【正文】 ............................................................. 46 功能實(shí)現(xiàn)的設(shè)計(jì) .............................................................................................. 48 系 統(tǒng)具體實(shí)現(xiàn) .................................................................................................. 49 其他說明界面 .................................................................................................. 51 系統(tǒng)測試 .......................................................................................................... 53 需要注意的幾個問題 ...................................................................................... 53 系統(tǒng)維護(hù)和總結(jié) ............................................................................................ 55 第六章 防火墻技術(shù)發(fā)展動態(tài)和趨勢 .................................................................................. 57 結(jié) 束 語 .......................................................................................................................... 60 致 謝 ...................................................................................................................................... 61 參考文獻(xiàn) .................................................................................................................................. 62 附錄：（程序源代碼） ............................................................................................................ 63 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 III 摘 要 黑客技術(shù)的提升和黑客工具的泛濫，造成大量的企業(yè)、機(jī)構(gòu)和個人的電腦系統(tǒng)遭受程度不同的入侵和攻擊，或面臨隨時被攻擊的危險。 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 IV ABSTRACTOR With the hacker of technology and hacker tool promotion , cause a large number of enterprise , anization , personal puter system suffer degree different invasion and attack, or face the danger attacked at any time. Force everybody to have to strengthen the safe protection of the work system of one39。事實(shí)上，在 Inter 上的 Web 網(wǎng)站中，超過三分之一的 Web網(wǎng)站都是由某種形式的防火墻加以保 護(hù)，這是對黑客防范最嚴(yán)，安全性較強(qiáng)的一種方式，任何關(guān)鍵性的服務(wù)器，都建議放在防火墻之后。 為了提高網(wǎng)絡(luò)的安全性，我們此次就來研究多層防火墻系統(tǒng)。 防火墻的 概念 防火墻的英文名為“ FireWall” ，它是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備。隨著安全性問題上的失誤和缺陷越來越普遍，對網(wǎng)絡(luò)的入侵不僅來自高超的攻擊手段，也有可能來自 配置上的低級錯誤或不合適的口令選擇。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。當(dāng)發(fā)生可疑動作時，防火墻能進(jìn)行適當(dāng)?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。但是 Finger 顯示的信息非常容易被攻擊者所獲悉。防火墻技術(shù)作為目前用來實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段，它主要是用來拒絕未經(jīng)授權(quán)用戶的訪問，阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù)，同時允許合法用戶不受妨礙的訪問網(wǎng)絡(luò)資源。 隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和應(yīng)用的日漸普及，黑客工具不僅變得越來越先進(jìn)，而且也越來越容易被一般人獲取和 濫用。 “ 一難防 ” 。當(dāng)有些表面看起來無害的數(shù)據(jù)通過郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時，就會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。在分組過濾（網(wǎng)絡(luò)層）一級，過濾掉所有的源路由分組和假冒的 IP 源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或 /和入的協(xié)議和有害數(shù)據(jù)包如nuke 包、圣誕樹 包等；在應(yīng)用網(wǎng)關(guān)（應(yīng)用層）一級，能利用 FTP、 SMTP 等各種網(wǎng)關(guān)，控制和監(jiān)測 Inter 提供的所用通用服務(wù)。黑客技術(shù)的提升和黑客工具的泛濫，造成大量的企業(yè)、機(jī)構(gòu)和個人的電腦系統(tǒng)遭受程度不同的入侵和攻擊，或面臨隨時被攻擊的危險。也稱地址翻譯技術(shù)就是將一個 IP地址用另一個 IP地址代替。在防火墻上配置 NAT 技術(shù)，就需要在防火墻上配置一個合法 IP 地址集，當(dāng)內(nèi)部網(wǎng)絡(luò)用戶要訪問 Inter 時，防 火墻動態(tài)地從地址集中選一個未分配的地址分配給該用戶，該用戶即可使用這個合法地址進(jìn)行通信。 數(shù)據(jù)包過濾技術(shù) 數(shù)據(jù)包過濾技術(shù)工作在 OSI 網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它是多層防火墻技術(shù)的第二道防護(hù)屏障。 包過濾方式是一種通用、廉價和有效的安全手段。防火墻作為內(nèi)、外部網(wǎng)絡(luò)的唯一通道，所以進(jìn)、出的數(shù)據(jù)都必須通過防火墻來傳輸?shù)摹? ②第二代動態(tài)包過濾類型防火墻 這類防火墻采用動態(tài)設(shè)置包過濾規(guī)則的方法，避免了靜態(tài)包過濾所具有的問題。 狀態(tài)檢測技術(shù)是在傳統(tǒng)包過濾技術(shù)上的功能擴(kuò)展，現(xiàn)在已經(jīng)成為防火墻技術(shù)的主流技術(shù)。這種防火墻無疑是非常堅(jiān)固的，但它會降低網(wǎng)絡(luò)的速度，而且配置也比較復(fù)雜。電路級網(wǎng)關(guān)只依賴于 TCP 連接，并不進(jìn)行任何附加的包處理或過濾。它給代理類型的防火墻賦予了全新的意義。 應(yīng)用級網(wǎng)關(guān)的工作原理圖如圖 所示。組成這種類型防火墻的基本要素有兩個：自適應(yīng)代理服務(wù)器 (Adaptive Proxy Server)與動態(tài)包過濾器 (Dynamic Packet filter)。 應(yīng)用代理防火墻是將低層訪問控制和高層應(yīng)用功能結(jié)合在一起的防火墻，所有通過防火墻的包都必須在應(yīng)用代理軟件的控制下。相對于狀態(tài)檢測包過濾，將傳統(tǒng)的包過濾技術(shù)稱為靜態(tài)包過濾，靜態(tài)包過濾將每個數(shù)據(jù)包進(jìn)行單獨(dú)的分析，固定的根據(jù)其包頭信息進(jìn)行匹配，這種方法在遇到利用動態(tài)端口應(yīng)用協(xié)議時發(fā)生了困難。 當(dāng)包過濾防火墻見到一個網(wǎng)絡(luò)包，包是孤立存在的，沒有防火墻 所關(guān)心的歷史或未來。對內(nèi)部的 連接試圖連到外部主機(jī)，防火墻注明連接包。防火墻仔細(xì)地跟蹤傳出的請求，記錄下所 使用的地址、協(xié)議和包的類型，然后對照保存過的信息核對傳入的包，以確保這些包是被請求的。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個個的事件來 處理。 ),后續(xù)的屬于同一個連接的數(shù)據(jù)包，就不需要在檢測了。這樣，既保障了安全，又不影響正常服務(wù)，速度也快 。隨后的數(shù)據(jù)包 (沒有帶有一個 SYN 標(biāo)志 )就和該狀態(tài)監(jiān)測表的內(nèi)容進(jìn)行比較。如果規(guī)則庫通過了這個數(shù)據(jù)包，本次會話被添加狀態(tài)檢測表中。如果通過了這個數(shù)據(jù)連接請求，它被添加到狀態(tài)檢測表里。 當(dāng)狀態(tài)監(jiān)測模塊監(jiān)測到一個 FIN 或一個 RST 包的時候，減少時間溢出值從我們?nèi)笔≡O(shè)定的值 3600 秒減少到 50秒。下面只是列出了什么樣的 ICMP 包是安全的，可以作為對狀態(tài)檢測模塊 ICMP 支持的參考。 然而，如果是重組完成后才對數(shù)據(jù)包進(jìn)行檢查，那么防火墻對于使用分幀攻擊（使用不完整的或者是非法的）就表現(xiàn)出很大的弱點(diǎn)。最基本的分組過濾防火墻會根據(jù)第三層的參數(shù)（如源 IP 地址和目標(biāo) IP 地址）檢查通過網(wǎng)絡(luò)的數(shù)據(jù)包，再由內(nèi)建在防火墻中的分組過濾規(guī)則依據(jù)這些參數(shù)來確定哪些數(shù)據(jù)包被放行，哪些數(shù)據(jù)包被阻隔。 狀態(tài)檢測技術(shù)的新技術(shù) 近年來，一項(xiàng)創(chuàng)新的防火墻技術(shù)正廣泛的獲得應(yīng)用，這就是被稱為深度包檢測的 DIP（ Deep Packet Inspection）技術(shù)。如果一些分幀沒有被重組，那么狀態(tài)監(jiān)測模塊將沒有辦法識別后續(xù)的分幀的數(shù)據(jù)包是否屬于一個會話的一部分。 ⑤ ICMP 的狀態(tài)檢測問題 對于一些 ICMP 包的分析，在許多防火墻系統(tǒng)中都是做的很不夠的，在對做狀態(tài)檢測時是需要對 ICMP 的內(nèi)容進(jìn)行分析的。 ③ 連接的關(guān)閉 在連接被通訊雙方關(guān)閉后，狀態(tài)監(jiān)測表中的連接應(yīng)該被維護(hù)一段時間。從最簡單的角度出發(fā)，我們可以使用源地址、目的地址和端口號來區(qū)分是否是一個會話。 ② 狀態(tài)監(jiān)測表建立？ 那么初始化一個連接時使用 ACK 行不行？它又會出現(xiàn)什么問題呢？ 如果防火墻的狀態(tài)檢測表使用 ACK 來建立會話，將會是不正確的。如果該包被接受，那么本次會話被記錄到狀態(tài)監(jiān)測表里。實(shí)現(xiàn)原理是：平時，防火墻可以過濾內(nèi)部網(wǎng)絡(luò)的所有端口 (165535),外部攻擊者難于發(fā)現(xiàn)入侵的切入點(diǎn)，可是為了不影響正常的服務(wù)，防火墻一但檢測到服務(wù)必須開放高端口時，如 (ftp 協(xié)議， irc 等 )，防火墻在內(nèi)存就可以動態(tài)地天加一條規(guī)則打開相關(guān)的高端口。 如果割裂這些關(guān)系，單獨(dú)的過濾數(shù)據(jù)包，很容易被精心夠造的攻擊數(shù)據(jù)包欺騙！如 nmap 的攻擊掃描，就有利用 syn 包， fin 包， reset 包來探測防火墻后面的網(wǎng)絡(luò)。 狀態(tài)檢測技術(shù)的原理 狀態(tài)檢測技術(shù)最早是 checkpoint 提出的，在國內(nèi)的許多防火墻都聲稱實(shí)現(xiàn)了狀態(tài)檢測技術(shù)。對傳入的包，若它所使用的地址和 UDP 包都不會被允許通過，除非它是響應(yīng)傳出的請求或已經(jīng)建立了指定的規(guī)則來處理它。當(dāng)建立起一個 TCP 連接時，通過的第一個包被標(biāo)有包的 SYN標(biāo)志。 狀態(tài)檢測防火墻試圖跟蹤通過防火墻的網(wǎng)絡(luò)連接和數(shù)據(jù)包，這樣防火墻就可以使用一組附加的標(biāo)準(zhǔn)，以確定是允許還是拒絕通信。 狀態(tài)檢測技術(shù)是在傳統(tǒng)包過濾技術(shù)上的功能 擴(kuò)展，現(xiàn)在已經(jīng)成為防火墻技術(shù)的主流技術(shù)。由于它工作于最高層，所以它可以對網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過濾那樣，只是對網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行 過濾。 ② 第二代自適應(yīng)代理 (Adaptive proxy)型防火墻 它是近幾年才得到廣泛應(yīng)用的一種新防火墻類型。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜一些的訪問控制，如限制用戶訪問的主機(jī)、訪問時間及訪問的方式等。 應(yīng)用代理 網(wǎng)關(guān)技術(shù) 所謂 應(yīng)用 代理 網(wǎng)關(guān) 技術(shù) （ Gateway）就是我們常常說的 “ 代理服務(wù)器 ” ，它能夠檢查進(jìn)出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。另外，電路級網(wǎng)關(guān)還提供一個重要的安全功能，即可以使用網(wǎng)絡(luò)地址轉(zhuǎn)移 (NAT)功能將所有內(nèi)部網(wǎng)絡(luò) IP 地址映射到一個”安全“的公網(wǎng) IP 地址，這個地址是由防火墻使用的。一旦某個訪問違反安全規(guī)定，就會拒絕該訪問，并報告有關(guān)狀態(tài)作日志記錄。狀態(tài)檢測技術(shù)又稱動態(tài)包過濾技術(shù)， 它是針對高層協(xié)議（如 TCP）難以用簡單的包 過濾對數(shù)據(jù)連接進(jìn)行有效控制，而必須采用上下文相關(guān)控制這一特點(diǎn)的，比如 FTP、 等協(xié)議。過濾規(guī)則基于數(shù)據(jù)包的報頭信息進(jìn)行制訂。 圖 簡化的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 在這個網(wǎng)絡(luò)結(jié)構(gòu)中防火墻位于內(nèi)、外部網(wǎng)絡(luò)的邊界，內(nèi)部網(wǎng)絡(luò)可能包括各種交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備。防火墻的包過濾技術(shù)就是對通信過程中數(shù)據(jù)進(jìn)行過濾 (又稱篩選 )，使符合事先規(guī)定的安全規(guī)則 (或稱“安全策略” )的數(shù)據(jù)包通過，而使那些不符合安全規(guī)則的數(shù)據(jù)包丟棄。而 DNAT 就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的目的地址，外部網(wǎng)絡(luò)主機(jī)向內(nèi)部網(wǎng) 絡(luò)主機(jī)發(fā)出通信連接時，防火墻首先把目的地址轉(zhuǎn)換為自己的地址，然后再轉(zhuǎn)發(fā)外部網(wǎng)絡(luò)的通信連接，這樣實(shí)際上外部網(wǎng)絡(luò)主機(jī)與內(nèi)部網(wǎng)絡(luò)主機(jī)的通信變成了防火墻與內(nèi)部網(wǎng)絡(luò)主機(jī)的通信。 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 18 當(dāng)受保護(hù)網(wǎng)連到 Inter 上時，受保護(hù)網(wǎng)用戶若要訪問 Inter，必須使用一個合法的 IP地址。事實(shí)上，多層次防護(hù)已經(jīng)成為當(dāng)今網(wǎng)絡(luò)安全的主流策略。事實(shí)上，多層次防護(hù)已經(jīng)成為網(wǎng)絡(luò)安全設(shè)計(jì)的主流策略。