【正文】 TCP端口號 TCP端口號 網(wǎng)絡(luò)訪問 TCP IP 電路級網(wǎng)關(guān) 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 23 服務(wù)器 客戶機(jī) 圖 電路級網(wǎng)關(guān)技術(shù) 電路級網(wǎng)關(guān)的應(yīng)用原理與應(yīng)用級網(wǎng)關(guān)相同，網(wǎng)關(guān) 的作用就是接收客戶端連接請求，根據(jù)客戶的地址及所請求端口，將該連接重定向到指定的服務(wù)器地址及端口上，代理客戶端完成網(wǎng)絡(luò)連接，然后在客戶和服務(wù)器間中轉(zhuǎn)數(shù)據(jù)。 應(yīng)用代理 網(wǎng)關(guān)技術(shù) 所謂 應(yīng)用 代理 網(wǎng)關(guān) 技術(shù) （ Gateway）就是我們常常說的 “ 代理服務(wù)器 ” ，它能夠檢查進(jìn)出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。其特點(diǎn)是完全 阻隔 了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜一些的訪問控制，如限制用戶訪問的主機(jī)、訪問時(shí)間及訪問的方式等。 ① 第一代應(yīng)用網(wǎng)關(guān) (Application Gateway)型防火墻 這類防火墻是通過一種代理 (Proxy)技術(shù)參與到一個(gè) TCP 連接的全過程。 ② 第二代自適應(yīng)代理 (Adaptive proxy)型防火墻 它是近幾年才得到廣泛應(yīng)用的一種新防火墻類型。在對防火墻進(jìn)行配置時(shí)，用戶僅僅將所需要的服務(wù)類型、安全級別等信息通過相應(yīng)Proxy 的管理界面進(jìn)行設(shè)置就可以了。由于它工作于最高層，所以它可以對網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過濾那樣，只是對網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行 過濾。應(yīng)用代理防火墻具有功能強(qiáng)大的特點(diǎn)，但是其性能低的缺點(diǎn)決定了它不能應(yīng)用在高帶 寬和實(shí)時(shí)應(yīng)用的業(yè)務(wù)中。 狀態(tài)檢測技術(shù)是在傳統(tǒng)包過濾技術(shù)上的功能 擴(kuò)展，現(xiàn)在已經(jīng)成為防火墻技術(shù)的主流技術(shù)。這種防火墻能通過狀態(tài)檢測技術(shù)動態(tài)記錄，維護(hù)各個(gè)連接的協(xié)議狀態(tài)，并且在網(wǎng)絡(luò)層和 IP 之間插入一個(gè)檢查模塊，對 IP 包的信息進(jìn)行分析檢測，以決定是否允許通過防火墻。 狀態(tài)檢測防火墻試圖跟蹤通過防火墻的網(wǎng)絡(luò)連接和數(shù)據(jù)包，這樣防火墻就可以使用一組附加的標(biāo)準(zhǔn)，以確定是允許還是拒絕通信。包中沒有包含任何描述它的信息流中的位置的信息，則該包被認(rèn)為是無狀態(tài)的，它僅是存在而已。當(dāng)建立起一個(gè) TCP 連接時(shí)，通過的第一個(gè)包被標(biāo)有包的 SYN標(biāo)志。 ② UDP 包。對傳入的包，若它所使用的地址和 UDP 包都不會被允許通過，除非它是響應(yīng)傳出的請求或已經(jīng)建立了指定的規(guī)則來處理它。狀態(tài)檢測防火墻能夠?qū)Χ鄬拥臄?shù)據(jù)進(jìn)行主動的、實(shí)時(shí)的檢測，在對這些數(shù)據(jù)加以分析的基礎(chǔ)上，檢測型防火墻能夠有效地判斷出各層中的非法侵入。 狀態(tài)檢測技術(shù)的原理 狀態(tài)檢測技術(shù)最早是 checkpoint 提出的，在國內(nèi)的許多防火墻都聲稱實(shí)現(xiàn)了狀態(tài)檢測技術(shù)。（圖 ） 圖 到底什么是狀態(tài)檢測？ 一句話，狀態(tài)檢測就是從 tcp 連接的建立到終止都跟蹤檢測的技術(shù)。 如果割裂這些關(guān)系，單獨(dú)的過濾數(shù)據(jù)包，很容易被精心夠造的攻擊數(shù)據(jù)包欺騙！如 nmap 的攻擊掃描，就有利用 syn 包， fin 包， reset 包來探測防火墻后面的網(wǎng)絡(luò)。而一些精心夠造的攻擊數(shù)據(jù)包由于沒有在內(nèi)存登記相應(yīng)的狀態(tài)信息，都被丟 棄了。實(shí)現(xiàn)原理是：平時(shí)，防火墻可以過濾內(nèi)部網(wǎng)絡(luò)的所有端口 (165535),外部攻擊者難于發(fā)現(xiàn)入侵的切入點(diǎn)，可是為了不影響正常的服務(wù)，防火墻一但檢測到服務(wù)必須開放高端口時(shí)，如 (ftp 協(xié)議， irc 等 )，防火墻在內(nèi)存就可以動態(tài)地天加一條規(guī)則打開相關(guān)的高端口。 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 30 狀態(tài)檢測 技術(shù)的 工作機(jī) 制 ① 狀態(tài)監(jiān)測應(yīng)該如何工作 無論何時(shí)，一個(gè)防火墻接收到一個(gè)初始化 TCP 連接的 SYN 包，這個(gè)帶有 SYN的數(shù)據(jù)包被防火墻的規(guī)則庫檢查。如果該包被接受，那么本次會話被記錄到狀態(tài)監(jiān)測表里。如果不是會話的一部分，該數(shù)據(jù)包被丟棄。 ② 狀態(tài)監(jiān)測表建立？ 那么初始化一個(gè)連接時(shí)使用 ACK 行不行？它又會出現(xiàn)什么問題呢？ 如果防火墻的狀態(tài)檢測表使用 ACK 來建立會話，將會是不正確的。因?yàn)樵跔顟B(tài)監(jiān)測表中有入口，后續(xù)的數(shù)據(jù)包就沒有進(jìn)行規(guī)則檢查。從最簡單的角度出發(fā)，我們可以使用源地址、目的地址和端口號來區(qū)分是否是一個(gè)會話。然后防火墻期待一個(gè)返回的確認(rèn)連接的數(shù)據(jù)包，當(dāng)接收到如此的包的時(shí)候，防火墻將連接的時(shí)間溢出值設(shè)定為 3600 秒。 ③ 連接的關(guān)閉 在連接被通訊雙方關(guān)閉后，狀態(tài)監(jiān)測表中的連接應(yīng)該被維護(hù)一段時(shí)間。如果繼續(xù)通訊，這個(gè)連接狀態(tài)會被繼續(xù)地以 50 秒的周期維持下去。 ⑤ ICMP 的狀態(tài)檢測問題 對于一些 ICMP 包的分析，在許多防火墻系統(tǒng)中都是做的很不夠的，在對做狀態(tài)檢測時(shí)是需要對 ICMP 的內(nèi)容進(jìn)行分析的。雖然分幀沒有直接地應(yīng)用于狀態(tài)檢測表，但是它仍然是非常重要的。如果一些分幀沒有被重組，那么狀態(tài)監(jiān)測模塊將沒有辦法識別后續(xù)的分幀的數(shù)據(jù)包是否屬于一個(gè)會話的一部分。當(dāng)然它們也不會被日志記錄下來。 狀態(tài)檢測技術(shù)的新技術(shù) 近年來，一項(xiàng)創(chuàng)新的防火墻技術(shù)正廣泛的獲得應(yīng)用，這就是被稱為深度包檢測的 DIP（ Deep Packet Inspection）技術(shù)。應(yīng)用層網(wǎng)關(guān)的工。最基本的分組過濾防火墻會根據(jù)第三層的參數(shù)（如源 IP 地址和目標(biāo) IP 地址）檢查通過網(wǎng)絡(luò)的數(shù)據(jù)包，再由內(nèi)建在防火墻中的分組過濾規(guī)則依據(jù)這些參數(shù)來確定哪些數(shù)據(jù)包被放行，哪些數(shù)據(jù)包被阻隔。那么對于如果需要實(shí)現(xiàn)分幀重組，那就必須采用十分好的重組方式。 然而，如果是重組完成后才對數(shù)據(jù)包進(jìn)行檢查，那么防火墻對于使用分幀攻擊（使用不完整的或者是非法的）就表現(xiàn)出很大的弱點(diǎn)。防火墻都監(jiān)測 TCP 的頭部信息作為對一次會話的監(jiān)測。下面只是列出了什么樣的 ICMP 包是安全的，可以作為對狀態(tài)檢測模塊 ICMP 支持的參考。 ④ UDP 的連接維護(hù) 雖然 UDP 連接是無狀態(tài)的，但是仍然可以用類似的方法來維護(hù)這些連接。 當(dāng)狀態(tài)監(jiān)測模塊監(jiān)測到一個(gè) FIN 或一個(gè) RST 包的時(shí)候，減少時(shí)間溢出值從我們?nèi)笔≡O(shè)定的值 3600 秒減少到 50秒。（注：對于時(shí)間溢出值，應(yīng)該可以由用戶自行設(shè)定。如果通過了這個(gè)數(shù)據(jù)連接請求，它被添加到狀態(tài)檢測表里。使用這種方法，一些簡單的 DOS 攻擊將會非常有效地摧毀防火墻系統(tǒng)。如果規(guī)則庫通過了這個(gè)數(shù)據(jù)包，本次會話被添加狀態(tài)檢測表中。只有在 SYN 的數(shù)據(jù)包到來時(shí)才和規(guī)則庫比較。隨后的數(shù)據(jù)包 (沒有帶有一個(gè) SYN 標(biāo)志 )就和該狀態(tài)監(jiān)測表的內(nèi)容進(jìn)行比較。如果在檢查了所有的規(guī)則后，該包都沒有被接受，那么拒絕該次連接。這樣，既保障了安全，又不影響正常服務(wù)，速度也快 。 說狀態(tài)檢測必須提到動態(tài)規(guī)則技術(shù)。 ),后續(xù)的屬于同一個(gè)連接的數(shù)據(jù)包，就不需要在檢測了。可是我們知道，同一個(gè) tcp連接，他的數(shù)據(jù)包是前后關(guān)聯(lián)的，先是 syn包， =》數(shù)據(jù)包 =》 fin 包。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來 處理。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中，有相當(dāng) 比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。防火墻仔細(xì)地跟蹤傳出的請求，記錄下所 使用的地址、協(xié)議和包的類型，然后對照保存過的信息核對傳入的包，以確保這些包是被請求的。它們只包含源地址、目的地址、效驗(yàn)和攜帶的數(shù)據(jù)，使得防火墻確定包的合法性很困難。對內(nèi)部的 連接試圖連到外部主機(jī)，防火墻注明連接包。為了跟蹤包的狀態(tài)，防火墻還記錄有用的信息以幫助識別包。 當(dāng)包過濾防火墻見到一個(gè)網(wǎng)絡(luò)包，包是孤立存在的，沒有防火墻 所關(guān)心的歷史或未來。狀態(tài)檢測防火墻根據(jù)過去的通信信息和其他應(yīng)用程序獲得的狀態(tài)信息來動態(tài)生成過濾規(guī)則，根據(jù)新生成的過濾規(guī)則過濾新的通信。相對于狀態(tài)檢測包過濾，將傳統(tǒng)的包過濾技術(shù)稱為靜態(tài)包過濾，靜態(tài)包過濾將每個(gè)數(shù)據(jù)包進(jìn)行單獨(dú)的分析，固定的根據(jù)其包頭信息進(jìn)行匹配，這種方法在遇到利用動態(tài)端口應(yīng)用協(xié)議時(shí)發(fā)生了困難。狀態(tài)檢測技術(shù)又稱動態(tài)包過濾技術(shù)， 它是針對高層協(xié)議（如 TCP）難以用簡單的包過濾對數(shù)據(jù)連接進(jìn)行有效控制，而必須采用上下文相關(guān)控制這一特點(diǎn)的，比如 FTP、 等協(xié)議。 應(yīng)用代理防火墻是將低層訪問控制和高層應(yīng)用功能結(jié)合在一起的防火墻，所有通過防火墻的包都必須在應(yīng)用代理軟件的控制下。如果是后者，它將動態(tài)地通知包過濾器增減過濾規(guī)則，滿足用戶對速度和安全性的雙重要求。組成這種類型防火墻的基本要素有兩個(gè)：自適應(yīng)代理服務(wù)器 (Adaptive Proxy Server)與動態(tài)包過濾器 (Dynamic Packet filter)。這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。 應(yīng)用級網(wǎng)關(guān)的工作原理圖如圖 所示。 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 24 圖 應(yīng)用代理防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 應(yīng)用級網(wǎng)關(guān)技術(shù)可對網(wǎng)絡(luò)上任一層的數(shù)據(jù)包進(jìn)行檢查并經(jīng)過身份認(rèn)證，符合安全策略規(guī)則的通過，否則將被丟棄。它給代理類型的防火墻賦予了全新的意義。 另外，電路級網(wǎng)關(guān)還提供一個(gè)重要的安全功能：代理服務(wù)器（ ProxyServer） ，代理服務(wù)器是個(gè)防火墻，在其上運(yùn)行一個(gè) 叫做 地址轉(zhuǎn)移 的進(jìn)程，來將所有你公司內(nèi)部的 IP 地址映射到一個(gè) 安全 的 IP 地址，這個(gè)地址是由防火墻使用的。電路級網(wǎng)關(guān)只依賴于 TCP 連接，并不進(jìn)行任何附加的包處理或過濾。電路級防火墻是通過監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的 TCP 握手信息來決定該會話是否合法的。這種防火墻無疑是非常堅(jiān)固的，但它會降低網(wǎng)絡(luò)的速度，而且配置也比較復(fù)雜。 圖 狀態(tài)檢測防火墻技術(shù)示意 這種狀態(tài)監(jiān)測引擎支持多種協(xié)議和應(yīng)用程序，并可以很容易地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。 狀態(tài)檢測技術(shù)是在傳統(tǒng)包過濾技術(shù)上的功能擴(kuò)展，現(xiàn)在已經(jīng)成為防火墻技術(shù)的主流技術(shù)。而且這種過濾機(jī)制對用戶來說完全是透明的，根本不用用戶先與防火墻取得任何合法身份，符合規(guī)則的通信，用戶根本感覺不到防火墻的存在，使用起來很方便。 ②第二代動態(tài)包過濾類型防火墻 這類防火墻采用動態(tài)設(shè)置包過濾規(guī)則的方法，避免了靜態(tài)包過濾所具有的問題。在整個(gè)防火墻技術(shù)的發(fā)展過程中，包過濾技術(shù)出現(xiàn)了兩種不同版本，稱為“第一代靜態(tài)包過濾”和“第二代動態(tài)包過濾”。防火墻作為內(nèi)、外部網(wǎng)絡(luò)的唯一通道，所以進(jìn)、出的數(shù)據(jù)都必須通過防火墻來傳輸?shù)摹? 防火墻對數(shù)據(jù)的過濾，首先是根據(jù)數(shù)據(jù)包中包頭部分所包含的源 IP 地址、目的 IP 地址、協(xié)議類型 (TCP 包、 UDP 包、 ICMP 包 )、源端口、目的端口及數(shù)據(jù)包傳遞方向等信息，判斷是 否符合安全規(guī)則，以此來確定該數(shù)據(jù)包是否允許通過。 包過濾方式是一種通用、廉價(jià)和有效的安全手段。 又稱“報(bào)文過濾”技術(shù) ，它是防火墻最傳統(tǒng)、最基本的過濾技術(shù)。 數(shù)據(jù)包過濾技術(shù) 數(shù)據(jù)包過濾技術(shù)工作在 OSI 網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它是多層防火墻技術(shù)的第二道防護(hù)屏障。 NAT 技術(shù)又分為“ SNAT (Source NAT)”和“ DNAT (Destination NAT)”。在防火墻上配置 NAT 技術(shù)，就需要在防火墻上配置一個(gè)合法 IP 地址集，當(dāng)內(nèi)部網(wǎng)絡(luò)用戶要訪問 Inter 時(shí)，防 火墻動態(tài)地從地址集中選一個(gè)未分配的地址分配給該用戶，該用戶即可使用這個(gè)合法地址進(jìn)行通信。LAN 的用戶的 defualt gateway 指向 NAT的內(nèi)部 (LAN)接口，所有從 LAN 通過 NAT出去的包在 NAT 處會進(jìn)行一個(gè)轉(zhuǎn)換，通常會把這些包的源 IP 地址轉(zhuǎn)換成 NAT 的外部接口的合法 I P 地址，同時(shí) NAT在自己的連接表中添加一條記錄 ，以便這個(gè)包的應(yīng)答包回來時(shí)知道應(yīng)該送到哪里。也稱地址翻譯技術(shù)就是將一個(gè) IP地址用另一個(gè) IP地址代替。本文闡釋的所謂 “ 多層次防護(hù) ” ，就是應(yīng)用和實(shí)施一個(gè)基于多層次 安全系統(tǒng)的全面信息安全策略 。黑客技術(shù)的提升和黑客工具的泛濫，造成大量的企業(yè)、機(jī)構(gòu)和個(gè)人的電腦系統(tǒng)遭受程度不同的入侵和攻擊，或面臨隨時(shí)被攻擊的危險(xiǎn)。因 為多層次的防火墻和單一的防火墻相比起來，不是一個(gè)單一的物理實(shí)體，它除了具有防火墻的功能外，而且還能執(zhí)行其他的功能，如加解密和認(rèn)證等，能更好的實(shí)現(xiàn)控制對受保護(hù)的網(wǎng)絡(luò)（即網(wǎng)點(diǎn)）的往返訪問。在分組過濾（網(wǎng)絡(luò)層）一級，過濾掉所有的源路由分組和假冒的 IP 源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或 /和入的協(xié)議和有害數(shù)據(jù)包如nuke 包、圣誕樹 包等；在應(yīng)用網(wǎng)關(guān)（應(yīng)用層）一級，能利用 FTP、 SMTP 等各種網(wǎng)關(guān)，控制和監(jiān)測 Inter 提供的所用通用服務(wù)。 多層防火墻技術(shù)的概論 針對上述單一防火墻系統(tǒng)安全性能不高，防護(hù)效果往往不夠理想的情況，我們提出 “多層次防護(hù)”即 多層防火墻的概念。當(dāng)有些表面看起來無害的數(shù)據(jù)通過郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時(shí)，就會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。 單一的 防火墻不能阻止已受到病毒感染的軟件或文件