【文章內(nèi)容簡介】 之人的困擾，這些人喜愛在網(wǎng)上做這類的事，像在現(xiàn)實中向其他人的墻上噴染涂鴉、將他人的郵箱推倒或者坐在大街上按汽車?yán)纫粯?。一些人試圖通過 Inter 完成一些真正的工作，而另一些人則擁有敏感或?qū)Ｓ袛?shù)據(jù)需要保護。一般來說，防火墻的目是將那些無聊之人 擋在你的網(wǎng)絡(luò)之外，同時使你仍可以完成工作。 許多傳統(tǒng)風(fēng)格的企業(yè)和數(shù)據(jù)中心都制定了計算安全策略和必須遵守的慣例。在一家公司的安全策略規(guī)定數(shù)據(jù)必須被保護的情況下，防火墻更顯得十分重要，因為它是這家企業(yè)安全策略的具體體現(xiàn)。如果你的公司是一家大企業(yè)，連接到 Inter 上的最難做的工作經(jīng)常不是費用或所需做的工作，而是讓管理層信服上網(wǎng)是安全的。防火墻不僅提供了真正的安全性，而且還起到了為管理層蓋上一條安全的毯子的重要作用。 防火墻可以防范什么 一些防火墻只允許電子郵件通過，因而保護了網(wǎng)絡(luò)免受除對電子郵 件服務(wù)攻擊之外的任何攻擊。另一些防火墻提供不太嚴(yán)格的保護措施，并且攔阻一些眾所周知存在問題的服務(wù)。一般來說，防火墻在配置上是防止來自 “ 外部 ” 世界未經(jīng)授權(quán)的交互式登錄的。這大大有助于防止破壞者登錄到你網(wǎng)絡(luò)中的計算機上。一些設(shè)計更為精巧的防火墻可以防止來自外部的傳輸流進(jìn)入內(nèi)部，但又允許內(nèi)部的用戶可以自由地與外部通信。如果你切斷防火墻的話，它可以保護你免受網(wǎng)絡(luò)上任何類型的攻擊。 西南交通大學(xué)本科 畢業(yè)設(shè)計 (論文 ) 第 1 頁 防火墻的另一個非常重要的特性是可以提供一個單獨的 “ 攔阻點 ” ，在 “ 攔阻點 ” 上設(shè)置安全和審計檢查 。與計算機系統(tǒng)正受到某些人利用調(diào)制解調(diào)器 撥入攻擊的情況不同，防火墻可以發(fā)揮一種有效的 “ 電話監(jiān)聽 ” （ Phone tap）和跟蹤工具的作用。防火墻提供了一種重要的記錄和審計功能，它們經(jīng)?？梢韵蚬芾韱T提供一些情況概要，提供有關(guān)通過防火墻的傳流輸?shù)念愋秃蛿?shù)量以及有多少次試圖闖入防火墻的企圖等等信息。 選擇本課題的目的 防火墻技術(shù)是一種綜合性的網(wǎng)絡(luò)安全技術(shù)，要了解防火墻先要了解 TCP/IP 網(wǎng)絡(luò)協(xié)議， IP 包結(jié)構(gòu)等許多網(wǎng)絡(luò)知識，對自己以后在網(wǎng)絡(luò)方向的發(fā)展有著深遠(yuǎn)的意義。也可以把開發(fā)過程作為以后開發(fā)有商業(yè)價值的網(wǎng)絡(luò)軟件的初步探索，為以后的工作積累寶貴 的經(jīng)驗。 本防火墻是基于 Linux（ 內(nèi)核）操作系統(tǒng)的。這是一種開源的，免費的操作系統(tǒng)，非常便于學(xué)習(xí)。通過在這個平臺開發(fā)本軟件，可以深入了解操作系統(tǒng)的內(nèi)核，對內(nèi)核級編程做一個初步嘗試。也可以將對 TCP/IP 協(xié)議棧的認(rèn)識得到升華。 本人工作 ，現(xiàn)狀，發(fā)展做了研究； Vmware 搭建模擬網(wǎng)絡(luò)實驗環(huán)境 ； Linux 內(nèi)核模塊機制 ， 了解了 Linux 下的 C 編程和 Perl 編程及 Vim的使用； Netfilter 的原理，并深入研究了鉤子函數(shù) 的使用方法和作用機制； Netfilter 原理開發(fā)并實現(xiàn)了簡單包過濾模塊 、 實現(xiàn) IP 地址過濾、端口過濾和日志記錄等功能； ； 。 西南交通大學(xué)本科 畢業(yè)設(shè)計 (論文 ) 第 2 頁 第 2 章 防火墻知識與相關(guān)技術(shù)介紹 防火墻原理 古時候，人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢蔓延到別的寓所。自然 ， 這種墻因此而得名 “ 防火墻 ” ?，F(xiàn)在，如果一個網(wǎng)絡(luò)鏈接到了Inter 上面，它的用戶就可以訪問外部網(wǎng)絡(luò)并與之通信。但同時，外部世界也同樣可 以訪問該網(wǎng)絡(luò)并與之交互。為安全起見，可以在該網(wǎng)絡(luò)和 Inter 之間插入一個中介系統(tǒng)，豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網(wǎng)絡(luò)對本網(wǎng)絡(luò)的威脅和入侵， 提供扼守本網(wǎng)絡(luò)的安全和審計的唯一關(guān)卡。這種中介系統(tǒng)也叫做 “ 防火墻 ” ，或 “ 防火墻系統(tǒng) ” [12]。如圖 21： 圖 21 防火墻示意圖 作為近年來新興的保護計算機網(wǎng)絡(luò)安全技術(shù)性措施，防火墻（ Firewall）是一種隔離控制技術(shù)，在某個機構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如 Inter）之間設(shè)置屏障，阻止不安全網(wǎng)絡(luò)對信息資源的非法訪問，也可以使用防火 墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。防火墻是一種被動防衛(wèi)技術(shù)，由于它假設(shè)了網(wǎng)絡(luò)的邊界和服務(wù)，因此對內(nèi)部的非法訪問難以有效地控制。因此，防火墻最適合于相對獨立的與外部網(wǎng)絡(luò)互連途徑有限、網(wǎng)絡(luò)服務(wù)種類相對集中的單一網(wǎng)絡(luò)。 作為 Inter 網(wǎng)的安全性保護軟件，防火墻已經(jīng)得到廣泛的應(yīng)用。通常企業(yè)為了維護內(nèi)部的信息系統(tǒng)安全，在企業(yè)網(wǎng)和 Inter 間設(shè)立防火墻軟件。企業(yè)信息系統(tǒng)對于來自 Inter 的訪問，采取有選擇的接收方式。它可以允許或禁止一類具體的 IP 地址訪問，也可以接收或拒絕 TCP/IP 上的某一類具 體的應(yīng)用。如果在某一臺 IP 主機上有需要禁止的信息或危險的用戶，則可以通過設(shè)置使用防火墻過濾掉從該主機發(fā)出的數(shù)據(jù)包。如果一個企業(yè)只是使用 Inter 的電子郵件和 WWW 服務(wù)器向外部提供信息，那么就可以在防火墻上設(shè)置，使得只有這兩類應(yīng)用的數(shù)據(jù)包可以通過。這對于路由器來說，就要不僅分析 IP 層的信息，而且還要進(jìn)一步了解 TCP 傳輸層甚至應(yīng)用層的信西南交通大學(xué)本科 畢業(yè)設(shè)計 (論文 ) 第 3 頁 息以進(jìn)行取舍。防火墻一般安裝在路由器上以保護一個子網(wǎng)，也可以安裝在一臺主機上，保護這臺主機不受侵犯 [12]。 防火墻功能 鑒于以上的原理，建立防火墻可以達(dá)到以下目的： 防火墻允許網(wǎng)絡(luò)管理員定義一個 “ 阻塞點 ” 來防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，來抗擊網(wǎng)絡(luò)攻擊。 防火墻通過過濾存在安全缺陷的網(wǎng)絡(luò)服務(wù)來降低內(nèi)部網(wǎng)絡(luò)遭受攻擊的威脅，因為只有經(jīng)過選擇的網(wǎng)絡(luò)服務(wù)才可以通過防火墻。 在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報警。網(wǎng)絡(luò)管理員通過防火墻日志可以審查常規(guī)記錄并及時響應(yīng)報警，以便知道防火墻或內(nèi)部網(wǎng)絡(luò)是否遭受攻擊。 如果一個內(nèi)部網(wǎng)絡(luò)的所有或者大部分需要改動的安全程 序都集中到防火墻系統(tǒng)中，而不是分散到每一臺主機上，這樣防火墻的保護范圍就相對集中，安全成本也就相對便宜，安全的管理也可以得到簡化。 Internt 防火墻是部署 NAT(Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)化 )的合適位置。因此防火墻可以用來緩解 IP 地址短缺的問題，更可以隱藏內(nèi)部網(wǎng)絡(luò)的細(xì)節(jié)。 、強化私有權(quán) 對一些內(nèi)部網(wǎng)絡(luò)的節(jié)點而言，保密性是很重要的，finger 和 DNS 服務(wù)經(jīng)常會暴露內(nèi)部網(wǎng)絡(luò)節(jié)點的信息。使用防火墻系統(tǒng)可以阻塞此類服務(wù)，從而減少內(nèi)部信息的 泄漏。 Inter 防火墻是審計和記錄 Inter 使用量的一個最佳地點。防火墻可以對正常網(wǎng)絡(luò)使用情況做出統(tǒng)計，通過對統(tǒng)計節(jié)點分析，可以使網(wǎng)絡(luò)資源得到最好的利用 [12]。 防火墻的體系結(jié)構(gòu) 實際構(gòu)筑防火墻時，一般是將多個不同的部件放在一起，每個部件有各自解決問題的重點。實現(xiàn)防火墻的技術(shù)有很多種，如數(shù)據(jù)包過濾、應(yīng)用網(wǎng)關(guān)和代理服務(wù)等。針對這些不同技術(shù)的防火墻又有不同的結(jié)構(gòu)，如雙重宿主主機體系結(jié)構(gòu)、被屏蔽主機體系結(jié)構(gòu)和被屏蔽子網(wǎng)體系結(jié)構(gòu)。下面就依次介紹這三種結(jié)構(gòu)： 西南交通大學(xué)本科 畢業(yè)設(shè)計 (論文 ) 第 4 頁 雙重宿 主主機體系結(jié)構(gòu) 雙重宿主主機體系結(jié)構(gòu)是圍繞具有雙重宿主的主機計算機而構(gòu)筑的，該計算機至少有兩個網(wǎng)絡(luò)接口。這樣的主機可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器：它能夠從一個網(wǎng)絡(luò)向另一個網(wǎng)絡(luò)轉(zhuǎn)發(fā) IP 數(shù)據(jù)包。然而，實現(xiàn)雙重宿主主機的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能。因而， IP 數(shù)據(jù)包從一個網(wǎng)絡(luò)（例如外部網(wǎng)）并不是直接發(fā)送到其它網(wǎng)絡(luò)（例如內(nèi)部的被保護的網(wǎng)絡(luò)）。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機通信，同時防火墻外部的系統(tǒng)能與雙重宿主主機通信，但是這些系統(tǒng)不能直接互相通信。它們之間的 IP 通信被完全阻止。雙重宿主主機的防火墻體系 結(jié)構(gòu)是相當(dāng)簡單的：雙重宿主主機位于兩者之間，并且被連接到外部網(wǎng)和內(nèi)部網(wǎng) [10]。網(wǎng)絡(luò)結(jié)構(gòu)如圖 22。 圖 22 雙重宿主主機體系結(jié)構(gòu) 屏蔽主機體系結(jié)構(gòu) 屏蔽主機體系結(jié)構(gòu)中提供安全保護的主機僅僅與內(nèi)部網(wǎng)絡(luò)相連，另外有一臺單獨的過濾路由器連接內(nèi)外網(wǎng)，這臺路由器的意義就在于強迫所有到達(dá)路由器的數(shù)據(jù)包都被發(fā)送到壁壘主機。這種體系結(jié)構(gòu)中過濾路由器是否正確配置是防火墻安全與否的關(guān)鍵，過濾路由器的路由表應(yīng)當(dāng)受到嚴(yán)格的保護，如果遭到破壞，數(shù)據(jù)包就不會被發(fā)送到壁壘主機上。 在屏蔽路由器中，數(shù)據(jù)包過濾配置可以按 下列之一執(zhí)行： ，為了某些服務(wù)而開放到因特網(wǎng)上的主機連接 (允許那些經(jīng)由數(shù)據(jù)包過濾的服務(wù) )。 西南交通大學(xué)本科 畢業(yè)設(shè)計 (論文 ) 第 5 頁 (強迫這些主機經(jīng)由堡壘主機使用代理服務(wù) )。 這種體系結(jié)構(gòu)通過數(shù)據(jù)包過濾來提供安全，而保衛(wèi)路由器比保衛(wèi)主機較易實現(xiàn)，因為它提供了非常有限的服務(wù)組，因此這種體系結(jié)構(gòu)提供了比雙重宿主主機體系結(jié)構(gòu)更好的安全性和可用性。弊端是，若是侵襲者設(shè)法入侵堡壘主機，則在堡壘主機與其他內(nèi)部主機之間無任何保護網(wǎng)絡(luò)安全的東西存在；路由器同樣可能出現(xiàn)單點失效，若被損害，則整個網(wǎng)絡(luò)對侵襲者開放 [10]。網(wǎng)絡(luò)結(jié)構(gòu)如圖 23。 圖 23 屏蔽主機體網(wǎng)體系結(jié)構(gòu) 屏蔽子網(wǎng)體系結(jié)構(gòu) 屏蔽子網(wǎng)體系結(jié)構(gòu)增加了一個把內(nèi)部網(wǎng)與周邊網(wǎng)絡(luò)隔離的周邊網(wǎng)絡(luò)（也成為非軍事區(qū)），從而進(jìn)一步實現(xiàn)屏蔽主機的安全性 (如圖 24)。通過使用周邊網(wǎng)絡(luò)隔離壁壘主機能夠削弱外部網(wǎng)絡(luò)對壁壘主機的攻擊 [10]。 包過濾技術(shù)的介紹 什么是包過濾防火墻 一般是基于源地址和目的地址、應(yīng)用、協(xié)議以及每個 IP 包的端口來作出通過與否的判斷。一個路由器便是一個 “ 傳統(tǒng) ” 的包過濾防火墻，大多數(shù)的路由器都能通過檢查這些信息來決 定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個 IP 包來自何方，西南交通大學(xué)本科 畢業(yè)設(shè)計 (論文 ) 第 6 頁 去向何處。 防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符 。如果沒有一 條規(guī)則能符合 ，防火墻就會使用默認(rèn)規(guī)則，一般情況下，默認(rèn)規(guī)則就是要求防火墻丟棄該包。其次，通過定義基于 TCP 或 UDP 數(shù)據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，如 Tel、 FTP 連接 [11]。 圖 24 屏蔽子網(wǎng)體系 結(jié)構(gòu) 包過濾防火墻的工作層次 包過濾是一種內(nèi)置于 Linux 內(nèi)核路由功能之上的防火墻類型 ，其防火墻工作在網(wǎng)絡(luò)層。 包過 濾器操作的基本過程 下面做個簡單的敘述： 。 西南交通大學(xué)本科 畢業(yè)設(shè)計 (論文 ) 第 7 頁 ，對包報頭進(jìn)行語法分析。大多數(shù)包過濾設(shè)備只檢查 IP、 TCP、或 UDP 報頭中的字段。 。應(yīng)用于包的規(guī)則的順序與包過濾器規(guī)則存儲順序必須相同。 ，則此包便不被允許。 ，則此包便可以被繼續(xù)處理。 ，則此包便被阻塞。 包過濾技術(shù)的優(yōu)缺點 對于一個小型的、不太復(fù)雜的站點，包 過濾比較容易實現(xiàn)。因為過濾路由器工作在 IP 層和 TCP 層，所以處理包的速度比代理服務(wù)器快。過濾路由器為用戶提供了一種透明的服務(wù)，用戶不需要改變客戶端的任何應(yīng)用程序，也不需要用戶學(xué)習(xí)任何新的東西。因為過濾路由器工作在 IP 層和 TCP 層，而 IP 層和 TCP 層與應(yīng)用層的問題毫不相關(guān)。所以，過濾路由器有時也被稱為 “ 包過濾網(wǎng)關(guān) ” 或 “ 透明網(wǎng)關(guān) ” ，之所被稱為網(wǎng)關(guān)，是因為包過濾路由器和傳統(tǒng)路由器不同，它涉及到了傳輸層。過濾路由器在價格上一般比代理服務(wù)器便宜。 一些包過濾網(wǎng)關(guān)不支持有效的用戶認(rèn)證。規(guī)則表很快會變得很大而且 復(fù)雜，規(guī)則很難測試。隨著表的增大和復(fù)雜性的增加，規(guī)則結(jié)構(gòu)出現(xiàn)漏洞的可能性也會增加。這種防火墻最大的缺陷是它依賴一個單一的部件來保護系統(tǒng)。如果這個部件出現(xiàn)了問題，會使得網(wǎng)絡(luò)大門敞開，而用戶其至可能還不知道。在一般情況下，如果外部用戶被允許訪問內(nèi)部主機，則它就可以訪問內(nèi)部網(wǎng)上的任何主機。包過濾防火墻只能阻止一種類型的 IP 欺騙，即外部主機偽裝內(nèi)部主機的 IP，對于外部主機偽裝外部主機的 IP 欺騙卻不可能阻止，而且它不能防止 DNS 欺騙。 雖然，包過濾防火墻有如上所述的缺點，但是在管理良好的小規(guī)模網(wǎng)絡(luò)上，它能夠正常的發(fā)揮 其作用。一般情況下，人們不單獨使用包過濾網(wǎng)關(guān)，而是將它和其他設(shè)備（如堡壘主機等）聯(lián)合使 用 [11]。 其他相關(guān)技術(shù)介紹 代理 應(yīng)用代理網(wǎng)關(guān)防火墻徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對外網(wǎng)的訪問變成防火墻對外網(wǎng)的訪問，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。所有通信都必須經(jīng)應(yīng)用層代理軟件轉(zhuǎn)發(fā)，訪問者任何時候都不能與服務(wù)器建立直接的 TCP 連接，應(yīng)用層的協(xié)西南交通大學(xué)本科 畢業(yè)設(shè)計 (論文 ) 第 8 頁 議會話過程必須符合代理的安全策略要求。應(yīng)用代理網(wǎng)關(guān)的優(yōu)點是可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對數(shù)據(jù)包的檢測能力比較強。 代理服務(wù)器的主 要功能有： 可按用戶進(jìn)行記帳，沒有登記的用戶無權(quán)通過代理服務(wù)器訪問 Inter 網(wǎng)。并對用戶的訪問時間、訪問地點、信息流量進(jìn)行統(tǒng)計。 設(shè)置不同用戶的訪問權(quán)限，對外界或內(nèi)部的 Inter 地址進(jìn)行過濾，設(shè)置不同的訪問權(quán)限。 (Cache)，提高訪問速度