术几乎与路由器同时出现，采用了包过 滤路由器的技术。1 9 8 9 年，贝尔实验室的d a v ep r e s o t t 和h o w a r dt r i c k e y 推出了 第二代防火墙，即电路层防火墙，同时提出了第三代防火墙一应用层防火墙( 代理防 火墙) 的初步结构。1 9 9 2 年，u s c ( u n i v e r s i t yo fs o u t hc a r o l i n a ) 信息科学院的b o b b r a d e n 开发出了基于动态包过滤( d y n a m i cp a c k e t f i l t e r ) 技术的第四代防火墙，并 演变为的状态监视( s t a t ei n s p e c t i o n ) 技术。1 9 9 4 年，以色列的c h e c k p o i n t 公司开 发出了第一个基于这种技术的商业化的产品。1 9 9 8 年，美国n a i 公司推出了一种自 适应代理( a d a p t i v ep r o x y ) 技术，并在其产品g a u n t l e t f i r e w a l lf o rn t 中得以实 现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。 防火墙的发展与网络安全技术息息相关，从防火墙的发展过程看，可将基本的 防火墙构造技术分为三种d ：简单包过滤、状态包检测、应用级代理。防火墙技术的 不断的发展让它们的区分界线已经不十分明显了。目前来看，状态包检测技术因为其 安全性较好，速度快，得到最广泛的应用。应用代理虽然安全性更好，但它需要针对 每二种协议开发特定的代理协议，对应用的支持不够理解。 按照防火墙对p q # l - 来往数据的处理方法，大致可以将防火墙分为两大体系：包 过滤防火墙和代理防火墙( 应用层网关防火墙) 。前者以c h e c k p o i n t 防火墙和c i s c o 公司的p i x 防火墙为代表，后者以g a u n t l e t 防火墙为代表】。 1 包过滤防火墙的发展 第一代：静态过滤。这种类型的防火墙根据定义好的过滤规则审查每个数据包， 以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制 定。包头信息中包括i p 源地址、i p 目标地址、传输协议( t c p ，u d p ，i c m p 等等) 、t c p u d p 5 1 绪论硕士学位论文 目标端口、i c m p 消息类型等。 第二代：动态包过滤。这种类型的防火墙采用动态设置包过滤规则的方法，可 动态根据实际应用请求，自动生成或删除相应包过滤规则，而无需管理员人工干预。 避免了静态包过滤所具有的问题。这种技术后来发展成为包状态监测技术。采用这种 技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤 规则中增加或更新条目。 2 代理防火墙 第一代：代理防火墙。代理防火墙也叫应用层网关( a p p l i c a t i o ng a t e w a y ) 防火 培。这种防火墙通过一种代理( p r o x y ) 技术参与到一个t c p 连接的全过程。从内部发 出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以 达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安 全的防火墙，其核心技术就是代理服务器技术。 第二代：自适应代理防火培。自适应代理技术是最近在商业应用防火墙中得到 广泛应用的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙 的高速度等优点，在不损失安全性的基础之上大大提高代理型防火墙的性能。组成这 种类型防火墙的基本要素有两个：自适应代理服务器( a d a p t i v ep r o x ys e r v e r ) 与动 态包过滤器( d y n a m i cp a c k e tf il t e r ) ，在自适应代理服务器与动态包过滤器之间存 在一个控制通道。 在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过 相应的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息， 决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态 地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。 除了对防火墙的实现构件进行改进外，防火墙的系统结构也有了长足的发展， 如自适应的代理服务防火墙、新型混合防火墙、多层防火墙及分布式防火墙等都属于 新的防火墙体系结构的类型。 状态检测包过滤和应用代理这两种防火墙市场中普遍采用的主流技术正在形成 一种融合的趋势，新型混合防火墙正是一种组合了状态信息包检查防火墙和代理防火 墙的新型防火墙技术，它集成了应用代理的模块和状态检测的模块。 分布式防火墙通常嵌入系统核心，所以也称为嵌入式防火墙，是一整套防火墙 系统，可由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间， 既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤，属于 最新的防火墙技术之一。 分布式防火墙系统比较完整的结构是由b e l l o v i n 在1 9 9 9 年提出的嘲，他从传 统防火墙的弊端出发，提出了一种分布式的解决方案，即策略在中心进行定义，而执 6 硕士学位论文分布式防火墙策略不规则的发现技术研究 行则是“推”到网络端点主机上进行。2 0 0 0 年，i o a n n i d i s 等在b e l l o v i n 的基础上， 在o p e n b s d 系统下，实现了一个分布式防火墙原型s t r o n g i a a n 啪1 ，它采用k e y n o t e 口1 的信任管理系统，是分布式防火墙方面较为典型的一个原型系统。但是，s t r o n g b a n 没有考虑对移动用户的支持，仍然采用i p 地址来标识内部主机，另外，在o p e n b s d 系统下实现的主机防火墙的执行机制并不适合w i n d o w s 等系统。2 0 0 1 年，c h a r l e s p a y n e 和t o mm a r k h a m 提出了一个分布嵌入式防火墙的结构及其应用咖3 ，这是通过由 嵌入式防火墙加固的网卡间的安全通信实现的。随着分布式防火墙技术的不断发展， 目前仍存在一些问题，比如没有统一的策略描述和管理语言，大规模网络下的策略管 理等问题，仍需要进一步的解决方案。随着网络安全技术研究的推进及防火墙技术不 断向前发展，新的理论在不断提出和完善，也逐步应用到实际中，同时，用户也对未 来防火墙技术提出更高的期望和想法。 从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不 够快，使整个网络对信息的处理变慢。应用a s i c ( 专用集成电路) ，f p g a ( 可编程 逻辑器件) 和网络处理器是实现高速防火墙的主要方法，其中以采用网络处理器最优 o u 。实现高速防火墙，关键是算法，因为网络处理器中集成了很多硬件协处理单元， 容易实现快速处理。 目前，受现有技术的限制，还没有有效的对应用层进行高速检测的方法，因此， 防火墙不适宜于过多集成内容过滤、防病毒和i d s 功能。对于i d s ，目前最常用的方 式还是把网络上的流量镜像到i d s 设备中处理，这样可以避免流量较大时造成网络堵 塞。此外，应用层漏洞很多，攻击特征库需要频繁升级，对于处在网络出口关键位置 的防火墙，如此频繁地升级也是不现实的。 多功能整合也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较 高，组网环境也越来越复杂，用户一般希望防火墙可以支持更多的功能，满足组网和 节省投资的需要。新型的网络安全产品应该能够提供有效的访问控制，并对网络的整 体状况实施全面而细致的监控，还可以为管理人员提供活动分析的基础。此外，在系 统的安装与升级方面，新型产品应该进一步贴近用户，帮助他们方便顺利地完成安装、 配置过程，具有更友善的使用界面。 在分布式防火墙策略管理方面，国内外安全专家进行了大量的研究，英国的n d u l a y 、e l u p u 、m s l o m a n 提出了一种代理技术的分布式防火墙策略评估模型嘲， 认为策略由角色和相互关系共同组成，每一种策略类型均被评估模型编译成一个分 类，并代表运行时的一个具体策略目标。t h e od i m i t r a k o s 、i v a nd j o r d j e v i c 、b r i a n m a t t h e w s 、j u a nb i c a r r e g u i 、c h r i sp h i l l i p s 提出了基于策略驱动存取控制的分布 式防火墙体系结构嘲，在分布式防火墙的每一个分支节点上的防火墙管理员都有自已 执行策略的方式，有效地完成分布式网络共同的安全目标。山东大学的陈军等提出了 7 l 绪论 硕士学位论文 一种基于s o a p ( s i m p l eo b j e c ta c c e s sp r o t o c 0 1 ) 的分布式防火墙策略发布方法晗n ，在集 中式管理中分布式防火墙的体系结构，使用x m l 描述策略，通过s o a p 将策略发布到防 火墙上，用s o a p 数字签名和加密保证信息传输的安全性，具有平台无关性、语言无关 性、易扩展性、能穿越防火墙等优点。中国科技大学的李宏伟等人提出了一种新型的 基于入侵检测的分布式、自适应防火墙系统，这种分布式防火墙系统采用主防火墙和 主机防火墙构成的分布式结构，并由中央决策与控制器处理来自入侵检测功能模块的 反馈信息，实现自适应的安全策略，因此可以有效克服传统防火墙的缺陷，防范内部 攻击，提供一致的安全策略，同时避免了单点失败以及成为系统瓶颈。 总之，未来防火墙的发展一方面朝高速、多功能化、更安全、易管理的方向发 展，另一方面，克服本身的缺陷，提高运行效率，向多元化发展，网络安全产品在功 能与特性方面不断地充实自己，从而诠释更新的网络安全概念。 1 2 2 防火墙产品 作为企业用户首选的网络安全产品，防火墙一直是用户和厂商关注的焦点。信 息化建设对网络安全的需求成就了一个新兴的市场。防火墙市场几乎己占据整个网络 安全市场份额的一半，而预计未来其整体趋势仍将快速增长。防火墙渐渐地成为整体 解决方案中不可缺少的一部分。防火墙在进入信息系统新建领域的同时，也积极有力 地补充着已有的网络环境。 网络防火培市场是一个充满机会和竞争的市场。在国际防火墙市场上， c h e c k p o i n ts o f t w a r e 公司和c i s c o 公司占有的市场份额最多，都在2 0 左右。目前， 我国的防火墙高端产品市场仍由国外的防火墙厂商占领，中低端市场则参差不齐，各 有份额。国外的c h e c k p o in tf i r e w a ll - 1 防火墙、c is c op i x 防火墙、n e t s c r e e n 防 火墙等在产品功能和质量方面的优势，使得国内许多大型客户纷纷采用。目前，国内 的防火墙产品也越来越多，出现了许多专业防火墙公司。 当前，国外知名的防火墙厂家主要有n e t s c r e e n ，c i s c o ，c h e c k p o i n t 及s o n i c s y s t e m 公司，国内应用较为广泛的是华为、港湾、联想等。 1 n e t s c r e e n 防火墙 ， n e t s c r e e n 公司的n e t s c r e e n 防火墙产品是一种新型的网络安全硬件产品，目前 其发展状况良好，可以说是硬件防火墙领域内的后起之秀。n e t s c r e e n 的产品完全基 于硬件a s i c 芯片，它安装使用简单。同时它还是一种集防火墙、虚拟专用网( v p n ) 、 流量控制三种功能于一体的网络产品。n e t s c r e e n 把多种安全功能集成在一个a s i c 芯片上，将防火墙、v p n 、网络流量控制和宽带接入这些功能全部集成在专有的一体 硬件中，该项技术能有效消除传统防火墙实现数据加密时的性能瓶颈，能实现最高级 别的i p s e c 协议。 硕士学位论文 分布式防火墙策略不规则的发现技术研究 2 c h e c kp o i n tf i r e w a l l - 1 防火墙 c h e c k p o i n tf i r e w a l l 一1 是一个老牌的软件防火墙产品，它是软件防火墙领域中 名声很好的一款产品，销售量居同类产品前列。目前该产品支持的平台有w i n d o w sn t ， w i n 9 x 2 0 0 0 ，s u ns o l a r i s ，i b ma i x ，h p l t x 等。新版本的f i r e w a l l 一1 主要增强的 功能是在安全区域支持e n t r u s t 技术的数位证明解决方案；以公用秘钥为基础，使用 x 5 0 9 的认证机制i k e of i r e w a l l 1 支持l d a p 目录管理，可帮助使用者定义广泛的 安全策略。 3 c i s c op i x 防火墙 c i s c op i x 是状态检测性的硬件防火墙，它采用了专用的操作系统，能减少黑客 利用操作系统漏洞攻击的可能性，就性能而言，c i s c op i x 是同类产品中最好的，对 l o o b a s e 可达线速级m 1 。另外，c i s c o 公司在c i s c os e c u r i t ym a n a g e rv 1 0 的产品 介绍中也提到了分布式防火墙的概念，指出“c i s c os e c u r i t ym a n a g e r 推出了基于 策略的管理基础，可以在未来扩展支持新增的c i s c o 安全解决方案 ，说明c i s c o 产 品也在朝分布式防火墙方向发展。 4 c y b e r w a l1 p l u s 系列防火墙 n e t w o r k - i 公司是分布式防火墙技术的领先厂商，它的c y b e r w a l l p l u s 系列防火 墙包括c y b e r w a l l p l u s 主机防火墙、c y b e r w a l l p l u s a p 保护内部网络防火墙、 e y b e r w a l l p l u s i p 包过滤防火墙三种产品，其中c y b e r w a l i p l u s 又包含 c y b e r w a l l p l u s w s 工作站防火墙和c y b e r w a l l p l u s sv 服务器防火墙两个类别。目 前c y b e r w a l i p l u s 系列防火墙运行的平台是n t 系统。 5 s o n ic w a l l 系列防火墙 s o n i c w a l l 系列防火墙是s o n i cs y s t e m 公司针对中小企业需求开发的产品，有 着很高的性能和极具竞争力的价格，适合中小企业用户采用，它是一款硬件防火墙。 其主要功能是阻止未授权用户访问防火墙内网络；阻止拒绝服务攻击，并可完成 i n t e r n e t 内容过滤；实现i p 地址管理，网络地址转换( n a t ) ；制定网络访问规则， 规定对某些网站访问的限制等。 6 天融信网络卫士 天融信公司的网络卫士是我国第一套自主版权的防火墙系统，是一种基于硬件 的防火墙，目前有f w - 2 0 0 0 和阿3 0 0 0 等产品。网络卫士防火墙由多个模块组成，包 括包过滤、应用代理、n a t ，v p n 、防攻击等功能模块，各模块可分离、裁剪和升级， 以满足不同用户的需求。管理器的硬件平台为能运行n e t s c a p e 浏览器的i n t e l 兼容 微机，软件平台采用w i n 9 x 操作系统。 7 联想网御2 0 0 0 千兆防火墙 联想网御2 0 0 0 防火墙可以提供包括系统管理、远程管理、集中管理、流量管理、 9 l 绪论 硕士学位论文 目志管理等在内的全方位管理解决方案，堪称管理型防火墙的典范。网御2 0 0 0 千兆 防火墙集成了主动式状态检测、d o s 攻击防范、i p s e cv p n 和内容过滤、带宽管理、 日志管理等功能，用户以较低成本便可拥有完善的安全措施。易于实施和管理，提供 多种管理方式，支持s s l 、h t t p s 和s n m p 协议，实现了真正的安全远程管理和集中管 理。同时提供丰富的日志查询功能，日志服务器可存储l o g 以上的数据，完全满足大 流量网络中防火墙日志管理的需要。网御2 0 0 0 千兆防火墙支持包括透明模式、路由 模式、混合模式等多种工作模式，全面支持v l a n ，支持众多网络通信协议和应用协 议，适用于各种复杂网络结构和应用的接入。防拒绝服务网关，抵御s y n f l o o d ， u d p f l o o d ，i c m p f l o o d ，t e a rd r o p ，s m u r f , l a n da t t a c k ，p i n go fd e a t h 等多种 d o s d d o s 攻击。网御2 0 0 0 千兆防火墙支持多台防火墙之间的热机备份和负载均衡， 维护所有会话同步，对网络中大量的突发流量有更高的处理能力，确保多个防火墙设 备正常运行并同步进行数据传输。 8 s m a r t h a 舳e r 防火墙 作为一个网络设备供应商，港湾网络充分融合其在网络安全领域的技术积累和 在高性能交换路由领域的领先技术，研发了全系列的基于网络处理器( n p ) 架构的 s m a r t h a m m e r 系列高性能防火墙产品阱1 。此系列产品，基于最新的安全理念设计，采 用了基于网络处理器( n p ) 的安全处理核心，支持a c l 预编译、d d r 业务队列调度、 基于状态的资源控制、基于状态的深层报文分析等港湾网络公司专有安全技术，实现 网络的高性能、深层次的安全过滤能力。更有特色的是其配置于核心交换机的防火墙 模块一e s p 一聊，是港湾网络对网络安全深入理解的技术结晶，其融合交换机与防火墙 各自的安全过滤能力为一体，能够让用户对内网划分多个安全域，有效抑制攻击区的 蔓延以及受损区域的扩大，工作原理就如同轮船中的隔水舱，实现对占网络攻击总量 7 8 以上的内部网络攻击的防御，从根本上提高了整个网络的抗攻击能力。 从对防火墙产品的分析可以看出，各厂商都有向分布式防火墙发展的趋势，而 且有些也具有了分布式系统的特征，比如，c y b e r w a l l p l u s 系列防火墙中已经分为网 络防火墙、主机防火墙和中心管理等产品，而且也把执行防火墙策略的位置分布在网 络端点上，而c i s c o 的产品中也提出了基于策略的管理方式等，可见分布式防火墙是 网络安全发展的方向，而定义高效统一的策略语言、设计更完善的系统结构、采用更 完善的加密认证措施也是新一代分布式防火墙产品努力的方向。 随着网络规模的发展，信息安全成为了越来越严重的问题“埘n 羽。在众多的安全 保障技术中，防火墙以其充分利用网络拓扑、有效地执行访问控制策略的优势，成为 一种普遍采用的信息保护手段。但是，传统的边界防火墙依赖于网络的物理拓扑结构， 实旌安全灵活的网络应用带来了困难；且它基于内部网络是可信任的、不存在不安全 威胁的思想，而这种说法已经被证明是错误的，使其性能受到很大的影响n 2 胡咖1 ；同 1 0 硕士学位论文 分布式防火墙策略不规则的发现技术研究 时，防火墙单一控制点的特性，也成为阻碍网络性能的瓶颈。这些局限性导致了分布 式防火墙模型的提出。分布式防火墙的特点是策略集中管理、分散执行，即安全策略 在控制中心制定，再分发到各个节点防火墙解析执行。然而，分布式防火墙同样也面 临着一些技术问题n 6 1 ：一方面，缺乏可扩展性，策略管理繁琐，负担沉重。系统中策 略管理中心定义一条新的全局安全策略后，需要将这条策略为每台防火墙配置一次， 相同的部分就造成了大量的重复配置；系统中增加一台新防火墙时，就需要手动为该 防火墙配置和同一部门防火墙几乎完全相同的策略，可扩展性差使策略管理负担加 重。另一方面是策略冲突的问题。策略管理中心直接为防火墙定义和配置策略，分别 为具有上下级关系的两台防火墙配置策略时，由于没有对策略进行统一管理，可能使 得为下级防火墙配置的策略违反了为上级防火墙配置的策略，从而产生策略的冲突， 导致有些策略无效，有些策略冗余，产生安全漏洞。本文针对这些问题进行了初步的 研究与探索，并设计了若干x m l 的算法，保证了策略管理的顺利实施。 本文第一部分介绍了课题的研究意义，概述了网络安全的一般理论、防火墙技 术、分布式防火墙体系结构的研究现状，最后描述了本文作者所做的主要工作； 第二部分论述了分布式防火墙策略模型和策略表示方法，并定义了分布式防火 墙策略之间的相互关系，将这种关系分为完全无关、精确匹配、兼容匹配、关联四种 类型； 第三部分是课题的核心部分，即分布式防火墙策略不规则( 即规则的异常现象) 的发现技术，将策略的不规则现象分为阴影不规则、虚假不规则、冗余不规则和关联 不规则四种类型，然后按照分布式防火墙之间的策略不规则的四种情况情况，分别设 计了基于x m l 的发现算法； 第四部分简要介绍了策略的维护方法，即一旦由本方法发现了策略的不规则现 象，而采用的相应维护措施，如策略的编辑、删除、插入，最后对算法的实际效果和 算法性能进行了分析； 第五部分总结了本文解决的问题，提出了需要进一步解决的问题和对未来的前 景展望。 2 分布式防火墙概述 硕士学位论文 2 分布式防火墙概述 2 1 防火墙 i n t e r n e t 的飞速发展使得网络安全面临前所未有的严峻局面，防火墙作为一种 行之有效且应用广泛的网络安全产品，是公认的网络存取控制的最佳安全解决方案， 成为当前计算机网络的重要组成部分。 2 1 1 防火墙概述 防火墙是用来保护网络安全的一种措施，广义地说说，指拒绝未授权的外部用 户访问内部特定主机或服务的任何设备和方法；较严格的说，防火墙指强加于两个网 络之间边界处，保护内部网络免遭来自外部网络的威胁的系统或系统组合，这种系统 或系统组合实际上是网络通信监控系统蹭1 。通常把被保护的网络称为内部网络，不被 信任的一方则被称为外部网络。 般认为防火墙具有三个基本特性： 1 内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙 所处网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信 的唯一通道，才可以全面有效地保护企业的内部网络不受侵害。 2 只有符合安全策略的数据流才能通过防火墙，这是防火墙的工作原理特性。 防火墙之所以能保护企业内部网络，就是依据这样的防护机制进行的。它可以由管理 员自由设置企业内部网络的安全策略，使允许的通信不受影响，而不允许的通信全部 拒绝于内部网络之外。 3 防火墙自身应具有较强的抗攻击免疫力。这是