（计算机软件与理论专业论文）基于netgraph机制的内容过滤防火墙研究及应用.pdf

基于n e l 4 叶a p h 机制的内容过滤防火墙研究及应用 摘要 摘要 随着i n t e r n e t 的迅猛发展，网络安全问题越来越引起世人关注，目前网络 中存在非常多的安全隐患，为了增强网络的安全性，各大厂商以及大学等科研机 构都投入大量的人力和财力进行安全的研究，而在网络安全研究中，安全性，性 能以及匹配度是3 个非常重要的指标，如何才能在最快的速度下能够以最高的匹 配度来保证系统的安全性是目前研究的热点问题。 本论文主要针对网络安全中内容过滤防火墙的体系结构进行了深入的理论 研究，并且结合嗅探型防黄网关系统( s n i f f e rg a t e w a yd e s i g ns y s t e mf o r f i r e w a l 。s g d s ) 的具体设计要求，将基于n e t g r a p h 机制的内容过滤体系结构应 用于s g d s 的网络过滤流量分析系统中。 本论文首先对于网络安全技术中的重要研究课题之一：防火墙技术进行了深 入的历史背景和研究内容的系统回顾，并以新的研究发展方向内容过滤防火 墙的研究作为切入点。进一步分析了内容过滤防火墙的研究概况和发展，在此基 础上引申出本文的研究课题。本论文在以下几个方面进行了深入的研究，其主要 贡献可概括如下： 首先对f r e e b s d 操作系统下的n e t g r a p h 机制进行了深入的研究，将n e t g r a p h 的理论基础与防火墙的实现技术进行了融合，并将n e t g r a p h 的底层抓包处理机 制进行了详细的论述，从技术层面上与另外两种实现方式b p f ，s q u i d 进行了比 较。 基于以上的分析和理论证明，我们又对目前网络中存在的各种攻击方式进行 了分析和综合，在n e t g r a p h 的基础上，又分析了内容过滤的一些特点，建立了 基于n e t g r a p h 机制的内容过滤防火墙的体系架构。该体系架构避免了数据包的 阻断传递以及数据包的复制，并且坚持“底层处理”原则，以达到最佳的处理性 能。另外在设计过程中采用了内核进程和用户进程处理过程分离的原则。达到系 统处理模块化的效果。 我们将基于n e t g r a p h 机制的内容过滤防火墙体系架构成功的运用于s g d s 系 统中，并结合局域网在同一个网段内监控的特点，实现了系统相应的核心功能模 块，s g d s 系统是一个为了测试及记录网段内非法数据的嗅探型产品，我们首先 分析了s g d s 系统的理论设计基础和功能性设计要求，然后将基于n e t g r a p h 的内 基于n c t g r a p h 机制的内容过滤防火墙研究及应用 容过滤防火墙体系结构运用于该系统中，以监控同网段内的数据流量，记录并 分析h t t p 协议的u r l 地址的非法数据信息以及处理其他各种类型的攻击信息， 以达到实验室测试的目的。 总之，本论文针对防火墙的体系结构的研究和应用方面，作了认真而有益的 探索，不仅在n e t g r a p h 机制的应用角度提出了自己的新的研究思路和见解，而 且结合s g d s 产品，将其成功的扩展和应用到s g d s 产品中。这不仅在内容过滤防 火墙的实现方面提出了新的方法，而且在数据包的底层处理方面也有一定的参考 价值。 关键词：防火墙；体系结构；内容过滤；n e t g r a p h ；操作系统内核 基于n e t g r a p h 机制的内容过滤防火墙研究及应用a b s t r a c t a b s t r a c t a l o n gw i t h t h ed e v e l o p m e n to fe x p l o s i o nt y p eo fi n t e r n e t ，t h e q u e s t i o no f n e t w o r ks e c u r i t yc a u s e sc o m m o np e o p l et op a yc l o s ea t t e n t i o nt om o r ea n dm o r e t h e r ei sp o t e n t i a ls a f e t yh a z a r dm o r ei nt h en e t w o r ka tp r e s e n t i no r d e rt os t r e n g t h e n t h es e c u r 时o f t h e n e t w o r k , u n i v e r s i t ya n ds e i e n t i f i er e s e a r c hi n s t i t u t i o ni n v e s th e a v y m a n u f a c t u r e r sa n df m a n c i a lr e s o u e c c si ns a f er e s e a r c h a m o n gn e t w o r kc a s es t u d y , s e c u r i t y , p e r f o r m a n c ea n d m a t c ha f et h r e ev e r y i m p o r t a n ti n d e x e s g u a r a n t e e i n gt h e s y s t e m a t i cs e c u r i t yi st h ef o c u sq u e s t i o no f s t u d y i n g a tp r e s e n t m a i n l y i nt h es y s t e ms t r u c t u r e so f f i r e w a l lt h et h e s i sc a r r yo nt h ed e e pt h e o r e t i c a l r e s e a r c h w ec o m b i n ea n dt a k eas n i f f a tt h ec o n c r e t ed e s i g n i n g r e q u i r e m e n to f s g d s ( g a t e w a yd e s i g ns y s t e mf o r f i r e w a l lo fs n i f f e r ) s y s t e m t h es t r u c t u r eb a s e do n n e t g r a p h m e c h a n i s m a p p l y t os g d sf i l t e rf l o w a n a l y z es y s t e m t h i st h e s i si st oo n eo f t h ei m p o r t a n tr e s e a r c hs u b j e c ti nt h es a f ep r a c t i c eo f t h e n e t w o r k a tf i r s tw eh a v ec a r r i e do nt h ed e e ph i s t o r i c a lb a c k g r o u n da n ds y s t e m a t i c r e t r o s p e c t o ft h et e c h n o l o g yo ff i r e w a l l , s e c o n d l yw ec o n s i d e rt h ec o n t e n t b a s e d f i l t e r i n gs y s t e mo f f i r e w a l l a st h ec u t t i n gp o i n t ，a n dh a v ea n a l y z e df u r t h e rt h er e s e a r c h g e n e r a ls i t u a t i o no f c o n t e n tf i l t e r sa n dd e v e l o p m e n to ft h ef i r e w a l l , l a s t l yt h et h e s i s a m p l i f yo u t t h er e s e a r c hs u b j e c to f t h i st e x to nt h eb a s i so f t h i s t h i st h e s i sh a sc a r r i e d o n d e e p r e s e a r c hi n f o l l o w i n g s e v e r a lc a s e s t h em a i nc o n t r i b u t i o nc a nb e s u m m a r i z e da sf o l l o w s ： t h et h e s i sh a v ec a r r i e do n d e e pr e s e a r c h t on e t g r a p hm e c h a n i s mu n d e rf r e e b s d o p e r a t i n gs y s t e ma tf i r s t , t h e nh a sm e r g e dt h e t h e o r e t i c a lf o u n d a t i o no f n e t g r u p hw i t h t h ei m p l e m e n t a t i o nt e c h n i q u eo f t h ef i r e w a l l ，a n ds t r e s s e dt h ei m p l e m e n tm e c h a n i s m o f n e t g r a p ha n d c a r r i e do nt h ed e t a i l e da r g u m e n t a t i o n , a n dc o m p a r e dr e a l i z e dw a yo f b p fa n d s q u i d t h r o u 【g ht h eb a s i so f t h e a n a l y s i sa n dt h e o r yo ft h ea b o v e , w ea n a l y z e a n d s y n t h e s i z ea b o u tv 撕o u sk i n d so f a t t a c kw a y st h a te x i s ti nt h en e t w o r k a tp r e s e n t ，o n 基于n e t g r a p h 机制的内容过滤防火墙研究及应用 t h eb a s i so f n e t g r a p h , t h et h e s i sh a v ea n a l y z e ds o m ec h a r a c t e r i s t i c so f c o n t e n tf i l t e r s a g a i n ，a n dh a s s e tu pt h es y s t e mf r a m e w o r k o f f i i t e r i n gt h ef i r e w a l lo f c o n t e n tb a s e d o n n a t g r a p hm e c h a n i s m t h es y s t e mc a np r e v e n td a t af r o mc o p y i n gw a y , a n di n s i s to n t h ep r i n c i p l eo f t h el o wl a y e ri sd e a l tw i t hf i r s t l y ”t h es y s t e mr e a c h e st h eb e s t i m p l e m e n tp e r f o r m a n c e t h ed e s i g n a d o p t u s e r s p r o c e s sp r i n c i p l es e p a r a t e df o r m s y s t e m a t i cp r o c e s s w e a p p l yt h es t r u c t u r eo f f i r e w a l lb a s e do i ln e t g r a p hm e c h a n i s mt os g d s s y s t e m , a n dc o m b i n et h ec h a r a c t e r i s t i co fl a n sc o n t r o li nt h es a m en e t w o r ks e c t i o n k e y f u n c t i o nm o d u l eo ft h ei m p l e m e n t a t i o ns y s t e mi sc o r r e s p o n d i n g w eh a v ea n a l y z e d t h et h e o r y d e s i g nb a s i so fs g d ss y s t e ma n df u n c t i o n a ld e s i g n i n gr e q u i r e m e n ta tf i r s t ， t h a na p p l i e dt h es t r u g t u r et os g d s s y s t e m i n o r d e rt oc o n t r o lt h es a l f l en e t w o r kt h e d a t u mf l o w so fo n e s , w ew r i t ed o w na n da n a l y z et h ei l l e g a lu r ld a t u mi n f o r m a t i o n a n dt h r o wa w a yo t h e ra t t a c ki n f o r m a t i o no f d i f f e r e n tt y p o so f a d d r e s s e so f a g r e e m e n t ， a n da c h i e v e dt h eg o a lo f t e s t i n gi nt h el a b o r a t o r y i naw o r d , t h i st h e s i si sd i r e c t e d a g a i n s t t h er e s e a r c ho f t h es y s t e ms t r u c t u r eo f t h e f i r e w a l la n da p p l i c a t i o nr e s p e c t ，i th a sn o tm e r e l y p u t f o r w a r do n e so w nn e wr e s e a r c h t r a i no f t h o u g h ta n do p i n i o no nt h ea p p l i c a t i o na n g l eo fn e t g r a p hm e c h a n i s m ，b u t c o m b i n e ds g d sp r o d u c t s t h i sh a sn o tm e r e l yp u tf o r w a r dt h en o wm e t h o di n f i l t e r i n gr e a l i z a t l o no f t h ef i r e w a l li nc o n t e n t ，b u tt h e r ei sc e * q t t a i nr e f e r a n c ev a l u ei n d e a l i n gw i t h t h el o w l a y e rw h e r e t h ed a t aw r a pu p k e y w o r d s ：t h ef i r e w a l l ；s y s t e ms t r u c t u r e ；c o n t e n tf i l t e r e d ；n e t g r a p h ；o p e r a t i n g s y s t e m k e r n e l 基于n e t g r a p h 机制的内容过游防火墙研究及应用引言 引言 随着i n t e r n e t 的快速发展以及普及，网络在日常工作生活中发挥着越来越 重要的地位。网络不仅在个人的办公自动化，资料查找，学术交流中发挥着重要 的作用，而且越来越广泛的应用于企业的信息化。但是网络普及也不可避免的带 来了许多负面的影响，网络黑客利用网络的漏洞窃取机密资料，攻击对手服务器 导致对方服务器瘫痪。正因为网络发挥着越来越重要的作用，任何破坏都带来了 巨大的经济损失。所以网络安全问题逐渐的引起了重视。目前在网络中存在的攻 击手段主要有非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系 统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹；破坏性攻击 是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。4 种 黑客常用的攻击手段分别是后门程序，信息炸弹，拒绝服务，网络监听。 为了对网络中的攻击手段进行防护，除了物理上的安全性，系统的安全性以 外，还需要采用硬件防火墙来对整个网络进行保护。目前的防火墙产品主要分为 包过滤防火墙和应用代理防火墙，包过滤防火墙有可分为状态检测和没有状态检 测两种。而如果想对上层协议所传递的内容进行过滤的时候，就需要采用代理防 火墙或者透明网关方式。这两种方式都需要对上层协议的内容进行合成。 目前主流的防火墙技术都是采用u n i x 平台下边的t c p i p 协议栈，采用b p f 或者i p 层协议处理单元，把数据包传递到用户进程，然后由用户进程进行分析 处理。最后再进行数据包的转发。数据包的处理都是基于i p 层，防火墙首先对 i p 地址进行包头的过滤，允许特定的i p 地址访问网络。但是现在有些攻击采用 i p 地址假冒的攻击手段，冒用其他合法的地址，针对这种攻击，需要对请求和 响应的源地址，源端口，目标地址，目标端口进行动态的分析比较，只有合法的 请求响应信息才允许通过。而t c p 层通过三次握手，来保证数据的可靠传输，一 些网络风暴的攻击，发送一些非法的数据包信息，导致整个网络阻塞甚至瘫痪。 为了保证网络的正常运行，防火墙也需要跟踪三次握手的状态情况，保证l 两络的 正常通信。 在f r e e b s d 操作系统平台下，内核4 0 以上，系统提供了一种n e t g r a p h 机 制，系统提供这种机制的目的就是把整个网络底层数据包的处理截获，然后增加 多协议的支持，上层的数据传递采用流机制，把整个数据包的传递过程模拟成一 基于n c t g r a p h 机制的内容过滤防火墙研究及应用引言 个网络拓扑结构，可以自由随意的扩展功能模块。同时也因为数据处理在底层进 行，速度更快。 针对网络中存在的各种攻击和防护手段，以及n e t g r a p h 机制的优点，加上 对目前防火墙产品的实现技术的分析，本论文提出了基于n e t g r a p h 机制的防火 墙体系架构，在该体系架构里边，对i p 地址静态过滤，i p 地址动态过滤，i p 地址状态检测以及应用层数据包的合成都有涉及，具体的实现技术不是我们关心 的重点，我们关心的重点在于对体系结构核心n o d e 的设计以及实现。 在该体系结构的基础上，我们对核心n o d e 进行了实现，并且在s n i f f e r 系 统中应用了我们设计的体系结构，并且对常用的实现方式b p f ，s q u i d 进行了性 能的比较。最后得出了结论。 2 基于m t g a p i a 机制的内容过滤防火墙研究及应用第1 章绪论 第1 章绪论 网络安全是研究采用何种方法，何种手段来保证网络传输中数据的安全性以 及操作系统安全性的一门学科。它在互连网快速发展的今天有着非常重要的意义 和应用价值。其研究近年来又较大的发展，并且在i n t e r n e t 中得到广泛的应用。 本章首先对这一课题的历史背景、研究内容和特点进行了系统的回顾，然后 对n e t g r a p h 技术和本论文中需要用到的理论和技术基础进行了论述。 最后扼要介绍了本文内容和主要结果。 1 1 网络安全概述 1 1 1 黑客常用的攻击手段 黑客采用的攻击手段可以分为破坏性攻击和非破坏性攻击两类。非破坏性攻 击一般是为了扰乱系统的正常运行，并不盗窃系统资料，通常采用拒绝服务攻击 或信息炸弹的方式；破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破 坏目标系统的数据为目的。下面介绍4 种黑客常用的攻击手段。 ( 1 ) 后门程序 程序员设计一些功能复杂的程序时，一般采用模块化的程序设计思想，将整 个项目分割为多个功能模块，分别进行设计、调试，这时的后门就是一个模块的 秘密入口。在程序开发阶段，后门便于测试、更改和增强模块功能。正常情况下， 完成设计之后需要去掉各个模块的后门，不过有时由于疏忽或者其他原因( 如将 其留在程序中，便于日后访问、测试或维护) 后门没有去掉，一些别有用心的人 会利用穷举搜索法发现并利用这些后门，然后进入系统并发动攻击。 ( 2 ) 信息炸弹 信息炸弹是指使用一些特殊工具软件，短时间内向目标服务器发送大量超出 系统负荷的信息，造成目标服务器超负荷、网络堵塞、系统崩溃的攻击手段。比 如向未打补丁的w i n d o w s 系统发送特定组合的u d p 数据包，会导致目标系统死 基于n c t g r a p h 机制的内容过滤防火墙研究及应用第l 章绪论 机或重启：向某型号的路由器发送特定数据包致使路由器死机；向某人的电子邮 件发送大量的垃圾邮件将此邮箱“撑爆”等。目前常见的信息炸弹有邮件炸弹、 逻辑炸弹等。 ( 3 ) 拒绝服务 又叫分布式拒绝服务攻击，它是使用超 “被攻击目标处理能力的大量数据包 消耗系统可用系统、带宽资源，最后致使网络服务瘫痪的一种攻击手段。作为攻 击者，首先需要通过常规的黑客手段侵入并控制某个网站，然后在服务器上安装 并启动一个可由攻击者发出的特殊指令来控制进程，攻击者把攻击对象的口地 址作为指令传给进程的时候，这些进程就开始对目标主机发起攻击。这种方式可 以集中大量的网络服务器带宽，对某个特定目标实施攻击，因而威力巨大，顷刻 之间就可以使被攻击目标带宽资源耗尽，导致服务器瘫痪。 ( 4 ) 网络监听 网络监听是主机的一种工作模式，在这种模式下，主机可以接受到同一网段 在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。 此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，就 可以轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户 帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐 号及口令。 1 1 2 网络安全基本技术 为了最大限度地发挥网络数据通信的优势，保证用户数据的安全性，网络安 全的解决方案主要包括下边几种，物理保护，用户身份验证，访问控制，加密， 管理。为了保护网络安全，企业可以采用全部这些要素或其中任何要素来实现完 整性和访问控制。下面介绍一下几种防护措施。 ( 1 ) 物理安全 物理风险主要涉及对机器或人员的访问。可用于增强物理安全的策略有很多： 将计算机系统和关键设备布置在一个安全的环境中，销毁不再使用的敏感文档， 保持密码和身份认证部件的安全性，锁住便携式设备等。物理安全的实施更多的 是依赖于行政的干预手段并结合相关技术。 4 基于a e t g r a p h 机制的内容过滤防火墙研究及应用第l 章绪论 ( 2 ) 用户身份验证 身份证明是所有安全系统不可或缺的一个组件。它是区别授权用户和入侵者 的唯一方法。认真对待信息资产保护并知道何人试图获取网络访问的任何企业都 必须对用户进行身份验证。当使用某些更尖端的通信方式时，身份验证特别重要。 除了证明身份之外，验证系统还用于确定请求者能够访问哪些网络资源和信息即 授权。 ( 3 ) 访问控制 访问控制限制用户连接特定网络、计算机或应用程序或特定类型数据流量的 能力。访问控制系统的技术和技术实现模式一般如下：域防御模式、静态过滤控 制、i p 会话状态检测的动态防火墙技术、分步式防火墙模式、软件防火墙、内 嵌式防火墙和集中管理模式等几种。访问控制系统一般针对网络资源进行安全控 制区域划分，实施区域防御的策略。在区域的物理边界或逻辑边界实施使用一个 许可或拒绝访问的集中控制点。在局域网内部利用智能化以太网络交换设备所提 供的虚拟网络、a c l 访问控制列表、多层过滤等功能或广域网络的路由设备。 然而这些技术本质上都是基于m a c 地址或i p 地址、端口号列表的静态过滤控 制，对于安全要求更高的用户需要采用基于i p 会话状态检测的动态防火墙技术。 放火墙一般位于企业网络的边缘控制点。 ( 4 ) 加密 即使访问控制和验证安全系统完全有效，在数据通信通过网络传送时，企业 仍可能面临风险，窃听。事实上，低成本和连接i n t e r n e t 的简便性已使它成为企 业内和企业间通信的一个极为诱人的媒介。同时，无线网络的广泛使用也在进一 步加大网络数据被窃听的风险。加密技术用于针对窃听提供保护。它通过使信息 只能被具有解密数据所需密钥的人员读取，来提供保密信息。它与第三方是否通 过i n t e m e t 截取数据包无关，数据仍无法读取。这种方法可在整个企业网络中使 用，包括在企业内部( 内部网) 、企业之间( 外部网) 或通过公共i n t e m e t 在虚拟专用 网络中传送私人数据。加密技术主要包括对称式和非对称式密钥，这两种 方式都有许多不同的密钥算法来实现。 ( 5 ) 安全管理 安全系统应当允许由授权人进行监视和控制。使用验证的任何系统都需要某 基于n e t g r a p h 机制的内容过滤防火墙研究及应用第1 章绪论 种集中授权来验证这些身份，而无论它是u n i x 主机、w i n d o w sn t 域控制器还 是n o v c l ld i r e c t o r ys e “i c e s ( n d s ) 服务器上的e t c p a s s w o r d 文件。由于能够查看 历史记录。如突破防火墙的多次失败尝试，安全系统可以为那些负责保护信息资 产的人员提供宝贵的信息。一些更新的安全规范( 如i p s e c ) 需要包含策略规则的 数据库。要使系统正确运行，就必须管理所有这些要素。但是，管理控制台本身 也是安全系统的另一个潜在故障点。因此，必须确保这些系统在物理上得到安全 保护，并确保对管理控制台的任何登录进行验证。 1 2 主流防火墙技术探讨 随着互连网的普及，网络逐渐走入了千家万户。互连网发展的速度完全超出 了人们的想象，但是我们不容忽视的另外面就是网络安全由于网络安全越来 越引起人们的重视，防火墙产品风起云涌，大量涌入市场，技术的发展也一日。 防火墙的经过了十几年的发展，经过了几代的变迁，技术逐渐成熟，但是按照防 火墙对内外来往数据的处理方法，大致可以将防火墙分为两大类：包过滤防火墙 和代理防火墙( 应用层网关防火墙) 。 1 2 ，1 包过滤防火墙 包过滤防火墙就是通过查看收到包的头部，然后决定整个包的是丢弃还是转 发。要么丢弃这个数据包，要么接收这个数据包；或者进行更复杂的动作。数据 包的头部含有目的地址的信息，因此，您可以设置过滤规则禁止网络内部的包到 达某些外部的网络地址。包过滤防火墙包括下边2 种类型。 ( 1 ) 静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否 与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息 中包括i p 源地址、i p 目标地址、传输协议( t c p 、u d p 、i c 肝等等) 、t c p u d p 目 标端口、i c m p 消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最 小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。 ( 2 ) 动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具 6 基于驰t 髀曲机制的内窖过滤防火墙研究及应用第l 章绪论 有的问题。这种技术后来发展成为所谓包状态监测( s t a t e f u li n s p e c t i o n ) 技 术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需 要可动态地在过滤规则中增加或修改。 1 2 2 代理防火墙 代理防火墙也叫应用层网关( a p p l i c a t i o ng a t e w a y ) 防火墙。这种防火墙 通过一种代理( p r o x y ) 技术参与到个t c p 连接的全过程。从内部发出的数据 包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到 隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安 全的防火墙。它的核心技术就是代理服务器技术。 所谓代理服务器，是指代表客户处理在服务器连接请求的程序。当代理服务 器得到一个客户的连接意图时，它们将核实客户请求，并经过特定的安全化的 p r o x y 应用程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接 受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。代理服务 器在外部网络向内部网络申请服务时发挥了中间转接的作用。 代理类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接 都要通过p r o x y 的介入和转换，通过专门为特定的服务如h t t p 编写的安全化的 应用程序进行处理，然后由防火墙本身提交请求和应答，没有给内外网络的计算 机以任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵 内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。就像你要向一个陌生 的重要人物递交一份声明一样，如果你先将这份声明交给你的律师，然后律师就 会审查你的声明，确认没有什么负面的影响后才由他交给那个陌生人。在此期间， 陌生人对你的存在一无所知，如果要对你进行侵犯，他面对的将是你的律师，而 你的律师当然比你更加清楚该如何对付这种人。 代理防火墙的最大缺点就是速度相对比较慢，当用户对内外网络网关的吞吐 量要求比较高时，( 比如要求达到7 5 - 1 0 0 m b p s 时) 代理防火墙就会成为内外网络 之间的瓶颈。所幸的是，目前用户接入i n t e r n e t 的速度一般都远低于这个数字。 在现实环境中，要考虑使用包过滤类型防火墙来满足速度要求的情况，大部分是 高速网( a t m 或千兆位以太网等) 之间的防火墙。 基于n c t g r a p h 机制的内容过滤肪火墙研究及应用第l 章绪论 1 3 自适应代理防火墙 自适应代理技术( a d a p t i v ep r o x y ) 是最近在商业应用防火墙中实现的一种 革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等 优点，在毫不损失安全性的基础之上将代理型防火墙的性能提商1 0 倍以上。组 成这种类型防火墙的基本要素有两个；自适应代理服务器( a d a p t i v ep r o x y s e r v e r ) 与动态包过滤器( d y n a m i cp a c k e tf i l t e r ) 。 在自适应代理与动态包过滤器之间存在一个控胄8 通道。在对防火墙进行配置 时，用户仅仅将所需要的服务类型、安全级别等信息通过相应p r o x y 的管理界面 进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用 代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知 包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。 1 4 实现网络访问控制的技术- s t r e a m s 机制 流( s t r e a m s ) 由a t & t i m i i 实验室的d e n n i s m r i t c h i e 于1 9 8 4 年设计， 首次广泛使用是在1 9 8 6 年的s v r 3 。现在几乎所有的u n i x 操作系统都支持流 机制。流是一种通用的、灵活的用于开发u n i x 系统通信服务的一组工具。它提 供了内核各部分及内核和用户空问通信的标准界面。这种标准界面和机制使得网 络协议和网络服务程序很容易实现模块化，可以移植开发和用以集成。 流是内核空间中的流驱动程序与用户空间中的进程之间的一种全双工的处 理和数据传输通路( 如图1 - 1 所示) 。流驱动程序可以是外部的i o 设备驱动程 序，也可以是些软驱动程序( 伪驱动程序，例如i p 、t c p 都存在伪驱动程序 接口) 。这种驱动程序主要是处理内核空间和用户空间的数据传输。流模块提供 在流的数据流程上实施的处理功能。数据以消息的形式在驱动程序和流首之间以 及在模块之间进行传输。t c p i p 协议的各个模块之间都是通过这种方式来传递 网络数据包和协议间的控制信息的。 8 基于n e t g r a p h 机制的内容过滤防火墙研究殛应用第1 章绪论 顺流 上 + l 流首 i 枷鼍 空间 l 上t 模块( 可有可无) t上 i 驱动程序 i 外部界面 图1 - 1 流机制传递过程 通过在u n i x 的t c p i p 协议栈中插入自己的流模块，实现防火墙的包过滤 功能，从而达到网络访问控制的目的。 在网络应用程序建立一个流的时候，会向内核空间的模块提供c r e t _ d 数据结 构( u s e rc r e d e n t i a l ss t r u c t u r e ) ，其中包含了使用此流的用户信息( u i d 、g i d 等) 。 通过流模块的o p e n 例程接口可得到该数据结构的指针，利用它可以在网络访问 控制中加入用户属性，如u i d 、g i d 等。 1 5f r o e b s d 操作系统介绍 f r e e b s d 是一个同时支持i n t e l 架构和d e c 架构的，以4 4 b s d l i t e 为基 础发展而来的操作系统。f r e e b s d 有着许多令人注目的特性。例如：动态的抢先 式的多任务处理机制，使锝应用程序与用户之间，即使是在巨大的负荷下，也能 够确保平滑、稳定地共享资源。一个f r e c b s d 系统能够允许许多使用者同时处 理各种事情。也就是说，象打印机和磁带机这些系统周边设备可以让所有的使用 者适当地分享。也可以对个别使用者或一群使用者使用的重要系统资源予以限 制，以保护系统不致被过度使用。支持完整的s l i p , p i 鼍n f s ，d h c p , n i s 等t c p i p 网络协议，这表明f r e e b s d 提供远程文件共享( n f s ) 及电子邮件( e - m a i l ) 等服务， 可以让你的企业连上国际互联网j ( i n t e r a c t ) 并提供w w f ：路由( t o u t i n g ) 及防火 9 基于n e t g r a p h 机制的内窖过滤防火墙研究及应用第1 章绪论 墙( f i r e w a l l ，s e c u r i t y ) 等必备服务。先进的内存保护机制能够确保程序之间不会互 相干扰。一个应用程序的崩溃不会影响其它的应用程序的执行。f r e e b s d 是一个 纯3 2 位的操作系统( 已经支持a l p h a 的6 4 位系统) ，从一开始就是这样设计的。 业界标准的x 视窗系统( x 1 1 r 6 ) 提供了一个图形用户接口，使f r e e b s d 能够 在一般的v g a 显示卡和监视器上使用图形系统，而且你还能得到全部源代码。 有着跟l i n u x , s c o ，s v r 4 ，b s d k n e t b s d 等系统良好的二进制兼容性。数以千计 的可执行应用程序，可以在f r e e b s dp o r t s 和p a c k a g e s 中找到。你将不需要再 费心到网络上到处搜索所需要的软件。数以千计容易移植的应用程序都可以在 i n t e m e t 上找到。f r e e b s d 和许多商业化的u n i x 系统保持着源代码级的兼容性， 许多应用程序只需要很少的修改就可以直接进行编译执行。虚拟内存和集成的高 速缓冲存储器的设计，提供了令人满意的又有效率的应用程序执行速度。尤其是 执行那些大型的应用软件时，仍能让使用者轻松她控制。s m p ( 对称多处理技 术) 能够提供对多c p u 的支持( i n t e lo n e ) 。完全支持c ，c + + ，f o m a n , p e r l 这些 开发工具。许多其他的用于高级研究和开发的程序语言也在不断地加入到 f r e e b s d 的软件包中去。完整的系统源代码使你能够随心所欲地控制和修改你的 操作系统。让你避开让商业化操作系统公司操控的命运。 1 6m b u f 结构 网络协议对内核的存储器管理能力提出了很多要求。这些要求包括能方便地 操作可变长缓存，能在缓存头部和尾部添加数据( 如低层封装来自高层的数据) ， 能从缓存中移去数据( 如，当数据分组向上经过协议栈时要去掉首部) ，并能尽量 减少为这些操作所做的数据复制。内核中的存储器管理调度直接关系到联网协议 的性能。下边我们介绍一种普遍应用于n e t 3 内核中的存储器缓存：m b u f ，它是 “m e m o r yb u f f e r ”的缩写。m b u f 的主要用途是保存在进程和网络接口间互相传 递的用户数据。但m b u f 也用于保存其他各种数据：源与目标地址，插口地址选项 等等。 我们在体系结构设计和应用中，几乎所有的函数都使用t m b u f 根据 mp k t h d r a 1 1 m _ e x t 标志是否被设置，这里有4 种类型的m b u f ： ( 1 ) 无分组头部，m b u f 本身带有0 1 0 8 字节的数据； 基于地脚h 机制的内容过滤防火墙研究及应用 第1 章绪论 ( 2 ) 有分组头部，m b u f ：a k 身带有0 - i 0 0 字节的数据 ( 3 ) 无分组头部，数据在簇( 外部缓存) 中； ( 4 ) 有分组头部，数据在簇( 外部缓存) 中。 m b u f mn e x t l v l n e ) a p k t mi e n md a t a m 一明) e m n a g s m _ p k t h d r 1 e n m p k t h d r r c v i f m c x t e x t _ b u f m j 毗e x t _ 丘e e m e x t e x t _ s i z e 图1 - 2m b u f 结构表示 我们在程序中经常需要用到的两个函数是：m _ d e v g e t 。很多网络设备驱动程 序调用它来存储个接收到的帧；mp u l l u p ，所有输入例程调用它来把协议首部 连续放置在一个m b u f 中。 由e i 。m b u f 指向的簇( 外部缓存) 能通过m _ c o p y 来被共享。例如，用于t c p 输出，因为个被传输的数据的副本要被发送端保存，直到数据被对方确认。比 起进行物理复制来说，通过引用记数，共享簇提高了性能。 图卜2 是m b u f 的结构表示： m b u f 结构的大小总是1 2 8 个字节。在每个m b u f 中的成员md a t a 指向相应 缓存的开始( m b u f 缓存本身或一个簇) 。这个指针可以指向相应缓存的任意位置， 不一定是开始。指针mn e x t 把m b u f 联接起来成一个m b u f 链表。指针m n e x t p k t 把多个分组( 记录) 联接成一个m b u f 链表队列。下边是m b u f 结构的定义： + h e a d e ra tb e g i n n i n go fe a c hm b u f ：+ ， s t r u c tm l h d r s t r u c t m b u f m h _ n e x t ；+ n e x tb u f f e ri nc h a i n “ s t r u c t m b u f + m h _ n e x t p k t ；+ n e x tc h a i ni nq u e u e r e c o r d “ c a d d r _ tm h _ d a t a ；pl o c a t i o no fd a t a l t n t m h 1 e n ；4a m o u n to fd a t ai nt h i sm b u f 卓， s h o r 七 m h _ t y p e ；+ t y p eo fd a t ai nt h i sm b u f + s h o k m h i a g s ；+ f l a g s ；s e eb e l o w 卡， 基于n e t g r a p h 机制的内容过滤防火墙研究及应用 第1 章绪论 + r e c o r d p a c k e th e a d e r i nf i r s tm b u fo fc h a i n ；v a l i di fm p k