分布式防火墙设计—计算机毕业设计

分布式防火墙设计—计算机毕业设计内容摘要：

来执行分组过滤。 良好的网络安全在实现的同时，也应该使内部用户难以妨害 5 网络安全，但这通常不是网络安全工作的重点。 网络安 全策略的一个主要目标是向用户 提供透明的网络服务机制。 由于分组过滤执行在 0SI 模型的网络层和传输层，而不是在 应用层，所以这种途径通常比防火墙产品提供更强的透明性。 当前 ， 几 乎所有的分组过滤装置都按下面方式进行操作 : 1)对于分组过滤的相关端日必须设置分组过滤规则 . 2)当一个分组到达过滤端口时，将对该分组的头部进行分析。 大多数分组过滤装置只检查IP 、 TCP 或印 P 头部内的相关字段。 3)分组过滤规则按一定的顺序存储。 当一个分组到达时，将按分组规则的存储顺序依次运用每条规则对分组进行检查。 4)如果 某一条规则阻塞传递或接收一个分组，则不允许该分组通过。 5)如果某一条规则允许传递或接收一个分组，则允许该分组通过。 6)如果一个分组不满足任何规则，则该分组被阻塞。 从规则 4 和 5 我们可以看到将规则按适当的顺序是非常必要的。 在配置分组过滤规则时常犯的错误就是将分组过滤规则按错误的顺序排列。 如果一个分组过滤规则排序有错，我们就有可能拒绝某些合法的访问，而又允许本想拒绝的服务。 规则 6 遵循以下原则 :未被明确允许的就将被禁止。 这是一个在设计安全可靠的网络时应该遵循的失效安全原则。 与之相对的是一种宽容的原则，即没 有被明确禁止的就是允许的。 如果采用后一种思想来设计分组过滤规则，就必须仔细考虑分组过滤规则没有包括的每一种可能的情况来确保网络的安全。 当一个新的服务被加入到网络中时，我们可以很容易地遇到没有规则与之相匹配的情况。 (2)代理服务和应用层网关 代理服务使用的方法与分组过滤器不同，代理 (Porxy)使用一个客户程序与特定的中 间结点连接，然后这个中间结点与期望的服务器进行实际连接。 与分组过滤器所不同的 是，使用这类防火墙时外部网络与内部网络之间不存在直接连接。 因此，即使防火墙发 生了问题，外部网络也无法与 被保护的网络连接。 中间结点通常为双宿主机。 代理服务 可提供详细的日志记录及审计功能，这大大提高了网络的安全性，也为改进现有软件的 安全性能提供了可能性。 代理服务器可运行在双宿主机上，它是基于特定应用程序的。 代理服务通常由两部分构成 :代理服务器程序和客户程序。 相当多的代理服务器要 求使用固定的客户程序。 如果网络管理员不能改变所有的代理服务器和客户程序，系统 就不能正常工作。 代理使网络管理员有了更大的能力改善网络的安全特性。 然而，它也 给软件开发者、网络管理员和最终用户带来了很大的不便，这就是使用代理的代价。 也 有一些标准的客户程序可以利用代理服务器通过防火墙运行，如 Mail、 FTP 和 Tel 等。 即便如此，最终用户也许还需要学习特定的步骤以通过防火墙进行通信。 透明性对基于 代理服务器的防火墙显然是一个大问题。 即使是那些声称是透明性防火墙的代理也期望 应用程序使用特定的 TcP 或 UDP 端口。 如果一个节点在非标准端口上运行一个标准应用程 序，代理将不支持这个应用程序。 许多防火墙允许系统管理员运行两个代理拷贝，一个 在标准端口运行，另一个在非标准端口运行，常用服务的最大数目取决于不同的防火墙 产品。 基于代理服务 的防火墙厂商正在开始解决这个问题。 基于代理的产品开始改进成能 够设置常用服务和非标准端口。 然而，只要应用程序进行升级，基于代理的用户会发现 他们必须发展新的代理。 一个明显的例子就是许多的 Web 浏览器中加入了大量的安全措 施。 应用层网关可以处理存储转发通信业务，也可以处理交互式通信业务。 通过适当的 程序设计，应用层网关可以理解在用户应用层 (通常指 051 模型第七层 )的通信业务。 这 样便可以在用户层或应用层提供访问控制，并且可以用来对各种应用程序的使用情况维 6 持一个智能性的日志文件。 采用应用层网关的主 要优点是能够记录和控制所有进出的网 络通信业务。 在需要时，在网关本身中还可以增加额外的安全措施。 对于所中转的每种 应用，应用层网关需要使用专用的程序代码。 由于有这种专用的程序代码，应用层网关 可以提供高可靠性的安全机制。 每当一个新的需保护的应用加入网络中时，必须为其编 制专门的程序代码。 正是如此，许多应用层网关只能提供有限的应用和服务功能。 (3)状态监视技术 状态监视可通过提取相关数据来对网络通信的各层实施监视并作为决策时的依据。 监视功能支持多种网络协议，可以方便地实现应用和服务的扩充，特别是可监视 RPC(远程进程调用 )和 UDP(用户数据报文 )端口信息，这是其它安全服务所不能完成的。 防火墙的作用 (1) 网络安全的屏障 防火墙作为阻塞点、控制点能极大地提高一个内部网络的安全性，并通过过滤不安全的服务来降低风险。 由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。 如防火墙可以禁止众所周知的不安全的 NFS 协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。 防火墙同时可以保护网络免受基于路由的攻击，如 IP 选项中的源路由攻击和 IcMP 重定向中的重定向 路径攻击。 防火墙可以拒绝所有以上类型攻击的报文并通知管理员。 (2)强化网络安全策略 通过以防火墙为中心的安全方案配置，能将所有安全软件如口令、加密、身份认证、 审计等配置在防火墙上。 与将网络安全问题分散到各个主机上相比，防火墙的集中安全 管理更经济。 例如在网络访问时，一次加密口令系统和其它的身份认证系统完全可以不 必分散在各个主机上，而集中在防火墙身上。 (3) 对网络存取和访问进行监控审计 因为所有的访问都经过防火墙，所以防火墙能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。 当发生可 疑动作时，防火墙能进行适当的报警， 并提供网络是否受到监测和攻击的详细信息。 另外，收集一个网络的使用和误用情况也 是非常重要的。 管理员可以清楚了解防火墙是否能够抵挡攻击者的探测和攻击，并且清 楚防火墙的控制是否充足。 此外，网络使用统计功能对网络需求分析和威胁分析等而言 也是非常重要的。 (4)防止内部信息的外泄 利用防火墙对内部网络的划分，网络管理员可实现内部网络重点网段的隔离，从而 限制了局部重点或敏感网络安全问题对全局网络造成的影响。 再者，隐私是内部网络非 常关心的问题，一个内部网络中不引人注意的细节就 可能包含了有关安全的线索从而引 起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。 使用防火墙就可以 隐蔽那些内部细节如 Finger、 DNS 等服务。 (5)阻塞有关内部网络中的 ONS 信息 通过 这 种 方法一台主机的域名和 IP 地址就不会被外界所了解。 (6) 提供网络地址转换 (NAT) 网络地址 转换是对 Interent 隐藏内部地址，防止内部地址公开。 这一功能可以 克服 IP 寻址方式的诸多限制，完善内部寻址模式。 把未注册 IP 地址映射成合法地址，就 可以对工 nter 进行访问。 对于 NAT 的另一个名字 是工 P 地址隐藏。 RFC1918 概述了私有地址并且因特网域名分配组织 IANA 建议使用内部地址机制。 以下地址作为保留地址 : 7 ~。 255 ~ .0~ 如果你选择上述列表中的网络地址，那么不需要向任何互联网授权机构注册即可使 用。 使用这些网络地址的一个好处就是在互联网上永远不会被路由。 互联网上所有的路 由器发现源或目标地址含有这些私有网络 ID 时都会自动地丢弃数据包。 (7)提供 非军事化区域 (DMZ) DMz 是一个小型网络，存在于公司的内部网络和外部网络之间。 这个网络由路由器 建立。 DMZ 用来作为一个额外的缓冲区以进一步隔离公网和你的内部私有网络，从物理 上和内部网隔开，并在此部署 WWW 和 FTP 等服务器，将其作为向外部发布内部信息的地点 . 但是这种实施的缺点在于存在于 DMZ 区域的任何服务器都不会得到防火墙的完全保护。 (8)其他 除了安全作用，防火墙还支持虚拟专用网 vNP。 通过 VNP，将企事业单位分布在全世 界各地的 LAN 或专用子网有机地联成一个整体。 不仅省去了专用通信线路， 而且为信息 共享提供了技术保障。 边界防火墙的局限性 从安全角度讲 :传统边界防火墙只在网络边界具有安全保障功能，作用范围有限， 而当前的网络犯罪又多源于网络内部。 传统防火墙位于网络边界，容易产生并形成单一 故障点，边界防火墙一旦被攻破，将成为黑客攻击内部网络的最佳平台。 传统防火墙采 用 IP 地址表示内部网络可信任节点，难以抵御 IP 伪装 [1]。 从技术角度讲 :所有对外流出和对内流入的网络数据都必须经过防火墙，容易产生 流量瓶颈。 传统防火墙的实现是基于人为地将网络分为了内部可信任网络和外部不 可信 网络，这种针对特定的网络拓扑实现的防火墙难以满足网络多元化的发展要求。 虽然代 理防火墙可以解决会话的上下文关系，但必须对不同的服务编写不同的程序，实现起来 十分复杂。 传统防火墙不是信息的最终用户，对于加密数据由于没有信息解密密钥而无 法进行检测，难以抵御隧道攻击。 上述缺陷严重制约了网络技术的应用和发展。 传统的 防火墙均是集中式的，主要缺陷在于 [6]: (1) 边界防火墙设置在网络边界，在内部企业网与外部互联网之间构成一道屏障， 对网络数据流进行访问控制。 由于边界式防火墙把检查机制集中在网络边界处的单点 上，产成了网络的瓶颈和单点故障隐患。 从性能的角度来说，防火墙极易成为网络流量 的瓶颈。 从网络可达性的角度来说，由于其带宽的限制，防火墙并不能保证所有请求都 能及时响应，所以在可达性方面防火墙也是整个网络中的一个脆弱点。 边界防火墙难以 平衡网络效率与安全性设定之间的矛盾，无法为网络中的每台服务器订制规则，它只能 使用一个折衷的规则来近似满足所有被保护的服务器的需要，因此或者损失效率，或者 损失安全性。 (2)边界防火墙建立在受限拓扑和受控入口点的概念上，准确地说，它们建立在这样的假定之上，处于防火墙内部的用 户是可信的，外部的用户至少是潜在的敌人。 其对网络内部数据流无法进行监控，但在实际环境中，越来越多的攻击和越权访问来自于网络内部。 上述工作模型能很好地工作在中小网络中，但当网络规模增大、网络新技术不断现时，这种工作模型的缺陷日益暴露出来。 (3) “ 单 点失效”问题 :防火墙将所有任务集于一身，所以一旦防火墙配置错误或出现 8 问题，则全网会暴露在攻击者面前。 (4) 未 授 权访问问题 :多种连接技术的实现，比如说现在常用到的拨号、 VNP 隧道技术可以很容易的绕过防火墙建立与外网之间的连接，给网路留下“后门”，造成网 络安全隐患。 (5) 数据加密对防火墙造成威胁 :传统的网络协议没有使用加密，因而防火墙能对数据流实施过滤。 当加密技术和新一代网络协议被使用的时候，防火墙因为没有密钥而不能理解流过的数据包的内容，从而不能实施检查。 (6)安全模式单一 :传统防火墙的安全策略是针对全网制定的，全网中的所有主机遵从单一的安全模式，网络中的主机和服务器在安全性上不具体针对个性特点 分布式防火墙的提出 由于传统防火墙的缺陷不断显露，于是有人认为防火墙与现代网络的发展是容 的，并认为加密的广泛使用可以废除防火墙。 但加密不能解决所 有的安全问题，防火墙 依然有它的优势，比如通过防火墙可以关闭危险的应用，通过防火墙管理员可以实施统 一的监控，也能对新发现的漏洞快速做出反应等。 也有人提出了对传统防火墙进行改进 的方案，如多重边界防火墙，内部防火墙等，但这些方案都没有从根本上摆脱拓扑依赖， 因而也就不能消除传统防火墙的固有缺陷，反而增加了网络安全管理的难度。 为了克服 以上缺陷而又保留传统防火墙的优点，美国 ATamp。 T 实验室研究员 StevenMBenovin 在他 的论文“分布式防火墙”中首次提出 T 分布式防火墙 (DistributedFirewall， DF 的 的概念，给出了分布式防火墙的原型框架，奠定了分布式防火墙研究的基础。 按照 Steven 的说法，分布式防火墙是由一个中心来制定安全策略，并将安全策略分发到主机上执行。 它使用一种策略语言 (如 Ke 州 ote)来制定安全策略，并被编译成内部形式存于策略数据 库中，系统管理软件将安全策略分发到被保护的主机上，而主机根据这些安全策略和加 密的证书来决定是接受还是丢弃数据包，从而对主机实施保护。 分布式防火墙要负责网 络边界，各子网和网络内部各节点的安全防护，所以它是一套完整的系统，而不是单一的产品 [8] 根据其所需要完成的功能，分布式防火墙可以认为是由三部分组成的立体防护系统 :一部分是网络防火墙，它承担着传统边界防火墙看守大门的职责。 一部分是主机防火墙，它解决了传统边界防火墙不能解决的问题 (例如来自内部的攻击和结构限制等 )。 还有一部分是集中管理，它解决了由分布技术而带来的管理问题。 分布式防火墙最重要的优势在于它能够保护物理拓扑上不属于内部网络、但位于逻辑上的“内部”网络的那些主机。 在新的安全体系结构下，分布式防火墙代表新一代防火墙技术的潮流，它可以在网络的任何交界和节点处设置屏 障，从而形成了一个多层次、多协议、内外皆防的全方位安全体系 .主要性能如下 [6]: (1)增。