【正文】 慮 : 代理服務(wù)器需要為不同的應(yīng)用和協(xié)議開發(fā)不同的代理程序，這樣工作量太大，而且 靈活性不高。因此，應(yīng)該實現(xiàn)策略的共享，也就是為主機(jī) A 定 義的策略可以直接或稍加修改后就可用于主機(jī) B。遠(yuǎn)程端點上必須安裝遠(yuǎn)程端點連接器，必須使用遠(yuǎn) 程端點連接器與網(wǎng)關(guān)或其他內(nèi)部端點建立連接，才能得到比因特網(wǎng)上一般主機(jī)較高的訪 問權(quán)限。 整個分布式防火墻系統(tǒng)由三個主要部分組成 :管理中心、策略執(zhí)行器和遠(yuǎn)程端點連 接器。 (3)使用統(tǒng)一策略語言的必要性和可行性都有待商榷。本章介紹分布式防火墻的總體設(shè)計方案，下一章介紹方案的實施。 (2)日志的收集機(jī)制 在分布式防火墻中，日志由主機(jī)傳送到中心策略服務(wù)器也有多種機(jī)制，第一種方式 是服務(wù)器“定期采集式”。當(dāng)網(wǎng)絡(luò)較大時可對關(guān)鍵服務(wù)器單獨制定策略，而對一般用戶可分成若 干組或域，在每個組內(nèi)使用相同的規(guī)則，組間則使用不同的規(guī)則。 分布式防火墻的功能 分布式防火墻的功能大致包括 : (1) Inter 訪問控制 依據(jù)工作站名稱、設(shè)備指紋等屬性，使用 Interent 訪問規(guī)則”，控制該工作站或 工作組在指定的時間段內(nèi)是否允許或禁止訪問模板或網(wǎng)址列表中所規(guī)定的 Inter 服 務(wù)器，某個用戶可否基于某工作站訪問 W 叨 W 月及務(wù)器，同時當(dāng)某個工作站用戶達(dá)到規(guī)定流量后確定是否斷網(wǎng)等側(cè)。從而使安全策略從網(wǎng)絡(luò)與網(wǎng)絡(luò)之間推廣延伸到每個網(wǎng)絡(luò)末端。 針對桌面應(yīng)用的主機(jī)防火墻類似于個人防火墻。分布式防火墻在工作的時候首先由制定防火墻接入控制策略的中心通過編譯器將策略語言描述轉(zhuǎn) 換成內(nèi)部格式，形成策略文件 :然后中心采用系統(tǒng)管理工具把策略文件分發(fā)給各臺“內(nèi)部”主機(jī) 。策 略的分發(fā)有多種方法，如策略服務(wù)器主動分發(fā)、主機(jī)主動到策略服務(wù)器上去取 等。注 意 :這里所指的防火墻并不是傳統(tǒng)意義上的邊界防火墻，而是邏輯上的分布式防火墻。 分布式防火墻打破了邊界防火墻對網(wǎng)絡(luò)拓?fù)涞囊蕾囮P(guān)系，將內(nèi)部網(wǎng)的概念由物理意 義轉(zhuǎn)變成邏輯意義。在沒有上下文的情況下，防火墻是很難將攻擊包從合法的數(shù)據(jù)包中區(qū)分出來的，因而也就無法實施過濾。分布式防火墻則從根本上去除了單一的接入點，而使這一問題迎刃而解。分布式防火墻還可以使企業(yè)避免發(fā)生由于某一臺端點 PC的入侵而導(dǎo)致病毒向整個網(wǎng)絡(luò)蔓延的情況發(fā)生，同時也使通過公共賬號登錄網(wǎng)絡(luò)的用戶無法進(jìn)入那些限制訪問的計算機(jī)系統(tǒng)。一部分是主機(jī)防火墻，它解決了傳統(tǒng)邊界防火墻不能解決的問題 (例如來自內(nèi)部的攻擊和結(jié)構(gòu)限制等 )。 (6)安全模式單一 :傳統(tǒng)防火墻的安全策略是針對全網(wǎng)制定的，全網(wǎng)中的所有主機(jī)遵從單一的安全模式，網(wǎng)絡(luò)中的主機(jī)和服務(wù)器在安全性上不具體針對個性特點 分布式防火墻的提出 由于傳統(tǒng)防火墻的缺陷不斷顯露，于是有人認(rèn)為防火墻與現(xiàn)代網(wǎng)絡(luò)的發(fā)展是容 的，并認(rèn)為加密的廣泛使用可以廢除防火墻。邊界防火墻難以 平衡網(wǎng)絡(luò)效率與安全性設(shè)定之間的矛盾，無法為網(wǎng)絡(luò)中的每臺服務(wù)器訂制規(guī)則，它只能 使用一個折衷的規(guī)則來近似滿足所有被保護(hù)的服務(wù)器的需要，因此或者損失效率，或者 損失安全性。傳統(tǒng)防火墻的實現(xiàn)是基于人為地將網(wǎng)絡(luò)分為了內(nèi)部可信任網(wǎng)絡(luò)和外部不 可信 網(wǎng)絡(luò)，這種針對特定的網(wǎng)絡(luò)拓?fù)鋵崿F(xiàn)的防火墻難以滿足網(wǎng)絡(luò)多元化的發(fā)展要求 。 DMZ 用來作為一個額外的緩沖區(qū)以進(jìn)一步隔離公網(wǎng)和你的內(nèi)部私有網(wǎng)絡(luò)，從物理 上和內(nèi)部網(wǎng)隔開，并在此部署 WWW 和 FTP 等服務(wù)器，將其作為向外部發(fā)布內(nèi)部信息的地點 . 但是這種實施的缺點在于存在于 DMZ 區(qū)域的任何服務(wù)器都不會得到防火墻的完全保護(hù)。對于 NAT 的另一個名字 是工 P 地址隱藏。此外，網(wǎng)絡(luò)使用統(tǒng)計功能對網(wǎng)絡(luò)需求分析和威脅分析等而言 也是非常重要的。防火墻可以拒絕所有以上類型攻擊的報文并通知管理員。每當(dāng)一個新的需保護(hù)的應(yīng)用加入網(wǎng)絡(luò)中時，必須為其編 制專門的程序代碼。一個明顯的例子就是許多的 Web 瀏覽器中加入了大量的安全措 施。 即便如此，最終用戶也許還需要學(xué)習(xí)特定的步驟以通過防火墻進(jìn)行通信。代理服務(wù) 可提供詳細(xì)的日志記錄及審計功能，這大大提高了網(wǎng)絡(luò)的安全性，也為改進(jìn)現(xiàn)有軟件的 安全性能提供了可能性。這是一個在設(shè)計安全可靠的網(wǎng)絡(luò)時應(yīng)該遵循的失效安全原則。當(dāng)一個分組到達(dá)時，將按分組規(guī)則的存儲順序依次運用每條規(guī)則對分組進(jìn)行檢查。包過濾器可在路由器之 外單獨設(shè)置，也可與路由器做成一體，在路由設(shè)備上實現(xiàn)包過濾，還可在工作站上用軟 件進(jìn)行包過濾。如果受保護(hù)網(wǎng)是一個虛擬擴(kuò)展的本地 網(wǎng)，即沒有子網(wǎng)和路由器，那么內(nèi)部網(wǎng)的變化不影響堡壘主機(jī)和屏蔽路由器的配置 . (4) 被屏蔽子網(wǎng) (screenedsub) 被屏 蔽子網(wǎng)就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺分組過 濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。如果在一臺多宿 主機(jī)中路由功能被禁止了，則這個主機(jī)可以隔離與它相連的網(wǎng)絡(luò)之間的通信流量，然而 與它相連的每一個網(wǎng)絡(luò)都可以執(zhí)行由它所提供的網(wǎng)絡(luò)應(yīng)用，如果這個應(yīng)用允許的話，它 們還可以共享數(shù)據(jù)。防火墻的職責(zé)就是根據(jù)本單位的安全策略，對外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)交流的數(shù)據(jù)進(jìn)行檢查，符合的予以 放行，不符合的拒之門外。 3 2. 分布式防火墻技術(shù)基礎(chǔ) ： 所謂防火墻就是一個或一組網(wǎng)絡(luò)設(shè)備 (計算機(jī)或路由器等 )，用來在兩個或多個網(wǎng)絡(luò)間加強(qiáng)訪問控制。改進(jìn)主機(jī)防火墻的 實現(xiàn)機(jī)制，特別是軟件實現(xiàn)機(jī)制，提高主機(jī)防火墻自身的安全性和抵御攻擊的能力，確 保主機(jī)防火墻持續(xù)、有效、穩(wěn)定的運行是主機(jī)防火墻在設(shè)計和實現(xiàn)過程中急需解決的一 個問題。 關(guān)于分布式防火墻的很多方面的研究工作還在進(jìn)行當(dāng)中，目前對分布式防火墻的研究主要集中在兩個方面 : (1) 分布式防火墻系統(tǒng)的策略管理和信任管理，確保策略分 發(fā)的安全性。為了切實保障網(wǎng)絡(luò)的安全，不斷滿足網(wǎng)絡(luò)中不斷出現(xiàn)的最新需求，迫切 需要對傳統(tǒng)的邊界防火墻體系結(jié)構(gòu)進(jìn)行改造。并且互聯(lián)網(wǎng)作為電子商務(wù)和電子政務(wù)運行的重要平臺，其安全性越來越受到各級用戶的普遍關(guān)注。 本文首先分析了目前傳統(tǒng)防火墻的作用和存在的問題，接著對分布式防火墻的經(jīng)構(gòu)、關(guān)鍵技術(shù)以及優(yōu)勢進(jìn)行了深入地研究，并對分布式防火墻的相關(guān)技術(shù)以及研究領(lǐng)較有代表性的幾種模型進(jìn)行了比較總結(jié)。 最后，總結(jié)了全文并提出了一些值得研究的問題。網(wǎng)絡(luò)銀行、電子商務(wù)、各類資金管理系統(tǒng)中的支付與結(jié)算的準(zhǔn)確真實和金融機(jī)構(gòu)數(shù)據(jù)保護(hù)與管理系統(tǒng)的不被欺詐，都將成為企業(yè)形象、商業(yè)利益、國家安全和社會穩(wěn)定的焦點。如 3COM 公司就開發(fā)了一整套分布式防火墻系統(tǒng)，防火墻服務(wù)器管理軟件安裝于服務(wù)器上，其它各種防護(hù)工作或成員服務(wù)器就只需安裝防火墻功能網(wǎng)卡，這些網(wǎng)卡的防火墻功能受中心管理軟件統(tǒng)一配置和管理。從部署的位置來看，主機(jī)防火墻和個人防 火墻比較相似，但是作為分布式防火墻系統(tǒng)的策略執(zhí)行節(jié)點，它與個人防火墻在管理方 式、運行及實現(xiàn)機(jī)制上又有著本質(zhì)的區(qū)別。其中一個比較突出的問題就是如何提供對單機(jī)多用戶的支持。 設(shè)立防火墻的主要目的有多個 : (1) 限制訪問從一個特別的節(jié)點進(jìn)入 (2) 防止攻擊者接近防御措施 (3) 限制訪問從一個特別的節(jié)點離開 (4) 有效的阻止入侵者對內(nèi)部網(wǎng)絡(luò)中的計算機(jī)系統(tǒng)進(jìn)行破壞 通常 ,被保護(hù)的網(wǎng)絡(luò)屬于我們自己，或者是我們負(fù)責(zé)管理的，而所要防備的網(wǎng)絡(luò)則是一個外部的網(wǎng)絡(luò)，防火墻認(rèn)為該網(wǎng)絡(luò)是不可信賴的，因為可 能有人會從該網(wǎng)絡(luò)上對我們的網(wǎng)絡(luò)發(fā)起攻擊，破壞網(wǎng)絡(luò)安全。防火墻相當(dāng)于控制器和監(jiān)視器，用來監(jiān)視或拒絕應(yīng)用層的通信業(yè)務(wù)，防火墻也可以在網(wǎng)絡(luò)層和傳輸層運行，在這種情況下，防火墻檢查進(jìn)出相應(yīng)接口的報文分組的工P和 TCP頭部，根據(jù)預(yù)先設(shè)計的報文分組過濾規(guī)則來拒絕或允許報文分組通過 [17]。路由器上可以 安裝基于 IP 層的報文過濾軟件，實現(xiàn)報文過濾功能。這種配置的危險僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。網(wǎng)絡(luò)安 全策略的一個主要目標(biāo)是向用戶 提供透明的網(wǎng)絡(luò)服務(wù)機(jī)制。 6)如果一個分組不滿足任何規(guī)則，則該分組被阻塞。當(dāng)一個新的服務(wù)被加入到網(wǎng)絡(luò)中時，我們可以很容易地遇到?jīng)]有規(guī)則與之相匹配的情況。相當(dāng)多的代理服務(wù)器要 求使用固定的客戶程序。如果一個節(jié)點在非標(biāo)準(zhǔn)端口上運行一個標(biāo)準(zhǔn)應(yīng)用程 序，代理將不支持這個應(yīng)用程序。這 樣便可以在用戶層或應(yīng)用層提供訪問控制，并且可以用來對各種應(yīng)用程序的使用情況維 6 持一個智能性的日志文件。監(jiān)視功能支持多種網(wǎng)絡(luò)協(xié)議，可以方便地實現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充，特別是可監(jiān)視 RPC(遠(yuǎn)程進(jìn)程調(diào)用 )和 UDP(用戶數(shù)據(jù)報文 )端口信息，這是其它安全服務(wù)所不能完成的。例如在網(wǎng)絡(luò)訪問時，一次加密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不 必分散在各個主機(jī)上，而集中在防火墻身上。使用防火墻就可以 隱蔽那些內(nèi)部細(xì)節(jié)如 Finger、 DNS 等服務(wù)。 255 ~ .0~ 如果你選擇上述列表中的網(wǎng)絡(luò)地址，那么不需要向任何互聯(lián)網(wǎng)授權(quán)機(jī)構(gòu)注冊即可使 用。不僅省去了專用通信線路， 而且為信息 共享提供了技術(shù)保障。上述缺陷嚴(yán)重制約了網(wǎng)絡(luò)技術(shù)的應(yīng)用和發(fā)展。上述工作模型能很好地工作在中小網(wǎng)絡(luò)中，但當(dāng)網(wǎng)絡(luò)規(guī)模增大、網(wǎng)絡(luò)新技術(shù)不斷現(xiàn)時，這種工作模型的缺陷日益暴露出來。為了克服 以上缺陷而又保留傳統(tǒng)防火墻的優(yōu)點，美國 ATamp。 在新的安全體系結(jié)構(gòu)下，分布式防火墻代表新一代防火墻技術(shù)的潮流，它可以在網(wǎng)絡(luò)的任何交界和節(jié)點處設(shè)置屏 障，從而形成了一個多層次、多協(xié)議、內(nèi)外皆防的全方位安全體系 .主要性能如下 [6]: (1)增 強(qiáng) 了系統(tǒng)安全性，增加了針對主機(jī)的入侵檢測和防護(hù)功能，加強(qiáng)了對來自內(nèi) 部網(wǎng)絡(luò)的攻擊防范，實施全方位的安全策略。特別在當(dāng)使用 IP 安全協(xié)議中的密碼憑證來標(biāo)志內(nèi)部主機(jī)，基于這些標(biāo)志的策略對主機(jī)來說無疑更具可信性。隨著網(wǎng)絡(luò)的增長，它們的處理負(fù)荷也在網(wǎng)絡(luò)中進(jìn)一步分布，因此它們的高性能可以持續(xù)保持住。 (5) 應(yīng) 用 更為廣泛，支持 VPN 通信 其實 分 布 式 防火墻最重要的優(yōu)勢在于，它能夠保護(hù)物理拓?fù)渖喜粚儆趦?nèi)部網(wǎng)絡(luò)，位于邏輯上的“內(nèi)部”的那些網(wǎng)絡(luò)主機(jī)，這種需求隨著 VPN 的發(fā)展將會越來越多。這樣不但可以 對主機(jī)實施護(hù)，還能保證與整個系統(tǒng)的安全策略一致。安全策略的制定可以使用各種策略定義語言， 定義的策略被放入策略數(shù)據(jù)庫中。 第四步，上傳安全日志到策略服務(wù)器。與傳統(tǒng)邊界防火墻相比，它多了一種用于對內(nèi)部各子網(wǎng)之間的安全防護(hù)層，這樣整個網(wǎng)絡(luò)間的安全防護(hù)體系就顯得更加安全可靠。另外，不 同于個人防火墻面向個人用戶，針對桌面應(yīng)用的主機(jī)防火墻是面向企業(yè)客戶的，它與分 布式防火墻其他產(chǎn)品共同構(gòu)成一個企業(yè)級應(yīng)用方案，形成一個安全策略統(tǒng)一管理，安全 檢查機(jī)制分散布置的分布式防火墻系統(tǒng)。為自身的 安全和徹底堵住操作系統(tǒng)的漏洞，主機(jī)防火墻的安全監(jiān)測核心引擎要以嵌入操作系統(tǒng)內(nèi) 核的形態(tài)運行，直接接管網(wǎng)卡，在把所有數(shù)據(jù)包進(jìn) 行檢查后再提交操作系統(tǒng)，以杜絕隱 12 患。 (4) 黑客攻擊的防御 抵御包括 Smurf 拒絕服務(wù)攻擊、 ARP 欺騙式攻擊、 Ping 攻擊、 Trjoan 木馬攻擊等在內(nèi) 的近百種來自網(wǎng)絡(luò)內(nèi)部以及來自工 nter 的黑客攻擊手段。在該方式 中，策略服務(wù)器監(jiān)視網(wǎng)絡(luò)，如發(fā)現(xiàn)有主機(jī)欲進(jìn)入本網(wǎng)，則對其進(jìn)行檢查，如發(fā)現(xiàn)該主機(jī) 無本網(wǎng)的安全策略，則將其策略推送給該 機(jī)。在該方式中，主機(jī)定期將自己的日志信息 傳送給策略服務(wù)器。只有少數(shù)員家中的主機(jī)或筆記本電腦有權(quán)與公司服務(wù)器通訊。 設(shè)計目標(biāo)的需求和安全狀況 目前 ,在上述的小型網(wǎng)絡(luò)中，一般只在網(wǎng)關(guān)處安裝簡單的主機(jī)防火墻或病毒檢測防 火墻，內(nèi)部主機(jī)上一般不安裝防火墻，有的主機(jī)使用者也自己安裝簡單的主機(jī)防火墻或 病毒檢測防火墻。遠(yuǎn)程端點連接器是特 別為遠(yuǎn)程端點主機(jī)設(shè)計的用來向小型網(wǎng)絡(luò)上的其他主機(jī)，特別是內(nèi)部端點，證明自己的 身份，請求與內(nèi)部端點建立通信的程序。 策略文件的內(nèi)容除了包過濾規(guī)則外還包括很多其他信息，比如證書、策略文件版本、 管理控制中心和端點主機(jī)間的一些約定等等，這些并不會在策略編輯器 中顯示出來，主 要是為了策略執(zhí)行器和管理控制中心的通信，以及中心對端點進(jìn)行遠(yuǎn)程管理。 至于雙方的權(quán)限如何分配，在前面的模型和產(chǎn)品實現(xiàn)方案中沒有明確的規(guī)定。另外代理服務(wù)器的效率也不高。為了便于管理，用戶也可以 自己定義鏈，但自定義的規(guī)則鏈只能在內(nèi)建鏈中進(jìn) 行包含。日志以用戶可讀的文件形式 保存，用戶可以直接查看日志文件，也可以使用日志分析器查看。 NDI S庫 利 用了 HAL，從而也獲得了硬件無關(guān)性。 編寫中間層驅(qū)動程序 中間層驅(qū) 動 (IM)D 位于微端口驅(qū)動程序和協(xié)議驅(qū)動程序之間，有兩種類型的中間層 驅(qū)動程序 :過濾 (Filter)驅(qū)動程序和復(fù)合 (MUX)驅(qū)動程序。 20 圖 3 windows的網(wǎng)絡(luò)模型 21 實際上 ,這些注冊的例程是在適當(dāng)?shù)臅r候被 NDIs 調(diào)用的，是為驅(qū)動程序棧中其他層 次的驅(qū)動程序服務(wù)的。 19 4. 分布式防火墻的實現(xiàn) 開發(fā)平臺與開發(fā)工具 包過濾模塊在 Widnows 環(huán)境下利用中間驅(qū)動程序?qū)崿F(xiàn)，開發(fā)工具使用 Windo， sDDK 和 vc++ 在 DDK 中附帶的 passthru 提供 T 一個的中間層驅(qū)動框架，它對下表 現(xiàn)為一個協(xié)議層的