《linux防火墙发展与技术研究》由会员分享,可在线阅读,更多相关《linux防火墙发展与技术研究(55页珍藏版)》请在金锄头文库上搜索。
1、 1 Linux 防火墙发展与技术研究防火墙发展与技术研究 基本应用与抗基本应用与抗 DDOS 篇篇 赵赵 洪洪 宇宇 Cloudbaby Email:ex1212 QQ:9213831 2005- 4- 24 2 目目 录录 第 1 章绪论, 1 1.1 问题的提出. . 1 1.2 研究背景2 1.3 论文的工作. 2 第 2 章防火墙 .4 2.1 防火墙的一般原理 .4 2.2 防火墙的功能. 5 2.3 防火墙的分类 .5 2.3.1 IP 级防火墙6 2.3.2 应用级防火墙:. .6 2.4 防火墙体系结构6 2.5 防火墙产品和技术发展方向7 2.5.1 防火墙产品的发展.7
2、2.5.2 防火墙技术发展方向9 第 3 章 Linux2.4 版内核的防火墙.10 3.1 Linux2.4 内核概述. 10 3.2 Linux 内核编译11 3.2.1 编译准备. 11 3.2.2 开始编译内核. . 12 3.3 Linux2.4 内核防火墙机制 13 3.4 netfilter 的原理及实现 . 16 3.5 基于 netfilter 的二次开发. 21 3.6 netfilter 二次开发的示例. . .22 第 4 章防火墙的设计与实现. .24 3 4.1 防火墙总体设计. .24 4.2 kylix 简介 25 4.3 网络扫描防御的实现.: 26 4.4
3、包过滤的设计与实现. 28 4.4.1 分组包过滤的基本原理 28 4.4.2 分组过滤规则的设定. .31 4.4.3 分组过滤算法 31 4.4.4 几种防火墙技术的实现 . 32 4.5 网络地址转换(NAT). 37 4.5.1 NAT 原理 37 4.5.2 网络地址转换(NAT)实现. .38 4.6 路由记录模块设计和实现 39 4.6.1 路由记录基本原理. . 39 4.6.2 路由记录的设计总体思想. . 40 4.6.3 路由记录具体实现过程. . 41 4.6.4 路由记录存在的问题 42 4.7 透明代理的实现 42 4.7.1 Squid 介绍. . . . . .
4、 .43 4.7.2 透明代理的工作过程. . . 43 4.8 操作系统的加固:. . . 45 4.9linux2.4.20 内核防火墙设计思路.:. . . 45 第 5 章深入浅出 DDOS 第 6 章防火墙测试. . . 47 6.1 建立测试准则 . 47 6.2 搭建测试环境. . . . . . . 47 6.3 确定测试项目. . . 48 6.4 结论. . . . . . . . 50 结论. . . . 51 参考文献 . . . . .54 4 第第 1 章章 绪绪 论论 1.1 问题的提出 随着以 Internet 为代表的全球信息化浪潮的来临, 信息网络技术的应用
5、正日益广泛, 应用层次正在深入,应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩 展,其中以党政系统、大中院校网络系统、银行系统、商业系统、管理部门、政府或军 事领域等为典型。伴随网络的普及,公共通信网络传输中的数据安全问题日益成为关注 的焦点。一方面,网络化的信息系统提供了资源的共享性、用户使用的方便性,通过分 布式处理提高了系统效率和可靠性,并且还具备可扩充性。另一方面,也正是由于具有 这些特点增加了网络信息系统的不安全性。 开放性的网络, 导致网络所面临的破坏和攻击可能是多方面的, 例如:可能来自物理 传输线路的攻击,也可以对网络通信协议和实现实施攻击,可以是对软件实施攻击,也
6、 可以对硬件实施攻击。 国际性的网络, 意味着网络的攻击不仅仅来自本地网络的用户, 也可以来自 linternet 上的任何一台机器,也就是说,网络安全所面临的是一个国际化的挑战。 开放的、国际化的 Internet 的发展给政府机构、企事业单位的工作带来了革命性的 变革和开放,使得他们能够利用 Internet 提高办事效率、市场反应能力和竞争力。通过 Internet,他们可以从异地取回重要数据,同时也面临 Internet 开放所带来的数据安全的 挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵,己成为政府机构、 企事业单位信息化建设健康发展所要考虑的重要因素之一。 广泛分布的
7、企业内部网络由公共网络互联起来,这种互联方式面临多种安全威胁, 极易受到外界的攻击,导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效 也是最基本的手段之一。 虽然国外己有许多成熟的防火墙及其他相关安全产品,并且这些产品试图打入中国 市场,但是对于安全产品来说,我们更希望能够自己掌握安全技术,使用自己的安全产 品,所以对网络安全的研究非常重要,具有深远的意义。 1.2 研究背景 目前 Internet 的安全性保障不容乐观,计算机紧急事件响应队(CERT)近年收到的计 5 算机安全事故报告的数量一直呈上升趋势,1999 年该中心收到了约 10, 000 份计算机安 全事故报告,2000
8、年达到了 21, 756 份,而 2001 年更上升到了 52, 658 份。2000 年 2 月 上旬, Yahoo, eBay, CNN.com, Amazon,Buy. com和 ETrade 等著名商业网站连续遭到黑客 攻击,造成了数以十亿美元的损失,向世人再一次敲响了网络并不安全的警钟。 如果用户能根据自己的实际需要, 将防火墙设计的一般理论和方法与自己系统的具 体实际相结合,设计一些小而精、精而强的防火墙程序,则往往可以发挥出比花大价钱 买来的通用型防火墙更好的作用。 操作系统作为防火墙运行的基础平台, 对防火墙起到一个至关重要的作用。 Windows 操作系统由于其源代码不公开,
9、所以对操作系统加固安全性只能是打上微软公司最新的 补丁,当发现新 Bug 时等微软公司出新的补丁。对 Nt 防火墙的一致意见也正是在 NT 系统的 bug 上,而 NT 系统最大的 bug 就是NT 安全性远远不能运行一个正规的防火 墙 。而 Linux 操作系统良好的网络性能和开放源码的特点,使得在其上布置防火墙有 了一个可靠的基石,也使得越来越多的用户选择了 Linux 作为其防火墙的操作平台。 Linux2. 4 内核版操作系统本身所带有的 netfilter 是一个优秀防火墙架构,其功能和性能 可与多数的商业防火墙产品媲美。在国内,大多数防火墙借鉴了 netfilter 的结构。 时下
10、为适应日益增长的对网络安全产品的需求,向企事业单位提供网络安全解决方 案参考,也为研究最新的网络安全技术,选择了在 Linux 下作防火墙研究,并设计了一 款防火墙。 1.3 项目的研究工作 在对 Linux 2. 4 内核防火墙 netfilter 的原理深入研究后,分析了在 netfilter 架构下防 火墙的设计、实现和开发过程。以 kylix3. 0 为开发环境,作者基于 netfilter 架构开发了 一款包过滤和应用代理的混合型防火墙,并对其做了测试。 该防火墙系统是由包过滤管理模块、路由记录模块、应用代理模块(syn proxy) 、 扫描防御模块和日志记录模块构成。其中包过滤是
11、基于 netfilter 中的 iptables 来实现的, 网络地址转换也在包过滤管理模块中实现;路由记录模块通过修改 Linux 内核中 TCP/IP 程序和重新编译内核使内核支持路由记录功能来实现的;在应用代理模块中实现了 HTTP 代理和一个通用代理服务,HTTP 代理程序基于 SQUID 实现,而通用代理由一个 代理进程来实现;扫描防御模块中主要是通过一个网络扫描防御 Demo 进程来监控是否 有扫描发生;日志记录模块主要是选择记录日志的位置,有本机和邮件通知两种选择方 式。 6 针对常见的 IP 地址欺骗、IP 源路由欺骗、ICMP 重定向欺骗、IP 劫持等常见网络 攻击给予了分析
12、并在过滤管理模块中加以解决实现,其中 IP 劫持实现是用一个钩子函 数注入协议栈中来实现的。文中还分析了加固操作系统而关闭一些危险和不使用的服 务, 使防火墙架设在一个相对安全的基础上, 同时也将系统编译升级为最新的稳定内核。 7 第第 2 章章 防防 火火 墙墙 2.1 防火墙的一般原理 随着网络规模的扩大和开放性的增强,网络上的很多敏感信息和保密数据将受到很 多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器 都装备上强大的安全特征(例如入侵检测),但这几乎是一种不切合实际的方法,因为对 具有几百个甚至上千个节点的网络,它们可能运行着不同的操作系统,当发现了安全缺
13、 陷时,每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙 (Firewall),防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连 接的一个设备或一组设备,作为私有网络和外部网络之间连接的单点存在。防火墙是设 置在可信任的内部网络和不可信任的外部网络之间的一道屏障,它可以实施比较广泛的 安全策略来控制信息流,防止不可预料的潜在的入侵破坏,其在网络环境中的位置如图 2- 1 所示。 图 2- 1 具有 DMZ 外网和内部局域网的防火墙系统 防火墙具有以下性质: 1、从里向外和从外向里的流量都必须通过防火墙,这是通过物理上阻塞所有不经 过防火墙的局域网访问来
14、实现的。 2、只有被认可的通信量,即通过本地安全策略进行检查后,才能通过防火墙。 3、防火墙本身不可穿透,这就隐含使用了一个装有安全操作系统的可信任系统。 2.2 防火墙的功能 从逻辑上说,防火墙是一个分离器,是一个限制器,是一个分析器,建立防火墙可 8 以达到以下目的: 1、管理进、出网络的访问防火墙允许网络管理员定义一个中心“扼制点”来防止 非法用户进入内部网络,禁止存在安全脆弱性的服务进出网络,并抗击来自各 种路线的攻击。防火墙能够简化安全管理,因为网络安全性是在防火墙系统上 得到实施,而不是分布在内部网络的各个主机上的。 2、保护网络中脆弱的服务防火墙通过过滤存在安全缺陷的网络服务来降
15、低内部网 遭受攻击的威胁,因为只有经过选择的网络服务才能通过防火墙。 3、检测和报警在防火墙上可以很方便的监视网络的安全性,并产生报警。网络管 理员通过防火墙日志可以审查常规记录并及时响应报警,以便知道防火墙或内 部网络是否正受到攻击。 4、集中安全性如果一个内部网络的所有或大部分需要改动的安全程序都能集中放 在防火墙系统中,而不是分散到每个主机中,这样防火墙的保护范围就相对集 中,安全成本也相对便宜了。 5、内部地址隐藏 Internet 防火墙是部署 NAT (Network AddressTranslation,网络地 址转换)的合适位置,因此防火墙可以用来缓解地址空间短缺的问题,也可以
16、隐 藏内部网络的结构。 6、增强保密性、强化私有权对一些内部网络节点而言,保密性是很重要的,finger 和 DNS 服务常常会暴露内部节点的信息。使用防火墙系统,可阻塞 finger 以及 DNS 服务,从而使得外部主机无法获取这些有利于攻击的信息。 7、日志与统计工 nternet 防火墙是审计和记录工 nternet 使用量的一个最佳地点。防 火墙可以对正常网络使用情况做出统计,通过对统计结果的分析,可以使网络 资源得到更好的利用。 2.3 防火墙的分类 按照实现层次来进行分类,防火墙可分为 IP 级防火墙和应用级防火墙。 2. 3. 1 I P 级防火墙 又称为包过滤(packet filter)防火墙。在为 IP 报文进行转发之前根据报文的 源地址、目的地址和端口号来过滤报文。IP 级防火墙具有很高的网络性能和很 好的透明性、方便性。但它只能根据 IP 地址和端口号等特征来进行报文过滤, 无法针对特定用户和特定服务等请求,粒度不够细致。IP 级防火墙可以作为一 个独立的软硬件设备出现, 也可以作为其
