分布式防火墻策略分發(fā)系統(tǒng)的設(shè)計(jì)

1、分布式防火墻策略分發(fā)系統(tǒng)的設(shè)計(jì)武漢職業(yè)技術(shù)學(xué)院輕工學(xué)院 葉莉摘 要:隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)規(guī)模的擴(kuò)大，傳統(tǒng)防火墻單一控制點(diǎn)逐漸成為網(wǎng)絡(luò)性能的瓶頸和安全隱患?；凇安呗约卸x，分散實(shí)施，日志集中收集”的思想，分布式防火墻很好的解決了傳統(tǒng)防火墻面臨的問(wèn)題，更加適應(yīng)了網(wǎng)絡(luò)的發(fā)展需求。本文設(shè)計(jì)了一個(gè)基于SOAP的分布式防火墻安全策略分發(fā)方法，詳細(xì)描述了服務(wù)器端和防火墻端的體系結(jié)構(gòu)及各子功能模塊，并給出了該系統(tǒng)關(guān)鍵技術(shù)的實(shí)現(xiàn),并論證了基于SOAP的分布式防火墻策略分發(fā)方案的技術(shù)可行性。關(guān)鍵詞：網(wǎng)絡(luò)安全，分布式防火墻，策略分發(fā)1 引言在對(duì)分布式防火墻策略分發(fā)的實(shí)現(xiàn)方案研究的基礎(chǔ)上，針對(duì)構(gòu)建的新型三層分

2、布式防火墻的體系結(jié)構(gòu)中“推送”、“索取”以及“查詢”的策略分發(fā)機(jī)制,本文對(duì)匯聚防火墻以及邊界防火墻“查詢”策略的部分給予實(shí)現(xiàn)。2 運(yùn)行環(huán)境策略控制中心管理主機(jī):Windows2003 操作系統(tǒng)、SQL Server 2000 、Apache Web服務(wù)器、Apache SOAP工具包；終端防火墻:Redhat Linux9、Netfilter/iptables防火墻。Netfilter/iptables的數(shù)據(jù)包過(guò)濾過(guò)程如下圖：圖1 數(shù)據(jù)包過(guò)濾過(guò)程N(yùn)etfilter是Linux網(wǎng)絡(luò)防火墻實(shí)現(xiàn)的基礎(chǔ)，它提供了一個(gè)抽象、通用化的框架，包含5個(gè)部分：為每種網(wǎng)絡(luò)協(xié)議定義一套鉤子函數(shù)，IPv4定義了5個(gè)鉤

3、子函數(shù)，對(duì)應(yīng)協(xié)議的數(shù)據(jù)包將按照一定的規(guī)則通過(guò)這些鉤子，每一個(gè)鉤子都是處理函數(shù)掛載點(diǎn)；內(nèi)核模塊可以在各個(gè)鉤子上注冊(cè)處理函數(shù)，實(shí)現(xiàn)掛接，以操作經(jīng)過(guò)對(duì)應(yīng)鉤子的數(shù)據(jù)包；函數(shù)處理后，根據(jù)一定的策略返回給內(nèi)核進(jìn)行下一步的處理；任何在IP層要被拋棄的IP數(shù)據(jù)包在真正拋棄之前都要進(jìn)行檢查；5個(gè)鉤子函數(shù)的位置如下：NF_IP_PRE_ROUTING：數(shù)據(jù)包在抵達(dá)路由之前經(jīng)過(guò)這個(gè)鉤子；NF_IP_LOCAL_IN：目的地為本地主機(jī)的數(shù)據(jù)包經(jīng)過(guò)這個(gè)鉤子，防火墻建立在這里；NF_IP_FORWARD：目的地非本地主機(jī)的數(shù)據(jù)包經(jīng)過(guò)這個(gè)鉤子；NF_IP_LOCAL_OUT：本地主機(jī)發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這個(gè)鉤子；NF_IP_P

4、OST_ROUTING：數(shù)據(jù)包在離開(kāi)本地主機(jī)之前經(jīng)過(guò)這個(gè)鉤子。在防火墻的實(shí)現(xiàn)過(guò)程中，NF_IP_LOCAL_IN被調(diào)用，并向Netfilter返回NF_ACCEPT和NF_DROP這兩個(gè)值。Iptables組件是一種工具，也稱(chēng)為用戶空間，它使插入、修改和除去數(shù)據(jù)包過(guò)濾表中的規(guī)則變得容易。通過(guò)使用用戶空間，可以構(gòu)建自己的定制規(guī)則，這些規(guī)則存儲(chǔ)在內(nèi)核空間的數(shù)據(jù)包過(guò)濾表filter表中。當(dāng)數(shù)據(jù)包進(jìn)入系統(tǒng)時(shí)，系統(tǒng)首先根據(jù)路由表決定數(shù)據(jù)包發(fā)給哪一條鏈，則可能有三種情況：如果數(shù)據(jù)包的目的地址是本機(jī)，則系統(tǒng)將數(shù)據(jù)包送往INPUT鏈。如果數(shù)據(jù)包的目的地址不是本機(jī)，這個(gè)包將被轉(zhuǎn)發(fā)，則系統(tǒng)將數(shù)據(jù)包送往FOR做RD

5、鏈。如果數(shù)據(jù)包是由本地系統(tǒng)進(jìn)程產(chǎn)生的，則系統(tǒng)將其送往OUTPUT鏈。如果通過(guò)規(guī)則檢查，則該包被發(fā)給相應(yīng)的本地進(jìn)程處理。如果沒(méi)通過(guò)規(guī)則檢查，系統(tǒng)就會(huì)將這個(gè)包丟掉。Netfilter/iptables系統(tǒng)使其用戶可以完全控制防火墻配置和數(shù)據(jù)包過(guò)濾。它允許為防火墻建立可定制化的規(guī)則來(lái)控制數(shù)據(jù)和過(guò)濾。3 系統(tǒng)的總體設(shè)計(jì)3.1 服務(wù)器端的總體設(shè)計(jì)服務(wù)器端包括代理層、功能層和數(shù)據(jù)層。1)代理層代理層提供分布式防火墻管理的Web界面，管理員通過(guò)瀏覽器完成管理工作。管理工作具體包括:組的管理，添加、修改、刪除、顯示組。防火墻管理:添加、修改、刪除、顯示防火墻。防火墻的配置管理，包括策略管理:在防火墻中添加、修

6、改、刪除、顯示策略。發(fā)布策略及發(fā)布失敗處理。性能監(jiān)測(cè)及日志察看。用戶管理及登錄認(rèn)證。2)功能層功能層包括身份驗(yàn)證模塊、日志管理模塊、策略制定模塊、策略實(shí)施模塊。(1)身份驗(yàn)證模塊當(dāng)防火墻端發(fā)起獲取策略請(qǐng)求時(shí)，須首先對(duì)防火墻的身份進(jìn)行驗(yàn)證，然后查看策略文件，決定是否允許對(duì)方的請(qǐng)求。身份驗(yàn)證模塊通過(guò)系統(tǒng)密碼、一次性密碼、證書(shū)等身份驗(yàn)證方案來(lái)提供安全保障。主要包括:用戶身份驗(yàn)證、客戶身份驗(yàn)證和會(huì)話身份驗(yàn)證。用戶身份驗(yàn)證可以提供Http，F(xiàn)TP，Telnet和Rlogin連接固有的身份驗(yàn)證，它直接利用了這些應(yīng)用層協(xié)議內(nèi)部的身份驗(yàn)證功能。客戶身份驗(yàn)證可以向那些自身未提供身份驗(yàn)證功能的服務(wù)提供身份驗(yàn)證。會(huì)

7、話身份驗(yàn)證可以提供對(duì)遠(yuǎn)程端點(diǎn)主機(jī)的身份驗(yàn)證，主要采用證書(shū)鑒別的形式。每種驗(yàn)證類(lèi)型都將維護(hù)一個(gè)驗(yàn)證連接表，只有在連接初始化時(shí)才進(jìn)行身份驗(yàn)證。身份驗(yàn)證后就可以建立連接，并將相關(guān)的連接信息寫(xiě)入連接表中。對(duì)于連接建立以后的過(guò)程中進(jìn)行的后續(xù)分組交換，將根據(jù)源/目標(biāo)IP地址及源/目標(biāo)TCP/UDP端口這樣的參數(shù)進(jìn)行身份識(shí)別，并和連接表內(nèi)某條己有連接進(jìn)行匹配。(2)日志管理模塊日志管理模塊實(shí)現(xiàn)以下幾種功能:日志收集記錄，定期從各主機(jī)收集日志文件，然后把所有文件所包含的信息導(dǎo)入到日志庫(kù)中。日志文件定位，實(shí)現(xiàn)用戶自己定義條件的日志查詢，查看系統(tǒng)的運(yùn)行狀況，查找異常等。日志輪換，允許用戶循環(huán)使用自己的日志文件，即

8、用戶可以關(guān)閉現(xiàn)有的已經(jīng)較大的日志文件，換成一個(gè)新的、空日志文件。進(jìn)行日志輪換的時(shí)候，當(dāng)前打開(kāi)的日志文件會(huì)被關(guān)閉并且另存為一個(gè)新文件，文件名由用戶手工配置或自動(dòng)生成，其中包括當(dāng)前的日期和時(shí)間標(biāo)記，以保證用戶知道日志文件輪換的時(shí)間。實(shí)現(xiàn)導(dǎo)出、清除日志文件功能，可以將當(dāng)前的日志記錄項(xiàng)導(dǎo)出為ASCLL格式，并刪除多余的和過(guò)時(shí)的數(shù)據(jù)等。阻擋連接，對(duì)日志庫(kù)進(jìn)行分析，如果檢測(cè)到異常行為，可以阻擋未經(jīng)授權(quán)的訪問(wèn)。可以通過(guò)添加IP黑名單、關(guān)閉主機(jī)的某項(xiàng)服務(wù)、關(guān)閉主機(jī)的所有網(wǎng)絡(luò)通信、關(guān)閉網(wǎng)關(guān)的所有網(wǎng)絡(luò)通信等方式實(shí)施阻擋。(3)策略制定模塊在策略制定模塊中，應(yīng)根據(jù)業(yè)務(wù)的實(shí)時(shí)性變化，包括有以下功能:策略的添加；策略的

9、修改；策略的刪除；策略的顯示等；網(wǎng)絡(luò)對(duì)象的管理:將用戶可以訪問(wèn)的網(wǎng)絡(luò)資源定義為對(duì)象，這可以使系統(tǒng)管理員用域名、子網(wǎng)形式進(jìn)行描述網(wǎng)絡(luò)資源。(4)策略實(shí)施模塊策略實(shí)施模塊主要實(shí)施以下功能:服務(wù)器端使用關(guān)系數(shù)據(jù)庫(kù)SQL server保存策略信息，用XML描述的策略存入該數(shù)據(jù)庫(kù)中，因此要建立XML元素到數(shù)據(jù)庫(kù)表的對(duì)應(yīng)關(guān)系；需要將防火墻策略信息進(jìn)行SOAP封裝和編碼，并發(fā)布為防火墻端可訪問(wèn)的SOAP服務(wù)；指定防火墻獲取SOAP服務(wù)所使用的方法。3)數(shù)據(jù)層數(shù)據(jù)層主要包括數(shù)據(jù)庫(kù)管理系統(tǒng)。防火墻策略通過(guò)一些格式轉(zhuǎn)換工具轉(zhuǎn)化為XML格式的文件并映射存儲(chǔ)到關(guān)系數(shù)據(jù)庫(kù)里。3.2防火墻端的總體設(shè)計(jì)防火墻端包括代理層、

10、邏輯功能層、物理功能層。(l)代理層代理層提供防火墻端管理的Web界面，管理員通過(guò)瀏覽器完成管理工作。管理工作具體包括:從服務(wù)器端查詢最新的策略信息。請(qǐng)求和接收新的策略。調(diào)用解析器將策略轉(zhuǎn)成內(nèi)部可識(shí)別的代碼交給iptables執(zhí)行。策略請(qǐng)求及策略執(zhí)行失敗的處理。日志查看。(2)邏輯功能層邏輯功能層為防火墻功能的邏輯實(shí)現(xiàn)，包括策略請(qǐng)求模塊和策略解析兩個(gè)子模塊。策略請(qǐng)求模塊策略請(qǐng)求模塊主要實(shí)施以下功能:從服務(wù)器端查看最新的策略信息，以確定是否要獲取新的策略。設(shè)置策略請(qǐng)求的細(xì)節(jié):創(chuàng)建一個(gè)遠(yuǎn)程RPC調(diào)用對(duì)象；設(shè)置遠(yuǎn)程對(duì)象的URI；設(shè)置從服務(wù)器端調(diào)用策略的方法名;設(shè)置SOAP編碼的風(fēng)格；創(chuàng)建URL對(duì)象；

11、發(fā)送SOAP PRPC請(qǐng)求的具體操作等。策略解析子模塊策略解析子模塊主要負(fù)責(zé)調(diào)用解析器將策略轉(zhuǎn)成內(nèi)部可識(shí)別的代碼交給下層的iptables執(zhí)行。本文采用DOM接口將描述防火墻策略規(guī)則的XML對(duì)象轉(zhuǎn)換成LINUX下的可執(zhí)行腳本。(3)物理功能層物理功能層為防火墻功能的真正實(shí)現(xiàn)。本文采用Netfilter/iptables作為客戶端的策略執(zhí)行組件。iptables接收進(jìn)入系統(tǒng)的數(shù)據(jù)包，對(duì)每一個(gè)數(shù)據(jù)包，遍歷防火墻規(guī)則庫(kù)，尋找有無(wú)與之符合的規(guī)則。對(duì)匹配的包進(jìn)行的處理可有以下幾種:丟棄、拒絕、轉(zhuǎn)發(fā)、跳到其他鏈、進(jìn)行時(shí)間限制、放入隊(duì)列中等待用戶空間的程序進(jìn)行處理、記入日志等。前述服務(wù)器/防火墻端體系結(jié)構(gòu)有

12、以下特性:使用相同的語(yǔ)言描述策略，提供一致的界面，減輕管理員的管理難度。防火墻無(wú)論是獨(dú)立使用還是在分布式環(huán)境中使用，用戶看到的是同樣的界面。防火墻的邏輯實(shí)現(xiàn)和物理實(shí)現(xiàn)分開(kāi)，代碼可以重用，降低產(chǎn)品開(kāi)發(fā)的工作量。這樣的服務(wù)器、防火墻端體系結(jié)構(gòu)在用統(tǒng)一的語(yǔ)言描述信息時(shí)，可以使分布式防火墻管理系統(tǒng)的開(kāi)發(fā)與具體的防火墻系統(tǒng)開(kāi)發(fā)分開(kāi)，易于與分布式入侵檢測(cè)集成實(shí)現(xiàn)網(wǎng)絡(luò)動(dòng)態(tài)防護(hù)，易于與網(wǎng)絡(luò)管理系統(tǒng)集成。4小結(jié)本文設(shè)計(jì)了基于SOAP的分布式防火墻策略發(fā)布系統(tǒng)，詳細(xì)描述了服務(wù)器端和防火墻端的體系結(jié)構(gòu)及各子功能模塊，并對(duì)此系統(tǒng)的關(guān)鍵技術(shù)進(jìn)行了實(shí)現(xiàn)，論證了基于SOAP的分布式防火墻策略分發(fā)方案的技術(shù)可行性。參考文獻(xiàn)1.王巖.分布式防火墻的研究及小型混合網(wǎng)絡(luò)分布式防火墻策略.