【正文】 2 TCP首部格式源端口號目的端口號序列號確認(rèn)號首部長保留LRCTBLPBHRCTCJHHJR窗口大小TCP校驗(yàn)和緊急指針選項(xiàng)對于幀的頭部信息主要是源/目的主機(jī)的MAC地址。IP數(shù)據(jù)報(bào)頭部信息主要是源/目的主機(jī)的IP地址。TCP頭部的主要字段包括源/目的端口、發(fā)送及確認(rèn)序號、狀態(tài)標(biāo)識等。理論上講，數(shù)據(jù)包所有頭部信息以及有效載荷都可以作為判斷包通過與否的依據(jù)，但是在實(shí)際情況中，包過濾技術(shù)上的問題主要是選取哪些字段信息，以及如何有效地利用這些字段信息并結(jié)合訪問控制列表來執(zhí)行包過濾操作，并盡可能提高安全控制力度。 傳統(tǒng)包過濾技術(shù)傳統(tǒng)包過濾技術(shù)，大多是在IP層實(shí)現(xiàn)，它只是簡單的對當(dāng)前正在通過的單一數(shù)據(jù)包進(jìn)行檢測，查看源/目的IP地址、端口號以及協(xié)議類型(UDP/TCP)等，結(jié)合訪問控制規(guī)則對數(shù)據(jù)包實(shí)施有選擇的通過。這種技術(shù)實(shí)現(xiàn)簡單，處理速度快，對應(yīng)用透明，但是它存在的問題也很多，主要表現(xiàn)有:。若允許建立HTTP連接，就需要開放1024以上所有端口，這無疑增加了被攻擊的可能性。如接收到一個(gè)ACK數(shù)據(jù)包，就認(rèn)為這是一個(gè)己建立的連接，這就導(dǎo)致許多安全隱患，一些惡意掃描和拒絕服務(wù)攻擊就是利用了這個(gè)缺陷。即使通過防火墻的數(shù)據(jù)包有攻擊性或包含病毒代碼，也無法進(jìn)行控制和阻斷。綜合上述問題，傳統(tǒng)包過濾技術(shù)的缺陷在于:(l)缺乏狀態(tài)檢測能力。(2)缺乏應(yīng)用防御能力。(3)只對當(dāng)前正在通過的單一數(shù)據(jù)包進(jìn)行檢測，而沒有考慮前后數(shù)據(jù)包之間的聯(lián)系。(4)只檢查包頭信息，而沒有深入檢測數(shù)據(jù)包的有效載荷。傳統(tǒng)包過濾技術(shù)必須發(fā)展進(jìn)化，在繼承其優(yōu)點(diǎn)的前提下，采用新的技術(shù)手段，克服其缺陷，并進(jìn)一步滿足新的安全應(yīng)用要求。從數(shù)據(jù)包結(jié)構(gòu)出發(fā)考慮，目前包過濾技術(shù)向兩個(gè)方向發(fā)展:(l)橫向聯(lián)系。即在包檢測中考慮前后數(shù)據(jù)包之間的關(guān)系，充分利用包頭信息中能體現(xiàn)此關(guān)系的字段，如IP首部的標(biāo)識字段和片偏移字段、TCP首部的發(fā)送及確認(rèn)序號、滑動窗口的大小、狀態(tài)標(biāo)識等，動態(tài)執(zhí)行數(shù)據(jù)包過濾。(2)縱向發(fā)展。深入檢測數(shù)據(jù)包有效載荷，識別并阻止病毒代碼和基于高層協(xié)議的攻擊，以此來提高應(yīng)用防御能力。這兩種技術(shù)的發(fā)展并不是獨(dú)立的，動態(tài)包過濾可以說是基于內(nèi)容檢測技術(shù)的基礎(chǔ)。實(shí)際上，在深度包檢測技術(shù)中己經(jīng)體現(xiàn)了兩種技術(shù)的融合趨勢。 動態(tài)包過濾動態(tài)包過濾[16]又稱為基于狀態(tài)的數(shù)據(jù)包過濾，是在傳統(tǒng)包過濾技術(shù)基礎(chǔ)之上發(fā)展起來的一項(xiàng)過濾技術(shù)，最早由Checkpoint提出。與傳統(tǒng)包過濾技術(shù)只檢查單個(gè)、孤立的數(shù)據(jù)包不同，動態(tài)包過濾試圖將數(shù)據(jù)包的上下文聯(lián)系起來，建立一種基于狀態(tài)的包過濾機(jī)制。對于新建的應(yīng)用連接，防火墻檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過，并在內(nèi)存中記錄下該連接的相關(guān)信息，這些相關(guān)信息構(gòu)成一個(gè)狀態(tài)表。這樣，當(dāng)一個(gè)新的數(shù)據(jù)包到達(dá)，如果屬于已經(jīng)建立的連接，則檢查狀態(tài)表，參考數(shù)據(jù)流上下文決定當(dāng)前數(shù)據(jù)包通過與否。如果是新建連接，則檢查靜態(tài)規(guī)則表。動態(tài)包過濾通過在內(nèi)存中動態(tài)地建立和維護(hù)一個(gè)狀態(tài)表，數(shù)據(jù)包到達(dá)時(shí)，對該數(shù)據(jù)包的處理方式將綜合靜態(tài)安全規(guī)則和數(shù)據(jù)包所處的狀態(tài)進(jìn)行。這種方法的好處在于由于不需要對每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查，而是一個(gè)連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過散列算法，直接進(jìn)行狀態(tài)檢查，從而使性能得到了較大提高。而且，由于狀態(tài)表是動態(tài)的，因而可以有選擇地、動態(tài)地開通1024號以上的端口，使安全性得到進(jìn)一步地提高。動態(tài)包過濾技術(shù)克服了傳統(tǒng)包過濾僅僅孤立的檢查單個(gè)數(shù)據(jù)包和安全規(guī)則靜態(tài)不可變的缺陷，使得防火墻的安全控制力度更為細(xì)致。 深度包檢測 目前許多造成大規(guī)模損害的網(wǎng)絡(luò)攻擊，比如紅色代碼和尼姆達(dá)，都是利用了應(yīng)用的弱點(diǎn)。利用高層協(xié)議的攻擊和網(wǎng)絡(luò)病毒的頻繁出現(xiàn)，對防火墻提出了新的要求。防火墻必須深入檢查數(shù)據(jù)包的內(nèi)部來確認(rèn)出惡意行為并阻止它們。深度包檢測(Deep Packet Inspection)就是針對這種需求，深入檢測數(shù)據(jù)包有效載荷，執(zhí)行基于應(yīng)用層的內(nèi)容過濾，以此提高系統(tǒng)應(yīng)用防御能力。應(yīng)用防御的技術(shù)問題主要包括:(l)需要對有效載荷知道得更清楚。(2)也需要高速檢查它的能力。簡單的數(shù)據(jù)包內(nèi)容過濾對當(dāng)前正在通過的單一數(shù)據(jù)包的有效載荷進(jìn)行掃描檢測，但是對于應(yīng)用防御的要求而言，這是遠(yuǎn)遠(yuǎn)不夠的。如一段攻擊代碼被分割到10個(gè)數(shù)據(jù)包中傳輸，那么這種簡單的對單一數(shù)據(jù)包的內(nèi)容檢測根本無法對攻擊特征進(jìn)行匹配: 要清楚地知道有效載荷，必須采取有效方法，將單個(gè)數(shù)據(jù)包重新組合成完整的數(shù)據(jù)流。應(yīng)用層的內(nèi)容過濾要求大量的計(jì)算資源，很多情況下高達(dá)100倍甚至更高。因而要執(zhí)行深度包檢測，帶來的問題必然是性能的下降，這就是所謂的內(nèi)容處理障礙。為了突破內(nèi)容處理障礙，達(dá)到實(shí)時(shí)地分析網(wǎng)絡(luò)內(nèi)容和行為，需要重點(diǎn)在加速上采取有效的辦法。通過采用硬件芯片和更加優(yōu)化的算法，可以解決這個(gè)問題。 深度包檢測框圖在接收到網(wǎng)絡(luò)流量后，將需要進(jìn)行內(nèi)容掃描的數(shù)據(jù)流定向到TCP/IP堆棧，其他數(shù)據(jù)流直接定向到狀態(tài)檢測引擎，按基本檢測方式進(jìn)行處理。定向到TCP/IP堆棧的數(shù)據(jù)流，首先轉(zhuǎn)換成內(nèi)容數(shù)據(jù)流。服務(wù)分析器根據(jù)數(shù)據(jù)流服務(wù)類型分離內(nèi)容數(shù)據(jù)流，傳送數(shù)據(jù)流到一個(gè)命令解析器中。命令解析器定制和分析每一個(gè)內(nèi)容協(xié)議，分析內(nèi)容數(shù)據(jù)流，檢測病毒和蠕蟲。如果檢測到信息流是一個(gè)HTTP數(shù)據(jù)流，則命令解析器檢查上載和下載的文件。如果數(shù)據(jù)是Mail類型，則檢查郵件的附件。如果數(shù)據(jù)流包含附件或上載/下載文件，附件和文件將傳輸?shù)讲《緬呙枰?，所有其他?nèi)容傳輸?shù)絻?nèi)容過濾引擎。如果內(nèi)容過濾啟動，數(shù)據(jù)流將根據(jù)過濾的設(shè)置進(jìn)行匹配，通過或拒絕數(shù)據(jù)。 流過濾技術(shù)流過濾是東軟集團(tuán)提出的一種新型防火墻技術(shù)架構(gòu)，它融基于狀態(tài)的包過濾技術(shù)與基于內(nèi)容的深度包檢測技術(shù)為一體，提供了一個(gè)較好的應(yīng)用防御解決方案，它以狀態(tài)監(jiān)測技術(shù)為基礎(chǔ)，但在此基礎(chǔ)上進(jìn)行了改進(jìn)其基本的原理是:以狀態(tài)包過濾的形態(tài)實(shí)現(xiàn)應(yīng)用層的保護(hù)能力:通過內(nèi)嵌的專門實(shí)現(xiàn)的TCP/IP協(xié)議棧，實(shí)現(xiàn)了透明的應(yīng)用信息過濾機(jī)制。流過濾技術(shù)[17]的關(guān)鍵在于其架構(gòu)中的專用TCP/IP協(xié)議棧:這個(gè)協(xié)議棧是一個(gè)標(biāo)準(zhǔn)的TCP協(xié)議的實(shí)現(xiàn)，依據(jù)TCP協(xié)議的定義對出入防火墻的數(shù)據(jù)包進(jìn)行了，完整的重組，重組后的數(shù)據(jù)流交給應(yīng)用層過濾邏輯進(jìn)行過濾，從而可以有效地識別并攔截應(yīng)用層的攻擊企圖。在這種機(jī)制下，從防火墻外部看，仍然是包過濾的形態(tài)，工作在鏈路層或IP層，在規(guī)則允許下，兩端可以直接訪問，但是任何一個(gè)被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的TCP會話，數(shù)據(jù)以“流”的方式從一個(gè)會話流向另一個(gè)會話。由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代替服務(wù)器或客戶端參與應(yīng)用層的會話，從而起到了與應(yīng)用代理防火墻相同的控制能力。如在對SMTP協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對郵件的存儲轉(zhuǎn)發(fā)。 流過濾示意圖在這種機(jī)制下，從防火墻外部看，仍然是包過濾的形態(tài)，工作在鏈路層或IP層，在規(guī)則允許下，兩端可以直接訪問，但是任何一個(gè)被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個(gè)完全獨(dú)立的TCP會話，數(shù)據(jù)以“流”的方式從一個(gè)會話流向另一個(gè)會話。由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時(shí)候代替服務(wù)器或客戶端參與應(yīng)用層的會話，從而起到了與應(yīng)用代理防火墻相同的控制能力。如在對SMTP協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實(shí)現(xiàn)完全的對郵件的存儲轉(zhuǎn)發(fā)。 目前,防火墻的體系結(jié)構(gòu)一般有以下幾種: （1）雙宿主主機(jī)防火墻；（2）主機(jī)屏蔽防火墻；（3）子網(wǎng)屏蔽防火墻。 多宿主主機(jī)這個(gè)詞是用來描述配有多個(gè)網(wǎng)卡的主機(jī)，每個(gè)網(wǎng)卡都和網(wǎng)絡(luò)相連接。代理服務(wù)器可以算是多宿主主機(jī)防火墻的一種。在歷史上，多宿主主機(jī)可以在網(wǎng)段之間傳送流量，今天一般都使用專門的路由器來完成IP路由轉(zhuǎn)發(fā)。雙宿主主機(jī)如果多宿主主機(jī)的路由功能被禁止，則主機(jī)可以在它連接的網(wǎng)絡(luò)之間提供網(wǎng)絡(luò)流量的分離，并且每個(gè)網(wǎng)絡(luò)都能在宿主主機(jī)上處理應(yīng)用程序。另外，如果應(yīng)用程序允許，網(wǎng)絡(luò)還可以共享數(shù)據(jù)。 雙宿主主機(jī)是多宿主主機(jī)的一個(gè)特例，它有兩個(gè)網(wǎng)卡，并禁止路由功能。 雙宿主主機(jī)可以用于把一個(gè)內(nèi)部網(wǎng)絡(luò)從一個(gè)不可信的外部網(wǎng)絡(luò)分離出來。因?yàn)殡p宿主主機(jī)不能轉(zhuǎn)發(fā)任何TCP/IP流量，所以它可以徹底堵塞內(nèi)部和外部不可信網(wǎng)絡(luò)間的任何IP流量。然后防火墻運(yùn)行代理軟件控制數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)流向另一個(gè)網(wǎng)絡(luò)，這樣內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)就可以訪問外部網(wǎng)絡(luò)。雙宿主主機(jī)雙宿主主機(jī)是防火墻體系的基本形態(tài)。建立雙宿主主機(jī)的關(guān)鍵是要禁止路由，網(wǎng)絡(luò)之間通信的唯一路徑是通過應(yīng)用層的代理軟件。如果路由被意外允許，那么雙宿主主機(jī)防火墻的應(yīng)用測功能就會被旁路，內(nèi)部受保護(hù)網(wǎng)絡(luò)就會完全暴露在危險(xiǎn)中。主機(jī)屏蔽防火墻比雙宿主機(jī)防火墻更安全。主機(jī)屏蔽防火墻體系結(jié)構(gòu)是在防火墻的前面增加了屏蔽路由器。換句話說就是防火墻不直接連接外網(wǎng)，這樣的形式提供一種非常有效的并且容易維護(hù)的防火墻體系。因?yàn)槁酚善骶哂袛?shù)據(jù)過濾功能，路由器通過適當(dāng)配置后，可以實(shí)現(xiàn)一部分防火墻的功能，因此，有人把屏蔽路由器也成為防火墻的一種。主機(jī)屏蔽防火墻實(shí)際上，我們常常把屏蔽路由器作為保護(hù)網(wǎng)絡(luò)的第一道防線。根據(jù)內(nèi)網(wǎng)的安全策略，屏蔽路由器可以過濾掉不允許通過的數(shù)據(jù)包。 屏蔽路由器配置要根據(jù)實(shí)際的網(wǎng)絡(luò)安全策略來進(jìn)行，如服務(wù)器提供WEB服務(wù)就需要屏蔽路由器開放80端口。 因?yàn)檫@種體系結(jié)構(gòu)允許數(shù)據(jù)包從外網(wǎng)向內(nèi)網(wǎng)移動，所以它的設(shè)計(jì)比沒有外部數(shù)據(jù)流量的雙宿主機(jī)更冒風(fēng)險(xiǎn)，但實(shí)際上雙宿主機(jī)體系結(jié)構(gòu)在防備數(shù)據(jù)包流入內(nèi)網(wǎng)時(shí)也會造成失敗。總之保護(hù)路由器比保護(hù)主機(jī)更容易實(shí)現(xiàn)，因?yàn)槁酚善魈峁┓浅Ｓ邢薜姆?wù)，漏洞要比主機(jī)少得多，所以主機(jī)屏蔽防火墻體系結(jié)構(gòu)能提供更好的安全性和可用性。子網(wǎng)屏蔽防火墻體系結(jié)構(gòu)添加額外的安全層到主機(jī)屏蔽體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與外網(wǎng)隔離。通常，堡壘主機(jī)是網(wǎng)絡(luò)上最容易受攻擊的機(jī)器。任憑用戶如何保護(hù)它，它仍有可能被突破或入侵，因?yàn)闆]有任何主機(jī)是絕對安全的。子網(wǎng)屏蔽防火墻在主機(jī)屏蔽體系中，用戶的內(nèi)部網(wǎng)絡(luò)對堡壘主機(jī)沒有任何防御措施，如果黑客成功入侵到主機(jī)屏蔽體系結(jié)構(gòu)中的堡壘主機(jī)，那就毫無阻擋的進(jìn)入了內(nèi)部網(wǎng)絡(luò)。通過在周邊網(wǎng)絡(luò)上隔離堡壘主機(jī)，能減少在堡壘主機(jī)上入侵的影響。可以說它只給入侵者一些訪問的機(jī)會，但不是全部。 屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為使用兩個(gè)屏蔽路由器，位于堡壘主機(jī)的兩端，一端連接內(nèi)網(wǎng)，一端連接外網(wǎng)。為了入侵這種類型的體系結(jié)構(gòu)，入侵者必須穿透兩個(gè)屏蔽路由器。即使入侵者控制了堡壘主機(jī)，他仍然需要通過內(nèi)網(wǎng)端的屏蔽路由器才能到達(dá)內(nèi)網(wǎng)。160