【正文】 編寫中間層驅(qū)動(dòng)程序 中間層驅(qū) 動(dòng) (IM)D 位于微端口驅(qū)動(dòng)程序和協(xié)議驅(qū)動(dòng)程序之間，有兩種類型的中間層 驅(qū)動(dòng)程序 :過濾 (Filter)驅(qū)動(dòng)程序和復(fù)合 (MUX)驅(qū)動(dòng)程序。 20 圖 3 windows的網(wǎng)絡(luò)模型 21 實(shí)際上 ,這些注冊(cè)的例程是在適當(dāng)?shù)臅r(shí)候被 NDIs 調(diào)用的，是為驅(qū)動(dòng)程序棧中其他層 次的驅(qū)動(dòng)程序服務(wù)的。 NDI S庫 利 用了 HAL，從而也獲得了硬件無關(guān)性。 19 4. 分布式防火墻的實(shí)現(xiàn) 開發(fā)平臺(tái)與開發(fā)工具 包過濾模塊在 Widnows 環(huán)境下利用中間驅(qū)動(dòng)程序?qū)崿F(xiàn)，開發(fā)工具使用 Windo， sDDK 和 vc++ 在 DDK 中附帶的 passthru 提供 T 一個(gè)的中間層驅(qū)動(dòng)框架，它對(duì)下表 現(xiàn)為一個(gè)協(xié)議層的驅(qū)動(dòng)，對(duì)上表現(xiàn)為一個(gè)虛擬網(wǎng)卡，安裝 Passthru 驅(qū)動(dòng)之后，可以在硬 件管理中的網(wǎng)卡中看到一個(gè)虛擬網(wǎng)卡。日志以用戶可讀的文件形式 保存，用戶可以直接查看日志文件，也可以使用日志分析器查看。對(duì)數(shù)據(jù)包進(jìn)行時(shí)間限制是個(gè)非常有用的功能，如果數(shù)據(jù)包符合某個(gè)規(guī)則，即具有某種特征，包過濾程序可以限制每個(gè)固定的時(shí)間段只接受 一定數(shù)量的這種包，其他的則全部丟棄。為了便于管理，用戶也可以 自己定義鏈，但自定義的規(guī)則鏈只能在內(nèi)建鏈中進(jìn) 行包含。包過濾規(guī)則是一個(gè)鏈狀結(jié)構(gòu)，將數(shù)據(jù)包與第一條規(guī)則開始進(jìn)行比較， 如果符合該條規(guī)則就根據(jù)規(guī)則中的規(guī)定處理包 (丟棄、允許通過、修改包頭信息等 )，否 則將包與下一條規(guī)則比較。另外代理服務(wù)器的效率也不高。策略執(zhí)行器使用的技術(shù)，在 這里我們選擇了 包過濾技術(shù)。 至于雙方的權(quán)限如何分配，在前面的模型和產(chǎn)品實(shí)現(xiàn)方案中沒有明確的規(guī)定。為此，策略文件與策略執(zhí)行器間的協(xié)議中還要加上解密協(xié)議 . 一般網(wǎng)絡(luò)內(nèi)部主機(jī)可以按權(quán)限分組，同組主機(jī)的家全策略基本相同，即使不同組的 主機(jī)的安全策略也會(huì)有很多相同之處。 策略文件的內(nèi)容除了包過濾規(guī)則外還包括很多其他信息，比如證書、策略文件版本、 管理控制中心和端點(diǎn)主機(jī)間的一些約定等等，這些并不會(huì)在策略編輯器 中顯示出來，主 要是為了策略執(zhí)行器和管理控制中心的通信，以及中心對(duì)端點(diǎn)進(jìn)行遠(yuǎn)程管理。本地端 點(diǎn) (包括網(wǎng)關(guān)主機(jī) )和遠(yuǎn)程端點(diǎn)都要安裝策略執(zhí)行器，該程序按照管理中心發(fā)布的安全策 略運(yùn)行，保護(hù)所有端點(diǎn)主機(jī)的安全。遠(yuǎn)程端點(diǎn)連接器是特 別為遠(yuǎn)程端點(diǎn)主機(jī)設(shè)計(jì)的用來向小型網(wǎng)絡(luò)上的其他主機(jī)，特別是內(nèi)部端點(diǎn)，證明自己的 身份，請(qǐng)求與內(nèi)部端點(diǎn)建立通信的程序。對(duì)于遠(yuǎn)程端點(diǎn)主機(jī)，則首先使用證書確認(rèn)主機(jī)身份，然后使用主機(jī) IP 地址 和 MAC 地址共同標(biāo)識(shí)主機(jī)。 設(shè)計(jì)目標(biāo)的需求和安全狀況 目前 ,在上述的小型網(wǎng)絡(luò)中，一般只在網(wǎng)關(guān)處安裝簡單的主機(jī)防火墻或病毒檢測(cè)防 火墻，內(nèi)部主機(jī)上一般不安裝防火墻，有的主機(jī)使用者也自己安裝簡單的主機(jī)防火墻或 病毒檢測(cè)防火墻。如果網(wǎng)絡(luò)管理員對(duì)所有端點(diǎn)主機(jī)擁有絕對(duì)權(quán)限 可以進(jìn)行集中 配置 管理的話還不太難辦，但目前顯然還做不到這一點(diǎn)。只有少數(shù)員家中的主機(jī)或筆記本電腦有權(quán)與公司服務(wù)器通訊。在分布式防火墻中主機(jī)與策略服務(wù)器間 的通信可以采用強(qiáng)認(rèn)證方法，將認(rèn)證協(xié)議如 Kerberos、 、 IPSec 等運(yùn)用到本系統(tǒng) . 14 3 分布式防火墻的總體設(shè)計(jì) 前面己經(jīng)詳細(xì)介紹了傳統(tǒng)邊界防火墻以及分布式防火墻的實(shí)現(xiàn)技術(shù)，接下來我們開始利用這些技術(shù)設(shè)計(jì)并實(shí)現(xiàn)一個(gè)分布式防火墻系統(tǒng)。在該方式中，主機(jī)定期將自己的日志信息 傳送給策略服務(wù)器。當(dāng)策略服務(wù)器中的策略被更新時(shí)，主機(jī)端得到通知，然后取回更新 的策略。在該方式 中，策略服務(wù)器監(jiān)視網(wǎng)絡(luò)，如發(fā)現(xiàn)有主機(jī)欲進(jìn)入本網(wǎng)，則對(duì)其進(jìn)行檢查，如發(fā)現(xiàn)該主機(jī) 無本網(wǎng)的安全策略，則將其策略推送給該 機(jī)。當(dāng)網(wǎng)絡(luò)較小，管理員可為每臺(tái)主 機(jī)制定一套策略。 (4) 黑客攻擊的防御 抵御包括 Smurf 拒絕服務(wù)攻擊、 ARP 欺騙式攻擊、 Ping 攻擊、 Trjoan 木馬攻擊等在內(nèi) 的近百種來自網(wǎng)絡(luò)內(nèi)部以及來自工 nter 的黑客攻擊手段。其次，個(gè)人防火墻面向個(gè)人用戶，主機(jī)防火墻面向企業(yè)級(jí)客戶。為自身的 安全和徹底堵住操作系統(tǒng)的漏洞，主機(jī)防火墻的安全監(jiān)測(cè)核心引擎要以嵌入操作系統(tǒng)內(nèi) 核的形態(tài)運(yùn)行，直接接管網(wǎng)卡，在把所有數(shù)據(jù)包進(jìn) 行檢查后再提交操作系統(tǒng)，以杜絕隱 12 患。因此，可以針對(duì)該主機(jī)上運(yùn)行的具體應(yīng)用和對(duì)外提供的服務(wù)來設(shè)定針對(duì)性很強(qiáng)的安全策略。另外，不 同于個(gè)人防火墻面向個(gè)人用戶，針對(duì)桌面應(yīng)用的主機(jī)防火墻是面向企業(yè)客戶的，它與分 布式防火墻其他產(chǎn)品共同構(gòu)成一個(gè)企業(yè)級(jí)應(yīng)用方案，形成一個(gè)安全策略統(tǒng)一管理，安全 檢查機(jī)制分散布置的分布式防火墻系統(tǒng)。主機(jī)防火墻使安全策 略不僅僅停留在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間，而是把安全策略推廣延伸到每個(gè)網(wǎng)絡(luò)的末端。與傳統(tǒng)邊界防火墻相比，它多了一種用于對(duì)內(nèi)部各子網(wǎng)之間的安全防護(hù)層，這樣整個(gè)網(wǎng)絡(luò)間的安全防護(hù)體系就顯得更加安全可靠。 IP 安全協(xié)議是一種對(duì) TCP/IP 協(xié)議簇 的網(wǎng)絡(luò)層進(jìn)行加密保護(hù)的機(jī)制，包 括 AH 和 ESP，分別對(duì)工 P 包頭和整個(gè) IP 包進(jìn)行認(rèn)證，可以防止各種類型攻擊。 第四步，上傳安全日志到策略服務(wù)器。就是策略服務(wù)器用系統(tǒng)管理工具把策略文件分發(fā)給各臺(tái)“內(nèi)部” 主機(jī)。安全策略的制定可以使用各種策略定義語言， 定義的策略被放入策略數(shù)據(jù)庫中。 (2) 能將策略服務(wù)器形成的策略文件安全分發(fā)給被防火墻保護(hù)的所有主機(jī)的系統(tǒng) 管理工具。這樣不但可以 對(duì)主機(jī)實(shí)施護(hù)，還能保證與整個(gè)系統(tǒng)的安全策略一致。由此，我們可以看出分布式防火墻規(guī)則的制定還是采用集中定義和更新的方式，然后將這些定義好的規(guī)則策略分發(fā)到各個(gè)相關(guān)節(jié)點(diǎn)，最后再在每個(gè)受保護(hù) 10 的主機(jī)節(jié)點(diǎn)上獨(dú)立實(shí)施執(zhí)行。 (5) 應(yīng) 用 更為廣泛，支持 VPN 通信 其實(shí) 分 布 式 防火墻最重要的優(yōu)勢(shì)在于，它能夠保護(hù)物理拓?fù)渖喜粚儆趦?nèi)部網(wǎng)絡(luò)，位于邏輯上的“內(nèi)部”的那些網(wǎng)絡(luò)主機(jī)，這種需求隨著 VPN 的發(fā)展將會(huì)越來越多。雖然代理型防火墻能夠解決該問題，但它需要對(duì)每一種協(xié)議單獨(dú)地編寫代碼，其局限性也顯而易見的。隨著網(wǎng)絡(luò)的增長，它們的處理負(fù)荷也在網(wǎng)絡(luò)中進(jìn)一步分布，因此它們的高性能可以持續(xù)保持住。從網(wǎng)絡(luò)可靠性角度來說，采用多個(gè)防火墻冗余也是一種可行的方案，但是它們不僅引入了很多復(fù)雜性，而且并沒有從根本上解決該問題。特別在當(dāng)使用 IP 安全協(xié)議中的密碼憑證來標(biāo)志內(nèi)部主機(jī)，基于這些標(biāo)志的策略對(duì)主機(jī)來說無疑更具可信性。憑借這種端到端的安全性能，用戶不論通過內(nèi)部網(wǎng)、外聯(lián)網(wǎng)、虛擬專用網(wǎng)還是通過遠(yuǎn)程訪問實(shí)現(xiàn)與企業(yè)互聯(lián)都不再有任何區(qū)別。 在新的安全體系結(jié)構(gòu)下，分布式防火墻代表新一代防火墻技術(shù)的潮流，它可以在網(wǎng)絡(luò)的任何交界和節(jié)點(diǎn)處設(shè)置屏 障，從而形成了一個(gè)多層次、多協(xié)議、內(nèi)外皆防的全方位安全體系 .主要性能如下 [6]: (1)增 強(qiáng) 了系統(tǒng)安全性，增加了針對(duì)主機(jī)的入侵檢測(cè)和防護(hù)功能，加強(qiáng)了對(duì)來自內(nèi) 部網(wǎng)絡(luò)的攻擊防范，實(shí)施全方位的安全策略。分布式防火墻要負(fù)責(zé)網(wǎng) 絡(luò)邊界，各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)的安全防護(hù)，所以它是一套完整的系統(tǒng)，而不是單一的產(chǎn)品 [8] 根據(jù)其所需要完成的功能，分布式防火墻可以認(rèn)為是由三部分組成的立體防護(hù)系統(tǒng) :一部分是網(wǎng)絡(luò)防火墻，它承擔(dān)著傳統(tǒng)邊界防火墻看守大門的職責(zé) 。為了克服 以上缺陷而又保留傳統(tǒng)防火墻的優(yōu)點(diǎn)，美國 ATamp。當(dāng)加密技術(shù)和新一代網(wǎng)絡(luò)協(xié)議被使用的時(shí)候，防火墻因?yàn)闆]有密鑰而不能理解流過的數(shù)據(jù)包的內(nèi)容，從而不能實(shí)施檢查。上述工作模型能很好地工作在中小網(wǎng)絡(luò)中，但當(dāng)網(wǎng)絡(luò)規(guī)模增大、網(wǎng)絡(luò)新技術(shù)不斷現(xiàn)時(shí)，這種工作模型的缺陷日益暴露出來。從網(wǎng)絡(luò)可達(dá)性的角度來說，由于其帶寬的限制，防火墻并不能保證所有請(qǐng)求都 能及時(shí)響應(yīng)，所以在可達(dá)性方面防火墻也是整個(gè)網(wǎng)絡(luò)中的一個(gè)脆弱點(diǎn)。上述缺陷嚴(yán)重制約了網(wǎng)絡(luò)技術(shù)的應(yīng)用和發(fā)展。 從技術(shù)角度講 :所有對(duì)外流出和對(duì)內(nèi)流入的網(wǎng)絡(luò)數(shù)據(jù)都必須經(jīng)過防火墻，容易產(chǎn)生 流量瓶頸 。不僅省去了專用通信線路， 而且為信息 共享提供了技術(shù)保障。這個(gè)網(wǎng)絡(luò)由路由器 建立。 255 ~ .0~ 如果你選擇上述列表中的網(wǎng)絡(luò)地址，那么不需要向任何互聯(lián)網(wǎng)授權(quán)機(jī)構(gòu)注冊(cè)即可使 用。把未注冊(cè) IP 地址映射成合法地址，就 可以對(duì)工 nter 進(jìn)行訪問。使用防火墻就可以 隱蔽那些內(nèi)部細(xì)節(jié)如 Finger、 DNS 等服務(wù)。管理員可以清楚了解防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清 楚防火墻的控制是否充足。例如在網(wǎng)絡(luò)訪問時(shí)，一次加密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不 必分散在各個(gè)主機(jī)上，而集中在防火墻身上。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如 IP 選項(xiàng)中的源路由攻擊和 IcMP 重定向中的重定向 路徑攻擊。監(jiān)視功能支持多種網(wǎng)絡(luò)協(xié)議，可以方便地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充，特別是可監(jiān)視 RPC(遠(yuǎn)程進(jìn)程調(diào)用 )和 UDP(用戶數(shù)據(jù)報(bào)文 )端口信息，這是其它安全服務(wù)所不能完成的。由于有這種專用的程序代碼，應(yīng)用層網(wǎng)關(guān) 可以提供高可靠性的安全機(jī)制。這 樣便可以在用戶層或應(yīng)用層提供訪問控制，并且可以用來對(duì)各種應(yīng)用程序的使用情況維 6 持一個(gè)智能性的日志文件。然而，只要應(yīng)用程序進(jìn)行升級(jí)，基于代理的用戶會(huì)發(fā)現(xiàn) 他們必須發(fā)展新的代理。如果一個(gè)節(jié)點(diǎn)在非標(biāo)準(zhǔn)端口上運(yùn)行一個(gè)標(biāo)準(zhǔn)應(yīng)用程 序，代理將不支持這個(gè)應(yīng)用程序。 也 有一些標(biāo)準(zhǔn)的客戶程序可以利用代理服務(wù)器通過防火墻運(yùn)行，如 Mail、 FTP 和 Tel 等。相當(dāng)多的代理服務(wù)器要 求使用固定的客戶程序。中間結(jié)點(diǎn)通常為雙宿主機(jī)。當(dāng)一個(gè)新的服務(wù)被加入到網(wǎng)絡(luò)中時(shí)，我們可以很容易地遇到?jīng)]有規(guī)則與之相匹配的情況。規(guī)則 6 遵循以下原則 :未被明確允許的就將被禁止。 6)如果一個(gè)分組不滿足任何規(guī)則，則該分組被阻塞。 3)分組過濾規(guī)則按一定的順序存儲(chǔ)。網(wǎng)絡(luò)安 全策略的一個(gè)主要目標(biāo)是向用戶 提供透明的網(wǎng)絡(luò)服務(wù)機(jī)制。 防火墻實(shí)現(xiàn)技術(shù) (1)分組過濾 (PacketFiltering)技術(shù) 根據(jù)系統(tǒng)事先設(shè)定好的過濾規(guī)則，檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、 目的地址、 TCP 端口、路徑狀態(tài)等來確定是否允許數(shù)據(jù)包通過。這種配置的危險(xiǎn)僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路 由器上設(shè)立過 濾規(guī)則，并使這個(gè)堡壘主機(jī)成為從外部網(wǎng)絡(luò)惟一可直接到達(dá)的主機(jī)，這確 保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。路由器上可以 安裝基于 IP 層的報(bào)文過濾軟件，實(shí)現(xiàn)報(bào)文過濾功能。目前人們一般用術(shù)語路由器來描述 這種路由功能，而網(wǎng)關(guān)則用于描述 051 模型高層中所進(jìn)行的路由功能。防火墻相當(dāng)于控制器和監(jiān)視器，用來監(jiān)視或拒絕應(yīng)用層的通信業(yè)務(wù)，防火墻也可以在網(wǎng)絡(luò)層和傳輸層運(yùn)行，在這種情況下，防火墻檢查進(jìn)出相應(yīng)接口的報(bào)文分組的工P和 TCP頭部，根據(jù)預(yù)先設(shè)計(jì)的報(bào)文分組過濾規(guī)則來拒絕或允許報(bào)文分組通過 [17]。如果某個(gè)網(wǎng)絡(luò)決定設(shè)定防火墻，那么首先需要由網(wǎng)絡(luò)決策人員及網(wǎng)絡(luò)專家共同決定本網(wǎng)絡(luò)的安全策略，即確定哪些類型的信息允許通過防火墻，哪些類型的信息不允許通過防火墻。 設(shè)立防火墻的主要目的有多個(gè) : (1) 限制訪問從一個(gè)特別的節(jié)點(diǎn)進(jìn)入 (2) 防止攻擊者接近防御措施 (3) 限制訪問從一個(gè)特別的節(jié)點(diǎn)離開 (4) 有效的阻止入侵者對(duì)內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞 通常 ,被保護(hù)的網(wǎng)絡(luò)屬于我們自己，或者是我們負(fù)責(zé)管理的，而所要防備的網(wǎng)絡(luò)則是一個(gè)外部的網(wǎng)絡(luò)，防火墻認(rèn)為該網(wǎng)絡(luò)是不可信賴的，因?yàn)榭?能有人會(huì)從該網(wǎng)絡(luò)上對(duì)我們的網(wǎng)絡(luò)發(fā)起攻擊，破壞網(wǎng)絡(luò)安全。隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展和普及，各種大型的企業(yè)、組織，例如政府機(jī)構(gòu)、金融機(jī)構(gòu) 以及各類的醫(yī)療機(jī)構(gòu)等等，將對(duì)可靠的網(wǎng)絡(luò)安全解決方案產(chǎn)生巨大的需求，因此對(duì)分布 式防火墻的研究與應(yīng)用是十分必要的，而且有著重要的現(xiàn)實(shí)意義。其中一個(gè)比較突出的問題就是如何提供對(duì)單機(jī)多用戶的支持。另一種是軟 件實(shí)現(xiàn)，現(xiàn)有的軟件實(shí)現(xiàn)的主機(jī)防火墻產(chǎn)品大都沿用了個(gè)人防火墻的設(shè)計(jì)思想和實(shí)現(xiàn)技 術(shù)，雖然功能相對(duì)豐富，但在設(shè)計(jì)和實(shí)現(xiàn)上很少考慮自身的安全性。從部署的位置來看，主機(jī)防火墻和個(gè)人防 火墻比較相似，但是作為分布式防火墻系統(tǒng)的策略執(zhí)行節(jié)點(diǎn)，它與個(gè)人防火墻在管理方 式、運(yùn)行及實(shí)現(xiàn)機(jī)制上又有著本質(zhì)的區(qū)別。這里，安全策略包括安全級(jí)別以及相關(guān)的安全屬性。如 3COM 公司就開發(fā)了一整套分布式防火墻系統(tǒng)，防火墻服務(wù)器管理軟件安裝于服務(wù)器上，其它各種防護(hù)工作或成員服務(wù)器就只需安裝防火墻功能網(wǎng)卡，這些網(wǎng)卡的防火墻功能受中心管理軟件統(tǒng)一配置和管理。但是面對(duì)不斷擴(kuò)大的網(wǎng)絡(luò)規(guī)模和越來越復(fù)雜的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，邊界防火墻的缺陷也日益突出。網(wǎng)絡(luò)銀行、電子商務(wù)、各類資金管理系統(tǒng)中的支付與結(jié)算的準(zhǔn)確真實(shí)和金融機(jī)構(gòu)數(shù)據(jù)保護(hù)與管理系統(tǒng)的不被欺詐，都將成為企業(yè)形象、商業(yè)利益、國家安全和社會(huì)穩(wěn)定的焦點(diǎn)。s current work of the actual situation and achieve a distributed firewall systems, the system is in the packet filtering software modules To achieve. Finally, summed up the text and made a number of issues w