【文章內(nèi)容簡介】 全和審計(jì)檢查。與計(jì)算機(jī)系統(tǒng)正受到某些人利用調(diào)制解調(diào)器撥入攻擊的情況不同，防火墻可以發(fā)揮一種有效的“電話監(jiān)聽”（Phone tap）和跟蹤工具的作用。防火墻提供了一種重要的記錄和審計(jì)功能，它們經(jīng)常可以向管理員提供一些情況概要，提供有關(guān)通過防火墻的傳流輸?shù)念愋秃蛿?shù)量以及有多少次試圖闖入防火墻的企圖等等信息。 選擇本課題的目的防火墻技術(shù)是一種綜合性的網(wǎng)絡(luò)安全技術(shù)，要了解防火墻先要了解 TCP/IP 網(wǎng)絡(luò)協(xié)議，IP 包結(jié)構(gòu)等許多網(wǎng)絡(luò)知識，對自己以后在網(wǎng)絡(luò)方向的發(fā)展有著深遠(yuǎn)的意義。也可以把開發(fā)過程作為以后開發(fā)有商業(yè)價(jià)值的網(wǎng)絡(luò)軟件的初步探索，為以后的工作積累寶貴的經(jīng)驗(yàn)。本防火墻是基于 Linux（ 內(nèi)核）操作系統(tǒng)的。這是一種開源的，免費(fèi)的操作系統(tǒng)，非常便于學(xué)習(xí)。通過在這個(gè)平臺開發(fā)本軟件，可以深入了解操作系統(tǒng)的內(nèi)核，對內(nèi)核級編程做一個(gè)初步嘗試。也可以將對 TCP/IP 協(xié)議棧的認(rèn)識得到升華。 本人工作，現(xiàn)狀，發(fā)展做了研究； Vmware 搭建模擬網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境； Linux 內(nèi)核模塊機(jī)制，了解了 Linux 下的 C 編程和 Perl 編程及 Vim的使用； Netfilter 的原理，并深入研究了鉤子函數(shù)的使用方法和作用機(jī)制； Netfilter 原理開發(fā)并實(shí)現(xiàn)了簡單包過濾模塊、實(shí)現(xiàn) IP 地址過濾、端口過濾和日志記錄等功能；；。西南交通大學(xué)本科畢業(yè)設(shè)計(jì)(論文) 第 2 頁第 2 章 防火墻知識與相關(guān)技術(shù)介紹 防火墻原理古時(shí)候，人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢蔓延到別的寓所。自然，這種墻因此而得名“防火墻”?，F(xiàn)在，如果一個(gè)網(wǎng)絡(luò)鏈接到了 Inter 上面，它的用戶就可以訪問外部網(wǎng)絡(luò)并與之通信。但同時(shí)，外部世界也同樣可以訪問該網(wǎng)絡(luò)并與之交互。為安全起見，可以在該網(wǎng)絡(luò)和 Inter 之間插入一個(gè)中介系統(tǒng)，豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網(wǎng)絡(luò)對本網(wǎng)絡(luò)的威脅和入侵， 提供扼守本網(wǎng)絡(luò)的安全和審計(jì)的唯一關(guān)卡。這種中介系統(tǒng)也叫做“防火墻”，或“防火墻系統(tǒng)” [12]。如圖 21：圖 21 防火墻示意圖作為近年來新興的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)性措施，防火墻（Firewall）是一種隔離控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如 Inter）之間設(shè)置屏障，阻止不安全網(wǎng)絡(luò)對信息資源的非法訪問，也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。防火墻是一種被動防衛(wèi)技術(shù)，由于它假設(shè)了網(wǎng)絡(luò)的邊界和服務(wù)，因此對內(nèi)部的非法訪問難以有效地控制。因此，防火墻最適合于相對獨(dú)立的與外部網(wǎng)絡(luò)互連途徑有限、網(wǎng)絡(luò)服務(wù)種類相對集中的單一網(wǎng)絡(luò)。作為 Inter 網(wǎng)的安全性保護(hù)軟件，防火墻已經(jīng)得到廣泛的應(yīng)用。通常企業(yè)為了維護(hù)內(nèi)部的信息系統(tǒng)安全，在企業(yè)網(wǎng)和 Inter 間設(shè)立防火墻軟件。企業(yè)信息系統(tǒng)對于來自 Inter 的訪問，采取有選擇的接收方式。它可以允許或禁止一類具體的 IP地址訪問，也可以接收或拒絕 TCP/IP 上的某一類具體的應(yīng)用。如果在某一臺 IP 主機(jī)上有需要禁止的信息或危險(xiǎn)的用戶，則可以通過設(shè)置使用防火墻過濾掉從該主機(jī)發(fā)出的數(shù)據(jù)包。如果一個(gè)企業(yè)只是使用 Inter 的電子郵件和 WWW 服務(wù)器向外部提供信息，那么就可以在防火墻上設(shè)置，使得只有這兩類應(yīng)用的數(shù)據(jù)包可以通過。這對于路由器來說，就要不僅分析 IP 層的信息，而且還要進(jìn)一步了解 TCP 傳輸層西南交通大學(xué)本科畢業(yè)設(shè)計(jì)(論文) 第 3 頁甚至應(yīng)用層的信息以進(jìn)行取舍。防火墻一般安裝在路由器上以保護(hù)一個(gè)子網(wǎng)，也可以安裝在一臺主機(jī)上，保護(hù)這臺主機(jī)不受侵犯 [12]。 防火墻功能鑒于以上的原理，建立防火墻可以達(dá)到以下目的： 防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)“阻塞點(diǎn)”來防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，來抗擊網(wǎng)絡(luò)攻擊。 防火墻通過過濾存在安全缺陷的網(wǎng)絡(luò)服務(wù)來降低內(nèi)部網(wǎng)絡(luò)遭受攻擊的威脅，因?yàn)橹挥薪?jīng)過選擇的網(wǎng)絡(luò)服務(wù)才可以通過防火墻。 在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報(bào)警。網(wǎng)絡(luò)管理員通過防火墻日志可以審查常規(guī)記錄并及時(shí)響應(yīng)報(bào)警，以便知道防火墻或內(nèi)部網(wǎng)絡(luò)是否遭受攻擊。 如果一個(gè)內(nèi)部網(wǎng)絡(luò)的所有或者大部分需要改動的安全程序都集中到防火墻系統(tǒng)中，而不是分散到每一臺主機(jī)上，這樣防火墻的保護(hù)范圍就相對集中，安全成本也就相對便宜，安全的管理也可以得到簡化。 Internt 防火墻是部署 NAT(Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)化) 的合適位置。因此防火墻可以用來緩解 IP 地址短缺的問題，更可以隱藏內(nèi)部網(wǎng)絡(luò)的細(xì)節(jié)。、強(qiáng)化私有權(quán) 對一些內(nèi)部網(wǎng)絡(luò)的節(jié)點(diǎn)而言，保密性是很重要的，finger 和 DNS 服務(wù)經(jīng)常會暴露內(nèi)部網(wǎng)絡(luò)節(jié)點(diǎn)的信息。使用防火墻系統(tǒng)可以阻塞此類服務(wù)，從而減少內(nèi)部信息的泄漏。 Inter 防火墻是審計(jì)和記錄 Inter 使用量的一個(gè)最佳地點(diǎn)。防火墻可以對正常網(wǎng)絡(luò)使用情況做出統(tǒng)計(jì)，通過對統(tǒng)計(jì)節(jié)點(diǎn)分析，可以使網(wǎng)絡(luò)資源得到最好的利用 [12]。 防火墻的體系結(jié)構(gòu)實(shí)際構(gòu)筑防火墻時(shí)，一般是將多個(gè)不同的部件放在一起，每個(gè)部件有各自解決問題的重點(diǎn)。實(shí)現(xiàn)防火墻的技術(shù)有很多種，如數(shù)據(jù)包過濾、應(yīng)用網(wǎng)關(guān)和代理服務(wù)等。針對這些不同技術(shù)的防火墻又有不同的結(jié)構(gòu)，如雙重宿主主機(jī)體系結(jié)構(gòu)、被屏蔽主機(jī)體系結(jié)構(gòu)和被屏蔽子網(wǎng)體系結(jié)構(gòu)。下面就依次介紹這三種結(jié)構(gòu)：西南交通大學(xué)本科畢業(yè)設(shè)計(jì)(論文) 第 4 頁 雙重宿主主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)是圍繞具有雙重宿主的主機(jī)計(jì)算機(jī)而構(gòu)筑的，該計(jì)算機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器：它能夠從一個(gè)網(wǎng)絡(luò)向另一個(gè)網(wǎng)絡(luò)轉(zhuǎn)發(fā) IP 數(shù)據(jù)包。然而，實(shí)現(xiàn)雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送功能。因而，IP 數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)（例如外部網(wǎng)）并不是直接發(fā)送到其它網(wǎng)絡(luò)（例如內(nèi)部的被保護(hù)的網(wǎng)絡(luò)）。防火墻內(nèi)部的系統(tǒng)能與雙重宿主主機(jī)通信，同時(shí)防火墻外部的系統(tǒng)能與雙重宿主主機(jī)通信，但是這些系統(tǒng)不能直接互相通信。它們之間的 IP 通信被完全阻止。雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)是相當(dāng)簡單的：雙重宿主主機(jī)位于兩者之間，并且被連接到外部網(wǎng)和內(nèi)部網(wǎng) [10]。網(wǎng)絡(luò)結(jié)構(gòu)如圖 22。圖 22 雙重宿主主機(jī)體系結(jié)構(gòu) 屏蔽主機(jī)體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)中提供安全保護(hù)的主機(jī)僅僅與內(nèi)部網(wǎng)絡(luò)相連，另外有一臺單獨(dú)的過濾路由器連接內(nèi)外網(wǎng)，這臺路由器的意義就在于強(qiáng)迫所有到達(dá)路由器的數(shù)據(jù)包都被發(fā)送到壁壘主機(jī)。這種體系結(jié)構(gòu)中過濾路由器是否正確配置是防火墻安全與否的關(guān)鍵，過濾路由器的路由表應(yīng)當(dāng)受到嚴(yán)格的保護(hù)，如果遭到破壞，數(shù)據(jù)包就不會被發(fā)送到壁壘主機(jī)上。在屏蔽路由器中，數(shù)據(jù)包過濾配置可以按下列之一執(zhí)行：西南交通大學(xué)本科畢業(yè)設(shè)計(jì)(論文) 第 5 頁，為了某些服務(wù)而開放到因特網(wǎng)上的主機(jī)連接(允許那些經(jīng)由數(shù)據(jù)包過濾的服務(wù))。(強(qiáng)迫這些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù))。這種體系結(jié)構(gòu)通過數(shù)據(jù)包過濾來提供安全，而保衛(wèi)路由器比保衛(wèi)主機(jī)較易實(shí)現(xiàn)，因?yàn)樗峁┝朔浅Ｓ邢薜姆?wù)組，因此這種體系結(jié)構(gòu)提供了比雙重宿主主機(jī)體系結(jié)構(gòu)更好的安全性和可用性。弊端是，若是侵襲者設(shè)法入侵堡壘主機(jī)，則在堡壘主機(jī)與其他內(nèi)部主機(jī)之間無任何保護(hù)網(wǎng)絡(luò)安全的東西存在；路由器同樣可能出現(xiàn)單點(diǎn)失效，若被損害，則整個(gè)網(wǎng)絡(luò)對侵襲者開放 [10]。網(wǎng)絡(luò)結(jié)構(gòu)如圖 23。圖 23 屏蔽主機(jī)體網(wǎng)體系結(jié)構(gòu) 屏蔽子網(wǎng)體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)增加了一個(gè)把內(nèi)部網(wǎng)與周邊網(wǎng)絡(luò)隔離的周邊網(wǎng)絡(luò)（也成為非軍事區(qū)），從而進(jìn)一步實(shí)現(xiàn)屏蔽主機(jī)的安全性(如圖 24)。通過使用周邊網(wǎng)絡(luò)隔離壁壘主機(jī)能夠削弱外部網(wǎng)絡(luò)對壁壘主機(jī)的攻擊 [10]。西南交通大學(xué)本科畢業(yè)設(shè)計(jì)(論文) 第 6 頁 包過濾技術(shù)的介紹 什么是包過濾防火墻 一般是基于源地址和目的地址、應(yīng)用、協(xié)議以及每個(gè) IP 包的端口來作出通過與否的判斷。一個(gè)路由器便是一個(gè)“傳統(tǒng)”的包過濾防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個(gè) IP 包來自何方，去向何處。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會使用默認(rèn)規(guī)則，一般情況下，默認(rèn)規(guī)則就是要求防火墻丟棄該包。其次，通過定義基于 TCP 或 UDP 數(shù)據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，如 Tel、FTP 連接 [11]。圖 24 屏蔽子網(wǎng)體系結(jié)構(gòu)西南交通大學(xué)本科畢業(yè)設(shè)計(jì)(論文) 第 7 頁 包過濾防火墻的工作層次 包過濾是一種內(nèi)置于 Linux 內(nèi)核路由功能之上的防火墻類型，其防火墻工作在網(wǎng)絡(luò)層。 包過濾器操作的基本過程 下面做個(gè)簡單的敘述：。，對包報(bào)頭進(jìn)行語法分析。大多數(shù)包過濾設(shè)備只檢查IP、TCP 、或 UDP 報(bào)頭中的字段。應(yīng)用于包的規(guī)則的順序與包過濾器規(guī)則存儲順序必須相同。，則此包便不被允許。，則此包便可以被繼續(xù)處理。，則此包便被阻塞。 包過濾技術(shù)的優(yōu)缺點(diǎn) 對于一個(gè)小型的、不太復(fù)雜的站點(diǎn)，包過濾比較容易實(shí)現(xiàn)。因?yàn)檫^濾路由器工作在 IP 層和 TCP 層，所以處理包的速度比代理服務(wù)器快。過濾路由器為用戶提供了一種透明的服務(wù)，用戶不需要改變客戶端的任何應(yīng)用程序，也不需要用戶學(xué)習(xí)任何新的東西。因?yàn)檫^濾路由器工作在 IP 層和 TCP 層，而 IP 層和 TCP 層與應(yīng)用層的問題毫不相關(guān)。所以，過濾路由器有時(shí)也被稱為“包過濾網(wǎng)關(guān)”或“透明網(wǎng)關(guān)”，之所被稱為網(wǎng)關(guān)，是因?yàn)榘^濾路由器和傳統(tǒng)路由器不同，它涉及到了傳輸層。過濾路由器在價(jià)格上一般比代理服務(wù)器便宜。 一些包過濾網(wǎng)關(guān)不支持有效的用戶認(rèn)證。規(guī)則表很快會變得很大而且復(fù)雜，規(guī)則很難測試。隨著表的增大和復(fù)雜性的增加，規(guī)則結(jié)構(gòu)出現(xiàn)漏洞的可能性也會增加。這種防火墻最大的缺陷是它依賴一個(gè)單一的部件來保護(hù)系統(tǒng)。如果這個(gè)部件出現(xiàn)了問題，會使得網(wǎng)絡(luò)大門敞開，而用戶其至可能還不知道。在一般情況下，如果外部用戶被允許訪問內(nèi)部主機(jī)，則它就可以訪問內(nèi)部網(wǎng)上的任何主機(jī)。包過濾防火墻只能阻止一種類型的 IP 欺騙，即外部主機(jī)偽裝內(nèi)部主機(jī)的 IP，對于外部主機(jī)偽裝外部主機(jī)的 IP 欺騙卻不可能阻止，而且它不能防止 DNS 欺騙。雖然，包過濾防火墻有如上所述的缺點(diǎn)，但是在管理良好的小規(guī)模網(wǎng)絡(luò)上，它能夠正常的發(fā)揮其作用。一般情況下，人們不單獨(dú)使用包過濾網(wǎng)關(guān)，而是將它和其他設(shè)備（如堡壘主機(jī)等）聯(lián)合使用 [11]。西南交通大學(xué)本科畢業(yè)設(shè)計(jì)(論文) 第 8 頁 其他相關(guān)技術(shù)介紹 代理 應(yīng)用代理網(wǎng)關(guān)防火墻徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對外網(wǎng)的訪問變成防火墻對外網(wǎng)的訪問，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。所有通信都必須經(jīng)應(yīng)用層代理軟件轉(zhuǎn)發(fā)，訪問者任何時(shí)候都不能與服務(wù)器建立直接的 TCP 連接，應(yīng)用層的協(xié)議會話過程必須符合代理的安全策略要求。應(yīng)用代理網(wǎng)關(guān)的優(yōu)點(diǎn)是可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對數(shù)據(jù)包的檢測能力比較強(qiáng)。代理服務(wù)器的主要功能有： 可按用戶進(jìn)行記帳，沒有登記的用戶無權(quán)通過代理服務(wù)器訪問 Inter 網(wǎng)。并對用戶的訪問時(shí)間、訪問地點(diǎn)、信息流量進(jìn)行統(tǒng)計(jì)。 設(shè)置不同用戶的訪問權(quán)限，對外界或內(nèi)部的 Inter 地址進(jìn)行過濾，設(shè)置不同的訪問權(quán)限。(Cache)，提高訪問速度 對經(jīng)常訪問的地址創(chuàng)建緩沖區(qū)，大大提高熱門站點(diǎn)的訪問效率。通常代理服務(wù)器都設(shè)置一個(gè)較大的硬盤緩沖區(qū)(可能高達(dá)幾個(gè) GB 或更大) ，當(dāng)有外界的信息通過時(shí)，同時(shí)也將其保存到緩沖區(qū)中，當(dāng)其他用戶再訪問相同的信息時(shí)，則直接由緩沖區(qū)中取出信息，傳給用戶，以提高訪問速度。 Inter 與 Inter，充當(dāng)防火墻(Firewall) 因?yàn)樗袃?nèi)部網(wǎng)的用戶通過代理服務(wù)器訪問外界時(shí)，只映射為一個(gè) IP 地址，所以外界不能直接訪問到內(nèi)部網(wǎng)；同時(shí)可以設(shè)置 IP 地址過濾，限制內(nèi)部網(wǎng)對外部的訪問權(quán)限。 IP 開銷 代理服務(wù)器允許使用大量的偽 IP 地址，節(jié)約網(wǎng)上資源，即用代理服務(wù)器可以減少對 IP 地址的需求，對于使用局域網(wǎng)方式接入 Inter ，如果為局域網(wǎng)(LAN)內(nèi)的每一個(gè)用戶都申請一個(gè) IP 地址，其費(fèi)用可想而知。但使用代理服務(wù)器后，只需代理服務(wù)器上有一個(gè)合法的 IP 地址， LAN 內(nèi)其他用戶可以使用 10.*.*.*這樣的私有 IP 地址，這樣可以節(jié)約大量的 IP，降低網(wǎng)絡(luò)的維護(hù)成本 [12]。 狀態(tài)檢測 狀態(tài)檢測(stateful inspection)技術(shù)是防火墻近幾年才應(yīng)用的新技術(shù)。傳統(tǒng)的包過濾防火墻只是通過檢測 IP 包頭的相關(guān)信息來決定數(shù)據(jù)流的通過還是拒絕，而狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對表中的各個(gè)連接狀態(tài)因素加以識別。這里動態(tài)連接狀態(tài)表中的記錄可以是以前的通信信息，也可以是其他相關(guān)應(yīng)用程序的信息，因此，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾規(guī)則表相比，它具有更好的靈活性和安全性。西南交通大學(xué)本科畢業(yè)設(shè)計(jì)(論文) 第 9 頁狀態(tài)檢測是由 CheckPoint 公司最先提出的，可算是防火墻技術(shù)的一項(xiàng)突破性變革，把包過濾的快速性和代理的安全性很好地結(jié)合在一起，目前已經(jīng)是防火墻最流行的檢測方式。狀態(tài)檢測的根本思想是對所有網(wǎng)絡(luò)數(shù)據(jù)建立“連接”的概念，此“連接”是面向“連接”的協(xié)議之“連接”的擴(kuò)展，對非連接協(xié)議數(shù)據(jù)也可以建立虛擬連接。既然是連接，必然是有一定的順序的，通信兩邊的連接狀態(tài)也是有一定順序進(jìn)行變化的，就象打電