多層防火墻技術(shù)的研究-狀態(tài)檢測

1、多層防火墻技術(shù)的研究-狀態(tài)檢測目 錄 摘 要III ABSTRACTORIV 引 言V 第一章 防火墻技術(shù)的概論 1.1 防火墻的概念 1.2 防火墻的功能 1.3 防火墻的特性 1.4 防火墻技術(shù)的發(fā)展 第二章 多層防火墻技術(shù)的研究背景 2.1 多層防火墻技術(shù)的研究背景 2.2 多層防火墻技術(shù)的概論 第三章 多層防火墻系統(tǒng)的功能及其組成 3.1 地址轉(zhuǎn)換技術(shù) 3.2 數(shù)據(jù)包過濾技術(shù) 3.3 狀態(tài)檢測技術(shù) 3.4 電路級網(wǎng)關(guān)技術(shù) 3.5 應(yīng)用代理網(wǎng)關(guān)技術(shù) 第四章 狀態(tài)檢測技術(shù)概論 4.1 狀態(tài)檢測技術(shù)的優(yōu)點 4.2 狀態(tài)檢測技術(shù)的原理 4.3 狀態(tài)檢測技術(shù)的工作機(jī)制 4.4 狀態(tài)檢測技術(shù)的新技

2、術(shù) 第五章 防火墻系統(tǒng)的設(shè)計 5.1 防火墻的分層技術(shù) 5.2 防火墻系統(tǒng)設(shè)計工具 5.3 防火墻系統(tǒng)設(shè)計與實現(xiàn) 5.3.1 系統(tǒng)概要設(shè)計 5.3.2 基本功能 5.3.3 增強(qiáng)功能 5.3.4 系統(tǒng)詳細(xì)設(shè)計 5.3.5 功能實現(xiàn)的設(shè)計 5.3.6 系統(tǒng)具體實現(xiàn) 5.3.7 其他說明界面 5.3.8 系統(tǒng)測試 5.3.9 需要注意的幾個問題 5.3.10 系統(tǒng)維護(hù)和總結(jié) 第六章 防火墻技術(shù)發(fā)展動態(tài)和趨勢 結(jié) 束 語 致 謝 參考文獻(xiàn) 附錄：（程序源代碼） 摘 要 黑客技術(shù)的提升和黑客工具的泛濫，造成大量的企業(yè)、機(jī)構(gòu)和個人的電腦系統(tǒng)遭受程度不同的入侵和攻擊，或面臨隨時被攻擊的危險。迫使大家不得不

3、加強(qiáng)對自身電腦網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)，根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則把守企業(yè)網(wǎng)絡(luò)，提供強(qiáng)大的、應(yīng)用選通、信息過濾、流量控制、網(wǎng)絡(luò)偵聽等功能。其他的諸如訪問控制虛擬專網(wǎng)、身份認(rèn)證、虛擬網(wǎng)橋、網(wǎng)絡(luò)地址轉(zhuǎn)換、提供完善的安全性設(shè)置，通過高性能的網(wǎng)絡(luò)核心進(jìn)行訪問控制的功能我決定進(jìn)一步來實現(xiàn)。系統(tǒng)采用了VB管理界面，通過直觀、易用的界面管理強(qiáng)大、復(fù)雜的系統(tǒng)功能。界面全中文化，操作簡單直接，真的是量身定做。從而大大減少了他們對企業(yè)的攻擊。事實上，多層防火墻技術(shù)已經(jīng)成為當(dāng)今網(wǎng)絡(luò)安全的主流策略。 . 關(guān)鍵字：防火墻、狀態(tài)檢測、多層防火墻、VB。 第二章 多層防火墻技術(shù)的研究背景 2.1 多層防火墻技術(shù)的研究背景 防火

4、墻技術(shù)是一種安全防范措施，所謂網(wǎng)絡(luò)入侵和安全防范，實際上就是指網(wǎng)絡(luò)攻防技術(shù)。攻防技術(shù)的此消彼長始終是網(wǎng)絡(luò)安全領(lǐng)域前進(jìn)的動力。攻擊技術(shù)包括目標(biāo)網(wǎng)絡(luò)信息收集技術(shù)、目標(biāo)網(wǎng)絡(luò)權(quán)限提升技術(shù)、目標(biāo)網(wǎng)絡(luò)滲透技術(shù)、目標(biāo)網(wǎng)絡(luò)摧毀技術(shù)四大類。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和應(yīng)用的日漸普及，黑客工具不僅變得越來越先進(jìn)，而且也越來越容易被一般人獲取和濫用。黑客技術(shù)的提升和黑客工具的泛濫，造成大量的企業(yè)、機(jī)構(gòu)和個人的電腦系統(tǒng)遭受程度不同的入侵和攻擊，或面臨隨時被攻擊的危險。這就迫使大家不得不加強(qiáng)對自身電腦網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)，甚至追求所謂徹底的、一勞永逸的、100%的網(wǎng)絡(luò)安全解決方案。 對于用戶而言，不管你是否已經(jīng)受到這些攻擊，

5、不管這些攻擊是否會產(chǎn)生比較嚴(yán)重的后果，你都必須假設(shè)它們對信息系統(tǒng)的威脅總是存在的。因為一旦你的信息系統(tǒng)受到攻擊，你也許會蒙受無法估量的損失。所以在任何時候，對信息系統(tǒng)實施連續(xù)不斷的保護(hù)是非常必要的。經(jīng)過對攻防技術(shù)發(fā)展和網(wǎng)絡(luò)安全實踐的研究分析，我們可以得知單一的安全保護(hù)往往效果不理想，而最佳途徑就是采用“多層安全防護(hù)措施”對信息系統(tǒng)進(jìn)行全方位的保護(hù)。 但是對攻防技術(shù)發(fā)展和網(wǎng)絡(luò)安全實踐的研究分析表明，單一的防火墻有許多“難言之隱”即“三難防”困擾。 “一難防”。單一的防火墻不能防范不經(jīng)由防火墻的攻擊。如果外部網(wǎng)絡(luò)用戶直接從因特網(wǎng)服務(wù)提供商那里購置直接的SLIP或PPP鏈接，繞過了防火墻系統(tǒng)所提供的

6、安全保護(hù)，就會造成一個潛在的后門攻擊渠道。 “二難防”。單一的防火墻不能阻止已受到病毒感染的軟件或文件的傳輸，因而不能防止網(wǎng)絡(luò)受到病毒的侵?jǐn)_。由于操作系統(tǒng)、病毒、二進(jìn)制文件類型的復(fù)雜性，而且更新速度很快，它無法逐個掃描每個文件查找病毒，病毒很可能隱藏在合法郵寄的數(shù)據(jù)包內(nèi)，它很難對其進(jìn)行識別。 “三難防”。單一的防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。當(dāng)有些表面看起來無害的數(shù)據(jù)通過郵寄或拷貝到內(nèi)部網(wǎng)的主機(jī)上并被執(zhí)行時，就會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。例如，一種數(shù)據(jù)驅(qū)動式的攻擊，可以導(dǎo)致主機(jī)修改與系統(tǒng)安全有關(guān)的配置文件，從而使入侵者下一次更容易攻擊該系統(tǒng)。 正因為上述單一的防火墻的“三難防”困擾，我們提出了“多

7、層次防護(hù)”的概念，它采用多層安全防護(hù)措施對信息系統(tǒng)進(jìn)行全方位的保護(hù)。在各個層次上部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品以增加攻擊者侵入時所需花費的時間、成本和所需要的資源，大大減少了他們的攻擊頻度，從而卓有成效地降低被攻擊的危險，達(dá)到安全防護(hù)的目標(biāo)。 2.2 多層防火墻技術(shù)的概論 針對上述單一防火墻系統(tǒng)安全性能不高，防護(hù)效果往往不夠理想的情況，我們提出“多層次防護(hù)”即多層防火墻的概念。鞏固我們的網(wǎng)絡(luò)安全性能，提高網(wǎng)絡(luò)的安全防范能力，使信息系統(tǒng)的安全系數(shù)得到了大大的提升。 我們所研究的多層防火墻系統(tǒng)就是結(jié)合不同的防火墻安全策略和技術(shù)，該防火墻的“多層次安全防護(hù)” 就是應(yīng)用和實施一個基于OSI網(wǎng)絡(luò)參考模型的多層次

8、安全系統(tǒng)的全面信息安全策略，采用了“多級過濾技術(shù)”在各個層次上部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品，例如地址翻譯技術(shù)、數(shù)據(jù)包過濾技術(shù)、狀態(tài)檢測技術(shù)、電路級網(wǎng)關(guān)技術(shù)和應(yīng)用級網(wǎng)關(guān)技術(shù)等其他技術(shù)，來創(chuàng)建一個比單一防護(hù)有效得的多的綜合的保護(hù)屏障，層層高度戒備。 所謂“多級過濾技術(shù)”，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾（網(wǎng)絡(luò)層）一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)（應(yīng)用層）一級，能利用FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所用通用服務(wù)。這是針對以上各種已有防火

9、墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補(bǔ)以上各種單獨過濾技術(shù)的不足。這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于OSI網(wǎng)絡(luò)參考模型上的不同的網(wǎng)絡(luò)層，從這個概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。 我們所研究的多層防火墻系統(tǒng)，就是采用多種防火墻技術(shù)構(gòu)成多層防護(hù)屏障，對網(wǎng)絡(luò)中傳送的信息進(jìn)行重重檢測，鑒定其安全性，從而來對網(wǎng)絡(luò)進(jìn)行層層防護(hù)。因為多層次的防火墻和單一的防火墻相比起來，不是一個單一的物理實體，它除了具有防火墻的功能外，而且還能執(zhí)行其他的功能，如加解密和認(rèn)證等，能更好的實現(xiàn)控制對受保護(hù)的網(wǎng)絡(luò)（即網(wǎng)點）的往返訪問。 該多層防火墻最大的優(yōu)點就是可以成倍地增

10、加了攻擊者侵入時所需花費的時間、成本和所需要的資源，大大減少了他們的攻擊頻度，即而卓有成效地降低被攻擊的危險，達(dá)到安全防護(hù)的目標(biāo)，使信息系統(tǒng)得到連續(xù)不斷的保護(hù)。事實上，多層次防護(hù)已經(jīng)成為網(wǎng)絡(luò)安全設(shè)計的主流策略。4.3 狀態(tài)檢測技術(shù)的工作機(jī)制 狀態(tài)監(jiān)測應(yīng)該如何工作 無論何時，一個防火墻接收到一個初始化TCP連接的SYN包，這個帶有SYN的數(shù)據(jù)包被防火墻的規(guī)則庫檢查。該包在規(guī)則庫里依次序比較。如果在檢查了所有的規(guī)則后，該包都沒有被接受，那么拒絕該次連接。一個RST的數(shù)據(jù)包發(fā)送到遠(yuǎn)端的機(jī)器。如果該包被接受，那么本次會話被記錄到狀態(tài)監(jiān)測表里。該表是位于內(nèi)核模式中的。隨后的數(shù)據(jù)包(沒有帶有一個SYN標(biāo)志

11、)就和該狀態(tài)監(jiān)測表的內(nèi)容進(jìn)行比較。如果會話是在狀態(tài)表內(nèi)，而且該數(shù)據(jù)包是會話的一部分，該數(shù)據(jù)包被接受。如果不是會話的一部分，該數(shù)據(jù)包被丟棄。這種方式提高了系統(tǒng)的性能，因為每一個數(shù)據(jù)包不是和規(guī)則庫比較，而是和狀態(tài)監(jiān)測表比較。只有在SYN的數(shù)據(jù)包到來時才和規(guī)則庫比較。所有的數(shù)據(jù)包與狀態(tài)檢測表的比較都在內(nèi)核模式下進(jìn)行所以應(yīng)該很快。 狀態(tài)監(jiān)測表建立？ 那么初始化一個連接時使用ACK行不行？它又會出現(xiàn)什么問題呢？ 如果防火墻的狀態(tài)檢測表使用ACK來建立會話，將會是不正確的。 如果一個包不在狀態(tài)檢測表中時，那么該包使用規(guī)則庫來檢查，而不考慮它是否是SYN、ACK或其他的什么包。如果規(guī)則庫通過了這個數(shù)據(jù)包，本

12、次會話被添加狀態(tài)檢測表中。所有后續(xù)的包都會和狀態(tài)檢測表比較而被通過。因為在狀態(tài)監(jiān)測表中有入口，后續(xù)的數(shù)據(jù)包就沒有進(jìn)行規(guī)則檢查。而且我們在做狀態(tài)監(jiān)測表項時，也需要考慮時間溢出的問題。使用這種方法，一些簡單的DOS攻擊將會非常有效地摧毀防火墻系統(tǒng)。 那么狀態(tài)檢測表建立應(yīng)該怎么進(jìn)行呢？ 首先，對于一個會話我們使用什么來區(qū)分。從最簡單的角度出發(fā)，我們可以使用源地址、目的地址和端口號來區(qū)分是否是一個會話。 當(dāng)通過使用一個SYN包來建立一個會話時，防火墻先將這個數(shù)據(jù)包和規(guī)則庫進(jìn)行比較。如果通過了這個數(shù)據(jù)連接請求，它被添加到狀態(tài)檢測表里。這時需要設(shè)置一個時間溢出值，參考CHECK-POINT FW-1的時間

13、值，將其值設(shè)定為60秒。然后防火墻期待一個返回的確認(rèn)連接的數(shù)據(jù)包，當(dāng)接收到如此的包的時候，防火墻將連接的時間溢出值設(shè)定為3600秒。對于返回的連接請求的數(shù)據(jù)包的類型需要做出判斷，已確認(rèn)其含有SYN/ACK標(biāo)志。（注：對于時間溢出值，應(yīng)該可以由用戶自行設(shè)定。） 在進(jìn)行狀態(tài)監(jiān)測時，對于一個會話的確認(rèn)可以只通過使用源地址、目的地址和端口號來區(qū)分，在性能設(shè)計上如果能滿足要求，也應(yīng)該考慮對于TCP連接的序列號的維護(hù)，雖然這樣可能需要消耗比較多的資源。 連接的關(guān)閉 在連接被通訊雙方關(guān)閉后，狀態(tài)監(jiān)測表中的連接應(yīng)該被維護(hù)一段時間。下面的處理方法可以作為在連接關(guān)閉后狀態(tài)檢測行為的參考。 當(dāng)狀態(tài)監(jiān)測模塊監(jiān)測到一個

14、FIN或一個RST包的時候，減少時間溢出值從我們?nèi)笔≡O(shè)定的值3600秒減少到50秒。如果在這個周期內(nèi)沒有數(shù)據(jù)包交換，這個狀態(tài)檢測表項將會被刪除，如果有數(shù)據(jù)包交換，這個周期會被重新設(shè)置到50秒。如果繼續(xù)通訊，這個連接狀態(tài)會被繼續(xù)地以50秒的周期維持下去。這種設(shè)計方式可以避免一些DOS攻擊，例如，一些人有意地發(fā)送一些FIN或RST包來試圖阻斷這些連接。 UDP的連接維護(hù) 雖然UDP連接是無狀態(tài)的，但是仍然可以用類似的方法來維護(hù)這些連接。當(dāng)一個完成規(guī)則檢查的數(shù)據(jù)包通過防火墻時，這次會話被添加到狀態(tài)檢測表內(nèi)，并設(shè)置一個時間溢出值，任何一個在這個時間值內(nèi)返回的包都會被允許通過，當(dāng)然它的SRC/DST的I

15、P地址和SRC/DST的端口號是必須匹配的。 ICMP的狀態(tài)檢測問題 對于一些ICMP包的分析，在許多防火墻系統(tǒng)中都是做的很不夠的，在對做狀態(tài)檢測時是需要對ICMP的內(nèi)容進(jìn)行分析的。對于什么樣的ICMP可以發(fā)出和放入在狀態(tài)監(jiān)測模塊中如何確定是關(guān)鍵。下面只是列出了什么樣的ICMP包是安全的，可以作為對狀態(tài)檢測模塊ICMP支持的參考。 #define ICMP_ECHOREPLY 0 /* Echo Reply */ Needed if you want to allow ping, so you can allow that for trusted peers out going and inc

16、oming for all to allow them to ping the internet #define ICMP_DEST_UNREACH 3 /* Destination Unreachable */ Some Sub Types are needed in and out, see below #define ICMP_SOURCE_QUENCH 4 /* Source Quench */ Allow it outbound anyway, inbound is less likely to be a problem, unless you are doing some stre

17、aming or multicast feeding to the internet. #define ICMP_REDIRECT 5 /* Redirect (change route) */ block! #define ICMP_ECHO 8 /* Echo Request */ you might allow it incoming for trusted addresses (note some NICs will require you to make your primary DNS Server pingable!) #define ICMP_TIME_EXCEEDED 11

18、/* Time Exceeded */ helpfull if you allow it incoming, could allow exploring your network if you allow it outbound. #define ICMP_PARAMETERPROB 12 /* Parameter Problem */ helpfull if you allow it incoming, could allow exploring your network if you allow it outbound. #define ICMP_TIMESTAMP 13 /* Times

19、tamp Request */ #define ICMP_TIMESTAMPREPLY 14 /* Timestamp Reply */ #define ICMP_INFO_REQUEST 15 /* Information Request */ #define ICMP_INFO_REPLY 16 /* Information Reply */ #define ICMP_ADDRESS 17 /* Address Mask Request */ #define ICMP_ADDRESSREPLY 18 /* Address Mask Reply */ Block those on the e

20、xternal interface /* Codes for UNREACH. */ #define ICMP_NET_UNREACH 0 /* Network Unreachable */ ignored, so block it #define ICMP_HOST_UNREACH 1 /* Host Unreachable */ allow it at least inbound, best would be if you can do that stateful #define ICMP_PROT_UNREACH 2 /* Protocol Unreachable */ you can

21、block that #define ICMP_PORT_UNREACH 3 /* Port Unreachable */ you should allow that at least inbound. Be aware that some filter rules should send PORT_UNREACH on connection request (at least 137,139 and auth), so make sure not to block those ICMP packetes which are generated by your reject rule. #define ICMP_FRAG_NEEDED 4 /* Fragmentation Needed/DF set */ Allow