【正文】 們還可以共享數(shù)據(jù)。許多路 J 婦器本身帶有報文過濾配置 選項，但一般比較簡單。如果受保護網(wǎng)是一個虛擬擴展的本地 網(wǎng)，即沒有子網(wǎng)和路由器，那么內(nèi)部網(wǎng)的變化不影響堡壘主機和屏蔽路由器的配置 . (4) 被屏蔽子網(wǎng) (screenedsub) 被屏 蔽子網(wǎng)就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺分組過 濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。如果攻擊者試圖完全破壞防火墻，他必須重新配置連接三個網(wǎng)的路由器，既不切斷連接又不要把自己鎖在外面，同時又不使自己被發(fā)現(xiàn)，這樣也還是可能的。包過濾器可在路由器之 外單獨設(shè)置，也可與路由器做成一體，在路由設(shè)備上實現(xiàn)包過濾，還可在工作站上用軟 件進行包過濾。由于分組過濾執(zhí)行在 0SI 模型的網(wǎng)絡(luò)層和傳輸層，而不是在 應(yīng)用層，所以這種途徑通常比防火墻產(chǎn)品提供更強的透明性。當(dāng)一個分組到達時，將按分組規(guī)則的存儲順序依次運用每條規(guī)則對分組進行檢查。 從規(guī)則 4 和 5 我們可以看到將規(guī)則按適當(dāng)?shù)捻樞蚴欠浅１匾?。這是一個在設(shè)計安全可靠的網(wǎng)絡(luò)時應(yīng)該遵循的失效安全原則。 (2)代理服務(wù)和應(yīng)用層網(wǎng)關(guān) 代理服務(wù)使用的方法與分組過濾器不同，代理 (Porxy)使用一個客戶程序與特定的中 間結(jié)點連接，然后這個中間結(jié)點與期望的服務(wù)器進行實際連接。代理服務(wù) 可提供詳細的日志記錄及審計功能，這大大提高了網(wǎng)絡(luò)的安全性，也為改進現(xiàn)有軟件的 安全性能提供了可能性。如果網(wǎng)絡(luò)管理員不能改變所有的代理服務(wù)器和客戶程序，系統(tǒng) 就不能正常工作。 即便如此，最終用戶也許還需要學(xué)習(xí)特定的步驟以通過防火墻進行通信。許多防火墻允許系統(tǒng)管理員運行兩個代理拷貝，一個 在標(biāo)準(zhǔn)端口運行，另一個在非標(biāo)準(zhǔn)端口運行，常用服務(wù)的最大數(shù)目取決于不同的防火墻 產(chǎn)品。一個明顯的例子就是許多的 Web 瀏覽器中加入了大量的安全措 施。采用應(yīng)用層網(wǎng)關(guān)的主 要優(yōu)點是能夠記錄和控制所有進出的網(wǎng) 絡(luò)通信業(yè)務(wù)。每當(dāng)一個新的需保護的應(yīng)用加入網(wǎng)絡(luò)中時，必須為其編 制專門的程序代碼。 防火墻的作用 (1) 網(wǎng)絡(luò)安全的屏障 防火墻作為阻塞點、控制點能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)來降低風(fēng)險。防火墻可以拒絕所有以上類型攻擊的報文并通知管理員。 (3) 對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計 因為所有的訪問都經(jīng)過防火墻，所以防火墻能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。此外，網(wǎng)絡(luò)使用統(tǒng)計功能對網(wǎng)絡(luò)需求分析和威脅分析等而言 也是非常重要的。 (5)阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的 ONS 信息 通過 這 種 方法一臺主機的域名和 IP 地址就不會被外界所了解。對于 NAT 的另一個名字 是工 P 地址隱藏。使用這些網(wǎng)絡(luò)地址的一個好處就是在互聯(lián)網(wǎng)上永遠不會被路由。 DMZ 用來作為一個額外的緩沖區(qū)以進一步隔離公網(wǎng)和你的內(nèi)部私有網(wǎng)絡(luò)，從物理 上和內(nèi)部網(wǎng)隔開，并在此部署 WWW 和 FTP 等服務(wù)器，將其作為向外部發(fā)布內(nèi)部信息的地點 . 但是這種實施的缺點在于存在于 DMZ 區(qū)域的任何服務(wù)器都不會得到防火墻的完全保護。 邊界防火墻的局限性 從安全角度講 :傳統(tǒng)邊界防火墻只在網(wǎng)絡(luò)邊界具有安全保障功能，作用范圍有限， 而當(dāng)前的網(wǎng)絡(luò)犯罪又多源于網(wǎng)絡(luò)內(nèi)部 。傳統(tǒng)防火墻的實現(xiàn)是基于人為地將網(wǎng)絡(luò)分為了內(nèi)部可信任網(wǎng)絡(luò)和外部不 可信 網(wǎng)絡(luò)，這種針對特定的網(wǎng)絡(luò)拓撲實現(xiàn)的防火墻難以滿足網(wǎng)絡(luò)多元化的發(fā)展要求 。傳統(tǒng)的 防火墻均是集中式的，主要缺陷在于 [6]: (1) 邊界防火墻設(shè)置在網(wǎng)絡(luò)邊界，在內(nèi)部企業(yè)網(wǎng)與外部互聯(lián)網(wǎng)之間構(gòu)成一道屏障， 對網(wǎng)絡(luò)數(shù)據(jù)流進行訪問控制。邊界防火墻難以 平衡網(wǎng)絡(luò)效率與安全性設(shè)定之間的矛盾，無法為網(wǎng)絡(luò)中的每臺服務(wù)器訂制規(guī)則，它只能 使用一個折衷的規(guī)則來近似滿足所有被保護的服務(wù)器的需要，因此或者損失效率，或者 損失安全性。 (3) “ 單 點失效”問題 :防火墻將所有任務(wù)集于一身，所以一旦防火墻配置錯誤或出現(xiàn) 8 問題，則全網(wǎng)會暴露在攻擊者面前。 (6)安全模式單一 :傳統(tǒng)防火墻的安全策略是針對全網(wǎng)制定的，全網(wǎng)中的所有主機遵從單一的安全模式，網(wǎng)絡(luò)中的主機和服務(wù)器在安全性上不具體針對個性特點 分布式防火墻的提出 由于傳統(tǒng)防火墻的缺陷不斷顯露，于是有人認為防火墻與現(xiàn)代網(wǎng)絡(luò)的發(fā)展是容 的，并認為加密的廣泛使用可以廢除防火墻。T 實驗室研究員 StevenMBenovin 在他 的論文“分布式防火墻”中首次提出 T 分布式防火墻 (DistributedFirewall， DF 的 的概念，給出了分布式防火墻的原型框架，奠定了分布式防火墻研究的基礎(chǔ)。一部分是主機防火墻，它解決了傳統(tǒng)邊界防火墻不能解決的問題 (例如來自內(nèi)部的攻擊和結(jié)構(gòu)限制等 )。 在傳統(tǒng)邊界式防火墻應(yīng)用中，企業(yè)內(nèi)部網(wǎng)絡(luò)非常容易受到有目的的攻擊，一臺已經(jīng)接入了企業(yè)局域網(wǎng)中的某臺計算機，一旦獲得對這臺計算機的控制權(quán)，他們便可以利用這臺機器作為入侵其他系統(tǒng)的跳板。分布式防火墻還可以使企業(yè)避免發(fā)生由于某一臺端點 PC的入侵而導(dǎo)致病毒向整個網(wǎng)絡(luò)蔓延的情況發(fā)生，同時也使通過公共賬號登錄網(wǎng)絡(luò)的用戶無法進入那些限制訪問的計算機系統(tǒng)。 (2) 提 高 了 系 統(tǒng)性能，消除了結(jié)構(gòu)性瓶頸問題。分布式防火墻則從根本上去除了單一的接入點，而使這一問題迎刃而解。而不會像邊界式防火墻一樣隨著網(wǎng)絡(luò)規(guī)模的增大而不堪重負。在沒有上下文的情況下，防火墻是很難將攻擊包從合法的數(shù)據(jù)包中區(qū)分出來的，因而也就無法實施過濾。對這個問題的傳統(tǒng)處理方法是將遠程“內(nèi)部”主機和外部主機的通信依然通過防火墻隔離控制接入，而遠程“內(nèi)部”主機和防火墻之間采用“隧道”技術(shù)保證安全性，這種方法使原本可以直接通信的雙方必須繞過防火墻，不僅效率低而且增加了防火墻過濾規(guī)則設(shè)置的難度。 分布式防火墻打破了邊界防火墻對網(wǎng)絡(luò)拓撲的依賴關(guān)系，將內(nèi)部網(wǎng)的概念由物理意 義轉(zhuǎn)變成邏輯意義。由于在分布式放火墻系統(tǒng)中安全 策略的執(zhí)行被推向了網(wǎng)絡(luò)的邊緣 — 終端節(jié)點，這樣不僅保留了傳統(tǒng)防火墻的優(yōu)點，同 時又解決了傳統(tǒng)防火墻的問題。注 意 :這里所指的防火墻并不是傳統(tǒng)意義上的邊界防火墻，而是邏輯上的分布式防火墻。同時，由編譯器將策略語言的描述轉(zhuǎn)換成內(nèi)部格式， 形成策略文件。策 略的分發(fā)有多種方法，如策略服務(wù)器主動分發(fā)、主機主動到策略服務(wù)器上去取 等。在運行期間主機根據(jù)管理員 (或用戶 )配置的 方法將日志數(shù)據(jù)上傳到中心服務(wù)器日志數(shù)據(jù)庫中。分布式防火墻在工作的時候首先由制定防火墻接入控制策略的中心通過編譯器將策略語言描述轉(zhuǎn) 換成內(nèi)部格式，形成策略文件 :然后中心采用系統(tǒng)管理工具把策略文件分發(fā)給各臺“內(nèi)部”主機 。 (2) 主機防火墻 這是傳統(tǒng)邊界防火墻所不具有的，它駐留在主機中，負責(zé)策 略的實施。 針對桌面應(yīng)用的主機防火墻類似于個人防火墻。 (3)中心管理 對于邊界 防火墻來說，由于其只是網(wǎng)絡(luò)中的單一設(shè)備，在單一節(jié)點對網(wǎng)絡(luò)進行防護， 其管理是局部的。從而使安全策略從網(wǎng)絡(luò)與網(wǎng)絡(luò)之間推廣延伸到每個網(wǎng)絡(luò)末端。 (3)類似于個人防火墻 針對 桌 面 應(yīng)用的主機防火墻與個人防火墻有相似之處，如它們都對應(yīng)個人系統(tǒng)，但 其差別又是本質(zhì)性的。 分布式防火墻的功能 分布式防火墻的功能大致包括 : (1) Inter 訪問控制 依據(jù)工作站名稱、設(shè)備指紋等屬性，使用 Interent 訪問規(guī)則”，控制該工作站或 工作組在指定的時間段內(nèi)是否允許或禁止訪問模板或網(wǎng)址列表中所規(guī)定的 Inter 服 務(wù)器，某個用戶可否基于某工作站訪問 W 叨 W 月及務(wù)器，同時當(dāng)某個工作站用戶達到規(guī)定流量后確定是否斷網(wǎng)等側(cè)。 (5)日志管理 對工作站協(xié)議規(guī)則日志、用戶登陸事件日志、用戶 Interent 訪問日志、指紋驗證規(guī) 則日志、入侵檢測規(guī)則日志的記錄與查詢分析。當(dāng)網(wǎng)絡(luò)較大時可對關(guān)鍵服務(wù)器單獨制定策略，而對一般用戶可分成若 干組或域，在每個組內(nèi)使用相同的規(guī)則，組間則使用不同的規(guī)則。當(dāng)策略更新時，所更新的策略隨即被推送 給相應(yīng)主機。 (2)日志的收集機制 在分布式防火墻中，日志由主機傳送到中心策略服務(wù)器也有多種機制，第一種方式 是服務(wù)器“定期采集式”。第三種方式是“定量傳送式” ，即當(dāng)主機中的日志信息量達到一定 程度時，日志即被傳送到策略服務(wù)器 . (3) 加密認證機制 任何分布式系統(tǒng)自身都面臨安全問題，分布式防火墻也不例外。本章介紹分布式防火墻的總體設(shè)計方案，下一章介紹方案的實施。 遠程端點主機 少， 如果僅僅為了少數(shù)的遠程端點主機而放棄依賴網(wǎng)絡(luò)拓撲結(jié)構(gòu)，完全使用證書標(biāo)識主機 ,顯然是一種資源和效率的浪費。 (3)使用統(tǒng)一策略語言的必要性和可行性都有待商榷。這種隨心所愿的安全措施顯然是不能滿足整個網(wǎng)絡(luò)的安全需要，并且 這些小型網(wǎng)絡(luò)對防火墻的基本需要包括 : (1)代理上網(wǎng) (NAT) (2)包過濾防火墻 (3)日志 (4)簡單的入侵預(yù)防 (5)日志分析和入侵檢測 下面介紹這樣一個小型分布式防火墻的體系結(jié)構(gòu)和各部分的詳細設(shè)計思想。 整個分布式防火墻系統(tǒng)由三個主要部分組成 :管理中心、策略執(zhí)行器和遠程端點連 接器。連接器使用證書證明遠程端點的身份，而證書 是管理中心通過策略文件的形式發(fā)送給端點的，我們將遠程端點連接器和策略執(zhí)行器集 成在一起。遠程端點上必須安裝遠程端點連接器，必須使用遠 程端點連接器與網(wǎng)關(guān)或其他內(nèi)部端點建立連接，才能得到比因特網(wǎng)上一般主機較高的訪 問權(quán)限。包過濾規(guī) 則存放在管理控制規(guī)則文件中，根據(jù)需要存儲的內(nèi)容將控管規(guī)則文件劃分為以下幾段， 如下圖所示 : 17 圖 2控制規(guī)則文件結(jié)構(gòu) 策略文件和策略執(zhí)行器之間要有一個協(xié)議，使得執(zhí)行器可以翻譯策略文件并執(zhí)行。因此，應(yīng)該實現(xiàn)策略的共享，也就是為主機 A 定 義的策略可以直接或稍加修改后就可用于主機 B。在我的系 統(tǒng)中，中心在定義策略的同時定義哪些端點有權(quán)不使用甚至修改策略，而哪些部分是一 定要按中心的定義去執(zhí)行的。主要出于以下考慮 : 代理服務(wù)器需要為不同的應(yīng)用和協(xié)議開發(fā)不同的代理程序，這樣工作量太大，而且 靈活性不高。 包過濾防火墻是嵌入系統(tǒng)內(nèi)核的，從根本上加固了端點主機的操作系統(tǒng)。如果到了規(guī)則鏈末端時，仍然沒有匹配的規(guī)則，就執(zhí)行該規(guī) 則鏈的默認策略。其本身僅僅是一些規(guī)則的集 合，沒有默認策略。這樣可以防止像 SynFlood 之類的簡單攻擊。日志文件保存的路徑 是可以指定的。我們將在 Pasthru 的基礎(chǔ)上實現(xiàn)一個對數(shù)據(jù)包操 作的擴展，從而實現(xiàn)分布式防火墻策略執(zhí)行器包過濾模塊的功能。 NDIS 輸出了許多例程供宏供驅(qū)動程序使用，比如 Ndissend， NdisRequest， NdisReset 等， NDIS 驅(qū)動程序使用這些例程，從而獲得硬件可移植性和源代碼兼容性。每一層的驅(qū)動程序從不直接調(diào)用其它層次的驅(qū)動程序的例程，而 是僅僅使用 NDIS 庫函數(shù)，雖然本質(zhì)上還是由 NDIs 調(diào)用了其它層次的驅(qū)動程序的相應(yīng)例程 (某些 NDIS 函數(shù)僅僅是一個宏名而已 )。前者指綁定一個微端口，并對 所經(jīng)過的數(shù)據(jù)進行過濾。利用 NDIS 的這種封裝特性，就可以專注于一層驅(qū)動的設(shè)計，減少了設(shè)計的復(fù)雜性，同時易于擴展驅(qū)動程序棧。如果驅(qū)動程序需要在下邊緣與 ND 工 5 通信，那么它需要向 NDIS 庫注冊一組形如 Protocolxx 的例程，使得該驅(qū)動程序?qū)τ谙旅娴尿?qū)動程序來說表現(xiàn)得好像是一個協(xié)議驅(qū)動程序。 處在最底層的是網(wǎng)絡(luò)接口卡，緊接著是硬件抽象層 HAL， AHL負責(zé)與真正的硬件打交道，為內(nèi)核屏蔽了除 CPU 之外的硬件差異，這就使得內(nèi)核的大小可以減小，并且增加了可移植性，內(nèi)核只需要關(guān)心的是 CPU 體系的差異。日志前綴則是完全由用戶定義的、便于理解的字符串。用戶可以通 過對日志的分析，了解防火墻運行的情況并發(fā)現(xiàn)一些問題。對匹配的包進行的處理可能有以下 幾種 :丟棄、拒絕、轉(zhuǎn)發(fā)、跳到其他鏈 (非內(nèi)建 )、進行時間限制、放入隊列中等待用戶 空間的程序進行處理、記入日志等。 包過濾程序根據(jù)包的傳輸方向找到對應(yīng)的規(guī)則鏈進行匹配。 18 包過濾 根據(jù)策略文件對于包過濾規(guī)則的規(guī)定對所有 進出的數(shù)據(jù)包的頭部信息進行過濾，決 定如何處理該包。因此代理服務(wù)器型的防火 墻不能適應(yīng)主機上種類繁多的通信需要。它是真正行使保護端 點主機職責(zé)的程序，主要完成傳統(tǒng)防火墻的功能，另外還要實現(xiàn)與管理控制中心通信、 處理遠程端點建立通信連接的請求等功能。也可以為整個子 網(wǎng)定義安全策略，然后作用于子網(wǎng)中的所有主機 . 雖然策略是由中心定義的，但有時也需要給端點主機一定的權(quán)利對策略進行修改。為了避免這種情況發(fā)生， 就不能以 ASCII 明文保存和傳遞策略文件，而要進行一定的格式轉(zhuǎn)換，將策略文件轉(zhuǎn)換 成用戶不可讀的格式。 16 圖 1小型混合網(wǎng)絡(luò)分布式防火墻體系結(jié)構(gòu) 管理控制中心 管理控制中心是整個分布式系統(tǒng)的核心，在本系統(tǒng)中控制中心的主要功能為：作為分布式服務(wù)器接收各個防火墻客戶端軟件傳輸過來的報警日志、將日志存儲在固定的位置、啟動時讀取報警日志、根據(jù)客戶端的 IP 地址來顯示客戶端的 IP 地址。整個系統(tǒng)的體系結(jié)構(gòu) 如圖 所示 :把該體系結(jié)構(gòu)應(yīng)用于現(xiàn)實的小型混合 網(wǎng)絡(luò)上應(yīng)該是這樣的 :管理中心可以安裝在局域網(wǎng)上的任