（机械电子工程专业论文）状态检测防火墙研究与设计.pdf

摘要 正文：( 网络信息安全问题不仅越来越受到生活在网络信息社会中的个人与公司 的重视，、而且已涉及到社会生活的方方面面。为了建立安全可靠的信息网络， 进行安全技术的研究与设计应用是必要与迫切的。嵌入式l i n u x 源代码的公开性 以及它方便的可用性大大推动了基于嵌入式l i n u x 的安全技术的研究及其相关 安全产品的开发口本论文将研究基于嵌入式l i n u x 平台的状态检测机制以及如何 利用该机制实现动态n a t 防火墙技术。 f 由于传统防火墙如包过滤防火墙、应用网关防火墙逐渐不能适应新的网络 安全需求。因此，一种基于状态检测的防火墙成为网络安全的研究热点。对于 某一通信连接，通信状态( 以前的通信信息) 和应用状态( 其他的应用信息) 是对该连接做出控制决定的关键因素。因此，为了保证高层的安全，防火墙必 须能够访问、分析和利用以下四种信息：所有应用层的数据包信息；以前的通 信状态信息；其它应用的状态信息；基于上述三种信息的、灵活的、表达式的 估算信息j 本论文首先结合l i n u x 源代码分析了状态检测的基本原理和所实现的 功能，详细地讨论了l i n u x 中基于i p v 4 所定义的数据包之间的连接状态、获取 这些状态的方法、这些状态的相互影响以及这些状态的相互变迁以及这些连接 的状态是如何记录到相应的表结构中，然后利用l i n u x 所实现的状态检测机制实 现了源地址n a t 和目的地址n a t 以及包速率限制等防火墙功能。本项目是基于 i p v 4 进行研究和设计的，在分析状态检测机制以及设计n a t 时本文将协议划分 为t c p 、u d p 、i c m p 三种协议进行讨论，充分利用l i n u x 的模块机制进行分析 和设计，所以该套软件具有高度模块化、可扩展性好的特点。 关键词：状态检测机制；动态n a t , 嵌入式l i n u x ；模块机制；包速率限制 a b s t r a c t c o n t e n t ：i n f o r m a t i o ns e c u r i t yp r o b l e mi nt h en e t w o r kh a sb e e nn o to n l yp a i d a t t e n t i o nb yi n d i v i d u a l sa n dc o m p a n i e so fn e t w o r ki n f o r m a t i o ns o c i e t yi n c r e a s i n g l y , b u ta l s oi n v o l v e di na 1 1a s p e c t s f o r b u i l d i n gr e l i a b l ea n d s e c u r ei n f o r m a t i o nn e t w o r k s ， i ti so fg r e a tn e c e s s i t ya n du r g e n c yt om a k er e s e a r c ho ns e c u r i t yt e c h n o l o g y o p e ni n i t ss o u r c ec o d ea n dc o n v e n i e n tu s a b i l i t yo ft h ee m b e d d e dl i n u xg r e a t l yi m p e lt h e 。 r e s e a r c ho fs e c u r i t yt e c h n i q u ea n dt h ed e v e l o p m e n to fs e c u r i t yp r o d u c tb a s e do nt h e e m b e d d e dl i n u x t h et h e s i sw i l lr e s e a r c ht h em e c h a n i s mo fc o n n e c t i o nt r a c k i n ga n d h o wt oa c h i e v ed y n a m i cn 陬b a s e do ni t b e c a n s et r a d i t i o n a lf i r e w a l ls u c ha sp a c k e t f i l t e r i n g f i r e w a l l a p p l i c a t i o n g a t e w a yc a n ts u i tt h er e q u i r e m e n to fs e c u r i t yi nt h en e t w o r kg r a d u a l l y , ak i n do f f i r e w a l lb a s e do nc o n n e c t i o nt r a c k i n gb e c o m ear e s e a r c h f u lh o t s p o ti nn e t w o r k s e c u r i t y f o r ac e r t a i nc o m n l u n i c a t i o nc o n n e c t i o n ，c o n l l n u n i c a t i o ns t a t e ( f o u n e r c o m m u n i c a t i o ni n f o r m a t i o n ) a n da d p l i c a t i o ns t a t e ( o t h e ra p p l i c a t i o ni n f o r m a t i o n ) a r e t h ek e yf a c t o r sw h e nc o n t r o lt h ec o m m u n i c a t i o nc o n n e c t i o n t h e r e a f t e r , f o ra s s u r i n g t h eh i g h l a y e rs e c u r i t y , t h ef i r e w a l lm u s tb ea b l et oa c c e s s ，a n a l y z ea n dm a k eu s eo f t h e f o l l o w i n g f o u rk i n d so fi n f o r m a t i o n ：t h ew h o l ed a t a g r a mi n f o r m a t i o no f a p p l i c a t i o nl a y e r , t h e f o r m e rs t a t ei n f o r m a t i o no ft h e c o l r u n u n i c a t i o n ，o t h e r a p p h c a t i o ns t a t ei n f o r m a t i o n ，t h ea g i l ee x p r e s s i o na p p r a i s i v ei n f o r m a t i o nb a s e do n t h ef o r m e rt h r e ek i n d so fi n f o r m a t i o n t h et h e s i sf i r s t l ya n a l y z et h eb a s i cp r i n c i p i e a n dc o m p l e t i v ef u n c t i o na c c o r d i n gt ol i n u xs o u r c ec o d e 。a n dd i s c u s sd e t a i l e d l v 山e c o n n e c t i o ns t a t eb e t w e e nd a t a g r a mb a s e do ni r l v 4i nl i n u x ，t h em e t h o dt oo b t a i nt h e s e s t a t e s ，t h ei n f l u e n c ea n dt h ev a r i a n c ea m o n gt h e s ec o n n e c t i o ns t a t e s ，a n dr e c o r de v e r y c o n n e t i o ns t a t et ot h et a b l e ，a n dt h e nb a s e do nt h em e c h a n i s mo fc o n n e c t i o nt r a c k i n g c a l t yo u tt h e s ef i r e w a uf u n c t i o ns u c ha st h es o u r c en a t , d e s t i n a t i o nn a t , r e s t r i c t i o n o fd a t a g r a ms p e e d ，a n ds oo n 1 1 1 ei t e mi sr e s e a r c h e da n dd e s i g n e db a s e do ni p v 4 w h e n a n a l y z e t h em e c h a n i s mo fc o n n e c t i o nt r a c k i n ga n dd e s i g nn a t , t h e p r o t o c o li s c o m p a r t m e n t a l i z e d t ot h r e e p a r t sn a m e l yt c p - u d p , i c m p b e c a u s et a k ef u l l a d v a n t a g eo fm o d u l em e c h a n i s mo fl i n u xw h e na n a l y s i s a n dd e s i g n t h es e to f s o f t w a r ei so fh i g hm o d u l a r i z a t i o na n d g o o de x p a n s i b i l i t y k e yw o r d s ：m e c h a n i s mo fc o n n e c t i o nt r a c k i n g ，d y n a m i cn a t , t h ee m b e d d e d l i n u x ，m e c h a n i s mo fm o d u l e ，t h er e s t r i c t i o no fd a t a g r a ms p e e d n 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。具我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得电子科技大学或其它教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意。 签名：j 量堙鲎日期：如埤2 一月砑日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文的规定， 有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅 和借阅。本人授权电子科技大学可以将学位论文的全部或部分内容编入有关数 据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解秘后应遵守此规定) 签名：j 投怛莎 导师签名： 日期：l 年z 月加日 电子科技大学硕士论文状态检测防火墙研究与设计 第一章引言 1 1 项目背景及其意义 随着网络规模越来越大和越来越开放，网络的发展尤其是互联网的发 展，已经深入到了社会的各个方面，在带给人们方便的同时，也带来了挥之 不去的安全隐患。网络上的许多敏感信息和保密数据难免受到各种主动的或 被动的人为的攻击，如信息泄露、信息窃取、数据篡改、数据增删及计算机 病毒感染等。正如美国一著名教授所言：“一切的方便来源于互联，但是一切 的麻烦也来源于互联”。而在中国，据公安部的资料，利用计算机网络进行的 各类违法行为以每年3 0 的速度递增。黑客的攻击方法已超过计算机病毒的 种类，总数达近千种。有媒介报道，中国9 5 的与i n t e m e t 相连的网络管理 中心都遭到过境内外黑客的攻击或侵入，其中银行、金融和证券机构是黑客 攻击的重点。针对银行、证券等金融领域的黑客犯罪案件总涉案金额已高达 数亿元，针对其他行业的黑客犯罪案件也时有发生。因此，在网络上构筑一 系列完善的安全策略已是势在必行，网络安全是社会信息化、网络化过程中 必须面临的事实。 防火墙技术是一种行之有效的网络安全机制。它是一个或一组实施访问 控制策略的系统，在内部网络与外部网络之间形成一道安全屏障，实施安全 防范。从逻辑上说，防火墙是个分离器，是个限制器，是个分析器。 防火墙可以是非常简单的过滤器，也可能是精心配置的网关。防火墙网关技 术和相关产品随着网络攻击和安全防护手段的发展而演进，将网关与安全系 统合二为一。安全性能和处理速度是防火墙产品设计实现的重点，也是最难 处理的一对矛盾。这就导致了目前这类安全产品研制的两个侧重点：一是将 其建立在通用的操作系统和通用的计算机硬件平台上，利用已有平台提供的 丰富功能，使其具备尽可能多的安全服务。二是以高速度为设计实现目标， 利用快速处理器、实时高效的操作系统实现防火墙，这类防火墙的实际吞吐 率接近线速。 由于传统防火墙技术一些固有的缺陷已经无法满足现在的安全需要，如 包过滤防火墙这类防火墙虽然其吞吐率很高，但是由于该防火墙技术是基于 一种静态的规则控制，且数据包之间安全规则是相互独立的，所以防火墙自 1 电子科技大学硕士论文状态检测防火墙研究与设计 身就是个安全缺口。对于像安全网关这样的防火墙，其安全性能是挺高的， 可是他们的配置非常复杂，管理也很复杂，且防火墙的吞吐率很低，其特征 已经不适应高速网的需要。所以研究一种安全性能类似于安全网关目吞吐率 很高的防火墙技术已经成为计算机安全方面的重要课题。状态检测技术也就 是顺应这种要求提出来的。 l i n u x 是源代码开放的较流行的一种网络操作系统。嵌 式l i n u x 更是应 用广泛，由于l i n u x 源代码的开放性，使得研究l i n u x 和基于l i n u x 开发的 团体和企业越来越多。研究l i n u x 源代码也早成为国际上的一大热点，众所 周知，我国在操作系统一级上的软件开发与国际上的差距还是很明显的。 l i n u x 的源代码开放性就为我国软件开发人员提供了一个很好的切入点。据 有关方面的统计，在防火墙方面，国内自主开发的防火墙产品很多都是基于 嵌入式l i n u x 。 由于l i n u x 的源代码是公开的，开发人员就会很容易地在内核一级上架 构自己的防火墙处理模块，本次论文就是在研究l i n u x 2 4 内核实现的状态检 测功能的基础上，利用其状态检测机制来实现地址伪装、负载均衡、重定向 等防火墙功能。 1 2 现状 网络攻击和安全防护手段的发展已极力推动了对防火墙、安全网关类型 的安全技术的研究以及相关安全产品的研发。在目前这种类型的安全产品中 的开发中，各种产品广泛应用了网络拓扑技术、计算机操作系统技术、路由 技术、加密技术、访问控制技术、安全审计技术等多种技术。例如，c h e c k p o i n t 公司的防火墙产品f i r e w a l l 1 应用了最新的状态检测技术、动态负载均衡技 术等多种安全技术，具有更高的安全性能。总的说来，国外的相关技术较为 成熟先进，产品种类繁多，应用广泛。 随着i n t e m e t 在中国的发展，网络安全技术也引起了国内各方面的广泛 关注。一方面在对国外信息安全和安全技术的发展进行跟踪，另一方面也已 经自行开展了一些研究工作。 目前国内在保护内部网络的安全技术中使用较多的在路由器上采用分 组过滤技术提供安全保证，x t 鸵h - 面的技术尚缺乏深入了解，仍有许多问 题有待解决。网络安全技术仍然跟不上网络发展的步伐，网络安全的整体水 2 电子科技大学硕士论文 状态检测防火墙研究与设计 平亟待提高。因此，密切关注安全技术的的最新发展，进行安全产品的研发 对推动i n t e r n e t 在我国的健康发展有着重要的意义。 1 3 论文主要内容 本次课题实现的是一种基于路由器的防火墙。让所有的信息家电通过这 个具有路由功能的防火墙与因特网进行数据交换。如图1 - 1 所示。 考虑到传统包过滤防火墙的缺点，该防火墙必须具备如下特点： ( 1 ) 基于t t , 态的包过滤 ( 2 ) 动态地址转换 ( 3 ) 包速率限制 ( 4 ) 路由功能 图1 - 1 具有防火墙的网络拓扑 考虑到经济性和开发进度，我们选用以嵌入式l i n u x 作为我们防火墙开 发的操作系统，该嵌入式l i n u x 的内核是2 4 内核版本，在这个平台上已经 没有用户层上的l i b c 库，只是提供了一些系统调用，我们本篇论文就是要讨 论如何利用这些系统调用来实现我们上面所提供的防火墙功能。 3 电子科技大学硕士论文状态检测防火墙研究与设计 第二章网络安全基础知识 2 1 网络安全概述 2 1 1 黑客的常用攻击手段 黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一 般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信 息炸弹；破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标 系统的数据为目的。 2 1 1 1 密码破解工具流光 当黑客在没有获得k i n u x 任何系统帐号的情况下，就需要使用一些在线 的密码工具，流光就是这样的一种软件。这个软件能让个刚刚会用鼠标的 人成为专业级黑客。 其实流光的原理很简单，就是借助字典文件，通过可以进行密码验证的 端口( 如p o p 3 、f r p 、t e h a e t 等) ，一遍一遍不停地去尝试密码，直到找到 密码为止。 流光可以探测p o p 3 、f t p 、h t r p 、p r o x y 、f o r m 、s q l 、s m t p 、眦$ 上的各种漏洞，并针对各种漏洞设计不同的破解方案，能够在有漏洞的系统 上轻易得到被探测的用户密码。流光对w i n d o w s9 x j n t 尼0 0 0 上的漏洞也可 以探测。正因为该黑客工具如此强大，所以它已经成为许多黑客手中的必备 工具之一，一些资深黑客也对该黑客工具青睐有加。 流光还为攻击者提供了许多字典工具，用户可以在使用该黑客工具时进 行相应的设置。流光包括标准模式探测、流模式探测及高级模式探测三种模 式的攻击方法。 2 1 1 2 拒绝服务攻击 该攻击方式使用超出被攻击目标处理能力的大量数据包消耗系统可用系 统、带宽资源，最后致使网络服务瘫痪的一种攻击手段。作为攻击者，首先 需要通过常规的黑客手段侵入并控制某个网站，然后在服务器上安装并启动 4 电子科技大学硕士论文状态检测防火墙研究与设计 个可由攻击者发出的特殊指令来控制进程，攻击者把攻击对象的口地址作 为指令下达给进程的时候，这些进程就开始对目标主机发起攻击。这种方式 可以集中大量的网络服务器带宽，对某个特定刚示实施攻击，因而威力巨大， 顷刻之间就可以使被攻击目标带宽资源耗尽，导致服务器瘫痪。比如1 9 9 9 年美国明尼苏达大学遭到的黑客攻击就属于这种方式。典型的拒绝服务攻击 有：o o b 攻击、i g m p 攻击、_ a n d 攻击、s m t a f 攻击、s y n 洪水、死亡之 p i n g 、分布式拒绝服务攻击。 2 1 1 3 后门程序 由于程序员设计一些功能复杂的程序时，一般采用模块化的程序设计思 想，将整个项目分割为多个功能模块，分别进行没计、调试，这时的后门就 是一个模块的秘密人口。在程序开发阶段，后门便于测试、更改和增强模块 功能。正常情况下，完髓酗十之后需要去掉各个模块的后门，不过有时由于 疏忽或者其他原因( 如将其留在程序中，便于日后访问、测试或维护) 后门 没有去掉，一些别有用心的 、会利用穷举搜索法发现并利用这些后门，然后 进入系统并发动攻击。典型的后门程序就是特洛伊木马。 2 1 1 4 信息炸弹 信息炸弹是指使用一些特殊工具软件，短时间内向目标服务器发送大量 超出系统负荷的信息，造成目标服务器超负荷、网络堵塞、系统崩溃的攻击 手段。比如向未打补丁的w m d o w s9 5 系统发送特定组合的u d p 数据包， 会导致目标系统死机或重启；向某型号的路由器发送特定数据包致使路由器 死机；向某人的电子邮件发送大量的垃圾邮件将此邮箱“撑爆”等。目前常 见的信息炸弹有邮件炸弹、逻辑炸弹等。 2 1 1 5 网络监听 网络监听是一种监视网络状态、数据流以及网络上传输信息的管理工具， 它可以将网络接口设置在监听模式，并且可以截获网上传输的信息，也就是 说，当黑客登录网络主机并取得超级用户权限后，若要登录其他主机，使用 网络监听可以有效地截获网上的数据，这是黑客使用最多的方法，但是，网 络监听只能应用于物理e 连接于同一网段的主机，通常被用做获取用户口令。 常见的网络监听程序有s n i f f e r 程序。 5 电子科技大学硕士论文状态检测防火墙研究与设计 2 1 1 6 欺骗攻击 欺骗攻击包括a r p 欺骗、i c m p 重定向、域名欺骗、p 欺骗。 a r p 欺骗往往应用于个内部网络，我们可以用它来扩大一个已经存在 的网络安全漏洞。假如你的个子网内的机器已经被攻陷，那么该子网内其 它的机器安全也将受到a r p 欺骗的威胁。 另夕f - 个比较有效的并且类似与a r p 欺骗的手段是利用另外一个正常 的协议配m p 重定向。这种重定向通常是由你的默认路由器发来的，通告 你有个到达某一网络的更近的路由。最初，既可以通告网络重定向，也可 以通告主机的重定向，但是现在，由于网络重定向已经被取消，就仅剩下主 机重定向了。如果接收者接收到一个i c m p 重定向数据包就会对系统的路由 表进行更新。i c m p 重定向提供了个非常有力的欺骗以及拒绝服务的工具。 不像a r p 缓存更新，路由表不存在过期的问题。并且不需要在本地网络，攻 击者可以从任何地方发起攻击。所以当目标接受了i c m p 重定向之后( 包确 切抵达) ，目标就不会再和网络上的一些机器进行通讯，域名服务器会是一个 非常好的攻击目标。可以通过禁止系统接受i c m p 重定向包来解决这种欺骗 攻击。 域名欺骗攻击就是攻击者通过某种方法( 比如攻破dns 服务器、d n s 欺骗、控制路由器) 把目标机器域名对应的ip 指到攻击者所控制的机器， 这样所有外界对目标机器的请求将被重定向到攻击者的机器，这时攻击者可 以转发所有的请求到目标机器，让目标机器进行处理，再把处理结果发回到 发出请求的客户机。实际上，就是把攻击者的机器设成目标机器的代理服务 器，这样，所有外界进入目标机器的数据流都在攻击者的监视之下了，攻击 者可以任意窃听甚至修改数据流里的数据，收集到大量的信息。所以对于一 些重要站点如果为了确保d n s 服务器的安全，就必须直接用m 地址进行访 问。 欺骗是适用于t c p i p 环境的一种复杂的技术攻击，它由若干部分组 成。目前，在i n t e m e t 领域中，它成为黑客攻击时采用的一种重要手段。实 际上，欺骗不是进攻的结果，而是进攻的手段，进攻实际上是信任关系的 破坏。 6 电子科技大学硕士论文 状态检测防火墙研究与设计 2 1 2 网络安全基本技术 2 1 2 1 身份验证 身份验证是一致性验证的一种，验证是建立一致性证明的一种手段。身 份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机 中最早应用的安全技术，现在也仍在广泛应用，它是互联网上信息安全的第 一道屏障。 2 1 2 2 存取控制 存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络 安全理论的重要方面，主要包括人员限制、数据标识、权限控制、类型控制 和风险分析。存取控制也是最早采用的安全技术之一，它一般与身份验证技 术一起使用，赋予不同身份的用户以不同的操作权限，以实现不同安全级别 的信息分级管理。 2 1 2 3 数据完整性 完整性证明是在数据传输过程中，验证收到的数据和原来数据之间保持 完全一致的证明手段。校验和检查是最早采用的数据完整性验证的方法，它 虽不能保证数据的完整性，只起到基本的验证作用，但由于它的实现非常简 单( 一般都由硬件实现) ，现在仍广泛应用于网络数据的传输和保护中。近几 年来研究比较多的是数据摘要算法和数字签名算法，它们虽可以保证数据的 完整性，但由于实现起来比较复杂，系统开销比较大，一般只用于完整性要 求较高的领域，特别是商业、金融业等领域。 2 1 2 4 数据机密性 机密性由加密算法保证。现在金融系统和商界普遍使用的算法是美国数 据加密标准d e s 。i n t e m e t 免费提供p g p 系统。近几年来我国对加密算法的 研究主要集中在密码强度分析和实用化研究上。 2 1 2 5 防火墙技术 防火墙是在内部网与外部网之间实施安全防范的系统，可被认为是一种 访问控制机制，用于确定哪些内部服务允许外部访问，以及允许访问哪些外 部服务。 7 电子科技大学硕士论文状态检测防火墙研究与设计 早期的防火墙主要起屏蔽主机和加强访问控制的作用，现在的防火墙则 逐渐集成了信息安全技术中的最新研究成果，一般都具有加密解密和压缩解 压等功能，这些技术增加了信息在互联网上的安全性。现在，防火墙技术的 研究已经成为网络信息安全技术的主导研究方向。 2 2 防火墙状态检测技术的优点 在捍卫网络安全的过程中，防火墙受到人们越来越多的青睐。作为一种 提供信息安全服务、实现网络和信息安全的基础设施，防火墙采用将内部网 和公众网如i n t e m e t 分开的方法，可以作为不同网络或网络安全域之间信息 的出入口，根据企业的安全策略控制出入网络的信息流。再加上防火墙本身 具有较强的抗攻击能力，能有效地监控内部网和i n t e m e t 之间的任何活动， 从而为内部网络的安全提供有力的保证。 但是，防火墙在为内部网络带来安全的同时，也产生了一定的反作用， 它降低了网络运行效率。作为防火墙应用的主要安全技术，在传统防火墙的 设计中，包过滤只是与规则表进行匹配，对符合规则的数据包进行处理，不 符合规则的就丢弃。由于是基于规则的检查，同属于同一连接的不同包毫无 任何联系，每个包都要依据规则顺序过滤。由于网络安全涉及领域很多，技 术复杂，安全规则往往要达到数百甚至上千种。随着安全规则的增加，很多 防火墙产品都会出现性能大幅度降低，网络资源衰竭等问题，从而造成网络 拥塞。所以，安全与效率的两难选择成为传统防火墙面临的最大问题。此外， 在这种设计中，黑客可能会采用m 欺骗的办法将自己的非法包伪装成属于 某个合法的连接，进而侵入用户的内部网络系统。因此，传统的包过滤技术 既缺乏效率又容易产生安全漏洞。 今天，技术的发展已使得网络逐渐融人人们的生活。人们在享受网络带 来方便的同时，不仅要求其具有较高的安全系数，同时对其数据传输速度提 出了更高的要求。适应这一需求，防火墙产品必须在提高安全性能的同时， 解决传输速率瓶颈，实现安全、效率上的双方突破。为达到这一目标，基于 连接状态的包过滤技术应运而生。 状态检测防火墙是新一代的防火墙技术，是由c h e c k p o i n t 公司引入的。 它监视每个有效连接的状态，并根据这些信息决定网络数据包是否能够通 过防火墙。它在协议栈低层截取数据包，然后分析这些数据包，并且将当前 8 电子科技大学硕士论文状态检测防火墙研究与设计 数据包和状态信息与前一时刻的数据包和状态信息进行比较，从而得到该数 据包的控制信息，来达到保护网络安全的目的。 和应用网关防火墙相比较而言，状态检测防火墙使用用户定义的过滤规 则，不依赖预先定义的应用信息，执行效率比应用网关防火墙高；而且它不 识别特定的应用信息，所以不用对不同的应用信息制定不同的应用规则，从 而具有伸缩性好的优点。 与传统包过滤的无连接检测技术不同，基于连接状态的包过滤在进行包 的检查时，不仅将其看成是独立的单元，同时还要考虑它的历史关联性。例 如，在基于t c p 协议的连接中，每个包在传输时都包括了口源地址、妒目 的地址、协议的源接口和目的接口等信息，还包括了对在允许的时间间隔内 是否发生了t c p 握手消息的监视信息等。这些信息与每个数据包都是有关联 的。换句话说，对于属于同个连接的数据包来说并不是孤立的，它们存在 内部的关联信息。无连接的包过滤规则由于忽略了这些内在的关联信息，对 每个数据包都进行孤立的规则检测，所以大大降低了传输效率。 由于采用了基于连接的包过滤处理方法，状态检测防火墙在进行规则检 查的同时，可以将包的连接状态记录下来，该连接以后的包则无需再通过规 则检查，而只需通过状态检测表里对该包所属的连接的记录来检查即可。如 果有相应的状态标识，则说明该包属于已经建立的合法连接，可以接受。检 查通过后该连接状态的记录将被刷新。这样就使具有相同连接状态的包避免 了重复检查。同时由于规则表的排序是固定的，只能采用线性的方法进行搜 索，而状态检测表里的记录是可以随意排列的，于是可采用诸如二叉树或h a s h 等算法进行快速搜索，这就提高了系统的传输效率。同时，采用实时的连接 状态监控技术，可以在状态检测表中通过诸女1 1a c k ( 应答响应) 、n o 等连 接状态因素加以识别，阻止该包通过，增强了系统的安全陛。 另外，对于基于u d p 协议的应用来说，由于该协议本身对于j 顺序错误或 丢失的包并不做纠缠或重传，所以很难用简单的包过滤技术对其处理。状态 检测防火墙在对基于u d p 协议的连接处理时，会为u d p 建立虚拟的连接， 同样能够对连接过程状态进行监控，通过规则与连接状态的共同配合，达到 包过滤的高效与安全。 表2 - 1 是状态检澳i j 防, a 墙与传统防火墙技术( 如包过滤和应用网关) 的 性能比较。 9 电子科技大学硕士论文状态检测防火墙研究与设计 表2 - l 三种主要防火墙技术的性能比较 防火墙的性能包过滤防火墙应用网关防火墙状态检测防火墙 通信信息( 所有部分部分是 应用层的数据包 信息) 来自通信信息的否部分是 状态( 以前的通 信状态信息) 来自应用的状态否是是 ( 其它应用的状 态信皇) 信息处理( 基于部分是是 以上所有元素 的、灵活的、表 达式的f 占算) 第三章开发平台的选取 3 1 软件平台的选取 3 1 1 嵌入式l i n u x 概述 虽然大多数l i n u x 系统运行在p c 平台上，但l i n u x 也可以作为嵌入 式系统的可靠主力。l i n u x 流行的“b a c k - t o - b a s i c s ”方法使得它的安装和管 理比u n i x 更加简单灵活，这对于那些u n i x 专家们来说又是个优点， 他们已经因为l i n u x 中有许多命令和编程接口同传统的u n i x 一样而赏识 它了。 典型的装有l i n u x 系统压缩包，在拥有硬盘和大容量内存的p c 机上运 行，嵌入式系统可不要这么高的配置。个功能完备的l i n u x 内核要求大约 1 m b 内存。而l i n u x 微内核只占用其中很小一部分内存，包括虚拟内存和 所有核心的操作系统功能在内，只需占用p e n f i u m c p u 系统的1 0 0 k 内存。 1 0 电子科技大学硕士论文状态检测防火墙研究与设计 只要有5 0 0k 的内存，个有网络栈和基本实用程序的完全的l i n u x 系统 就可以在一台8 位总线( s x ) 的i n t e l3 8 6 微处理器上运行的很好了。由于 内存要求常常是需要的应用所决定的，比如w e b 服务器或者s n m p 代理， l i n u x 系统甚至可以仅使用2 5 6k br o m 和5 1 2 k br a m 进行工作。因此 它是一个瞄准嵌入式市场的轻量级操作系统。 与传统的实时操作系统相比( r t o s ) ，采用像嵌入式l i n u x 这样的开放 源码的操作系统的另外一个好处是l i n u x 开发团体看来会比r t o s 的供应 商更快地支持新的i p 协议和其它协议。例如，用于l i n u x 的设备驱动程序 要比用于商业操作系统的设备驱动程序多，如网络接1 ：7 卡( n i c ) 驱动程序 以及并口和串口驱动程序。 楱小l i n u x 操作系统本身的微内核体系结构相当简单。网络和文件系统 以模块形式置于微内核的上层。驱动程序和其它部件可在运行时作为可加载 模块编译到或者是添加到内核。这为构造定制的可嵌入系统提供了高度模块 化的构件方法。而在典型情况下该系统需结合定制的驱动程序和应用程序以 提供附加功能。 嵌入式系统也常常要求通用的功能，为了避免重复劳动，这些功能的实 现运用了许多现成的程序和驱动程序，它们可以用于公共外设和应用。l i n u x 可以在外设范围广泛的多数微处理器上运行，并早已经有了现成的应用库。 l i n u x 用于嵌入式的因特网设备也是很合适的，原因是它支持多处理器 系统，该特性使l i n u x 具有了伸缩陛。因而设计人员可以选择在双处理器系 统上运行实时应用，提高整体的处理能力。例如，您可以在个处理器运行 g u i ，同时在另一个处理器上运行l i n u x 系统。 在嵌入式系统上运行l i n u x 的一个缺点是l i n u x 体系提供实时性能需 要添加实时软件模块。而这些模块运行的内核空问正是操作系统实现调度策 略、硬件中断异常和执行程序的部分。由于这些实时软件模块是在内核空间 运行的，因此代码错误可能会破坏操作系统从而影响整个系统的可靠陛，这 对于实时应用将是一个非常严重的弱点。 另一方面，现成的r t o s 完全是为实时性能而l 殳计的，它通过在由用户 而非系统级进程启动时分配给某个进程以高于其它进程的优先级的方式来实 现可靠性。进程在操作系统看来就是在内存里或硬盘驱动器上执行的程序。 给他们指定进程d 或者数字标识符为的是让操作系统跟踪正在执行的程 1 1 电子科技大学硕士论文状态检测防火墙研究与设计 序和这些程序的相关联的优先等级。这样的方式保证了r t o s 时间能比 l i n u x 提供更高的可靠性( 可预见性) 。但最重要的，这还是一种更加经济的 选择。 3 1 2 基于2 4 内核的嵌入式l i n u x 系统 已经有许多嵌入式l i n u x 系统的示例；可以有把握地说，某种形式的 l i n u x 能在几乎任一台执行代码的计算机上运行。例如，e l k s ( 可嵌入l i n u x 内核子集) 方案计划在p a l mp i l o t 上使用l i n u x 。下面列出了一些更加广为 人知的小型嵌入式l i n u x 版本： e t l i n u x 一设计用于在小型工业计算机，尤其是p c 1 0 4 模块上运行的 l i n u x 的完全分发版。 l e m 一运行在3 8 6 上的小型( 8 m b ) 多用户、网络l i n u x 版本。 l o a f 一“l i n u x o na f l o p p y ”分发版，运行在3 8 6 上。 u c l i n u x 一在没有m m u 的系统上运行的l i n u x 。目前支持m o t o r o l a 6 8 k 、m c f 5 2 0 6 和m a f 5 2 0 7c o l d f i r e 微处理曙昏。 u l i n u x 一在3 8 6 上运行的t i n y l i n u x 分发版。 t h i n l i n u x 一面向专用的照相机服务器、x - 1 0 控制器、m p 3 播放器和 其它类似的嵌入式应用的最小化的l i n u x 分发版。 本次论文开发平台选用的是基于2 4 内核的嵌入式l i n u x 。无论那种嵌入 式l i n u x 系统，其至少应该具备如下基本元素： 引导实用程序 o l i n u x 微内核，由内存管理、进程管理和定时服务构成 初始化过程 因为本次课题要在该嵌入式l i n u x 上架构防火墙代码，所以该开发平台 还需要如下一些组件： 硬件驱动程序 一个或多个应用进程，以提供所需功能 一个文件系统( 可能是在r o m 或者是r a m 里) t c p i p 网络协议栈 储存半瞬态数据和提供交换空间的磁盘 1 2 电子科技大学硕士论文状态检测防火墙研究与设计 0 3 2 位内置c p u ( 所有完全的l i n u x 系统都需要) 选择实时嵌入式l i n u x 系统能够进一步提高状态检测防火墙的安全性。 虽然通用的操作系统如l i n u x 是广泛采用公开源代码的理想开放开发平台， 但通用的操作系统并不能提供最佳的性能和安全性。 3 1 3 嵌入式l i n u x 的开发模式 我们选用的这个嵌入式l i n u x 开发平台包括了进程管理、存储管理、设 备管理、文件系统管理、网络协议及系统应用等几个部分。该嵌入式l i n u x 只占用了很小的存储空间，并可高度剪裁，保证系统可以以较高的效率运行。 该系统包括如下几个核心部分：高性能的实时操作系统核心k e r n e l 、y o 系统、 文件系统、板基支持包b s p ( b o a r ds u p p o r tp a c k a g e ) 、网络设施( 该系统提 供了对其它网络和t c p i p 网络系统的“透明”访问，包括与b s d 套接字兼 容的编程接口，远程过程调用、远程文件访问以及b o o t p 和a r p 代理，无 论是松耦合的串行线路、标准的以太网连接还是紧密耦合的利用共享内存的 背板总线，所有的嵌 式l i n u x 网络机制都遵循标准的i n t e r n e t 协议) 、先进 的系列网络产品、虚拟内存( 即v x v m i 选项) 与共享内存( 即v x m p 选项) 、 目标代理( t a r g e t a g e n t ) 、实用库( 该实用库提供了个实用例程的扩展集， 包括中断处理、信号量机制、消息队列、内存分配、字符扫描、线缓冲和环 缓冲管理、链表管理和a n s ic 标准) 、基于目标机的工具( 在嵌入式l i n u x 开发系统中，开发工具是驻留在主机上的，用户开发的程序可以根据需要将 基于目标机的s h e l l 和模块加入到系统中) 。 综上所述，我们选择的开发平台是：安装了p c 版l i n u x 的主机，目标机 是安装了嵌 式l i n u x ( 内核2 4 ) ；所支持的处理器有：x 8 6 ，a r m , m i p s 等； 所支持的实验板：通过板基支持包支持广泛的实验板和嵌入式计算机平台， 已经开发的b s p 支持大量的厂商如m o t o r o l a , f o r c e ，i n t e l l - = ) , c l o n e ，d i g i t a l 等； 支持的编译器有：g n uc c + + ，a d a , 汇编, j a v a 等；所支持的网络协议有： t c p i p , n f sc l i e n ta n ds e r v e r , s n m p , s t r e a m s ，o s i ，a t m ，f r a m er e l a y , c o r b a ， i s d n ，x 2 5 ，p p e r p c ，f r p , t e l n e t , b o o t p 等，物理层支持：以太网、串行连接、 共享内存。 电子科技大学硕士论文状态检测防火墙研究与设计 3 2 硬件平台的选取 我们选择的硬件平台是：a r m 处理器( 1 3 3 m h z ) 、1 6 m br a m 、8 m b f l a s h 、两个固定的1 0 m 1 0 0 m 快速以太网接口、6 个1 0 m 1 0 0 m 的快速以 太网或千兆以太网接i z l 、d - l i n k 生产的实验板。 第四章状态检测机制的实现分析 4 1 状态检测所涉及的主要算法 4 1 1 路由选择算法与传统路由选择算法的区别 状态检测防火墙兼有路由功能，但与传统路由器相比较该系统的路由选 择算法具有很大的不同。 首先，从功能上讲，状态检测防火墙并不等同于路由器。事实上，路由 器自身不具备安全性，这是因为路由器的软件皮用的是动态路由选择算法， 并对外不断广播自身的链路状态，这样网络上所有节点都可以获得其网络地 址，从而使路由器有被攻击的可能。与此相比，状态检测防火墙并不对外广 播其链路状态，它使用静态地址映射与外界建立联系，因而大大减少了本身 遭受攻击的风险。其次，状态检测防火墙仅仅是在其内部网络段上使用一个 简化的r i p 进行动态路由选择运算，实现内部网络的路由选择。 4 1 2a s a 算法 状态检测防火墙在安全方面使用了一种主要的算法就是：a s a 算法( 自 适应安全算法) 。 可以这样说，a s a 算法是状态检测防火墙安全验证算法的核心。a s a 算 法采用了一种基于状态和面向t c p 连接的安全设计体系。a s a 算法基于源 和目的地址创建个会话流，同时在个连接完成之前将其t c p 序列号、 t c p 端口号和附带的t c p 识别标记随机地加入会话序列。该功能主要用来 监视从目的地址返回的数据包，并保证其合法性。同时，a s a 算法还可以 实现基于策略的安全体系，例如每一个内部系统和相关应用在未经过明确的 安全配置的情况下只允许单一方向的连接( 由内部到外部) 。使用随机生成的 】4 电子科技大