《防火墙包过滤规则的优化和分析》由会员分享,可在线阅读,更多相关《防火墙包过滤规则的优化和分析(31页珍藏版)》请在金锄头文库上搜索。
1、目 录第一章 引言41.1 课题的国内外概况41.2本论文题目的理论意义和实用价值5第二章 包过滤防火墙技术72.1 包过滤防火墙技术简介72.2 防火墙包过滤技术的特点82.3 包过滤防火墙工作原理92.4 数据包过滤技术122.5 数据包过滤类型162.5.1. IP包过滤162.5.2 .TCP包过滤172.5.3. UDP数据包过滤172.5.4. 源端口过滤17第三章 具体实现203.1 数据库表的建立203.2 封包监视的设计23第四章 防火墙系统的设计与实现284.1总体框架模型设计284.2包过滤驱动程序设计284.3上层应用程序的设计294.4.防火墙的优化29第五章 总结与
2、展望31参考文献32致谢33第一章 引言1.1 课题的国内外概况包过滤防火墙是最简单的一种防火墙,它在网络层截获网络数据包,根据防火墙的规则表,来检测攻击行为。包过滤防火墙一般作用在网络层(IP层),故也称网络层防火墙(Network Lev Firewall)或IP过滤器(IP filters)。数据包过滤(Packet Filtering)是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。包过滤防火墙工作在网络层,对数据包的源及目地 I
3、P 具有识别和控制作用,对于传输层,也只能识别数据包是 TCP 还是 UDP 及所用的端口信息,如下图所示。现在的路由器、Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析,包过滤防火墙的处理速度较快,并且易于配置。简单介绍近年来,Internet的快速增长促进了信息技术的飞速发展,它的迅猛成长正在使世界成为一个整体。但随之而来的是数据的完整性与安全性问题。人们一方面要把自己的内部网接入Internet,以便公司成员可以最大可能地利用Internet 上的资源,同时大家都需要把自己的
4、数据有意识地保护起来,以防数泄密及受到外界对内部系统的恶意破坏。而当前能采用的有效措施就是防火墙。防火墙大致可以分为两大类:包过滤防火墙和代理防火墙。其中包过滤技术由于可以与现有的路由器集成,也可以用独立的包过滤软件实现,使用较灵活,应用比较广泛。本文由此展开,主要介绍包过滤。开始文章介绍了一些网络的基本概念,数据包截取需要用到的非常重要的库函数winpcap的结构。在此基础上回顾了当前包过滤技术研究的进展和现状,着重介绍了包过滤的原理、以及优点和缺点。最后介绍了一个在单机上实现的简单的对指定端口实现数据包抓取的程序。随着网络技术的飞速发展,网络安全问题日益突出。防火墙是目前广泛使用的一种网络
5、安全技术,已成为企业内部与公用网络之间的一道必备的屏障,个人用户也纷纷安装了个人防火墙软件。防火墙往往放在网络的出口,成为一个信息流量的阻塞点,若造成网络阻塞,再安全的防火墙也无法应用。在实现中需要解决的主要问题是如何提高包过滤的性能。本文研究目标是实现一种基于Windows的包过滤型防火墙。其核心问题是如何基于NDIS中间驱动程序在Windows内核中截获数据包,并提高包过滤的性能。1.2本论文题目的理论意义和实用价值 防火墙技术的发展离不开社会需求的变化,着眼未来,我们注意到以下几个新的需求。 远程办公的增长。这次全国主要城市先后受到 SARS 病毒的侵袭,直接促成大量的企事业在家办公,这
6、就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制。现在一些厂商推出的 VPN (虚拟专用网)技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙,这样可以确保信息的保密性,又能成为识别入侵行为的手段。 内部网络 “ 包厢化 ” ( compartmentalizing )。人们通常认为处在防火墙保护下的内网是可信的,只有 Internet 是不可信的。由于黑客攻击技术和工具在 Internet 上随手可及,使得内部网络的潜在威胁大大增加,这种威胁既可以是外网的人员,也可能是内网用户,不再存在一个可信网络环境。由于无线网络的快速应用以及传统拨号方式的继续存
7、在,内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里,全国各地的分支机构共享一个论坛,都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的 “ 包厢 ” ,对每个 “ 包厢 ” 实施独立的安全策略。Internet 的迅速发展,为人们提供了发布信息和检索信息的场所,但同时它也带来了信息污染和信息被破坏的危险,网络的安全性问题已成为一个重要研究课题。在Internet上存在两种安全性问题:Internet服务本身所固有的脆弱性;主机配置和访问控制难于实现或过于复杂而产生的安全漏洞。Internet 安全的脆弱性的表现形式主要有Internet蠕虫(Worm) ,
8、身份验证机制的脆弱性,网上传输的信息易窃取及易被欺骗等。其中蠕虫程序与计算机病毒有区别,它是一个独立、完整的程序,本身并不损坏任何文件或窃取信息,但它严重干扰了网络的正常操作,使受感染的计算机处于重负载状态,拒绝其他机器用户的服务请求。而通过破译口令的加密方式和截获传递口令报文的方法,就可以获得该帐户的权限,其身份验证机制的脆弱性由此表现出来。特别是一些TC 或UD 服务的身份验证仅仅依赖报文中的IP 地址,管理员不能对某个用户定义访问权限,必须以主机为单位来定义访问权限,该主机上所有用户的权限都一样,这样就容易产生安全问题. 当使用Telnet或FTP与远程主机相连并进行身份验证时,使用的用
9、户口令以明文的形式在Internet上传输,这样只需监视、截获连接中包含用户名和口令的IP 报文,就很容易获得某台主机的帐户。E-mail在网上也是以明文传输,通过监视网上交换的电子邮件可以获得有关某个站点的信息。第二章 包过滤防火墙技术2.1 包过滤防火墙技术简介防火墙是专用网络系统,旨在防止未经授权的访问或从。防火墙是用于防止未经授权的Internet网络的互联网连接的用户访问私营,尤其是内部网,虽然使用防火墙保护互联网从单一的电脑也越来越大,随着越来越多的电脑用户成为世界知道,网络安全问题的。防火墙可以是即时通讯 在硬件和软件,或两者相结合的,一般可分为下列之一类别: 数据包过滤 , 应
10、用网关 , 电路级网关和代理服务器 。虽然他们都 不同层次的不同情况在实用性和缺点,本文只处理数据包过滤器,如他们更有可能得到有效的硬件实现研究。包过滤字段的标题是基于他们对网络资源的众所周知的方法限制访问滤波要求的能力,按照指定的数据包分类过滤规则。这些规则可以看作是头字段的逻辑功能的数据包。分类数据包也出现在计算其他领域,如路由,策略路由,区分交通服务质量,然而,并非所有的人都使用或需要分类的基础上多包头中的字段。例如,一个简单的包转发路由器只需要根据数据包进行分类在一个领域(目的地的IP地址)来执行正确的路线。过滤的概念和分类是紧密联系在一起,因此,这些条款将用于在本文件比较松散,除非区
11、别要避免混淆。总的想法包过滤,或分类,是人开始在后来扩大由他人创立和雅各布森,虽然包分类问题时,防火墙的主要焦点本文件的背景是计算机网络在许多领域。快速和有效的数据包分类在多个领域的头是一个具有挑战性的问题。主要有两种方法来实施该系统的过滤: 翻译为基础和模式为基础 。第一种方法由一个指令集的规范规则和一名翻译引擎解释处理能力的指示表,而后者匹配图案用一些比较机制,不需要翻译引擎。它也可以使用这些做法都一起实现方便和效率之间的平衡。防火墙是内部、外部两个网络之间的一个阻隔,通过允许和拒绝经过防火墙的数据流,防止不希望的、未授权的通信,并实现对进、出内部网络的服务和访问的审计和控制防火墙对网络用
12、户提供访问控制服务和通信安全服务,对网络用户基本上是“透明”的,并且只有授权的管理员方可对防火墙进行管理。防火墙一般要解决的安全问题可分为被保护系统(即内部网)的安全问题和自身的安全问题。防火墙产品主要分为两类:包过滤和应用级防火墙本标准规定了包过滤防火墙的各级安全要求。包过滤防火墙根据安全功能策略建立包过滤规则。过滤规则的主要要素有源IP地址、目的IP地址、协议号、源端口、目的端口、连接标志和另外一些IP选项,以及包到达或发出的接口。包过滤防火墙工作在网络层,对数据包的源及目地 IP 具有识别和控制作用,对于传输层,也只能识别数据包是 TCP 还是 UDP 及所用的端口信息,如下图所示。现在
13、的路由器、 Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析,包过滤防火墙的处理速度较快,并且易于配置。包过滤防火墙是用一个软件查看所流经的数据包的包头(header),由此决定整个包的命运。它可能会决定丢弃(DROP)这个包,可能会接受(ACCEPT)这个包(让这个包通过),也可能执行其它更复杂的动作。在Linux系统下,包过滤功能是内建于核心的(作为一个核心模块,或者直接内建),同时还有一些可以运用于数据包之上的技巧,不过最常用的依然是查看包头以决定包的命运。2.2 防火墙包过
14、滤技术的特点 包过滤防火墙工作在网络层,对数据包的源及目地IP具有识别和控制作用,对于传输层,也只能识别数据包是TCP还是UDP及所用的端口信息,如下图所示。现在的路由器、Switch Router以及某些操作系统已经具有用Packet Filter控制的能力。由于只对数据包的IP地址、TCP/UDP协议和端口进行分析,包过滤防火墙的处理速度较快,并且易于配置。(1)优点:l 对于一个小型的、不太复杂的站点,包过滤比较容易实现。l 因为过滤路由器工作在IP层和TCP层,所以处理包的速度比代理服务器快。l 过滤路由器为用户提供了一种透明的服务,用户不需要改变客户端的任何应用程序,也不需要用户学习
15、任何新的东西。因为过滤路由器工作在IP层和TCP层,而IP层和TCP层与应用层的问题毫不相关。所以,过滤路由器有时也被称为“包过滤网关”或“透明网关”,之所被称为网关,是因为包过滤路由器和传统路由器不同,它涉及到了传输层。l 过滤路由器在价格上一般比代理服务器便宜。(2)缺点:l 一些包过滤网关不支持有效的用户认证。l 规则表很快会变得很大而且复杂,规则很难测试。随着表的增大和复杂性的增加,规则结构出现漏洞的可能性也会增加。l 这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题,会使得网络大门敞开,而用户其至可能还不知道。l 在一般情况下,如果外部用户被允许访问内部主
16、机,则它就可以访问内部网上的任何主机。l 包过滤防火墙只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机伪装外部主机的IP欺骗却不可能阻止,而且它不能防止DNS欺骗。虽然,包过滤防火墙有如上所述的缺点,但是在管理良好的小规模网络上,它能够正常的发挥其作用。一般情况下,人们不单独使用包过滤网关,而是将它和其他设备(如堡垒主机等)联合使用。综上可见,包过滤防火墙技术面太过初级,就好比一位保安只能根据访客来自哪个省市来判断是否允许他(她)进入一样,难以履行保护内网安全的职责。2.3 包过滤防火墙工作原理包过滤防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否
