1、基于 NAT 的混合型防火墙 日期:2004-8-2 浏览次数: 10346 传统防火墙分析 包过滤防火墙位于协议网络层,按照网络安全策略对 IP 包进行选择,允许 或拒绝特定的报文通过。 过滤一般是基于一个 IP 分组的有关域(IP 源地址、 IP 目的地址、TCP/UDP 源端口或服务类型和 TCP/UDP 目的端口或服务类型)进 行的。 基于 IP 源/目的地址的过滤,即根据特定组织机构的网络安全策略,过 滤掉具有特定 IP 地址的分组,从而保护内部网络; 基于 TCP/UDP 源/目的端 口的过滤,因为端口号区分了不同的服务类型或连接类型(如 SMTP 使用端口 25,Telnet 使
2、用端口 23 等), 所以为包过滤提供了更大的灵活性。同时由于 它是位于协议的网络层,所以效率较高; 但是该防火墙所依靠的安全参数仅为 IP 报头的地址和端口信息,若要增加安全参数,增加对数据报文的处理,则势 必加大处理难度, 降低系统效率,故安全性较低。 同时一般的包过滤还具有泄 露内部网的安全数据信息(如拓扑结构信息)和暴露内部主机的所有安全漏洞 的缺点, 难以抵制 IP 层的攻击行为。 应用层防火墙是由一个高层的应用网关作为代理服务器,接受外来的应用 连接请求,进行安全检查后, 再与被保护的网络应用服务器连接, 使得外部 服务用户可以在受控制的前提下使用内部网络的服务。另外内部网络到外部
3、的 服务连接也可以受到监控。 应用网关的代理服务实体将对所有通过它的连接作 出日志记录,以便对安全漏洞进行检查和收集相关的信息。 同时该实体可采取 强认证技术, 能对数据内容进行过滤,保证信息数据内容的安全,防止病毒以 及恶意的 Java Applet 或 ActiveX 代码,具有较高的安全性; 但是由于每次数 据传输都要经过应用层转发,造成应用层处理繁忙,性能下降。 在对上述两种防火墙技术分析的基础上, 我们设计和开发了基于网络地址 转换(Network Address Translator, NAT)的复合型防火墙系统, 它融合了 代理技术的高性能和包过滤技术高效性的优点。 系统设计 图
4、 1 给出了本防火墙系统的总体结构模型,由五大模块组成。 图 1 防火墙系统结构模型 相关图片如下: NAT 模块依据一定的规则,对所有出入的数据包进行源与目的地址识别,并 将由内向外的数据包中源地址替换成一个真实地址, 而将由外向内的数据包中 的目的地址替换成相应的虚拟地址。 集中访问控制(CAC)模块负责响应所有指定的由外向内的服务访问,通知 认证访问控制系统实施安全鉴别, 为合法用户建立相应的连接, 并将这一连 接的相关信息传递给 NAT 模块,保证在后续的报文传输时直接转发而无需控制 模块干预。 临时访问端口表及连接控制(TLTC)模块通过监视外向型连接的端口数据 动态维护一张临时端口
5、表, 记录所有由内向外的连接的源与目的端口信息, 根据此表及预先配置好的协议集由连接控制模块决定哪些连接是允许的而哪些 是不允许的, 即根据所制定的规则(安全政策)禁止相应的由外向内发起的连 接, 以防止攻击者利用网关允许的由内向外的访问协议类型做反向的连接访问。 认证与访问控制系统是防火墙系统的关键环节, 它按照网络安全策略负责 对通过防火墙的用户实施用户的身份鉴别和对网络信息资源的访问控制, 保证 合法用户正常访问和禁止非法用户访问。 上述几种技术都属于网络安全的被动防范技术,为了更有效的遏止黑客的 恶意攻击行为, 该防火墙系统采用主动防范技术-网络监控技术。 网络监控 系统负责截取到达防
6、火墙网关的所有数据包,对信息包报头和内容进行分析, 检测是否有攻击行为,并实时通知系统管理员。 基于 WEB 的防火墙管理系统负责对防火墙系统进行远程的管理和配置,管 理员可在任何一台主机上控制防火墙系统, 增加系统利用的灵活性 。 系统的实现 1、 网络地址转换模块 NAT 模块是本系统核心部分,而且只有本模块与网络层有关,因此,这一 部分应和 Unix 系统本身的网络层处理部分紧密结合在一起, 或对其直接进行 修改。本模块进一步可细分为包交换子模块、数据包头替换子模块、规则处理 子模块、 连接记录子模块与真实地址分配子模块及传输层过滤子模块。 2、集中访问控制模块 集中访问控制模块可进一步
7、细分为请求认证子模块和连接中继子模块。 请 求认证子模块主要负责和认证与访问控制系统通过一种可信的安全机制交换各 种身份鉴别信息,识别出合法的用户, 并根据用户预先被赋予的权限决定后续 的连接形式。连接中继子模块的主要功能是为用户建立起一条最终的无中继的 连接通道, 并在需要的情况下向内部服务器传送鉴别过的用户身份信息,以完 成相关服务协议中所需的鉴别流程。 3、临时访问端口表 为了区分数据包的服务对象和防止攻击者对内部主机发起的连接进行非授 权的利用,网关把内部主机使用的临时端口、 协议类型和内部主机地址登记在 临时端口使用表中。由于网关不知道内部主机可能要使用的临时端口, 故临时 端口使用
8、表是由网关根据接收的数据包动态生成的。对于入向的数据包, 防火 墙只让那些访问控制表许可的或者临时端口使用表登记的数据包通过。 4、 认证与访问控制系统 认证与访问控制系统包括用户鉴别模块和访问控制模块,实现用户的身份 鉴别和安全策略的控制。 其中用户鉴别模块采用一次性口令(One-Time Password)认证技术中 Challenge/Response 机制实现远程和当地用户的身份鉴 别, 保护合法用户的有效访问和限制非法用户的访问。它采用 Telnet 和 WEB 两种实现方式,满足不同系统环境下用户的应用需求。 访问控制模块是基于自 主型访问控制策略(DAC),采用 ACL 的方式,
9、按照用户(组)、地址(组)、 服务类型、 服务时间等访问控制因素决定对用户是否授权访问。 5、 网络安全监控系统 监控与入侵检测系统作为系统端的监控进程,负责接受进入系统的所有信 息,并对信息包进行分析和归类, 对可能出现的入侵及时发出报警信息;同时 如发现有合法用户的非法访问和非法用户的访问,监控系统将及时断开访问连 接, 并进行追踪检查。 6、基于 WEB 的防火墙管理系统 管理系统主要负责网络地址转换模块、集中访问控制模块、认证与访问控 制系统、监控系统等模块的系统配置和监控。 它采用基于 WEB 的管理模式,由 于管理系统所涉及到的信息大部分是关于用户帐号等敏感数据信息,故应充分 保证
10、信息的安全性, 我们采用 JAVA APPLET 技术代替 CGI 技术,在信息传递过 程中采用加密等安全技术保证用户信息的安全性。 防火墙系统的应用 防火墙型安全保障技术假设被保护网络具有明确定义的边界和服务,并且 网络安全的威胁仅来自外部网络, 进而用防火墙型技术通过监测、限制、更改 跨越防火墙的数据流及通过尽可能地对外部网络屏蔽有关被保护网络的信息、 结构来实现对网络的安全保护。由此可见,防火墙型系统比较适合相对独立、 与外部网络互联途径有限并且网络服务种类相对集中单一的网络系统。常见的 Internet 与 Intranet 的连接即属于此类。 但防火墙技术原理上对来自网络内 部的安全威胁不具备防范作用,并且常常需要有特殊的、相对较为封闭的网络拓 扑结构来支持, 因而对网络安全功能的加强往往是以网络服务的灵活性、多样 性和开放性为代价的,并且需要较大的网络管理开销。 由于防火墙技术的实施 相对简单,因此是目前应用较广的网络安全技术。 但防火墙技术的基本特征及 运行代价局限了它在开放型的大规模网络系统中应用的潜力, 并且由于它只在 网络边界上具有安全保障功能,其实用范围相对有限,安全保障的程度也不易 度量和维持在稳定水平, 因而防火墙型安全系统往往是针对特定需要而专门设 计实施的系统,是一类短期内实用的解决方案。
