【正文】 fine ICMP_PKT_FILTERED 13 /* Packet filtered */ block, depricated define ICMP_PREC_VIOLATION 14 /* Precedence violation */ define ICMP_PREC_CUTOFF 15 /* Precedence cut off */ block. ⑥ IP 分幀的問題 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 34 在路由時，如果 IP 數(shù)據(jù)包的內(nèi)容大于 MTU 的大小，數(shù)據(jù)包將會被分幀，被分成幾個更小的 IP 數(shù)據(jù)包。因為它們可能根本不會被重組完成。之后又出現(xiàn)了應(yīng)用層網(wǎng)關(guān)防火墻，這種防火墻經(jīng)常被稱為基于代理服務(wù)器的防火墻，因為它會代表各種網(wǎng)絡(luò)客戶端執(zhí)行應(yīng) 用層連接，即提供代理服務(wù)。對于具 體應(yīng)用來說，過小的分幀包應(yīng)該被丟棄。然而，在所有被分幀后的 IP 數(shù)據(jù)包中只有第一個分幀包含了完整的信息，其 他分幀只有 IP 地址信息。當(dāng)一個完成規(guī)則檢查的數(shù)據(jù)包通過防火墻時，這次會話被添加到狀態(tài)檢測表內(nèi)，并設(shè)置一個時間溢出值，任何一個在這個時間值內(nèi)返回的包都會被允許通過，當(dāng)然它的 SRC/DST 的 IP 地址和 SRC/DST 的端口號是必須匹配的。） 在進行狀態(tài)監(jiān)測時，對于一個會話的確認可以只通過使用源地址、目的地址和端口號來區(qū)分，在性能設(shè)計上如果能滿足要求，也應(yīng)該考慮對 于 TCP 連接的序列號的維護，雖然這樣可能需要消耗比較多的資源 。 那么狀態(tài)檢測表建立應(yīng)該怎么進行呢？ 首先，對于一個會話我們使用什么來區(qū)分。所有的數(shù)據(jù)包與狀態(tài)檢測表的比較都在內(nèi)核模式下進行所以應(yīng)該很快。一個 RST的數(shù)據(jù)包發(fā)送到遠端的機器。在狀態(tài)檢測里，采用動態(tài)規(guī)則技術(shù)，原先高端口的問題就可以解決了。數(shù)據(jù)包的前后序列號是相關(guān)的。因此，狀態(tài)檢測防火墻不僅超越了傳統(tǒng)的防火墻的定義，而且在安全性上也超越了前兩代產(chǎn)品?？墒?，如果防火墻跟蹤包的狀態(tài)，就可以解決這個問題。 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 28 跟蹤連接狀態(tài)的方式取決于通過防火墻包的類型： ① TCP 包。當(dāng)新的通信結(jié)束時，新生成的過濾規(guī)則將自動從規(guī)則表中刪除。狀態(tài)檢測防火墻通過建立動態(tài) TCP 連接狀態(tài)表并對 每次會話連接進行驗證來實現(xiàn)網(wǎng)絡(luò)訪問控制。 代理類型防火墻的最突出的優(yōu)點就是安全。它的核心技術(shù)就是代理服務(wù)器技術(shù)。允許通過的數(shù)據(jù)包由網(wǎng)關(guān)復(fù)制并傳遞，防止在受信任服務(wù)器和客戶機與不受信任的主機間直接建立聯(lián)系。但是，作為電路級網(wǎng)關(guān)也存在著一些缺陷，因為該網(wǎng)關(guān)是在會話層工作的，它就無法檢查應(yīng)用層級的數(shù)據(jù)包 。電路級網(wǎng)關(guān)是在 OSI 網(wǎng)絡(luò)參考模型的會話層過濾數(shù)據(jù)包，這樣比包過濾防火墻要高兩層。與前兩種防火墻不同，當(dāng)用戶訪問請求到達網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認證、報警或給該通信加密等處理動作。 狀態(tài)檢測技術(shù) 狀態(tài)檢測 （ Check Point） 技術(shù) 是基于 OSI 網(wǎng)絡(luò) 參考模型的 第四層的包過濾技術(shù) 。 ①第一代靜態(tài)包過濾類型防火墻 這類防火墻幾乎是與路由器同時產(chǎn)生的，它是根據(jù)定義好的 過濾規(guī)則審查每個數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配。 先來看一下防火墻方案部署的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，所有的防火墻方案網(wǎng)絡(luò)拓撲結(jié)構(gòu)都可簡化為如圖 所示。防火墻的產(chǎn)生也是從這一技術(shù)開始的，最早是于 1989 所提出的。 SNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的源地址，對內(nèi)部網(wǎng)絡(luò)地址進行轉(zhuǎn)換，對外部網(wǎng)絡(luò)是屏蔽的，使得外部非常用戶對內(nèi)部主機的攻擊更加困難，同時可以節(jié)省有限的公網(wǎng) IP 資源，通過少數(shù)一個或幾個公網(wǎng) IP 地址共享上網(wǎng)。改了源 IP地址的包送到 Inter，他的應(yīng)答包肯定能夠回到 NAT 的外部接口， NAT 接到應(yīng)答包后，通過查看自己的連接表的記錄，更改應(yīng)答包的目標 I P，然后送到發(fā)出請求的工作站。 在各個層次上部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品， 采用“多層過濾技術(shù)”， 構(gòu)成多層防護屏障，對網(wǎng)絡(luò)中傳送的信息進行重重檢測，鑒定其安全性，從而來對網(wǎng)絡(luò)進行層層防護， 從而增加攻擊者侵入所花費的時間、成本和所需要的資源， 既而 卓有成效地降低被攻擊的危險，達到安全防護的目標。 該 多層防火墻最大的優(yōu)點就是可以成倍地增加了 攻擊者侵入時所需花費的時間、成本和所需要的資源，大大減少了他們的攻擊頻度，即而卓有成效地降低被攻擊的危險，達到安全防護的目標， 使信息系統(tǒng)得到連續(xù)不斷的保護 。 鞏固我們的網(wǎng)絡(luò)安全性能， 提高網(wǎng)絡(luò)的安全防范能力 ，使 信息系統(tǒng)的安全系數(shù)得到了大大的提升。由于操作系統(tǒng)、病毒、二進制文件類型的復(fù)雜性，而且更新速度很快， 它 無法逐個掃描每個文件查找病毒，病毒很可能隱藏在合法郵寄的數(shù)據(jù)包內(nèi)， 它 很難對其進行識別。所以在任何時候，對信息系統(tǒng)實施連續(xù)不斷的保護是非常必要的。 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 12 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 13 第二章 多層防火墻技術(shù)的研究背景 多層防火墻技術(shù)的研究背景 防火墻技術(shù)是一種安全防范措施，所謂網(wǎng)絡(luò)入侵和安全防范，實際上就是指網(wǎng)絡(luò)攻防技術(shù)。防火墻能有效得控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳輸，從而達到保護內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。 事實上，防火墻正在成為控制對網(wǎng)絡(luò)系統(tǒng)訪問的非常流行的方法。圖 顯示了防火墻的基本目的。網(wǎng)絡(luò)的安全性成為當(dāng)今最熱門的話題之一，很多企業(yè)為了保障自身服務(wù)器或數(shù)據(jù)安全都采用了防火墻。 黑客技術(shù)的提升和黑客工具的泛濫，造成大量的企業(yè)、機構(gòu)和個人的電腦系統(tǒng)遭受程度不同的入侵和攻擊，或面臨隨時被攻擊的危險。防火墻可以監(jiān)控進出網(wǎng)絡(luò)的通信量，從而完成看似不可能的任務(wù)；僅讓安全、核準了的信息進入，同時又抵制對企業(yè)構(gòu)成威脅的數(shù)據(jù)。 從而大大減少了他們對企業(yè)的攻擊。 其他的諸如 訪問控制虛擬專網(wǎng)、身份認證、虛擬網(wǎng)橋 、 網(wǎng)絡(luò)地址轉(zhuǎn)換、提供完善的安全性設(shè)置，通過高性能的網(wǎng)絡(luò)核心進行訪問控制 的功能我決定進一步來實現(xiàn) 。s work according to the safety regulation that the system administrator establishes, offer the strong one , use strobe , information filtering , flow controlling , such functions as the work intercepts . A other one is it control VPN , identity authentication , virtual bridge , work address change , offer perfect security establishment to visit, go on through highperformance work core function controlled to visit I is it is it realize to e further to determine. The system has adopted VB to manage interfaces , the systematic function strong in management , plicated through the ocular , apt to use interface. The interface hits culture pletely, it is simple and direct to operate , really make to measure. Thus reduced their attack of enterprises greatly In fact,the protection of multiter firewalls have beed the main ways Current online security. KEY WORDS: Firewall 、 NPacket state check、 Multitier firewall and VB. 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 V 引 言 防火墻的英文名為“ FireWall”，它是目前一種最重要的網(wǎng)絡(luò)防護設(shè)備。這就是為什么許多公司建立多層防火墻的原因，當(dāng)黑客闖過一層防火墻后他只能獲取一部分數(shù)據(jù)，其他的數(shù)據(jù)仍然被安全地保護在內(nèi)部防火墻之后。 總的來說，我們所研究的多層防火墻系統(tǒng)功能強大，具有一些單一防火墻所不具有的功能，大大地提高的網(wǎng)絡(luò)的安全性。在網(wǎng)絡(luò)中，所謂 “ 防火墻 ” ，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如 Inter)分開的方法，它實際上是一種隔離技術(shù)。 防火墻和家里的防盜門很相似，它們對普通人來說是一層安全防護，但是沒有任何一種防火墻能提供絕對的保護。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如 IP 選項中的源路由攻擊和 ICMP 重定向中的重定向路徑。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的 DNS 信息，這樣一臺主機的域名和 IP地址就不會被外界所了解。但是沒有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問題，比如防火墻雖然能對來自外部網(wǎng)絡(luò)的攻擊進行有效的保護，但對于來自網(wǎng)絡(luò)內(nèi)部的攻擊卻無能為力。這就迫使大家不得不加強對自身電腦網(wǎng)絡(luò)系統(tǒng)的安全防護，甚至追求所謂徹底的、一勞永逸的、 100%的網(wǎng)絡(luò)安全解決方案。如果外部網(wǎng)絡(luò)用戶直接從因特網(wǎng)服務(wù)提供商那里購置直接的 SLIP 或 PPP 鏈接，繞過了防火墻系統(tǒng)所提供的安全保護，就會造成一個潛在的后門攻擊渠道。 正因為 上述單一的 防火墻 的 “ 三難防 ” 困擾， 我們提出了“多層次防護”的概念，它采用 多層安全防護措施對信 息系統(tǒng)進行全方位的保護。這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于 OSI網(wǎng)絡(luò)參考模型上的不同的網(wǎng)絡(luò)層，從這個概念出發(fā)，又有很多內(nèi)容可以擴展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。 但是，正如一些網(wǎng)絡(luò)安全專家和專業(yè)廠商所強調(diào)的，沒有一個公司的安全系統(tǒng)能保證 100%的安全。通過此項功能就可以很好地屏蔽內(nèi)部網(wǎng)絡(luò)的 IP 地址，對內(nèi)部網(wǎng)絡(luò)用戶起到了保護作用。 在防火墻上部署 NAT 的方式可以有以下幾種： ① M1：多個內(nèi)部網(wǎng)地址轉(zhuǎn)換到 1個 IP 地址 ② 11：簡單的一對一地址轉(zhuǎn)換 ③ MN：多個內(nèi)部網(wǎng)地址轉(zhuǎn)換到 N個 IP 地址池 通過這樣的地址轉(zhuǎn)換后，既緩解了少量的因特網(wǎng) IP 地址和大量主機之間的矛盾，又對外隱藏了內(nèi)部主機的 IP地址，提高了安全性。只有滿足過濾條件的數(shù)多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 19 據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其 余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。 不用改動客戶機和主機上的應(yīng)用程序，因為它工作在網(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 20 包過濾技術(shù)最先使用的是在路由器上進行的，它也是最原始的防火墻方案。采用這種技術(shù)的防火墻對通過其建立的每一個連接都進行跟蹤，并且根據(jù)需要可動態(tài)地在過濾規(guī)則中增加或更新條目。 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 21 這種防火墻具有非常好的安全特性，它使用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件模塊，稱之為狀態(tài)監(jiān)測引擎。 關(guān)于狀態(tài)檢測技術(shù)我們將在后續(xù)章節(jié)詳細介紹。 TCP端口號 TCP端口號 網(wǎng)絡(luò)訪問 TCP IP 電路級網(wǎng)關(guān) 多層防火 墻技術(shù)的研究 —— 狀態(tài)檢測 23 服務(wù)器 客戶機 圖 電路級網(wǎng)關(guān)技術(shù) 電路級網(wǎng)關(guān)的應(yīng)用原理與應(yīng)用級網(wǎng)關(guān)相同，網(wǎng)關(guān) 的作用就是接收客戶端連接請求，根據(jù)客戶的地址及所請求端口，將該連接重定向到指定的服務(wù)器地址及端口上，代理客戶端完成網(wǎng)絡(luò)連接，然后在客戶和服務(wù)器間中轉(zhuǎn)數(shù)據(jù)。其特點是完全 阻隔 了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。 ① 第一代應(yīng)用網(wǎng)關(guān) (Application Gateway)型防火墻 這類防火墻是通過一種代理 (Proxy)技術(shù)參與到一個 TCP 連接的全過程。在對防火墻進行配置時，用戶僅僅將所需要的服務(wù)類型、安全級別等信息通過相應(yīng)Proxy 的管理界面進行設(shè)置就可以了。應(yīng)用代理防火墻具有功能強大的特點，但是其性能低的缺點決定了它不能應(yīng)用在高帶 寬和實時應(yīng)用的業(yè)務(wù)中。這種防火墻能通過狀態(tài)檢測技術(shù)動態(tài)記錄，維護各個連接的協(xié)議狀態(tài)，并且在