【正文】 慮 : 代理服務器需要為不同的應用和協(xié)議開發(fā)不同的代理程序，這樣工作量太大，而且 靈活性不高。因此，應該實現(xiàn)策略的共享，也就是為主機 A 定 義的策略可以直接或稍加修改后就可用于主機 B。遠程端點上必須安裝遠程端點連接器，必須使用遠 程端點連接器與網(wǎng)關或其他內(nèi)部端點建立連接，才能得到比因特網(wǎng)上一般主機較高的訪 問權限。 整個分布式防火墻系統(tǒng)由三個主要部分組成 :管理中心、策略執(zhí)行器和遠程端點連 接器。 (3)使用統(tǒng)一策略語言的必要性和可行性都有待商榷。本章介紹分布式防火墻的總體設計方案，下一章介紹方案的實施。 (2)日志的收集機制 在分布式防火墻中，日志由主機傳送到中心策略服務器也有多種機制，第一種方式 是服務器“定期采集式”。當網(wǎng)絡較大時可對關鍵服務器單獨制定策略，而對一般用戶可分成若 干組或域，在每個組內(nèi)使用相同的規(guī)則，組間則使用不同的規(guī)則。 分布式防火墻的功能 分布式防火墻的功能大致包括 : (1) Inter 訪問控制 依據(jù)工作站名稱、設備指紋等屬性，使用 Interent 訪問規(guī)則”，控制該工作站或 工作組在指定的時間段內(nèi)是否允許或禁止訪問模板或網(wǎng)址列表中所規(guī)定的 Inter 服 務器，某個用戶可否基于某工作站訪問 W 叨 W 月及務器，同時當某個工作站用戶達到規(guī)定流量后確定是否斷網(wǎng)等側(cè)。從而使安全策略從網(wǎng)絡與網(wǎng)絡之間推廣延伸到每個網(wǎng)絡末端。 針對桌面應用的主機防火墻類似于個人防火墻。分布式防火墻在工作的時候首先由制定防火墻接入控制策略的中心通過編譯器將策略語言描述轉(zhuǎn) 換成內(nèi)部格式，形成策略文件 :然后中心采用系統(tǒng)管理工具把策略文件分發(fā)給各臺“內(nèi)部”主機 。策 略的分發(fā)有多種方法，如策略服務器主動分發(fā)、主機主動到策略服務器上去取 等。注 意 :這里所指的防火墻并不是傳統(tǒng)意義上的邊界防火墻，而是邏輯上的分布式防火墻。 分布式防火墻打破了邊界防火墻對網(wǎng)絡拓撲的依賴關系，將內(nèi)部網(wǎng)的概念由物理意 義轉(zhuǎn)變成邏輯意義。在沒有上下文的情況下，防火墻是很難將攻擊包從合法的數(shù)據(jù)包中區(qū)分出來的，因而也就無法實施過濾。分布式防火墻則從根本上去除了單一的接入點，而使這一問題迎刃而解。分布式防火墻還可以使企業(yè)避免發(fā)生由于某一臺端點 PC的入侵而導致病毒向整個網(wǎng)絡蔓延的情況發(fā)生，同時也使通過公共賬號登錄網(wǎng)絡的用戶無法進入那些限制訪問的計算機系統(tǒng)。一部分是主機防火墻，它解決了傳統(tǒng)邊界防火墻不能解決的問題 (例如來自內(nèi)部的攻擊和結(jié)構(gòu)限制等 )。 (6)安全模式單一 :傳統(tǒng)防火墻的安全策略是針對全網(wǎng)制定的，全網(wǎng)中的所有主機遵從單一的安全模式，網(wǎng)絡中的主機和服務器在安全性上不具體針對個性特點 分布式防火墻的提出 由于傳統(tǒng)防火墻的缺陷不斷顯露，于是有人認為防火墻與現(xiàn)代網(wǎng)絡的發(fā)展是容 的，并認為加密的廣泛使用可以廢除防火墻。邊界防火墻難以 平衡網(wǎng)絡效率與安全性設定之間的矛盾，無法為網(wǎng)絡中的每臺服務器訂制規(guī)則，它只能 使用一個折衷的規(guī)則來近似滿足所有被保護的服務器的需要，因此或者損失效率，或者 損失安全性。傳統(tǒng)防火墻的實現(xiàn)是基于人為地將網(wǎng)絡分為了內(nèi)部可信任網(wǎng)絡和外部不 可信 網(wǎng)絡，這種針對特定的網(wǎng)絡拓撲實現(xiàn)的防火墻難以滿足網(wǎng)絡多元化的發(fā)展要求 。 DMZ 用來作為一個額外的緩沖區(qū)以進一步隔離公網(wǎng)和你的內(nèi)部私有網(wǎng)絡，從物理 上和內(nèi)部網(wǎng)隔開，并在此部署 WWW 和 FTP 等服務器，將其作為向外部發(fā)布內(nèi)部信息的地點 . 但是這種實施的缺點在于存在于 DMZ 區(qū)域的任何服務器都不會得到防火墻的完全保護。對于 NAT 的另一個名字 是工 P 地址隱藏。此外，網(wǎng)絡使用統(tǒng)計功能對網(wǎng)絡需求分析和威脅分析等而言 也是非常重要的。防火墻可以拒絕所有以上類型攻擊的報文并通知管理員。每當一個新的需保護的應用加入網(wǎng)絡中時，必須為其編 制專門的程序代碼。一個明顯的例子就是許多的 Web 瀏覽器中加入了大量的安全措 施。 即便如此，最終用戶也許還需要學習特定的步驟以通過防火墻進行通信。代理服務 可提供詳細的日志記錄及審計功能，這大大提高了網(wǎng)絡的安全性，也為改進現(xiàn)有軟件的 安全性能提供了可能性。這是一個在設計安全可靠的網(wǎng)絡時應該遵循的失效安全原則。當一個分組到達時，將按分組規(guī)則的存儲順序依次運用每條規(guī)則對分組進行檢查。包過濾器可在路由器之 外單獨設置，也可與路由器做成一體，在路由設備上實現(xiàn)包過濾，還可在工作站上用軟 件進行包過濾。如果受保護網(wǎng)是一個虛擬擴展的本地 網(wǎng)，即沒有子網(wǎng)和路由器，那么內(nèi)部網(wǎng)的變化不影響堡壘主機和屏蔽路由器的配置 . (4) 被屏蔽子網(wǎng) (screenedsub) 被屏 蔽子網(wǎng)就是在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間建立一個被隔離的子網(wǎng)，用兩臺分組過 濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡和外部網(wǎng)絡分開。如果在一臺多宿 主機中路由功能被禁止了，則這個主機可以隔離與它相連的網(wǎng)絡之間的通信流量，然而 與它相連的每一個網(wǎng)絡都可以執(zhí)行由它所提供的網(wǎng)絡應用，如果這個應用允許的話，它 們還可以共享數(shù)據(jù)。防火墻的職責就是根據(jù)本單位的安全策略，對外部網(wǎng)絡與內(nèi)部網(wǎng)絡交流的數(shù)據(jù)進行檢查，符合的予以 放行，不符合的拒之門外。 3 2. 分布式防火墻技術基礎 ： 所謂防火墻就是一個或一組網(wǎng)絡設備 (計算機或路由器等 )，用來在兩個或多個網(wǎng)絡間加強訪問控制。改進主機防火墻的 實現(xiàn)機制，特別是軟件實現(xiàn)機制，提高主機防火墻自身的安全性和抵御攻擊的能力，確 保主機防火墻持續(xù)、有效、穩(wěn)定的運行是主機防火墻在設計和實現(xiàn)過程中急需解決的一 個問題。 關于分布式防火墻的很多方面的研究工作還在進行當中，目前對分布式防火墻的研究主要集中在兩個方面 : (1) 分布式防火墻系統(tǒng)的策略管理和信任管理，確保策略分 發(fā)的安全性。為了切實保障網(wǎng)絡的安全，不斷滿足網(wǎng)絡中不斷出現(xiàn)的最新需求，迫切 需要對傳統(tǒng)的邊界防火墻體系結(jié)構(gòu)進行改造。并且互聯(lián)網(wǎng)作為電子商務和電子政務運行的重要平臺，其安全性越來越受到各級用戶的普遍關注。 本文首先分析了目前傳統(tǒng)防火墻的作用和存在的問題，接著對分布式防火墻的經(jīng)構(gòu)、關鍵技術以及優(yōu)勢進行了深入地研究，并對分布式防火墻的相關技術以及研究領較有代表性的幾種模型進行了比較總結(jié)。 最后，總結(jié)了全文并提出了一些值得研究的問題。網(wǎng)絡銀行、電子商務、各類資金管理系統(tǒng)中的支付與結(jié)算的準確真實和金融機構(gòu)數(shù)據(jù)保護與管理系統(tǒng)的不被欺詐，都將成為企業(yè)形象、商業(yè)利益、國家安全和社會穩(wěn)定的焦點。如 3COM 公司就開發(fā)了一整套分布式防火墻系統(tǒng)，防火墻服務器管理軟件安裝于服務器上，其它各種防護工作或成員服務器就只需安裝防火墻功能網(wǎng)卡，這些網(wǎng)卡的防火墻功能受中心管理軟件統(tǒng)一配置和管理。從部署的位置來看，主機防火墻和個人防 火墻比較相似，但是作為分布式防火墻系統(tǒng)的策略執(zhí)行節(jié)點，它與個人防火墻在管理方 式、運行及實現(xiàn)機制上又有著本質(zhì)的區(qū)別。其中一個比較突出的問題就是如何提供對單機多用戶的支持。 設立防火墻的主要目的有多個 : (1) 限制訪問從一個特別的節(jié)點進入 (2) 防止攻擊者接近防御措施 (3) 限制訪問從一個特別的節(jié)點離開 (4) 有效的阻止入侵者對內(nèi)部網(wǎng)絡中的計算機系統(tǒng)進行破壞 通常 ,被保護的網(wǎng)絡屬于我們自己，或者是我們負責管理的，而所要防備的網(wǎng)絡則是一個外部的網(wǎng)絡，防火墻認為該網(wǎng)絡是不可信賴的，因為可 能有人會從該網(wǎng)絡上對我們的網(wǎng)絡發(fā)起攻擊，破壞網(wǎng)絡安全。防火墻相當于控制器和監(jiān)視器，用來監(jiān)視或拒絕應用層的通信業(yè)務，防火墻也可以在網(wǎng)絡層和傳輸層運行，在這種情況下，防火墻檢查進出相應接口的報文分組的工P和 TCP頭部，根據(jù)預先設計的報文分組過濾規(guī)則來拒絕或允許報文分組通過 [17]。路由器上可以 安裝基于 IP 層的報文過濾軟件，實現(xiàn)報文過濾功能。這種配置的危險僅包括堡壘主機、子網(wǎng)主機及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。網(wǎng)絡安 全策略的一個主要目標是向用戶 提供透明的網(wǎng)絡服務機制。 6)如果一個分組不滿足任何規(guī)則，則該分組被阻塞。當一個新的服務被加入到網(wǎng)絡中時，我們可以很容易地遇到?jīng)]有規(guī)則與之相匹配的情況。相當多的代理服務器要 求使用固定的客戶程序。如果一個節(jié)點在非標準端口上運行一個標準應用程 序，代理將不支持這個應用程序。這 樣便可以在用戶層或應用層提供訪問控制，并且可以用來對各種應用程序的使用情況維 6 持一個智能性的日志文件。監(jiān)視功能支持多種網(wǎng)絡協(xié)議，可以方便地實現(xiàn)應用和服務的擴充，特別是可監(jiān)視 RPC(遠程進程調(diào)用 )和 UDP(用戶數(shù)據(jù)報文 )端口信息，這是其它安全服務所不能完成的。例如在網(wǎng)絡訪問時，一次加密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不 必分散在各個主機上，而集中在防火墻身上。使用防火墻就可以 隱蔽那些內(nèi)部細節(jié)如 Finger、 DNS 等服務。 255 ~ .0~ 如果你選擇上述列表中的網(wǎng)絡地址，那么不需要向任何互聯(lián)網(wǎng)授權機構(gòu)注冊即可使 用。不僅省去了專用通信線路， 而且為信息 共享提供了技術保障。上述缺陷嚴重制約了網(wǎng)絡技術的應用和發(fā)展。上述工作模型能很好地工作在中小網(wǎng)絡中，但當網(wǎng)絡規(guī)模增大、網(wǎng)絡新技術不斷現(xiàn)時，這種工作模型的缺陷日益暴露出來。為了克服 以上缺陷而又保留傳統(tǒng)防火墻的優(yōu)點，美國 ATamp。 在新的安全體系結(jié)構(gòu)下，分布式防火墻代表新一代防火墻技術的潮流，它可以在網(wǎng)絡的任何交界和節(jié)點處設置屏 障，從而形成了一個多層次、多協(xié)議、內(nèi)外皆防的全方位安全體系 .主要性能如下 [6]: (1)增 強 了系統(tǒng)安全性，增加了針對主機的入侵檢測和防護功能，加強了對來自內(nèi) 部網(wǎng)絡的攻擊防范，實施全方位的安全策略。特別在當使用 IP 安全協(xié)議中的密碼憑證來標志內(nèi)部主機，基于這些標志的策略對主機來說無疑更具可信性。隨著網(wǎng)絡的增長，它們的處理負荷也在網(wǎng)絡中進一步分布，因此它們的高性能可以持續(xù)保持住。 (5) 應 用 更為廣泛，支持 VPN 通信 其實 分 布 式 防火墻最重要的優(yōu)勢在于，它能夠保護物理拓撲上不屬于內(nèi)部網(wǎng)絡，位于邏輯上的“內(nèi)部”的那些網(wǎng)絡主機，這種需求隨著 VPN 的發(fā)展將會越來越多。這樣不但可以 對主機實施護，還能保證與整個系統(tǒng)的安全策略一致。安全策略的制定可以使用各種策略定義語言， 定義的策略被放入策略數(shù)據(jù)庫中。 第四步，上傳安全日志到策略服務器。與傳統(tǒng)邊界防火墻相比，它多了一種用于對內(nèi)部各子網(wǎng)之間的安全防護層，這樣整個網(wǎng)絡間的安全防護體系就顯得更加安全可靠。另外，不 同于個人防火墻面向個人用戶，針對桌面應用的主機防火墻是面向企業(yè)客戶的，它與分 布式防火墻其他產(chǎn)品共同構(gòu)成一個企業(yè)級應用方案，形成一個安全策略統(tǒng)一管理，安全 檢查機制分散布置的分布式防火墻系統(tǒng)。為自身的 安全和徹底堵住操作系統(tǒng)的漏洞，主機防火墻的安全監(jiān)測核心引擎要以嵌入操作系統(tǒng)內(nèi) 核的形態(tài)運行，直接接管網(wǎng)卡，在把所有數(shù)據(jù)包進 行檢查后再提交操作系統(tǒng)，以杜絕隱 12 患。 (4) 黑客攻擊的防御 抵御包括 Smurf 拒絕服務攻擊、 ARP 欺騙式攻擊、 Ping 攻擊、 Trjoan 木馬攻擊等在內(nèi) 的近百種來自網(wǎng)絡內(nèi)部以及來自工 nter 的黑客攻擊手段。在該方式 中，策略服務器監(jiān)視網(wǎng)絡，如發(fā)現(xiàn)有主機欲進入本網(wǎng)，則對其進行檢查，如發(fā)現(xiàn)該主機 無本網(wǎng)的安全策略，則將其策略推送給該 機。在該方式中，主機定期將自己的日志信息 傳送給策略服務器。只有少數(shù)員家中的主機或筆記本電腦有權與公司服務器通訊。 設計目標的需求和安全狀況 目前 ,在上述的小型網(wǎng)絡中，一般只在網(wǎng)關處安裝簡單的主機防火墻或病毒檢測防 火墻，內(nèi)部主機上一般不安裝防火墻，有的主機使用者也自己安裝簡單的主機防火墻或 病毒檢測防火墻。遠程端點連接器是特 別為遠程端點主機設計的用來向小型網(wǎng)絡上的其他主機，特別是內(nèi)部端點，證明自己的 身份，請求與內(nèi)部端點建立通信的程序。 策略文件的內(nèi)容除了包過濾規(guī)則外還包括很多其他信息，比如證書、策略文件版本、 管理控制中心和端點主機間的一些約定等等，這些并不會在策略編輯器 中顯示出來，主 要是為了策略執(zhí)行器和管理控制中心的通信，以及中心對端點進行遠程管理。 至于雙方的權限如何分配，在前面的模型和產(chǎn)品實現(xiàn)方案中沒有明確的規(guī)定。另外代理服務器的效率也不高。為了便于管理，用戶也可以 自己定義鏈，但自定義的規(guī)則鏈只能在內(nèi)建鏈中進 行包含。日志以用戶可讀的文件形式 保存，用戶可以直接查看日志文件，也可以使用日志分析器查看。 NDI S庫 利 用了 HAL，從而也獲得了硬件無關性。 編寫中間層驅(qū)動程序 中間層驅(qū) 動 (IM)D 位于微端口驅(qū)動程序和協(xié)議驅(qū)動程序之間，有兩種類型的中間層 驅(qū)動程序 :過濾 (Filter)驅(qū)動程序和復合 (MUX)驅(qū)動程序。 20 圖 3 windows的網(wǎng)絡模型 21 實際上 ,這些注冊的例程是在適當?shù)臅r候被 NDIs 調(diào)用的，是為驅(qū)動程序棧中其他層 次的驅(qū)動程序服務的。 19 4. 分布式防火墻的實現(xiàn) 開發(fā)平臺與開發(fā)工具 包過濾模塊在 Widnows 環(huán)境下利用中間驅(qū)動程序?qū)崿F(xiàn)，開發(fā)工具使用 Windo， sDDK 和 vc++ 在 DDK 中附帶的 passthru 提供 T 一個的中間層驅(qū)動框架，它對下表 現(xiàn)為一個協(xié)議層的