分布式网络安全研究及关键模块设计与实现解析

1、东北大学 硕士学位论文分布式网络安全研究及关键模块设计与实现姓名:梁大功申请学位级别：硕士专业:计算机系统结构指导教师:高福祥20051201X32ar rxvd fzs I 3&CMIC4 $ fifAHMHB2fj x- &4Tti * *4 & - ？ 33* 79 T9U r ?7 * &3? SI5S* X alt 114 r 31s mz a ii- s Hl* IB atF fl I m I ih tri ri s i I rl i Aett tJ 1 lej 911 ,81c, rtft I Hi t 15) ttfrL r t 9rt9 tn? ? t?z i 5 o ? m

2、fi f XE94 X3* 13 i- X&41XL1 AO * 7 in 9f *TJ *9 fa* B 5 f 3WRm)& ?f AtVHFtIIa33x$2* 0HD 235f Asww- BM 严P0R9 ge A s*s - Hwn - Sv 39432ss MW!S1BZ- 1 339 B3I rs. M82MSSS* 47eulsll 丄 口*9vx4*$eSXK Wllt1w ey =?= fAy“2-*s. nw ！umllL u ASSMen 0r*4/XSM48EN于 sa-z S1SAW82BHLIFS0 v 93w gM弘：MICMfzlf * 8WS w l8SB

3、*B3 * 聲0-ts AKBSIB A $ ?s9 “sscfr S33S9X *! e*923 scM%Baa*s*c SS*&S3 12H a* * *B9*43eAnwss Al 总 a. Sv2tf9s*x JI- szs 5 * 9 sclas. *3SS 3ss a 力s廉les壬斤xawr2MmM wlrfu 9s xer*;*fm MAlt*lB、alvr aw RRTMMIlfr mrta lrfl ULx3xaKh并& - ?*r + my 尺sat -tali. - Mi lwi8 sr s 9S w- 3S4B A- 9 * 4 才伊Acms2 兴、，为叱2匸7审 3

4、yl* r$rf Ao Ji4Kt9? S2SSS ? Y ,！! a s*SBa 3 9s* r?*crgMt-sBuQ s 9 5 lwfitlqyeYB* I nge-af , fmctef,疑今Mutxwu* . (. y *buiA nvi 令x奔Xi更RWO* 4WM1BV. U$5曲儿巒 rtKt ”餌*倉f f*Tir/*w*in* 44S- Vt(八鼻1G0!vent4Rr ifWX.MUrW)A!：心awif y 也算山*， 艮 rm. av- enawa*n曜!从！xweifw. 4m rt act人人丁氏丫少負需“_ n a ro vmwttaa rnitlmSrA.H

5、R*. Mir子Uryr勢* W*，ASM. -! 2. 时介! netiG41144m*皿UUI4L 1MIRIWI 二 e此雲n*nnt*wiuti_a刃mrxAtxtt*. tKM*iear vviiM nila”鼻/弼人穴“4*!*.af 护嬴 ! 0L*艮久化刃e 責 vy*iXM*RrKttfW.faiBnvfifK 瓠 F!Ctct UlTlQtHVtW ay 會忡 rr ft taaviiiKrtfewagrtnerwfa*：“ weifimfklJ RMRAM貝亭 ttaaet”m負乂* 址 *aaw MM*mwurnav M&H9ruin k-ilwr anam冃 RWit

6、sM4-rMlW*.齐(： -y wu第二网恪安全的録念以及主鼻技术 tr 先KIWHR. 4lt4anV rctf讯! Jiatta%*|flUIVe!Kf01Jtnwr 良户-tf-J * ,* .4lrulevrT1ltMkMt-1ve里程 : -星Nufe凫,r童#* iiu 5-lfivQpwmtrwD !事 5-tJ* 葛$*:A 戏 + b-r! 呼#.陀戛，神4-耳!3=1* i TI *=i-mrfli #*w*E量本!*i !亠rlnzIB.uww博 r7-M*- s忑.*=-!i-cw匸乱 l-mm rv - .fcF r = LBrsTH N :. kIf 詔 bB-*

7、 RB r髯氏再rHsilf # -m 厲immsn呎也牺tf書 :.!:刍Kafl4.f = !-_-&if .* *SK- 2,-f* ft- !sTlx 士 *.智 #* ME* T ,s -W忙牯肆*-?“ w-*, J72*无4亠：* 41 鼻sff vr fr & * Fr n # rHE-Gnab “ 4 W4 .r*-.-p MI wwwmms ” Irv s 哼Irft mw LS3.40E 1*sls*45$4 .fr Jrf M3,im 电lrs J需w右tf4*h- h Tu SC+:*!. 世MF4i丄a佯* -r 监韦-i_-EH i-Lr*atJ! lit =:

8、frlffld a -*-戸 _r-Fvy -岳巴* 舉 |.匚 *#Ncfi:卓 TtffH!-“ I Mrrw ZJrlw vfis4lr，T wl*T- 隹*炉*# ,專rs 応 W* M：J,F*JL-flME*LPrM4 - 3T * 事 sr.to :is -S-E-S-s_T.即4l1tw,*E4 *.tau # TH- 盘* s- -# 庐 swtt .i J Jt*.3s !=-* *直4Ermb-HitJ =*lr3l k n*-V-HS4 w ss 41 -云量*逼鼻rntoMlis*?M fHc flLr J fM呈 kr ;4*-1育*茫是鼻= IFavfgfl-ll

9、.*.余&%七禹两世Hfa-l.-#*4-A-srK主多z f*宅#* g *e4 *sE rtfa ss-fses w*匸需f-flir.5 K-Bf Fta _-F 5E isss - z* *-&4fc 迂* .* KflrtHIww-wvfEz ? 11 ！-* *-*44h sssss*& Fr*Gdll-Jh-* Hcp - ?-w矿 m p l*ur! s$s Tlf ky ivssf! 百 *- y-f r “K-tps暑* n .VSE sisi wsw *. :斗赢！#- 2 5 3! 議nsswirrMi二.IrF 長 Bi*34AB_s3s99 dBN ftjt A*

10、frvs* - ? i.&% r r L rE 百 JUXIKJrHoi* *e?* sB. rvfs-v LH3S rm -s*ilmKsw一* * a* M3VS - UEB * s w s 4 FT* rrV -J=-l睥咋.- 袖-*-*-H1fwrfl-d h H03wfffda 5&a34em !-hrLF*t s t m 9E4gu-mn_dLK-越 !-*vt / I- s CM s - 3+*? s+tk p心! *IH4V祠SCKSMd -S3 Tgz49-l*lnm附1|*看 t,t r串 * - n*-TY -H-(2缺省拒绝策略阻断所有进出于一个边界出入点的业务流(虽

11、然一般情况下它们仅仅阻断入站, 而不是出站的业务流，仅有指定的服务被允许通过防火墙。即：没有明确允许的行为 都是禁止的。为保证最大安全，通常建议运行缺省拒绝模式。对于运行缺省允许策 略防火墙来说，这可以提高网络的性能，但它的问题是当新的安全攻击出现时，防火墙 管理员将不得不化费很多时间来应付攻击者，这将加大安全风险。2.2.2传统防火墙技术分类防火墙的主要作用是过滤出入内部网的包，以达到访问控制的目的。对包的过 滤或屏蔽的方法主要有以下两种17】,第一种方法是在出入口处设置包过滤器来过滤包，其示意图参见图2.2。包过滤器既可以用硬件实现，也可以用软件实现，一般工作在网络层。它根据一系列的过滤

12、规则来做出是否允许IP协议包在网络问通过的判定。通信主机的IP连接依赖于一 个唯一的源和目标IP地址。对于网络层防火墙来说，传输层端口号也是常常用到 的。基于IP协议和端口号等属性，防火墙能够做出过滤的判定。包过滤器具有成本 较低，比较灵活且对用户透明的优点。因此，它可以设置比较复杂的过滤策略。图2.2包过滤不意图Fig.2.2Sketch map ofPacket Filter第二种是应用层代理服务器，其示意图见图2.3所示。它是目前安全性较高的网 络安全机制。应用层代理服务器也称为应用层网关，代理服务器可以理解为一种应 用协议，可以实施更细粒度的访问控制，如内容过滤等。它为每一种服务需求实

13、现一 个代理服务器，如:HTTP,FTP和Tel net代理服务器。对于不同的网络服务，代理服务 器要启动相应的服务程序。代理服务器体系结构中共有三种角色：客户，服务器,代理 服务器。客户不能直接与服务器进行通信，只能利用代理服务器作为中介与服务器 进行对话。代理服务器为网络间直接通过的业务流提供保护，并且由于代理服务器常常是为某一指定的协议而设置的，它们能够为通过它们的数据执行严密复杂的日 志和审计。应用层防火东北欠学硕士学位论文第二章网络安全的概念以及主要技术墙的缺点是对希望通过防火墙的每一种协议必需要有一个代理。如果没有相应 协议的代理，那么这种协议将不能使用。有些协议，如用于mail的

14、SMTP协议有固有 的代理。但是其他一些协议，如用于文件传输的FTP则不是。东北大图2.3代理防火墙示意图Fig.2.3Sketch map ofProxy2.2.3防火墙的体系结构Steven等在其著作【7J中认为，常见的边界防火墙系统体系结构有以下几种屏蔽主机防火墙屏蔽主机防火墙由包过虑路由器和堡垒主机组成，参见图2.4所示。这种防火墙 系统提供的安全等级比包过滤防火墙系统要高，因为它不仅实现了网络层安全而且 还实现了应用层安全。通常，堡垒主机部署在内部网络，包过滤路由器部署在内部网 和外部网之间。通过在路由器上设置适当的过滤规则，就可使得外部系统只能访问堡垒主机，直接发往内

15、部网络其它主机的包将全部被阻挡：由于内部主机与堡垒主机 处于同一个网络，内部系统是否允许直接访问外部网，或者是要求使用堡垒主机上的 代理服务来访问外部网则由机构的安全策略来决定。图2.4屏蔽主机防火墙体系结构Fig.2.4Architecture of Scree ned Host Firewall223.2屏蔽子网防火墙屏蔽子网防火墙见图2.5所示。两个包过滤器之间部分为非军事区DMZ(Demilitarized Zone。通常情况下，堡垒主机、信息服务器、其它服务器被部署在 DMZ中。对流入的包，外部路由器用于防范通常的外部攻击，并负责管理和维护外部 网到DMZ网络的访问。它只允许外部系统

16、访问堡垒主机。内部路由器一般只接受 来自堡垒东北走学硕士学位论文第二章网络安全的概念以及主要技术主机的包，并负责管理和维护DMZ到内部网的访问。对于发往外部网的包，内 部路由器管理内部网络到 DMZ网络的访问，同时，它只允许内部系统访问堡垒主 机。拒北*栄師士学位论文图2.5屏蔽子网防火墙体系结构Fig.2.5Architecture of Scree ned Subnet223.3双宿堡垒主机结构双宿堡垒主机体系结构示意图见图2,6,其通常有两个网络接口，般具有封闭两个端口之间直接转发信息的功能。双宿堡垒主机结构强制所有去往内部网络的信息 必须经过堡垒主机，当外部网用户具有直接访问内部服务器

17、的权力时，将需要附加其 它的安全措施。由于堡垒主机是唯能从外部网直接访问的内部系统，因此，往往受 到攻击的主机就只有堡垒主机本身。牢固可靠，避免被渗透和不允许用户注册对堡 垒主机来说是至关重要的。用双宿堡垒主机可以构造安全的防火墙系统。东北大学硕士学位论文圈2.6双宿堡垒体系结构Fig.2.6Architecture ofDual-homed Host2.2.4边界防火墙的缺点传统的边界防火墙要求网络对外的所有流量都经过防火墙，而且它依赖于一个 基本假设：防火墙把一端的用户看成是可信任的，而另一端的用户则都被作为潜在的 攻击者来对待。很长一段时间以来，边界防火墙在拓扑结构简单的中小型网络上工

18、作得很好但是,Sotiris loarmidis等指出【l ”网络发展的儿个新趋势使得它很难适 应。(1网络传输速度正迅速的增长，加上高计算强度协议(特别是IPSee的使用，使得 防火墙越来越成为速度瓶颈。在不减少或转移安全策略设置的前提下，尽管防火墙的哥予4)眈111詡1円曙 HP w U旳汀m4dll 严-l 曲 ifclft F H M.-FIT + f-iM ft Jin-mi l*F|EfktuRilTiBriHA 1|. 4*fi| k. MilW BA4H4 JKtfrW 彳衍超 tio thmriiB勺 th#riiVNKri-i-xs ttr ifrw.岬血；卜厦Huth p

19、 I-A 専 止辱* 蹩屯哙 Ha an ? 4-. Uih. % Lta 1 L f fl.1A A 4-A-#+rf&4 4 nei-vpr T W Ihiiw nnVfl T HHM勺E.R-N城平書略用債 ft 序*幣凹uHifc-nii m e iinit ?.-. ufr hi mswupf史甲討卜町UH HHt. 4E1I叫n円R整门汕憚取孔*hm IJLA. F4-4rs#fci*U - IMit, 4-|(恥HFIjiKHM-kIfM.A1-丸串 f 圧妆*i iiwtiiir i?!mTr*!41* ipnqiVHir iJLdl|krilJtBM4 匪1TWQ鼻 f：茁用

20、事良小 4ttLne4 fl 4 MM lrHN JJCP.S V K ： Hi4BWf M之间的防护产品(3簸略控制中心。边界防火墙只是网络中的单一设备 ，管理是局部的。对分布式防火墙来说，每个防火墙作为安全监测机制可以根据安全性的不同要求布景在网 络中的任何需要的位茕上，但总体安全策略又是统一策划和管理的，安全策略的分发 及同志的汇总都是策略中心应具备的功能。策略中心是分布式防火墙系统的核心和 重要特征之一。图2.7是分布式防火墙的一个部署实例，从中可以得到策略控制中心 在分布式防火墙中的核心地位。东北大学硕士学位论：之间的防护产品。图2.7分布式防火墙的一个应用举例Fig.2.7A n

21、Example ofDistributed Firewall2.3入侵检测技术及发展2.3.1入侵检测的定义由2.1.3节介绍，系统的安全特性主要包括：机密性、完整性和可用性等等。而入 侵就是指任何危及资源的完整性、机密性和可用性的活动。入侵检测(I ntrusi onDetection,顾名思义，是指对入侵行为的发现，它通过在计算机网络或计算机系统中的 若干关键点收集信息并对收集到的信息进行分析，从而判断网络或者系统中是否有 违反安全策略的行为和被攻击的迹象，如果在特定的网络环境中发现和识别未经授 权的或恶意的攻击和入侵，并对此做出反应的过程【”1入侵检测系统主要通过监控网络、系统的状态、行

22、为以及系统的使用情况，来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入 侵的企图。2,3.2入侵检测系统的组成入侵检测系统的组成结构因网络环境和安全策略而不同。尽管在实现上有所不 同,但它至少要包括三个基本组成部分：数据提取、入侵分析和响应处理。另外还可 能包括安全知识库、数据存储等模块，如图2.8所示。其中，数据提取是入侵检测系 统的数据入*入怜帆Kf Riut eiX人 ewwii4M. tihraia*.?aM*.4CnM-1 *!片#At9AIVA HIXH . ni mmh bM DMi. m* 人AWn-31 atKMAdaBLT员刃人f “AH*血tMW

23、tt*！Mt软侏r：.A从孑負广“上斤祝覽埶M UAPf f良A皐户、VN. 賣WSW.u% arBwAfi 口“.wwaisir. tRrear貝、寫壬：tcxefxvnraw 氏*. y貝人R口吴w* 4WaQH ata MawmiM川*护醫12“只曲， 人*9tAK!A*：金lUtM(V 4Wb I RMftMlWft生卜4g.人U*tAL1AJ&人WtrfrA WW6U 爲卸仃2人* 个f r*txa 忖2柏HtftlHI tllv Htta空M(w片mojo卢*& iu ws.uied y .it川卢uiii MXAtRH$，人CC2FtUgfM代八ne.ii、*LKM HRAM*恂

24、勺亍5JMt匕才*antirr.Ait ttX.t liiRV4AtfAt*tvMAfi；4i7ttT aMaea n站W4祕IMlimiLVMfit5AMi代noat HWAHMTfa ISUItMBMdMM 1*U n七尺僧人九SM*入/輸尺 CM A it就3丄舄etnuzmb4am勘ok*.XM /晝乃冋y 勺父c#hr事用hnse 瓷” Ml tMl鼻力人 *貝&口.令WK6b F人3命 勺 4H枪Em *di*anmttnnK4.iigreu*ii*iLtfnd9金 绘. MWAaaRa4Jitttaiftt!itt txr.a. Ai9Ha. I0A4AB. !; #rBU3人检

25、方1.4小 卜闻覚财忸上4叫史上整lt.l叫,JI * 耻珂列”黑IT!、*:遲IT丁导” AJtM4X fef;Ur Tjd I i t *ritflUirhilitA*： h 一 _ua.-*t*ft. BIMUr*3JJI1 !* M* AflMa #f 1!1|*車 AM- ；-口 出 WWIBftittrtMML耳弾卜沁時迪査H碣如童豪耳麗貝4刃扉逼1 F .WiribltMlKAIiHdLffVVPVIl- I-tfl*皿陌啣虜舸臨询nm呻 kJ tt*SM*出响鼻*迥嶋Hi pr AtFi* 打直管嚼f* * Fhl ltil! 1*m At 暫亍 f - HHItABWt*-a

26、H MRU * T b M| raUff * 2J3 * 玄 费片怛抖汕电關! Ml HAfl . R井ULQ: ：_ #1ll T tn if. 1 &iMJ.fr, 住鼻 Tt KkMl Iff XP* -耳a R i *, H AI*KB-iiklr-T?;豐叩孟0# + 博器”舅豊M崛主In A&：fHR鼻料界耳4 *加曲肚IL R員巴司ILI .、孔口UH- MHCM止氧11曲折丈冃* 糧戌3. 打 EKSRfi W胃ff* * St ti| u*ABMfl J! 1! VIA KflUJl ft II im 曜 *卫iiKUfl A. WFriUBiJfrlTiW耳rrfrlf f

27、 B!甘! *则殆ii上井和Ku吟童Fw： 口心上四:in5贏U叭”砧 rH. lhh hh I卫If 刿 0 ifi儿二审厲*J耶.: Mir*n NflAfl ff rhif.曜金DkAi*.虜口* vfc tn kb hH cin c. # a Jt.mire 事 iFMlift 鼠it料*f 竹鼻 m 黑t-flltl*ft J r !SiEnt+l|4XjMMIlB东北大学硕士学位论文第三章分布式网络安全体系的设计第三章分布式网络安 全体系的设计在本章中，首先提出了本课题设计的分布式的网络安全的体系结构 ，分析了这种 体系结构的优势，介绍了基于ACE来构建分布式的策略解析平台的思想，

28、进而讨论了 三种主要平台：UNIX、Windows和Linux的包过滤的关键技术,并对ACE中间件进 行了分析。3.1分布式安全体系结构通过对网络安全技术的深入研究，本文提出了一种分布式网络安全的体系结构， 这种体系结构融合了防火墙与入侵检测的概念，并加入了分布式的概念。这种体系 结构以策略管理为核心，在网络中既部署了位于网络边缘的中央防火墙，也有位于端 系统的主机防火墙，同时还提供了入侵检测系统（DS等安全防护手段，各安全部件通 过策略服务器统一调度，协同工作。为能够动态地适应网络安全状态的变化，体系结构中包含审计服务器，通过对防火墙日志及IDS事件的审计,为策略的制定、分发提 供依据。体系

29、结构的总体图如图 3.1所示。东北大常硕士学位论文第三章图3.1分布式网络安全的体系结构Fig.3.1Architecture ofDistributed Network Security为了适应大规模分布式被保护网络的安全需求，系统采用了一种层次化的体系 结构来实现安全策略管理，并且按照安全防护的覆盖范围（安全区将安全策略管理分 为三个等级：核心级、区域级和子网级。核心级的策略管理器负责制定并定期向区 域级策略管理器分发整个安全区域的安全策略（全局安全策略；区域级策略管理器结 合全局安全策略和本区域的安全特点制定区域级安全策略（区域安全策略，区域安全 策略被发xxnr 醫哎才ED Hftow

30、vc YI时卩H子0tofRRK wue04IIU9Bt!l*i*4星VBtHtX.AAUmA MMWBMWMttt. WXR 优代涉 #rnfia，ReMMeeB.T IM芋盘氏“$mrhhi9b0 BVMMttMtVf. UiMflWVA0 ttBURH处lttmif /豪灯令巳出 wnrt*Y*mHoiva h. &恃*贰貝it詣卸血 xrK 4，書f 力RC*駅竇阪(fKite!樹/ 上 a-亿 KMeaWR9VVr I!VM0UIK * 4IRtlilfl Ra. SXAfirsr MY 的* 算/*貝. XTtf Ad r*; e7冷i林m t 玄rtUWit需 WrltXMK命

31、f：高槽作 ata Uw laa M算 “d祝&食.U f*6ttXfiiUIXSu.i eeaMa+irst(s rBAafarMMKdtfnc #Brnta 用析 wi gw: wi ramMit 金4A】tn4AreHwu.HwautK.cmtixtei*hia-. uruniMg tm.czi snuMem DUAVAVK- inwis *上aFIU*餌： C Hine tBMRCtC- ITWhVMft拿SUMatE. ai AMfiM tn MW0CmR#4Mi、RuiiPswewiivFwu |*席于IXFUHB iHWtrr.lM9 侧E怜矗 uw g ”aw YIM fRoj

32、 xff.v ufti#n. ueairtff01 MB血MOMR _Lft VawMU9aeecta. *TtAW*fIstflrwso上心.Ren*wworwrcwtsa)4M*SWEW 欠 Ser9s F 5C 2e- .: ! $ VKtfssx m4-rL:f!rai !=14 s FJr:rerEc* Hevww e雪K* sia * .* 9ttmwitf 92 w *1 匕cnt-nFrezf 住 &V0 一&svvd emlYWWV *#asvvw r_2w dr fivflaks SSHtwac scsr .vxrwF rrec * J ssv 3 *rw. rl s!(T

33、IMM w w: KEVW 3& .T *. 4n3 MT was ” GG393會 Kzrow2s* $c口岭y .fc?r2！HF*5g * O3 * .Qu* HTQ卫*?ee # eswsst srxfc-ft.K d 6uwswttes& z $z .veu2TWB .f *rs W3JI .mm eTtlrr is 1* sl * nBa nf WM = 2wc1nufc$*s 0w * 2MM esse,2古y 83* ? 拿亠上 * wgFKW 4Jlfi 金首* !J KK MM .侥 wir5S *? X,3占- *苓ff r*s&J3so2WMftle 3 vmo ”*my sass .XW8 Mr6 $ crt?sftcs? wrp!t: HV85 9 -* Ere o twnryssH 2 8e w-UCBiv- US d:Kemf s As cay3够ls5& *k s- u-s/ *$ Q! ,*!s 4U9IXX5