（计算机应用技术专业论文）分布式防火墙策略的分析与设计.pdf

硕士论文分布式防火墙策略的分析与设计 摘要 随着网络的发展，传统防火墙单一控制点逐渐成为网络性能的瓶颈及安全隐患， 为了克服传统防火墙的局限性，分布式防火墙的概念应运而生。在分布式防火墙中， 安全策略统一制定，由各主机负责实施，很好地解决了边界防火墙安全策略越来越膨 胀的弊端及内部网的安全性问题。 本文在分析了典型的分布式防火墙的基础上，设计了一种新型的分布式防火墙， 将分布式防火墙中策略控制中心的功能弱化，把它的部分功能整合在节点防火墙中。 本文给出了两种新型分布式防火墙模型。模型1 保留了中心服务器来记录各防火墙节 点的地址信息，设计完成了各节点防火墙之间通信协作的传输协议。模型2 中的防火 墙则建立在完全分布式结构之上，按层次结构将节点防火墙划分两类，超级防火墙和 普通防火墙，借鉴了g n u t e l l a 协议，在它的基础上改进，设计了防火墙之间的地址发 现协议，为策略信息制定了分发方案。 本文在模型l 的基础上，对分布式防火墙中的各个功能模块进行分析和设计，着 重描述了策略异常发现模块和加密认证模块，给出了策略异常的发现方法，设计了安 全传输通道，为分布式防火墙安全策略的传输提供保证。 关键字：分布式防火墙，认证加密，策略异常，策略分发，安全通道 硕士论文分布式防火墙簧略的分析与设计 a b s t r a c t w i t ht h ed e v e l o p m e n to fh t e r n e t , t h i ss i n g l ee n t r yp o i mi sm o r ea n dm o r et h o u g h ta s ap e r f o r m a n c eb o t t l e - n e c ka n das e c u r i t yh i d d e nt r o u b l e ，a n dt h es 鼬et i m e ，t h ei n n e r n e t w o r ki sr e l i a b l e ，i sp r o v e dt ob ec o n n e c t l e s si nf a c t c o n c e p to fd i s t r i b u t e df i r e w a l li s i n t r o d u c e dt oe l i m i n a t et h e s e s h o r t c o m i n g s t h e d i s t r i b u t e df i r e w a l lt a k e so nt h e a r c h i t e c t u r et h a tt h ec o n t r o lc e n t e rm a k e ss e c u r i t yp o l i c ya n dm a n yn o d ef i r e w a l l se x e c u t e t h ep o l i c y , a n de f f e c t i v e l ys o l v e st h ea b u s er a i s e dw i t ht h em o r ea n dm o r ep o l i c ya n dt h e i n n e rn e t w o r k ss e c u r i t y t h i sp a p e rd e s i g nan e wt y p ed i s t r i b u t e df i r e w a l l ，b a s e do na n a l y z i n gt h et y p i c a l d i s t r i b u t e df i r e w a l l i tw e a k e n st h ef u n c t i o no fc e n t r a lc e n t e r , a n dp u t ss o m eo ft h e f u n c t i o no nt h en o d ef i r e w a l l t w om o d e l sh a v eb e e np r e s e n t e d , a n dt h i sp a p e rd e s i g n st h e t r a n s p o r tp o l i c yo nt h et w om o d e l ss e p a r a t e l y m o d e l1r e s e r v e sac e n t r a ls e r v e rt or e c o r d t h ea d d r e s si n f o r m a t i o no fa l lt h en o d ef i r e w a l l ，a n di m p l e m e n t sat r a n s p o r tp r o t o c 0 1 t h e f i r e w a l li nm o d e l2i sb u i l to nt h et o t a ld i s t r i b u t e ds t r u c t l l 他i ti m p r o v e st h eg n u t e l l a p r o t o c o lt of i n dt h ea d d r e s so ft h en o d ef i r e w a l l s ，a n dd e s i g na ni n f o r m a t i o nd i s t r i b u t i o n p o l i c y b a s e d0 1 1t h em o d e l1 ，w ei l l u m i n a t et h ea n a l y s i sa n dd e s i g no f e v e r yf u n c t i o no nt h e n e wt y p ed i s t r i b u t e df i r e w a ui nd e t a i l w em a k eas p e c i a lr e s e a r c ho nd i s c o v e r yo f p o l i c y a n o m a l i e sm o d e la n dt h em o d e lo f e n c r y p t i o na n da u t h e n t i c a t i o n ，m a k i n gar e s e a r c ho n t h es e c 眦t r a n s p o r tp o h c ya m o n gt h en o d ef i r e w a l l sc o - o p e r a t i o na n dc o m m u n i c a t i o n e s t a b l i s has e c u r ec h a n n e lt op r o v i d et h ep o l i c yi x a n s p o r t a t i o n k e yw o r d s ：d i s t r i b u t e df i r e w a l l ，e n c r y p t i o na n da u t h e n t i c a t i o n , d i s c o v e r y o f p o l i c ya n o m a l i e s ，p o l i c yd i s t r i b u t i n g ，s e c u r ec h a n n e l y1 0 0 0 7 0 5 声明 本学位论文是我在导师的指导下取得的研究成果，尽我所知，在 本学位论文中，除了加以标注和致谢的部分外，不包含其他人已经发 表或公布过的研究成果，也不包含我为获得任何教育机构的学位或学 历而使用过的材料。与我一同工作的同事对本学位论文做出的贡献均 已在论文中作了明确的说明。 研究生签名：垂越御驴占年易月 日 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅 或上网公布本学位论文的全部或部分内容，可以向有关部门或机构送 交并授权其保存、借阅或上网公布本学位论文的全部或部分内容。对 于保密论文，按保密的有关规定和程序处理。 研究生签名：圣整重整矽6 年占月 日 硕士论文分布式防火墙策略的分析与设计 1 绪论 1 1 课题的研究意义 跨入2 l 世纪，i n t e m e t 技术带领信息科技进入了新的时代，越来越多的计算机联 入了i n t e r n e t 。作为当今规模最大的互联网络，它为全世界众多用户提供了多样化的 网络与信息服务，它改变了人们的工作、生活的方式，使信息的获取、传输、处理和 利用更加高效快捷，人们对互联网的依赖也越来越强，网络已经成为人们生活中不可 缺少的一个部分。但是，i n t e m e t 是一个面向大众的开放系统，对于信息的保密和系 统的安全考虑得并不完备，加上计算机网络技术的飞速发展，互联网上的攻击与破坏 事件不胜枚举。网络中的主机可能会受到非法入侵者的攻击，网络中的敏感数据有可 能泄漏或被修改，从内部网向公共网传送的信息可能被他人窃听或篡改等等。系统安 全威胁归纳起来通常表现为以下特征： 网络窃听：网络的开放性使攻击者可通过直接或间接窃听获取所需信息； 重传：攻击者事先获得部分或全部信息，以后将此信息发送给接收者； 口令破解：攻击者可通过获取口令文件然后运用口令破解工具获得口令，也 可通过猜测或窃听等方式获取口令； 连接盗用：在合法的通信连接建立后，攻击者可通过阻塞或摧毁通信的一方 来接管已经认证建立起来的连接，从而假冒被接管方与对方通信； 伪造：攻击者将伪造的信息发送给接收者： 数据篡改：攻击者可通过截获并修改数据或重访数据等方式破坏数据的完整 性： 拒绝服务攻击：攻击者可直接发动攻击也可通过控制其他主机发起攻击，使 目标瘫痪，如发送大量的数据洪流阻塞目标； 行为否认：通讯实体否认已经发生的行为； 非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访 问。它主要有一下几种形式：假冒、身份攻击、非法用户进入网络进行违法操作等： 恶意扫描：攻击者可编制或使用现有扫描工具发现目标的漏洞进而发起攻击； 面对日益严重的网络安全问题，防火墙作为一种行之有效的安全技术被用户经常 采用。防火墙的基本功能是通过对网络外部和内部用户的区分和访问授权机制来防止 非法访问，从而实现保护网络安全的目的。然而，随着网络技术的发展和网络规模的 扩大，传统防火墙的局限性逐步暴露出来，并且开始难以满足现代网络安全的需要。 传统防火墙严格依赖于网络拓扑结构，且基于这样一个假设基础：那就是防火墙把在 受控实体点内部，即防火墙保护的内部连接认为是可靠和安全的；而把在受控实体点 的另外一边，即来自防火墙外部的每一个访问都看作是带有攻击性的，或者说至少是 1 硕士论文分布式防火墙簧略的分析与设计 有潜在攻击危险的，因而产生了其自身无法克服的缺陷。 针对传统防火墙的局限性，美国a t & t 实验室研究员s t e v e n l v lb e l l o v i n 首次提出 了分布式防火墙( d i s t r i b u t e df i r e w a l l ) 的概念，给出了分布式防火墙的原型框架，奠 定了分布式防火墙研究的基础。传统防火墙局限性的根源在于它的拓扑结构，分布式 防火墙打破了这种拓扑限制，将内部网的概念变成逻辑意义。分布式防火墙的基本思 想是：界定合法连接的安全策略集中定义，而安全策略的执行则由相关节点独自实施， 在一个典型的使用分布式防火墙的系统中，每个节点都有一个证书，通常是一个与该 节点所持有的公钥相对应的数字证书，系统安全管理员与本地系统管理员可以不是同 一个人，因为安全管理员可以凭他的数字证书来证明他的身份，不再受网络拓扑的限 制，安全策略还是与传统防火墙一样集中定义，然后分发到各相关节点，由各节点独 立实施，各节点在处理输入输出包时，必须咨询安全策略文件，以保证与整个系统的 安全策略一致，由于安全策略的执行发生在终端节点，传统防火墙的许多缺点都被克 服了 1 2 本文的主要内容 本文在分析了典型的分布式防火墙的基础上，设计了一种新型的分布式防火墙， 即将分布式防火墙中策略控制中心的功能弱化，把它的部分功能整合在主机防火墙 中。并给出两种模型，模型1 保留了目录中心来记录各防火墙节点的地址信息，设计 完成了各节点防火墙之间通信协作的传输协议。模型2 中的防火墙则完全建立在分布 式结构之上，借鉴了g n u t e l l a 协议，在它的基础上改进，设计了防火墙之间的地址发 现协议，按层次结构将节点防火墙划分两类，超级防火墙和普通防火墙，为策略信息 制定了分发方案。 在新型分布式防火墙模型l 的基础上，详细说明了各模块功能的分析和设计，着 重描述了策略异常发现模块和加密认证模块。对策略异常进行了详细的定义和分类， 给出了异常发现的具体算法。由于分布式防火墙系统的松耦合性，它对策略信息的分 发策略及其安全性的保证有着很高的要求。本文对这两个方面分别进行考虑，设计了 信息传输协议，建立了安全传输通道。 1 3 论文的组织结构 第一章介绍网络安全现状，阐述课题研究的意义。 第二章介绍了防火墙的主要技术，分析传统防火墙的缺陷，介绍了分布式防火 墙技术，最后对目前国内外学者对分布式防火墙的相关研究做了总结归纳。 第三章对分布式防火墙中的关键技术进行了深入研究，包括加密认证技术和安 2 硕士论文 分布式防火墙簧略的分析与设计 全策略技术。 第四章首先分析了典型的分布式防火墙模型结构，在此基础上设计了两种新型 分布式防火墙模型。新型的分布式防火墙模型将策略控制中心的功能弱化，将其整合 在节点防火墙中。模型l 保留了目录中心来记录各防火墙节点的地址信息，模型2 中的防火墙则完全建立在分布式结构之上。本章分别对这两种模型进行研究，设计了 两种模型下的传输策略。并且详细分析了新型分布式防火墙模型l 中各个模块的功 能，对加密认证模块、策略异常检测等模块进行了分析设计，完成各代理防火墙在日 志和策略传输过程中的安全协作。 第五章总结全文并对今后的工作提出建议。 硕士论文分布式防火墙簧略的分析与设计 2 分布式防火墙概述 2 1 防火墙技术的发展 随着计算机技术和通信技术的迅速发展，网络正逐渐改变人们的工作方式和生活 方式，成为当今社会发展的一个主题。随着i n t c r n e t 的迅速发展和应用，其安全的重 要性也日益显现出来在网络安全问题日渐突出的今天，防火墙作为一种行之有效的 安全技术被用户经常采用。随着防火墙市场的发展，出现了许多防火墙技术，它们对 经过网络控制节点的网络流量进行筛选过滤。这些方法在实现方式上相差很大：有的 方法是在o s i 模型的网络层和传输层上检测数据包，有的方法是在应用层上检测数据 有效负载的内容。 2 1 1 传统型防火墙的主要技术 网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手 段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网 络互连设备。根据防火墙所采用的技术不同，可以将它分为三种基本类型【1 4 1 ：包过滤 型、网络地址转换n a t 、代理型。 ( 1 ) 包过滤型 包过滤防火墙设置在网络层，可以在路由器上实现包过滤。首先应建立一定数量 的信息过滤表，信息过滤表是以其收到的数据包头信息为基础而建成的。信息包头含 有数据包源p 地址目的p 地址、传输协议类型、协议源端口号、协议目的端口号、 连接请求方向、i c m p 报文类型等。当一个数据包满足过滤表中的规则时，则允许数 据包通过，否则禁止通过。这种防火墙可以用于禁止外部不合法用户对内部的访问， 也可以用来禁止访问某些服务类型。但这种包过滤技术不能识别有危险的信息包，无 法实施对应用级协议的处理，也无法处理u d p 、r p c 或动态协议。 ( 2 ) 网络地址转化n a t 网络地址转换是一种用于把p 地址转换成临时的、外部的、注册的m 地址标准。 它允许具有私有m 地址的内部网络访问因特网。它还意味着用户不需要为其网络中 每一台机器取得注册的m 地址。在内部网络通过安全网卡访问外部网络时，将产生 一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个 伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网 络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情 况，而只是通过一个开放的p 地址和端口来请求访问。 4 硕士论文分布式防火墙第略的分析与设计 ( 3 ) 代理型 代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已 经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数 据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代 理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据 请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理 服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道， 外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较 高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其 缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的 所有应用类型逐一进行设置，大大增加了系统管理的复杂性。 2 1 2 传统型防火墙的主要缺陷 由于传统防火墙严格依赖于网络拓扑结构且基于这样一个假设基础：那就是防火 墙在受控实体点内部，即防火墙保护的内部连接认为是可靠和安全的；而把在受控实 体点的另外一边，即来自防火墙外部的每一个访问都看作是带有攻击性的，或者说至 少是有潜在攻击危险的，因而产生了其自身无法克服的缺陷。随着网络规模的日益扩 大和对网络服务需求的日渐提高，传统防火墙逐渐暴露出以下的问题： ( 1 ) 结构性限制 传统防火墙主要依赖严格的网络拓扑结构和受控实体点进行工作。但是随着网络 的迅猛发展，越来越多的企业利用互联网架构自己的跨地区网络，包括家庭移动办公 和服务器托管等越来越普遍，所谓的内部企业网已经是一个逻辑概念；另一方面，电 子商务的应用，要求商务伙伴之间在一定权限下进入到彼此的内部网络，所以说企业 网的边界已经是一个逻辑的边界，物理的边界日趋模糊，传统防火墙的应用受到了愈 来愈多的结构性限制。 ( 2 ) 内部安全 传统防火墙设置安全策略的一个基本假设是外部网络的主机是不可信的，而内部 网络的所有主机都是可信任的。但在实际环境中，据统计，8 0 的攻击和越权访问来 自于内部，也就是说，传统防火墙在对付网络安全的主要威胁内部威胁时束手无策。 ( 3 ) 网络访问瓶颈 传统防火墙把检查机制集中在网络边界处的单点上，从性能的角度来说，防火墙 极易成为网络流量的瓶颈。从网络可达性的角度来说，由于带宽的限制，防火墙并不 能保证所有的请求都能及时响应，所以在可达性方面防火墙也是整个网络中的一个脆 弱点。传统防火墙难以平衡网络效率与安全性设定之间的矛盾，无法为网络中的每台 5 颈士论文 分布式防火墙镱略的分析与设计 服务器定制规则，它只能使用一个折衷的规则来近似满足所有被保护的服务器的需 要，因此或者损失效率，或者损失安全性 ( 4 ) 单点失效问题 防火墙集万千重任于一身，一点传统防火墙的边界被攻破，整个网络就暴露在攻 击者的面前。而且对于传统防火墙来说，所有的内部主机是平等的，一旦其中的一台 被侵入，攻击者能够很容易地以此为基点发起对其他内部主机地攻击。 ( 5 ) 端到端的加密对防火墙造成威胁 传统的网络协议没有使用加密，因而防火墙能对数据流实施过滤。当加密技术和 新一代网络协议被使用的时候，防火墙因为没有密钥而不能理解流过的数据包的内 容，从而不能实施检查。 2 2 分布式防火墙技术 2 2 1 分布式防火墙的提出 为了解决传统防火墙所面临的问题，s t e v e n m b e l l o v i n 于1 9 9 9 年在他的论文“分 布式防火墙”( d i s t r i b u t e d f i r e w a l l s ，d f w ) 一文中，首次提出了分布式防火墙的概念一 一“d f w 是这样一个方案：策略集中定制，在各台主机上执行”，并在论文中给出了 分布式防火墙的基本框架。随后又在2 0 0 0 年和s o u i sl o a n n i d i s ，a n g i l o sd k e r o m y t i s ， 等人就如何实现分布式防火墙进行了研究，并给出了基o p e n b s d 操作系统实现的分 布式防火墙的原型系统。 2 2 2 分布式防火墙的结构 因为分布式防火墙系统要负责网络边界、各子网和网络内部各节点之间的安全防 护，所以它是一套完整的系统，而不是单一的物理产品。根据其所需完成的功能，分 布式防火墙体系包括一下几个部分： 网络防火墙：这一部分可以是纯软件方式实现，也可以提供相应的硬件支持。 它是用于内部网与外部网之间，以及内部网各子网之间的防护。与传统边界防火墙相 比，它多了一种用于对内部子网之间的安全防护层，这样整个网络间的安全防护体系 就显得更加全面，更加可靠。 主机防火墙：用于对网络中的服务器和桌面机进行防护。这是传统边界防火 墙所没有的，是对传统边界式防火墙在安全体系方面的一个完善。它的作用是在同一 内部子网之间的工作站与服务器之间确保内部网络服务器的安全。这样防火墙的作用 不仅是用于内部与外部网之间的防护，还可应用于内部各子网之间、同一内部子网工 6 硕士论文分布式防火墙镱略的分析与设计 作站与服务器之间的防护。可以说达到了应用层的安全防护，比起网络层更加彻底。 中心管理：这是一个防火墙服务器管理软件，负责总体安全策略的策划、管 理、分发及日志的汇总。这是分布式防火墙的管理功能，也是以前传统边界防火墙所 不具有的。这是因为分布式防火墙不再是单一的一个物理产品，而是一套完整的防护 系统，各节点所使用的防火墙产品需要一个同意的管理界面来进行统一管理，这就是 这套中心管理系统。这样防火墙就可进行智能管理，提高了防火墙的安全防护灵活性， 具备可管理性。 2 2 3 分布式防火墙的工作原理 分布式防火墙由策略中心定义策略，由各个分布在网络中的端点实施策略。它依 赖于策略语言、系统管理工具、p 安全协议三个主要的概念。 ( 1 ) 策略语言：策略语言有很多种( 比如k e y n o t e ) ，要选用的语言必须能够方便 地表达所需要的策略，具体采用哪种语言并不重要，真正重要的是如何标志内部主机， 很显然不应再采用传统边界防火墙所用的对物理上的端口进行标志的方法。以m 地 址来标志内部主机是一种可供选择的方法，但它的安全性不高，所以本文更倾向于使用 i p 安全协议中的密码凭证来标志各台主机，它为主机提供了可靠的、唯一的标志，并且 与网络的拓扑结构无关。 ( 2 ) 系统管理工具：系统管理工具用于将形成的策略文件分发给被防火墙保护 的所有主机，这里所指的防火墙并不是传统意义上的边界防火墙，而是逻辑上的分布式 防火墙。 ( 3 ) 摩安全协议：p 安全协议是一种对t c p i p 协议族的网络层进行加密的保护 机制，包括a h 、e s p 和i k e 等协议，分别对i p 包头和整个口包进行认证，并且实现密 钥交换等功能，可以有效防止各类主动攻击，特别是来自因特网上的攻击 分布式防火墙工作流程如下： 首先，由制定防火墙接入控制策略的中心通过编译器将策略语言的描述转换成内 部格式。形成策略文件。然后，中心将采用系统管理工具把策略文件分发给各台内部主 机，内部主机得到策略后，根据策略来判定是否接受收到的包，一方面根据口安全协 议，另一方面根据策略文件。如图2 2 3 1 所示 7 硕士论文分布式防火墙策略的分析与设计 图2 2 3 1分布式防火墙的结构示意图【蛔 2 3 分布式防火墙的相关研究 2 3 1 防火墙策略的相关研究 防火墙是网络安全的关键技术，而防火墙策略的制定、分发、实施，则是防火墙 有效性的核心问题。策略是管理系统选择行为的规则，它为越来越多的网络服务和安 全系统作为一种灵活执行和自适应的机制所使用。在一些大型多组织系统中，访问控 制一般都由很多不同的模块来完成，这时候一种通用的安全策略描述显得格外重要。 s l o m a n , m o r r i s l 8 1 探讨了安全和管理策略的多种实现方法，并实现了策略直接解释执行 的应用系统针对典型的交换网络和其安全策略的需求，w u , j i a n p i n g ；，l i 。x i n g 6 1 提出了一种基于策略的访问控制框架( 队c f ) 。这种框架基于三层抽象的访问策略： 组织访问控制策略( o c a p ) ，全局访问控制策略( g a c p ) ，和局部访问控制策略 ( l a c p ) 。g a c p 主要是来自于d s 的结果和根据o a c p 的搜索引擎，和l a c p 一 样自动或者手动发送给防火墙。每个l a c p 都有单个主机来执行。详细描述了一些 g a c p 分发算法和l a c p 执行算法。p a c f 有效地减少了安全管理员管理大型交换网 络的复杂性。v e r m a , d i n e s h c t l 】提出了一个基于策略的体系结构，来为分布式网络的 管理和控制服务。分布式网络形成物理网络层上的缓存代理的迭代。该体系结构扩展 了策略框架，提供更好的网络服务质量的控制，保证分布式网络的安全。这个基于策 略的框架最显著的优势在于允许一个独立于机器的机制，从单点控制来管理多种策 硕士论文分布式防火墙策略的分析与设计 略文中描述了这一体系结构，并且说明了它是怎样动态更新分布式策略的。另外， 还分析了这种动态分布式目录服务的费用。吉林大学的唐怡1 2 3 1 针对传统过滤匹配算法 的缺陷，提出了结合基于角色访问控制策略的思想，对截获到的网络数据包进行过滤 处理，从逻辑上将网络用户划归为不同网段，系统管理员可以针对不同网络用户分别 制定不同的过滤规则，从而简化了过滤规则的管理，降低了数据包过滤匹配的时间， 提高了系统效率和安全性。c h e r t , y a o m i n ；y a n g , y a n y a n l 4 1 提出了一种在大型企业网中 管理相关策略的框架a r m 。a r m 集成了入侵分析和安全信息交换技术，描述了从入 侵类型到信息决策的映射。它定义了什么样的攻击对应什么样的策略。它整合了一个 基于策略的管理框架，使用策略决策模块和策略执行模块，来配置、执行、更新和检 测网络中的入侵预防模块。 但是，随着防火墙规则越来越复杂，管理起来很容易犯错，尤其是在包含多各防 火墙的企业网中。防火墙过滤规则需要被仔细的定义，排序和分发，避免造成策略异 常，导致网络变得脆弱。因此，插入和修改防火墙的过滤规则，要求通过防火墙内外 的分析来决定合适的策略定义以及排列顺序。文献【3 】中，a 1 s h a e r e h a b s 分析识别出 所有在单个或者多个防火墙环境中所有可能出现的策略异常，并给出了这些异常的具 体表达式，最后设计了一种叫做“防火墙策略顾问”的软件工具来实现异常的处理， 简化了过滤规则的管理，保证了防火墙的安全性。h u n t r a y 口】从考察防火墙策略开始， 详细说明了网络服务访问策略( n s a p ) 和防火墙设计策略( f d p ) ，然后讨论了各种 防火墙体系结构，包括从简单的包过滤，到予网掩码和代理网关。最后提出了各模块 之间的安全传输方案，包括加密隧道技术，i p v 6 ，点对点的隧道协议，s s l ，安全电 子交换等。 在分布式防火墙中，面临的重要问题是策略管理与信任管理。针对分布式系统中 管理的特点，秦晰，周保群【3 9 l 详细介绍了一种基于策略的管理模式，给出了利用这种 管理模式对信息流进行过滤的工作实例，并将这种模式应用在分布式防火墙中，防止 了网络内部的安全威胁，使管理更加方便高效。该模式由三部分组成：策略描述语言、 策略发布和策略实施。策略描述语言可以表达授权、身份认证、访问控制、信息流过 滤等多种管理策略，由k e y n o t e 语言实现。策略发布要保证策略的机密性和完整性。 因此，机密性采用i p s e c 密钥管理协议或其他的安全协议( 如s s l 协议) 。完整性可通过 安全通信协议或安全的策略对象描述来实现，确保策略的真实可靠。安全发布策略的 工作由管理者( 管理中心) 完成。管理者的任务是根据具体需求，向各个管理域内的 被管理者发布策略，其中包括增加、删除或修改策略等内容。策略实施就是根据管理 者制定的管理策略，对整个分布式系统中被管理者的行为进行实际的处理。因此，在 被管理者的一方，主要应包括存放管理策略的信息库、用户态的策略处理程序和内核 态的响应控制程序。管理者首先通过策略发布机制将管理策略发布到用户的策略信息 9 硕士论文分布式防火墙簧略的分析与设计 库。当分布式系统中有需要管理的用户行为发生时，用户态的策略处理程序会查询策 略信息库，做出处理决策。内核态的响应控制程序会根据决策，做出相应的响应控制， 完成对用户行为的处理。 大连理工的何容盛同学剐中采用控制中心签名的证书表示通信节点的身份，通过 数字签名与认证来建立节点之间的信任关系。控制中心负责整个分布式防火墙的策略 制定分发及公私钥匙对、证书的制定分发节点之间的关键通信信息都被认为是一个 策略，采用策略语言h g n o t e 来表示。每个策略都有策略发布者，接收者的证书，策 略制定的时间戳及有效期，同时还要附上发布者的数字签名，这些信息用于保证策略 的安全验证；每个策略还可包含策略管理命令及策略内容，这些信息用于保证有效的 策略管理与节点间通信。对于策略的分发和执行，文献 2 5 1 0 ：策略分发机制采用了一 种“推”、。拉”式的策略分发协议，节点防火墙按照协议与策略控制中心建立连接， 确认身份，采用加密通信“拉”回安全策略。而策略服务器更新策略以后，可直接“推” 到网络边界进行执行。策略执行机制由网络上的节点防火墙完成，节点防火墙可以与 控制中心及其他节点防火墙通信，并接收控制中心的安全策略，将安全策略解析成规 则后载入内核进行访问控制，节点防火墙采用了多规则炼的包过滤方法。 防火墙和入侵检测系统是当前广泛使用的网络安全保护设备，在预防网络攻击和 入侵方面起到了至关重要的作用，但它们自身存在不可避免的缺陷降低了实际使用时 提供的保护功能因此为了进一步提高网络安全性，设计一个能够集成多种安全技术 的优势同时又能弥补各自不足的新的网络安全保护技术，已经成为当前人们的追求。 c h e r t , y a o - m i n l 4 1 提出了基于策略的入侵防御系统( p b m s ) ，目的在于实现安全管理与 网络管理系统真正的结合，以网络管理系统为中介，将防火墙技术和入侵检测技术融 于一体，实现全新的网络安全保护措施。 2 3 2 分布式防火墙中安全机制的研究 分布式防火墙由中心定义策略，各分布在网络中的节点实施这些策略。这种由物 理上分布的网络节点协同工作来完成网络安全防护功能的分布式系统，其内部就可能 存在信息交互的保密性和各节点状态同步性的问题。华中科技大学计算机学院的彭倩 岚、李之棠【h 】提出了一个安全模型架构，并使用消息中间件技术在应用层改动较小的 前提下，实现了分布式防火墙中各个成员之间的安全通信和状态同步，同时还能对系 统自身进行故障检测。 在i p s e c 和防火墙系统协同工作来完成内都网络的安全工作中，i p s e c 主要用来 保证数据在网络中的传输安全，但因为i p s e c 封装了报文头部信息，是防火墙的一些 基本功能( 如报文过滤、网络地址转换) 无法正常运行，而且在网络边界处，i p s e c 涉及到大量的加解密运算，势必会影响防火墙的效率。针对上述问题南京大学的姚立 1 0 硕士论文分布式防火墙簧略的分析与设计 红和谢立1 1 2 】提出了一种分层p s e c ( li p s e c ) 处理思想：将一口报文分为协议头和 数据两部分，分别进行安全处理同时，提出了一种运用该分层思想实现i p s e c 与防 护墙协同工作的安全方案，共同为系统提供网络安全服务。 分布式防火墙虽然克服了传统防火墙的很多局限性，但是也有它的缺点。其中最 大的缺点是对拒绝服务攻击( d o s ) 不能有效防止。南京邮电学院的纪貅，胡静等同 学提出了分布式主动防火墙【l3 】的思想，运用策略分解的方法，将一条k e y n o t e 语言 描述的策略分为两部分再发放给相应主机。这种方法有效地防止了来自内部地拒绝服 务攻击，使服务器能正常提供服务 安全通信技术其实是分布式防火墙的重要组成部分，性能优越的安全通信技术可 以大大提高分布式防火墙的安全性和效率。s m i t h , r o b e r t n 等人【“l 提出了了一个通信 协议使防火墙免受内部攻击。采用的方法是将防火墙置入i n t e r n e t 中，这些防火墙协 同工作并将攻击转到离攻击源更近的防火墙。各节点防火墙被放置在路由器或交换机 上，并将通信协议封装在路由协议中，有效的将攻击源锁定在离它最近的防火墙，生 成访问控制策略，进行拦截。 2 3 3 基于协同工作的网络安全系统的研究 网络安全问题是一个动态的过程d f w 自身仍然是一个静态防御系统，主要是 完成访问控制功能，在入侵检测、动态实时获知安全状况方面的能力薄弱，也就难以 动态的调整其安全策略以有针对性的采取措施进行防御，使安全损失达到最小因此 单一的d f w 系统在网络防御上能力有限，必须结合其他的网络安全技术。 防火墙、入侵检测、防病毒、安全审计等安全技术已经得到了广泛的应用。在此 基础上，如何构建一个动态的、全方位的安全防护体系，成为网络安全中研究的热点。 分布式防火墙及安全联动技术研究与实现1 1 6 l 中把研究重点放在了分布式防火墙和 安全联动技术的研究上，研究以分布式防火墙为中心，构建开放式安全联动框架，将 防火墙嵌入到已有的网络平台，实施安全联动交换协议，为其他安全产品提供一个开 放的、通用的、可扩展的安全框架，实现全方位的网络安全系统。文中构建了开放式 安全联动框架，包括安全联动交换协议和安全联动信息交换格式，并且完成了分布式 防火墙的设计。 入侵检测系统( i n m a s i o nd e t e c t i o ns y s t e m ，l d s ) 是动态发现系统，是为保障网络 系统的安全而设计与配置的一种能够及时发现并报告网络中异常或未授权现象的系 统。分布式入侵检测( d i s t r i b u t e d i n t r u s i o n d e t e c t i o n s y s t e m ，d i d s ) 则是利用多个检 测主体，采用多种检测方法，依靠分布于网络中的多个入侵数据来源，通过协同工作 来实现检测。当前的网络入侵行为通常表现出相互协作入侵的特点，采用分布式入侵 检测，利用多个检测主体协作，可以更全面的、更准确的检测入侵。然而，d i d s 的 1 i 硕士论文分布式防火墙策略的分析与设计 防御能力有限，通常对检测到的入侵事件仅能提示、报警。d f w 与d i d s 两种技术 各有所长，可以把两者相结合形成一种新型的网络安全系统。杜晓曦等人i ls 】提出了一 种分布式环境下结合入侵检测技术的防火墙系统，并对该系统进行了结构性分析。 l a r ss t r a n d 在文献 1 7 q a 设计并实现了一个带有入侵检测机制的分布式防火墙。冯庆 煜【l 卿从网络安全整体性和动态性的需求考虑，采用分布式开放平台安全互联的方法， 实现防火墙与入侵检测系统的联动。提出联动系统对突发网络攻击进行主动防御的思 想，对相应关键技术进行了探讨，增强入侵检测系统的阻断功能。l lh o n g w e i 等人r 玎 提出了一个新的基于i d s 的分布式自适应防火墙系统。该分布式防火墙由边界防火 墙，主机防火墙，和中心控制模块组成。中心控制模块能够根据d s 的反馈信息生成 自适应安全策略。这种新型分布式自适应防火墙系统有效的克服了传统防火墙的的缺 点，如内部攻击，一致的安全策略，网络瓶颈和单点失效。 采用嵌入式技术的分布式防火墙【l 卯，嵌入式防火墙被嵌入到网卡中，在网络末 端实施安全策略，直接对服务器或桌面系统提供保护。安全策略的制定及分发则交由 分布式防火墙策略服务器。这种嵌入式防火墙技术同时结合了硬件解决方案的强健性 和集中管理式软件解决方案的灵活性，从而创建了一种更为完善的安全防护架构。 2 j 4 国内外分布式防火墙的研究产品 网络防火墙市场是一个充满机会和竞争的市场。在国际防火墙市场上， c h e c k p o i n ts o i t w a r e 公司和c i s c o 公司占有的市场份额最多。我国的防火墙高端产品 市场仍由国外的防火墙厂商占领，中低端市场则参差不齐，各有份额。国外的 c h e c k p o i n tf i r e w a l l 1 防火墙、c i s c op i x 防火墙、n e k q c r e e n 防火墙等在产品功能和 质量方面的优势，使得国内许多大型客户纷纷采用。目前，国内的防火墙产品也越来 越多，出现了许多专业防火墙公司。 分布式防火墙的理论虽然才提出不久，但由于它相对于传统防火墙的优点、面向 企业用户的特点以及客户对安全的更高的需求，国内外许多著名安全专家和学术组织 已经开始在分布式防火墙技术领域进行深入的研究和探讨。世界领先的网络安全产品 生产商和咨询服务提供商一一美国瑞安软件有限公司从1 9 9 9 年就开始推出了 c y b e r w a l i p l u s 系列产品，成为了分布式防火墙技术的领先厂商。在我国也已有公司 开发了自主的分布式防火墙产品。北京安软科技有限公司推出的e v e r l i n k d i s t r i b u t e d f i r e w a l l 通过提供同意的安全策略管理机制，为企业构建一个方便易用的网络安全平 台。它不仅适用于大中型组织结构，同样适用于与公用网直接相连地个人用户、处于 移动办公环境中的商业经理和小企业用户等。目前总的来说国外的一些著名网络设备 开发商在分布式防火墙技术方面更加先进，所提供的产品性能也比较高，采用“软件 + 硬件”形式。主机防火墙集成了分布式防火墙技术的硬件产品，而防火墙服务器则 1 2 硕士论文分布式防火墙镱略的分析与设计 采用软件形式，以适应更加灵活和高智能的要求，如3 c o m 、c l s c o 、美国网络安 全系统公司的嵌入式防火墙产品。3 c o m 最新发布的嵌入式防火墙是一种基于硬件的 分布式防火墙解决方案，它们被嵌入到网卡中，通过嵌入式防火墙策略服务器来实现 集中管理。这种嵌入式防火墙技术把硬件解决方案的强健性和集中管理式软件解决方 案的灵活性结合在一起，从而提供了分布式防火墙技术，并创建了一个更完善的安全 基础架构。不过也有许多是以纯软件形式提供的，如中洲的网警( n e t c o p ) 分布式防 火墙等。 总而言之分布式防火墙还属于暂露头角的新兴技术，但无疑是目前较为先进的防 火墙技术，它可以有效地完成传统防火墙的任务，同时也能够弥补传统防火墙的不足， 对来自计算机网络内部的攻击进行防御。但是由于目前技术及理论研究都还没有完全 成熟，而且传统防火墙已经经过数十年的发展，技术上相对成熟，目前在大多数的计 算机网络上使用，因此分布式防火墙取代传统防火墙还有待时日。但是随着i n t e r n e t 技术的发展，分布式防火墙具有更广阔的前景，无疑将会成为下一代的防火墙。 2 4 本章小结 这一章中首先介绍了防火墙的主要技术，然后分析了传统防火墙的缺陷，在此基 础上提出了分布式防火墙的概念，对分布式防火墙的结构工作原理进行了概述，最后 对目前国内外学者对分布式防火墙的相关研究做了总结归纳。 硕士论文分布式防火墙策略的分析与设计 3 分布式防火墙的核心技术 3 1 分布式防火墙系统模型 3 1 1 基于c s 架构的分布式防火墙 基于c s 架构的分布式防火墙即】由安全策略管理服务器( s e r w r ) 以及客户端防 火墙( c l i e n t ) 组成，客户端防火墙工作在各个从服务器、工作站、个人计算机上， 根据安全策略文件的内容，依靠包过滤、特洛伊木马过滤和脚本过滤的三层过滤检查， 保护计算机在正常使用网络时不会受到恶意的攻击，提高了网络安全性。而安全策略 管理服务器则负责安全策略，用户、日志、审计等的管理。该服务器足集中管理控制 中心，统一制定和分发安全策略，负责管理系统日志、多主机的统一管理，使终端用 户“零”负担。 在内部网络的主服务器安装上分布式防火墙产品的安全策略管理服务器后，设置 组和用户分剐分配给相应的从服务器和p c 机工作站，并配置相应安全策略；将客户 端防火墙安装在内网和外网中的所有p c 机工作站上，客户端与安全策略管理服务器 的连接采用s s l 协议建立通信的安全通道，避免下载安全策略和日志通信的不安全 性。同时客户端防火墙的机器采用多层过滤，入侵检测，日志记录等手段。给主机的 安全运行提供强有力的保证。 3 1 2 基于k e y n o t e 的分布式防火墙模型 图3 1 2 1 基于k e y n o t e 分布式防火墙模型1 3 9 1 1 9 9 6 年，m b l a z e 等人为解决i n t e m e t 网络服务的安全问题首次使用了“信任管 1 4 硕士论文分布式防火墙簧略的分析与搜计 理4 ，其基本思想是承认开放系统中的不完整性，系统的安全策略需要依靠可信任第 三方提供附加的安全信息。信任管理系统的意义在于提供一个开放、分布和动态特性 的安全决策框架。k e y n o t e 是m b l a z e 等人实现的第一个能应用的信任管理系统，它是 为了很好的在i u t e m e t 应用程序中工作而设计的一种简单、有弹性的信任管理系统，适 用于从大到小各种规模的应用程序。s o t i r i sl o a n n i d i s 等人提出了一种基于k e y n o t e