【文章內(nèi)容簡(jiǎn)介】 之人的困擾，這些人喜愛在網(wǎng)上做這類的事，像在現(xiàn)實(shí)中向其他人的墻上噴染涂鴉、將他人的郵箱推倒或者坐在大街上按汽車?yán)纫粯?。一些人試圖通過 Inter 完成一些真正的工作，而另一些人則擁有敏感或?qū)Ｓ袛?shù)據(jù)需要保護(hù)。一般來說，防火墻的目是將那些無(wú)聊之人 擋在你的網(wǎng)絡(luò)之外，同時(shí)使你仍可以完成工作。 許多傳統(tǒng)風(fēng)格的企業(yè)和數(shù)據(jù)中心都制定了計(jì)算安全策略和必須遵守的慣例。在一家公司的安全策略規(guī)定數(shù)據(jù)必須被保護(hù)的情況下，防火墻更顯得十分重要，因?yàn)樗沁@家企業(yè)安全策略的具體體現(xiàn)。如果你的公司是一家大企業(yè)，連接到 Inter 上的最難做的工作經(jīng)常不是費(fèi)用或所需做的工作，而是讓管理層信服上網(wǎng)是安全的。防火墻不僅提供了真正的安全性，而且還起到了為管理層蓋上一條安全的毯子的重要作用。 防火墻可以防范什么 一些防火墻只允許電子郵件通過，因而保護(hù)了網(wǎng)絡(luò)免受除對(duì)電子郵 件服務(wù)攻擊之外的任何攻擊。另一些防火墻提供不太嚴(yán)格的保護(hù)措施，并且攔阻一些眾所周知存在問題的服務(wù)。一般來說，防火墻在配置上是防止來自 “ 外部 ” 世界未經(jīng)授權(quán)的交互式登錄的。這大大有助于防止破壞者登錄到你網(wǎng)絡(luò)中的計(jì)算機(jī)上。一些設(shè)計(jì)更為精巧的防火墻可以防止來自外部的傳輸流進(jìn)入內(nèi)部，但又允許內(nèi)部的用戶可以自由地與外部通信。如果你切斷防火墻的話，它可以保護(hù)你免受網(wǎng)絡(luò)上任何類型的攻擊。 西南交通大學(xué)本科 畢業(yè)設(shè)計(jì) (論文 ) 第 1 頁(yè) 防火墻的另一個(gè)非常重要的特性是可以提供一個(gè)單獨(dú)的 “ 攔阻點(diǎn) ” ，在 “ 攔阻點(diǎn) ” 上設(shè)置安全和審計(jì)檢查 。與計(jì)算機(jī)系統(tǒng)正受到某些人利用調(diào)制解調(diào)器 撥入攻擊的情況不同，防火墻可以發(fā)揮一種有效的 “ 電話監(jiān)聽 ” （ Phone tap）和跟蹤工具的作用。防火墻提供了一種重要的記錄和審計(jì)功能，它們經(jīng)?？梢韵蚬芾韱T提供一些情況概要，提供有關(guān)通過防火墻的傳流輸?shù)念愋秃蛿?shù)量以及有多少次試圖闖入防火墻的企圖等等信息。 選擇本課題的目的 防火墻技術(shù)是一種綜合性的網(wǎng)絡(luò)安全技術(shù)，要了解防火墻先要了解 TCP/IP 網(wǎng)絡(luò)協(xié)議， IP 包結(jié)構(gòu)等許多網(wǎng)絡(luò)知識(shí)，對(duì)自己以后在網(wǎng)絡(luò)方向的發(fā)展有著深遠(yuǎn)的意義。也可以把開發(fā)過程作為以后開發(fā)有商業(yè)價(jià)值的網(wǎng)絡(luò)軟件的初步探索，為以后的工作積累寶貴 的經(jīng)驗(yàn)。 本防火墻是基于 Linux（ 內(nèi)核）操作系統(tǒng)的。這是一種開源的，免費(fèi)的操作系統(tǒng)，非常便于學(xué)習(xí)。通過在這個(gè)平臺(tái)開發(fā)本軟件，可以深入了解操作系統(tǒng)的內(nèi)核，對(duì)內(nèi)核級(jí)編程做一個(gè)初步嘗試。也可以將對(duì) TCP/IP 協(xié)議棧的認(rèn)識(shí)得到升華。 本人工作 ，現(xiàn)狀，發(fā)展做了研究； Vmware 搭建模擬網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境 ； Linux 內(nèi)核模塊機(jī)制 ， 了解了 Linux 下的 C 編程和 Perl 編程及 Vim的使用； Netfilter 的原理，并深入研究了鉤子函數(shù) 的使用方法和作用機(jī)制； Netfilter 原理開發(fā)并實(shí)現(xiàn)了簡(jiǎn)單包過濾模塊 、 實(shí)現(xiàn) IP 地址過濾、端口過濾和日志記錄等功能； ； 。 西南交通大學(xué)本科 畢業(yè)設(shè)計(jì) (論文 ) 第 2 頁(yè) 第 2 章 防火墻知識(shí)與相關(guān)技術(shù)介紹 防火墻原理 古時(shí)候，人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢(shì)蔓延到別的寓所。自然 ， 這種墻因此而得名 “ 防火墻 ” ?，F(xiàn)在，如果一個(gè)網(wǎng)絡(luò)鏈接到了Inter 上面，它的用戶就可以訪問外部網(wǎng)絡(luò)并與之通信。但同時(shí)，外部世界也同樣可 以訪問該網(wǎng)絡(luò)并與之交互。為安全起見，可以在該網(wǎng)絡(luò)和 Inter 之間插入一個(gè)中介系統(tǒng)，豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網(wǎng)絡(luò)對(duì)本網(wǎng)絡(luò)的威脅和入侵， 提供扼守本網(wǎng)絡(luò)的安全和審計(jì)的唯一關(guān)卡。這種中介系統(tǒng)也叫做 “ 防火墻 ” ，或 “ 防火墻系統(tǒng) ” [12]。如圖 21： 圖 21 防火墻示意圖 作為近年來新興的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)性措施，防火墻（ Firewall）是一種隔離控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如 Inter）之間設(shè)置屏障，阻止不安全網(wǎng)絡(luò)對(duì)信息資源的非法訪問，也可以使用防火 墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。防火墻是一種被動(dòng)防衛(wèi)技術(shù)，由于它假設(shè)了網(wǎng)絡(luò)的邊界和服務(wù)，因此對(duì)內(nèi)部的非法訪問難以有效地控制。因此，防火墻最適合于相對(duì)獨(dú)立的與外部網(wǎng)絡(luò)互連途徑有限、網(wǎng)絡(luò)服務(wù)種類相對(duì)集中的單一網(wǎng)絡(luò)。 作為 Inter 網(wǎng)的安全性保護(hù)軟件，防火墻已經(jīng)得到廣泛的應(yīng)用。通常企業(yè)為了維護(hù)內(nèi)部的信息系統(tǒng)安全，在企業(yè)網(wǎng)和 Inter 間設(shè)立防火墻軟件。企業(yè)信息系統(tǒng)對(duì)于來自 Inter 的訪問，采取有選擇的接收方式。它可以允許或禁止一類具體的 IP 地址訪問，也可以接收或拒絕 TCP/IP 上的某一類具 體的應(yīng)用。如果在某一臺(tái) IP 主機(jī)上有需要禁止的信息或危險(xiǎn)的用戶，則可以通過設(shè)置使用防火墻過濾掉從該主機(jī)發(fā)出的數(shù)據(jù)包。如果一個(gè)企業(yè)只是使用 Inter 的電子郵件和 WWW 服務(wù)器向外部提供信息，那么就可以在防火墻上設(shè)置，使得只有這兩類應(yīng)用的數(shù)據(jù)包可以通過。這對(duì)于路由器來說，就要不僅分析 IP 層的信息，而且還要進(jìn)一步了解 TCP 傳輸層甚至應(yīng)用層的信西南交通大學(xué)本科 畢業(yè)設(shè)計(jì) (論文 ) 第 3 頁(yè) 息以進(jìn)行取舍。防火墻一般安裝在路由器上以保護(hù)一個(gè)子網(wǎng)，也可以安裝在一臺(tái)主機(jī)上，保護(hù)這臺(tái)主機(jī)不受侵犯 [12]。 防火墻功能 鑒于以上的原理，建立防火墻可以達(dá)到以下目的： 防火墻允許網(wǎng)絡(luò)管理員定義一個(gè) “ 阻塞點(diǎn) ” 來防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，來抗擊網(wǎng)絡(luò)攻擊。 防火墻通過過濾存在安全缺陷的網(wǎng)絡(luò)服務(wù)來降低內(nèi)部網(wǎng)絡(luò)遭受攻擊的威脅，因?yàn)橹挥薪?jīng)過選擇的網(wǎng)絡(luò)服務(wù)才可以通過防火墻。 在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報(bào)警。網(wǎng)絡(luò)管理員通過防火墻日志可以審查常規(guī)記錄并及時(shí)響應(yīng)報(bào)警，以便知道防火墻或內(nèi)部網(wǎng)絡(luò)是否遭受攻擊。 如果一個(gè)內(nèi)部網(wǎng)絡(luò)的所有或者大部分需要改動(dòng)的安全程 序都集中到防火墻系統(tǒng)中，而不是分散到每一臺(tái)主機(jī)上，這樣防火墻的保護(hù)范圍就相對(duì)集中，安全成本也就相對(duì)便宜，安全的管理也可以得到簡(jiǎn)化。 Internt 防火墻是部署 NAT(Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)化 )的合適位置。因此防火墻可以用來緩解 IP 地址短缺的問題，更可以隱藏內(nèi)部網(wǎng)絡(luò)的細(xì)節(jié)。 、強(qiáng)化私有權(quán) 對(duì)一些內(nèi)部網(wǎng)絡(luò)的節(jié)點(diǎn)而言，保密性是很重要的，finger 和 DNS 服務(wù)經(jīng)常會(huì)暴露內(nèi)部網(wǎng)絡(luò)節(jié)點(diǎn)的信息。使用防火墻系統(tǒng)可以阻塞此類服務(wù)，從而減少內(nèi)部信息的 泄漏。 Inter 防火墻是審計(jì)和記錄 Inter 使用量的一個(gè)最佳地點(diǎn)。防火墻可以對(duì)正常網(wǎng)絡(luò)使用情況做出統(tǒng)計(jì)，通過對(duì)統(tǒng)計(jì)節(jié)點(diǎn)分析，可以使網(wǎng)絡(luò)資源得到最好的利用 [12]。 防火墻的體系結(jié)構(gòu) 實(shí)際構(gòu)筑防火墻時(shí)，一般是將多個(gè)不同的部件放在一起，每個(gè)部件有各自解決問題的重點(diǎn)。實(shí)現(xiàn)防火墻的技術(shù)有很多種，如數(shù)據(jù)包過濾、應(yīng)用網(wǎng)關(guān)和代理服務(wù)等。針對(duì)這些不同技術(shù)的防火墻又有不同的結(jié)構(gòu)，如雙重宿主主機(jī)體系結(jié)構(gòu)、被屏蔽主機(jī)體系結(jié)構(gòu)和被屏蔽子網(wǎng)體系結(jié)構(gòu)。下面就依次介紹這三種結(jié)構(gòu)： 西南交通大學(xué)本科 畢業(yè)設(shè)計(jì) (論文 ) 第 4 頁(yè) 雙重宿 主主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主機(jī)計(jì)算機(jī)而構(gòu)筑的，該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器：它能夠從一個(gè)網(wǎng)絡(luò)向另一個(gè)網(wǎng)絡(luò)轉(zhuǎn)發(fā) IP 數(shù)據(jù)包。然而，實(shí)現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能。因而， IP 數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)（例如外部網(wǎng)）并不是直接發(fā)送到其它網(wǎng)絡(luò)（例如內(nèi)部的被保護(hù)的網(wǎng)絡(luò)）。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機(jī)通信，同時(shí)防火墻外部的系統(tǒng)能與雙重宿主主機(jī)通信，但是這些系統(tǒng)不能直接互相通信。它們之間的 IP 通信被完全阻止。雙重宿主主機(jī)的防火墻體系 結(jié)構(gòu)是相當(dāng)簡(jiǎn)單的：雙重宿主主機(jī)位于兩者之間，并且被連接到外部網(wǎng)和內(nèi)部網(wǎng) [10]。網(wǎng)絡(luò)結(jié)構(gòu)如圖 22。 圖 22 雙重宿主主機(jī)體系結(jié)構(gòu) 屏蔽主機(jī)體系結(jié)構(gòu) 屏蔽主機(jī)體系結(jié)構(gòu)中提供安全保護(hù)的主機(jī)僅僅與內(nèi)部網(wǎng)絡(luò)相連，另外有一臺(tái)單獨(dú)的過濾路由器連接內(nèi)外網(wǎng)，這臺(tái)路由器的意義就在于強(qiáng)迫所有到達(dá)路由器的數(shù)據(jù)包都被發(fā)送到壁壘主機(jī)。這種體系結(jié)構(gòu)中過濾路由器是否正確配置是防火墻安全與否的關(guān)鍵，過濾路由器的路由表應(yīng)當(dāng)受到嚴(yán)格的保護(hù)，如果遭到破壞，數(shù)據(jù)包就不會(huì)被發(fā)送到壁壘主機(jī)上。 在屏蔽路由器中，數(shù)據(jù)包過濾配置可以按 下列之一執(zhí)行： ，為了某些服務(wù)而開放到因特網(wǎng)上的主機(jī)連接 (允許那些經(jīng)由數(shù)據(jù)包過濾的服務(wù) )。 西南交通大學(xué)本科 畢業(yè)設(shè)計(jì) (論文 ) 第 5 頁(yè) (強(qiáng)迫這些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù) )。 這種體系結(jié)構(gòu)通過數(shù)據(jù)包過濾來提供安全，而保衛(wèi)路由器比保衛(wèi)主機(jī)較易實(shí)現(xiàn)，因?yàn)樗峁┝朔浅Ｓ邢薜姆?wù)組，因此這種體系結(jié)構(gòu)提供了比雙重宿主主機(jī)體系結(jié)構(gòu)更好的安全性和可用性。弊端是，若是侵襲者設(shè)法入侵堡壘主機(jī)，則在堡壘主機(jī)與其他內(nèi)部主機(jī)之間無(wú)任何保護(hù)網(wǎng)絡(luò)安全的東西存在；路由器同樣可能出現(xiàn)單點(diǎn)失效，若被損害，則整個(gè)網(wǎng)絡(luò)對(duì)侵襲者開放 [10]。網(wǎng)絡(luò)結(jié)構(gòu)如圖 23。 圖 23 屏蔽主機(jī)體網(wǎng)體系結(jié)構(gòu) 屏蔽子網(wǎng)體系結(jié)構(gòu) 屏蔽子網(wǎng)體系結(jié)構(gòu)增加了一個(gè)把內(nèi)部網(wǎng)與周邊網(wǎng)絡(luò)隔離的周邊網(wǎng)絡(luò)（也成為非軍事區(qū)），從而進(jìn)一步實(shí)現(xiàn)屏蔽主機(jī)的安全性 (如圖 24)。通過使用周邊網(wǎng)絡(luò)隔離壁壘主機(jī)能夠削弱外部網(wǎng)絡(luò)對(duì)壁壘主機(jī)的攻擊 [10]。 包過濾技術(shù)的介紹 什么是包過濾防火墻 一般是基于源地址和目的地址、應(yīng)用、協(xié)議以及每個(gè) IP 包的端口來作出通過與否的判斷。一個(gè)路由器便是一個(gè) “ 傳統(tǒng) ” 的包過濾防火墻，大多數(shù)的路由器都能通過檢查這些信息來決 定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個(gè) IP 包來自何方，西南交通大學(xué)本科 畢業(yè)設(shè)計(jì) (論文 ) 第 6 頁(yè) 去向何處。 防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符 。如果沒有一 條規(guī)則能符合 ，防火墻就會(huì)使用默認(rèn)規(guī)則，一般情況下，默認(rèn)規(guī)則就是要求防火墻丟棄該包。其次，通過定義基于 TCP 或 UDP 數(shù)據(jù)包的端口號(hào)，防火墻能夠判斷是否允許建立特定的連接，如 Tel、 FTP 連接 [11]。 圖 24 屏蔽子網(wǎng)體系 結(jié)構(gòu) 包過濾防火墻的工作層次 包過濾是一種內(nèi)置于 Linux 內(nèi)核路由功能之上的防火墻類型 ，其防火墻工作在網(wǎng)絡(luò)層。 包過 濾器操作的基本過程 下面做個(gè)簡(jiǎn)單的敘述： 。 西南交通大學(xué)本科 畢業(yè)設(shè)計(jì) (論文 ) 第 7 頁(yè) ，對(duì)包報(bào)頭進(jìn)行語(yǔ)法分析。大多數(shù)包過濾設(shè)備只檢查 IP、 TCP、或 UDP 報(bào)頭中的字段。 。應(yīng)用于包的規(guī)則的順序與包過濾器規(guī)則存儲(chǔ)順序必須相同。 ，則此包便不被允許。 ，則此包便可以被繼續(xù)處理。 ，則此包便被阻塞。 包過濾技術(shù)的優(yōu)缺點(diǎn) 對(duì)于一個(gè)小型的、不太復(fù)雜的站點(diǎn)，包 過濾比較容易實(shí)現(xiàn)。因?yàn)檫^濾路由器工作在 IP 層和 TCP 層，所以處理包的速度比代理服務(wù)器快。過濾路由器為用戶提供了一種透明的服務(wù)，用戶不需要改變客戶端的任何應(yīng)用程序，也不需要用戶學(xué)習(xí)任何新的東西。因?yàn)檫^濾路由器工作在 IP 層和 TCP 層，而 IP 層和 TCP 層與應(yīng)用層的問題毫不相關(guān)。所以，過濾路由器有時(shí)也被稱為 “ 包過濾網(wǎng)關(guān) ” 或 “ 透明網(wǎng)關(guān) ” ，之所被稱為網(wǎng)關(guān)，是因?yàn)榘^濾路由器和傳統(tǒng)路由器不同，它涉及到了傳輸層。過濾路由器在價(jià)格上一般比代理服務(wù)器便宜。 一些包過濾網(wǎng)關(guān)不支持有效的用戶認(rèn)證。規(guī)則表很快會(huì)變得很大而且 復(fù)雜，規(guī)則很難測(cè)試。隨著表的增大和復(fù)雜性的增加，規(guī)則結(jié)構(gòu)出現(xiàn)漏洞的可能性也會(huì)增加。這種防火墻最大的缺陷是它依賴一個(gè)單一的部件來保護(hù)系統(tǒng)。如果這個(gè)部件出現(xiàn)了問題，會(huì)使得網(wǎng)絡(luò)大門敞開，而用戶其至可能還不知道。在一般情況下，如果外部用戶被允許訪問內(nèi)部主機(jī)，則它就可以訪問內(nèi)部網(wǎng)上的任何主機(jī)。包過濾防火墻只能阻止一種類型的 IP 欺騙，即外部主機(jī)偽裝內(nèi)部主機(jī)的 IP，對(duì)于外部主機(jī)偽裝外部主機(jī)的 IP 欺騙卻不可能阻止，而且它不能防止 DNS 欺騙。 雖然，包過濾防火墻有如上所述的缺點(diǎn)，但是在管理良好的小規(guī)模網(wǎng)絡(luò)上，它能夠正常的發(fā)揮 其作用。一般情況下，人們不單獨(dú)使用包過濾網(wǎng)關(guān)，而是將它和其他設(shè)備（如堡壘主機(jī)等）聯(lián)合使 用 [11]。 其他相關(guān)技術(shù)介紹 代理 應(yīng)用代理網(wǎng)關(guān)防火墻徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對(duì)外網(wǎng)的訪問變成防火墻對(duì)外網(wǎng)的訪問，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。所有通信都必須經(jīng)應(yīng)用層代理軟件轉(zhuǎn)發(fā)，訪問者任何時(shí)候都不能與服務(wù)器建立直接的 TCP 連接，應(yīng)用層的協(xié)西南交通大學(xué)本科 畢業(yè)設(shè)計(jì) (論文 ) 第 8 頁(yè) 議會(huì)話過程必須符合代理的安全策略要求。應(yīng)用代理網(wǎng)關(guān)的優(yōu)點(diǎn)是可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對(duì)數(shù)據(jù)包的檢測(cè)能力比較強(qiáng)。 代理服務(wù)器的主 要功能有： 可按用戶進(jìn)行記帳，沒有登記的用戶無(wú)權(quán)通過代理服務(wù)器訪問 Inter 網(wǎng)。并對(duì)用戶的訪問時(shí)間、訪問地點(diǎn)、信息流量進(jìn)行統(tǒng)計(jì)。 設(shè)置不同用戶的訪問權(quán)限，對(duì)外界或內(nèi)部的 Inter 地址進(jìn)行過濾，設(shè)置不同的訪問權(quán)限。 (Cache)，提高訪問速度