全站搜索
防火墙包过滤技术和代理技术研究
作者:管理员    发布于:2016-01-06 14:39:40    文字:【】【】【

  1问题的提出计算机网结的信息共享与信息安全是大的悖论。网结技术的快速发展,极大地改变了人们传统的生活和工作的模式,越来越多的社会活动开始依赖网络芫成,计算机网络的发展已经成为社会进步的一个重要标志。但是,它在带来方便的同时也带来了很多的困扰,黑客和病毒的攻击等计算机犯罪事件频频发生。随着网络安全问题的曰益突出,网络安全产品越来越受到人们的重视。

  2防火墙的概念和功能的组合,它在互联网与内部网之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入。它是一个把互联网与内部网(通常指局域网或城域网)隔开的屏障。防火墙与内部网、互联网之间的关系如所示。

  从防火墙的概念以及可以看出,防火墙在本质上就是一个过滤器,其目的是要在不安全的网络环境中创造一个相对安全的内部网络环境。它要求所有进出内部网的信息必须通过它,并且对这些信息根据其本身定义的安全过滤规则进行分析和筛选,只让其认为安全的信息通过,以此来达到保护内部网络不受外部攻防火墙与内部网、互联网的连接击和保护内部信息不外泄目的。

  3防火墙的主要技术分析3.1数据包过滤技术包过滤技术是防火墙早采用的技术,这一技术的基本思路是在系统内设置好数据过滤规则,只有满足过滤规则的数据包才被转发到相应的网络接口,而其余数据包则从数据流中被丢弃。包过滤技术主要的优点在于其速度与透明性,也正是由于这一点,包过滤技术历经发展、演变而仍未被淘汰。

  数据包结构是包过滤技术的基础。纵观整个包过滤技术的发展过程,可以认为包过滤技术的核心问题就是如何充分利用数据包中各个字段的信息来实现数据包的转发与丢弃。

  IP数据包格式和TCP包文段的首部格式分别如和所示。

  版本1首部度1服务类嘲总长度标识标志1片偏移生存时间1协议酋部检验和源地址R的地址可选字段(长度可变)*数据部分IP数据包格式源端U目的端a确认3数据偏移保留窗检验和紧急指针选项(长度可变)TCP包文段首部格式当应用程序使用TCP传送数据时,数据被送入协议栈中,然后向下传送,通过每一层时都要加部分首部信息,一直到底层,对于接受数据的防火墙来说就刚好反过来,逐层剥去那些首部信息,后得到想要的数据内容。TCP传给IP的数据单元是TCP包文段;IP传给网络接口层的数据单元称作IP数据包;通过以太网传输的比特称为帧。帧的头部信息是源/目的主机的MAC地址,IP数据包的头部信息是源/目的主机的IP地址,TCP包文头部的主要信息则是源/目的端口的端口号。

  理论上来说,数据包所有的头部信息教,主要研究方向为计算机网络。

  以及数据内容都可以作为判断包是否通过的依据,但是,在实际情况中,包过滤技术的问题主要是研究选取哪些字段信息以及如何更有效的利用这些信息来达到好的数据控制。

  3.1.1静态包过滤技术静态包过滤防火墙的实现原理如所示。

  从图中可以看到,静态包过滤防火墙是在网铬层实现的,这种类型的防火墙仅仅根据定义好的过滤规则审查每个数据包的包头信息,如查看源/目的主机的IP地址、端口号以及协议类型等,以便确定其是否与某一条包过滤规则匹配。包过滤类型的防火墙要遵循的一条基本原则是希望通过的数据包,禁止其他的数据包。

  这种技术实现简单,透明性好,处理速度快。但是,这种技术也有其致命的缺点,主要表现在以下几个方面①所有可能会用到的端口都要静态开放,若允许建立HTTP连接,就需要开放1024以上所有端口,这无疑增加了被攻击的可能性;②不能对数据传输进行判断。如果接受到一个ACK数据包,就认为这是一个已经建立的连接,这就导致许多安全隐患;无法过滤审核数据包上层的内容,即使通过防火墙的数据包含有攻击性代码或病毒,也无法进行控制和阻断。从本质上,其主要问题就是其被动性,它仅仅是检查单个、瓜立的数据包,并不考虑前后包之间的关系,并且它只会检查包头信息而不会深入检查包的内容。

  动态包过滤防火墙的实现原理如所示,从图中可以看出,该方法与静态包过滤只检查单一、孤立的数据包不同,它对其建立的每一个连接都进行跟踪,并试图将数据包的上下文联系起来,建立一种基于状态的包过滤机制。对于新建的应用连接,防火墙按照静态过滤规则表判定其是否通过,如果符合规则则让其通过并且在内存种建立一个关于该连接的状态表,记录该连接的相关信息。这样,当一个新的数据包到达时,如果它属于已经建立状态表的连接,则检查状态表、数据流的上下文之间的联系判断其是否通过。

  动态包过滤技术是静态包过滤技术在“横向”上的发展。这种技术后来发展成这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择、动态地开通1024号以上的端口,使得安全性得到进一步提深度包检测技术深度包检测技术是未来防火墙技术发展的一个方向。它深入检测数据包的内容,执行基于应用层的内容过滤,以此提高系统的应用防御能力。

  简单的数据包内容过滤只是对通过防火墙的单一数据包的内容进行扫描检测,这对于应用防御的要求而言是不够的。如果一段恶意代码被分割放在多个数据包里,每单个包内容上都符合简单数据包的内容过滤规则。如果想要阻止这段代码,就必须把这些包的内容重新整合起来,形成芫整的数据。所以,深度包检测是简单数据包内容检测在“横向”上的发展。

  从理论上来说,深度包检测是应用防御的一种很好的解决方法,但是,应用层的内容过滤要求很大的计算资源,而这种方法要把多个包的内容重新进行整合,其带来的结果必然是系统性能的整体下降。

  为了解决这个问题,以达到实时检测的目的,必须提高速度,提出采用硬件芯片和更加更加优化算法的方法可解决这个问题。一个深度包检测的流程如所示。

  服务分析命令解析器附件、下载命令解析器其他内容内容过滤输过滤定向状态检测引擎以太网深度包检测流程滤器接收到网铬流量后,将需要进行内容扫描的数据流定向到TCP/IP堆栈,其它数据流则定向到状态检测引擎,按基木检测方式进行处理。定向到TCP/IP堆栈的数据流首先转换成内容数据流,服劳分析器根据数据流服劳类型分离内容数据流,传送数据流到一个命令解析器中,命令解析器定制和分析每一个内容协议、分析内容数据流、检测病毒和蠕虫。如果检测到信息流是一个HTTP数据流,则命令解析器检查上载和下载的文件,如果数据是Mail类型,则检查邮件的附件。如果数据流包含附件或上载/下载文件,附件和文件将传输到病毒扫描引擎,所有其它内容传输到内容过滤引擎,如果内容过滤启动,数据流将根据过滤的设置进行匹配,通过或拒绝数据。

  代理技术也称为应用层网关技术,其工作原理比较简单,首先是用户与代理服劳器建立连接,然后将目的站点告知代理,对于合法的请求,代理以自己的身份(应用层网关)与目的站点建立连接,然后代理在这两个连接中转发数据。

  传统代理技术传统代理型防火墙的实现如所示,从图中可以看到,代理防火墙不允许在它连接的网铬之间直接通信,而是每一个内外网铬之间的连接都要通过代理的介入和转换,通过专门为特定的服劳如Http编写的安全化的应用程序进行处理,然后由防火墙本身提交请求和应答,没有给内外网结的计算机以任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。如果不为特定的应用程序安装代理程序代码,这种服劳是不会被支持的,不能建立任何连接,从而提供了额外的安全性和控制性。

  传统代理防火墙大的缺点是速度相对比较慢。如果断掉所有的连接,由防火墙重新建立连接,理论上可以使防火墙具有极高的安全性。但是实际应用中并不可行,因为出于内网对外网的访问请求,应用代理都需要开一个单独的代理进程,它要保护内网的服劳器、数据库服劳器、文件服劳器、邮件服劳器及业劳程序等,就需要建立多个服劳代理,以处理客户端的访问请求。这样,应用代理的处理延迟会很大,内网用户对外网的正常访问就不能及时得到响应。所以,当用户对内外网结网关的吞吐量要求比较高时,传统代理型防火墙就会成为内外网结之间的瓶颈。3.2.2自适应代理技术自适应代理防火墙的实现如所示,针对传统代理型防火墙速度慢的问题,自适应代理防火墙技术提供了解决的办法。在自适应代理防火墙中,对数据包的初始安全检查仍然在应用层进行,但是,一旦建立安全通道,其后的数据包就可重新定向到传输速度较快的网结层快速转发;另外,自适应代理技术可根据用户定义的安全规则(如服劳类型、安全级别等),动态“适应”传送中的数据流量。当安全要求较高时,安全检查仍在应用层中进行,保证防火墙的大安全性;而一旦可信任身份得到认证,其后的数据便可直接通过速度快的网结层。所以,它可以结合传统代理型防火墙的安全性和包过滤防火墙的高速度的优点,在毫不损失安全性的基础之上将传统代理型防火墙的性能提高到几倍甚至十几倍以上。

  4结论本文从防火墙的概念入手,介绍了防火墙技术中的包过滤和代理技术,并且用图形形象地说明了各种防火墙技术的实现以及其优缺点。除了以上两种主要技术以外,其它如NAT技术、VPN技术、加密技术、安全审计、安全内核和身份认证等技术也在防火墙产品中被采用。未来防火墙技术的发展应该是将各种技术更好地结合起来,取长补短,使防火墙在安全和性能的问题上得到更好的解决。

访问统计
51客服