论文部分内容阅读
【摘要】对于传统防火墙来说,包过滤是一种比较有效的方法,但为了防止日益增强的网络非法攻击,同时提高包过滤的实际效果,本文设计并实现了防火墙的状态检测包过滤和NAT功能,通过记录并跟踪会话的即时状态来对网络流量包进行检测。
【关键词】状态检测;IXA;NAT
1.引言
随着Internet应用的拓展,Internet的安全问题也越来越突出,用户在Internet上的通信缺乏隐秘性,很容易暴露用户的隐私信息。目前业界普遍的做法是构造防火墙。本文着重研究新一代防火墙产品中广泛采用的技术,并在Intel公司的互联网交换架构IXA上设计、开发、实现高安全性、高处理速度的专用硬件防火墙。
2.防火墙的概念和作用
通过加密技术虽然可以防止消息的内容被攻击者窃听,但HTTP,TCP/IP,FTP等开放式协议所需的报文头部信息,例如源地址和目的地址、报文长度等很难通过加密算法来隐藏。此外,网络中数据交换的频率和时间等信息也是不能单单通过加密来隐藏的。因此,即使在未知通信内容的情况下,攻击者仍然可以利用这些协议存在的缺陷发动窃听和流量分析攻击,以此来获取通信双方的信息。利用这些信息,再结合上其它的一些手段,攻击者就有可能进一步推断出通信者的一些有价值的个人隐私信息。防火墙是通过提供访问控制服务来实现对内部网络的安全防护的,它已经在Internet上得到了防范的应用,但它不是解决所有网络安全问题的万能药方,而只是网络安全策略中的一个组成部分,防火墙技术不仅可融入加密传输技术和认证技术,而且可结合安全协议,以提供更高的网络安全性[1]。
防火墙是一种网络安全设施,是执行访问控制策略的一个或一组软、硬件系统。其主要手段是通过放置于网络拓扑结构的合适节点上,使其成为内外通讯的唯一途径,从而隔离内部和外部网络。并按照根据安全策略制定的过滤规则(访问控制规则)对经过它的信息流进行监控和审查,过滤掉任何不符合安全规则的信息,以保护内部网络不受外界的非法访问和攻击。防火墙是一种建立在被认为是安全可信的内部网络和被认为是不太安全可信的外部网络(Internet)之间的访问控制机制,是安全策略的具体体现。网络环境如图1所示。
3.防火墙的分类与原理
包过滤,也称为网络层防火墙。包过滤一般在路由器上实现,其原理和结构如图2所示。
包过滤工作在网络层和逻辑链路层之间,截获所有流经的IP包,从其IP头、以及传输层协议头、甚至应用层协议数据中获取过滤所需的相关信息,然后依次按顺序与事先设定的访问控制规则进行一一匹配比较,如果与某条规则相匹配,便执行其规定的动作(如:接收/拒绝、目志等)。为迫使每一个IP包都能在访问规则集中找到与其匹配的规格,一般在访问规则中都要定义一条缺省规则以实现某种缺省动作,这条缺省规则便是基本防火墙设计策略的体现(详见网络安全策略)[2]。
状态检测包过滤是更复杂的包过滤技术,是对直接包过滤方法的增强和扩充。它不仅根据IP包中IP头和传输层协议头中的信息,甚至根据应用层协议命令对其进行过滤,而且还根据这些信息为每个连接跟踪和保存其状态,这些状态又对其后续通讯的过滤起着关键的作用。状态检查包过滤不仅具有直接包过滤的网络性能和过滤效率,而且具有与应用代理相当甚至更高的网络安全性,并可提供用户级的身份认证。
状态检测技术不仅根据IP包中IP头和传输层协议头中的信息,甚至根据应用层协议命令对其进行过滤,而且还根据这些信息为每个连接跟踪和保存其状态,这些状态又对其后续通讯的过滤起着关键的作用。状态检查包过滤不仅具有直接包过滤的网络性能和过滤效率,而且具有与应用代理相当甚至更高的网络安全性,并可提供用户级的身份认证。
4.硬件平台和NAT实现技术
系统硬件平台主要由空间数据库服务器,存储设备,Web服务器,网络设备,客户端计算机等设备构成。硬件部署结构如图3所示。
为了降低系统建设成本,数据库服务器和Web服务器可以共同使用一台性能较好的服务器。磁盘阵列和磁带库的使用是为了满足大数据量的高速存储和备份需求,系统建设初期也可以暂缓购置,存储设备与数据库服务器使用光纤网络进行连接。客户计算机为普通个人计算机,安装有Web浏览器运行时环境。客户端计算机需要具有与Web服务器较高速的网络连接。
在此硬件平台基础上,本文提出了NAT技术解决方案,它可以使Internet网得到足够的瑞息时间等待新一代IP协议的出台。由于NAT技术提供了一种掩护网络内部本质的方法,从而在防火墙中得到广泛的应用[3]。
NAT解决问题的方法是:在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址,在Internet上使用。其具体的做法把IP包内的地址域用合法的IP地址来替换,NAT`功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中,NAT设备维护一个状态表,用来把非法的I地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址发送下一级,这意味着给处理器带来一定的负担,但这对于网络处理器这种多处理器架构的设备来说微不足道。
NAT技术的基本功能就是用1个或几个I地址来实现1个局域网网络上的所有主机都可以访问Internet。NAT技术可以为TCP、UDP、ICMP的部分信息进行透明中继。下面讨论其工作原理。TCP把端点(endpoint)定义为一对整数,因此可以将l条TCP连接用1个4元组来定义,该4元组唯一的标识一条连接。这样的一个连接抽象允许多个连接共享一个端点,但又并不会引起歧义,从而可以看出这种基于连接的抽象为利用1个IP地址进行外部世界的访问提供了基础。UDP协议和TCP协议一样是通过一对IP地址和端口号来区分一对通信节点,这使得NAT的实现对于这两种协议是透明的,即实现这两种协议的NAT处理方法是一致的。实际上,虽然UDP是无连接的,但可以将它作为虚连接来看待[4]。
5.结束语
本文在对网络上流行的安全技术特别是防火墙技术做了深入研究探讨之后,利用IXA架构对网络设备开发的方便性高性能特点,提出了在此架构上开发高性能、安全可靠的防火墙设计方案。
设计中实现了防火墙的状态检测包过滤和NAT功能。状态检测包过滤能够根据IP地址、TCP/UDP端口号、ICMP协议类型以及TCP标志位对包进行过滤。对于传统防火墙来说,这是一种比较有效的方法,但为了防止日益增强的网络非法攻击,同时提高包过滤的实际效果,本文设计并实现了防火墙的状态检测包过滤和NAT功能,通过记录并跟踪会话的即时状态来对网络流量包进行检测。
参考文献
[1]曾家智,李毅超,韩蒙.计算机网络[M].电子科技大学出版社,2002.
[2]简贵胃,葛宁,冯重熙.网络处理器综述[J].电讯技术, 2003.
[3]张千里,陈光英.网络安全新技术[M].人民邮电出版社,2003.
[4]张可,刘乃琦.在IXA架构上的动态NAPT设计[J].计算机科学2004.
基金项目:湖北理工学院“基于状态检测的TCP包过滤的研究(11YJZ32B)”。
作者简介:高超(1975—),男,湖北蕲春人,硕士,湖北理工学院讲师。
【关键词】状态检测;IXA;NAT
1.引言
随着Internet应用的拓展,Internet的安全问题也越来越突出,用户在Internet上的通信缺乏隐秘性,很容易暴露用户的隐私信息。目前业界普遍的做法是构造防火墙。本文着重研究新一代防火墙产品中广泛采用的技术,并在Intel公司的互联网交换架构IXA上设计、开发、实现高安全性、高处理速度的专用硬件防火墙。
2.防火墙的概念和作用
通过加密技术虽然可以防止消息的内容被攻击者窃听,但HTTP,TCP/IP,FTP等开放式协议所需的报文头部信息,例如源地址和目的地址、报文长度等很难通过加密算法来隐藏。此外,网络中数据交换的频率和时间等信息也是不能单单通过加密来隐藏的。因此,即使在未知通信内容的情况下,攻击者仍然可以利用这些协议存在的缺陷发动窃听和流量分析攻击,以此来获取通信双方的信息。利用这些信息,再结合上其它的一些手段,攻击者就有可能进一步推断出通信者的一些有价值的个人隐私信息。防火墙是通过提供访问控制服务来实现对内部网络的安全防护的,它已经在Internet上得到了防范的应用,但它不是解决所有网络安全问题的万能药方,而只是网络安全策略中的一个组成部分,防火墙技术不仅可融入加密传输技术和认证技术,而且可结合安全协议,以提供更高的网络安全性[1]。
防火墙是一种网络安全设施,是执行访问控制策略的一个或一组软、硬件系统。其主要手段是通过放置于网络拓扑结构的合适节点上,使其成为内外通讯的唯一途径,从而隔离内部和外部网络。并按照根据安全策略制定的过滤规则(访问控制规则)对经过它的信息流进行监控和审查,过滤掉任何不符合安全规则的信息,以保护内部网络不受外界的非法访问和攻击。防火墙是一种建立在被认为是安全可信的内部网络和被认为是不太安全可信的外部网络(Internet)之间的访问控制机制,是安全策略的具体体现。网络环境如图1所示。
3.防火墙的分类与原理
包过滤,也称为网络层防火墙。包过滤一般在路由器上实现,其原理和结构如图2所示。
包过滤工作在网络层和逻辑链路层之间,截获所有流经的IP包,从其IP头、以及传输层协议头、甚至应用层协议数据中获取过滤所需的相关信息,然后依次按顺序与事先设定的访问控制规则进行一一匹配比较,如果与某条规则相匹配,便执行其规定的动作(如:接收/拒绝、目志等)。为迫使每一个IP包都能在访问规则集中找到与其匹配的规格,一般在访问规则中都要定义一条缺省规则以实现某种缺省动作,这条缺省规则便是基本防火墙设计策略的体现(详见网络安全策略)[2]。
状态检测包过滤是更复杂的包过滤技术,是对直接包过滤方法的增强和扩充。它不仅根据IP包中IP头和传输层协议头中的信息,甚至根据应用层协议命令对其进行过滤,而且还根据这些信息为每个连接跟踪和保存其状态,这些状态又对其后续通讯的过滤起着关键的作用。状态检查包过滤不仅具有直接包过滤的网络性能和过滤效率,而且具有与应用代理相当甚至更高的网络安全性,并可提供用户级的身份认证。
状态检测技术不仅根据IP包中IP头和传输层协议头中的信息,甚至根据应用层协议命令对其进行过滤,而且还根据这些信息为每个连接跟踪和保存其状态,这些状态又对其后续通讯的过滤起着关键的作用。状态检查包过滤不仅具有直接包过滤的网络性能和过滤效率,而且具有与应用代理相当甚至更高的网络安全性,并可提供用户级的身份认证。
4.硬件平台和NAT实现技术
系统硬件平台主要由空间数据库服务器,存储设备,Web服务器,网络设备,客户端计算机等设备构成。硬件部署结构如图3所示。
为了降低系统建设成本,数据库服务器和Web服务器可以共同使用一台性能较好的服务器。磁盘阵列和磁带库的使用是为了满足大数据量的高速存储和备份需求,系统建设初期也可以暂缓购置,存储设备与数据库服务器使用光纤网络进行连接。客户计算机为普通个人计算机,安装有Web浏览器运行时环境。客户端计算机需要具有与Web服务器较高速的网络连接。
在此硬件平台基础上,本文提出了NAT技术解决方案,它可以使Internet网得到足够的瑞息时间等待新一代IP协议的出台。由于NAT技术提供了一种掩护网络内部本质的方法,从而在防火墙中得到广泛的应用[3]。
NAT解决问题的方法是:在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址,在Internet上使用。其具体的做法把IP包内的地址域用合法的IP地址来替换,NAT`功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中,NAT设备维护一个状态表,用来把非法的I地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址发送下一级,这意味着给处理器带来一定的负担,但这对于网络处理器这种多处理器架构的设备来说微不足道。
NAT技术的基本功能就是用1个或几个I地址来实现1个局域网网络上的所有主机都可以访问Internet。NAT技术可以为TCP、UDP、ICMP的部分信息进行透明中继。下面讨论其工作原理。TCP把端点(endpoint)定义为一对整数,因此可以将l条TCP连接用1个4元组来定义,该4元组唯一的标识一条连接。这样的一个连接抽象允许多个连接共享一个端点,但又并不会引起歧义,从而可以看出这种基于连接的抽象为利用1个IP地址进行外部世界的访问提供了基础。UDP协议和TCP协议一样是通过一对IP地址和端口号来区分一对通信节点,这使得NAT的实现对于这两种协议是透明的,即实现这两种协议的NAT处理方法是一致的。实际上,虽然UDP是无连接的,但可以将它作为虚连接来看待[4]。
5.结束语
本文在对网络上流行的安全技术特别是防火墙技术做了深入研究探讨之后,利用IXA架构对网络设备开发的方便性高性能特点,提出了在此架构上开发高性能、安全可靠的防火墙设计方案。
设计中实现了防火墙的状态检测包过滤和NAT功能。状态检测包过滤能够根据IP地址、TCP/UDP端口号、ICMP协议类型以及TCP标志位对包进行过滤。对于传统防火墙来说,这是一种比较有效的方法,但为了防止日益增强的网络非法攻击,同时提高包过滤的实际效果,本文设计并实现了防火墙的状态检测包过滤和NAT功能,通过记录并跟踪会话的即时状态来对网络流量包进行检测。
参考文献
[1]曾家智,李毅超,韩蒙.计算机网络[M].电子科技大学出版社,2002.
[2]简贵胃,葛宁,冯重熙.网络处理器综述[J].电讯技术, 2003.
[3]张千里,陈光英.网络安全新技术[M].人民邮电出版社,2003.
[4]张可,刘乃琦.在IXA架构上的动态NAPT设计[J].计算机科学2004.
基金项目:湖北理工学院“基于状态检测的TCP包过滤的研究(11YJZ32B)”。
作者简介:高超(1975—),男,湖北蕲春人,硕士,湖北理工学院讲师。