分布式防火墙杨天禹(计算机学院网络工程系12-134号)摘要:随着计算机网络的迅猛发展,网络的安全问题也越来越引起人们的重视。防火墙作为一种有效的安全防护措施被广泛应用于各种类型的网络当中,其发展也非常的快。本文首先分析了现有的传统防火墙和分布式防火墙,指出了传统防火墙存在的问题。在此基础上论述了分布式防火墙的概念、研究现状以及分析了分布式防火墙的工作原理。详细分析了它的体系结构,明确该体系结构的各组成部分及其相应功能并对之进行了详细的设计。关键字:分布式防火墙;网络安全;体系结构;工作原理因特网是20世纪的奇迹,通过因特网人们方便地实现了全球资源共享。因特网的强大功能源于它的广泛连通性和开放性,而这也恰恰导致了它的不安全性。在网络结构体系中,安全问题越来越受到重视。特别是那些对安全程度要求较高的部门、单位,往往需要规划一套完整的网络安全策略将敏感资源保护起来。防火墙作为一种安全手段,在网络中用得非常普遍。在网络边界的入口处安装防火墙用来阻止攻击是安全防范的主要手段之一,它将受保护部分资源和外部隔离开来,从而达到限制访问、防止攻击的目的。但是,随着因特网日新月异的发展,传统边界防火墙的局限性开始显露出来,例如,日益多样化的连接方法(拨号,无线,隧道)、外联网、加密通信的出现,带宽的不断提高等。面对这些新情况,用一个防火墙就往往难以完成隔离。如果采用多个防火墙,不仅提高了成本,而且由于防火墙之间相互独立,难以从总体上进行统一配置,管理起来非常麻烦。于是人们提出了分布式防火墙的概念,来满足网络发展的新情况。分布式防火墙是指,物理上有多个防火墙实体在工作,但在逻辑上只有一个防火墙。从管理者角度来看,他不需要了解防火墙分布细节,只要清楚有哪些资源需要保护,以及资源的权限如何分配即可。1分布式防火墙概述随着网络技术的不断发展,网络中的漏洞逐渐被发现。恶意的攻击者通过它们对网络进行大量的攻击,向网络安全进行挑战,对网络安全造成极大的威胁。为了抵御外界恶意攻击,保护网络安全,防火墙、入侵检测、网络病毒检测、安全审计等技术应运而生,而处于内外网络交界处的防火墙所扮演的角色尤为重要。受集中管理和配置的多台防火墙组成了分布式防火墙(DIStributedFirewall,DFw)[1]基于此而应运而生。1.1分布式防火墙产生的原因古代人们为了防止发生火灾时火势蔓延到别处而砌一道砖墙,这道砖墙常被叫做防火墙。在计算机领域为了保证网络安全,在互联网与内部网之间建立起一个安全网关(securityGatewa刃,用来保护内部网络不受非法用户的侵入,这种计算机硬件和软件组成的设备就是防火墙。在网络中,防火墙是内部网络与外界网络之间的一道防御系统,通过它使得内部网络与Intemet或者其他外部网络之间相互隔离,并通过限制网络互访来保护内部网络,但这些对数据的处理操作并不会妨碍人们对风险区域的访问。防火墙系统是建立在内部网络与外部之间的惟一安全通道,通过对它的配置可以决定哪些内部服务可被外界访问,外界的哪些人可访问内部的服务,以及哪些外部服务可以被内部人员访问。我们可简单的认为防火墙是个分离器、限制器、分析器,它有效地监控了内网和Intemet间的任何活动,保证了内网的安全。图1为常见的防火墙逻辑位置。安全策略语言规定了哪些数据包被允许,哪些数据包被禁止,它应该支持多种类型的应用。策略制定后分发到网络端点上,策略发布机制应该保证策略在传输过程中的完整性和真实性。策略发布有多种方式,可以由中心管理主机直接发到终端系统上,也可以由终端按需获取或定时获取,还可以以证书的形式提供给用户。策略实施机制位于受保护的主机上,在处理输入输出数据包时,它查询本地策略来判断允许还是禁止该数据包。不论防火墙是非常简单的过滤器,还是一个精心配置的网关,它们的原理都是一样的。防火墙通常是用来保护由许多台计算机组成的大型网络,这些地方才是黑客真正感兴趣的地方,因为架设防火墙需要相当大的硬软件资金投入,而且防火墙一般需要运行在一台独立的计算机上[2]。由于传统防火墙的缺陷不断显露,于是有人认为防火墙是与现代网络的发展不相容的,并认为加密的广泛使用可以废除防火墙。但加密不能解决所有的安全问题,防火墙依然有它的优势,比如通过防火墙可以关闭危险的应用,通过防火墙管理员可以实施统一的监控,也能对新发现的bug快速作出反应等。也有人提出了对传统防火墙进行改进的方案,如多重边界防火墙,内部防火墙(Intrawall)等,但这些方案都没有从根本上摆脱拓扑依赖(Topologydependent),因而也就不能消除传统防火墙的固有缺陷,反而增加了网络安全管理的难度。为了克服以上缺陷而又保留防火墙的优点,美国AT&T实验室研究员StevenM.Bellovin在他的论文分布式防火墙[3]中首次提出了分布式防火墙(DistributedFirewalls,DFW)的概念,给出了分布式防火墙的原型框架,奠定了分布式防火墙研究的基础。分布式防火墙有狭义和广义之分,狭义分布式防火墙是指驻留在网络主机并对主机系统提供安全防护的软件产品。广义分布式防火墙是一种全新的防火墙,体系结构包括网络防火墙、主机防火墙和中心管理三部分。为了充分认识分布式防火墙,我们重点剖析分布式防火墙中最具特色的产品-主机防火墙。(1)主机驻留主机防火墙的重要特征是驻留在被保护的主机上,该主机以外的网络不管是在内部网还是在外部网都认为是不可信任的。因此,可以针对该主机上运行的具体应用和对外提供的服务来设定针对性很强的安全策略。(2)嵌入操作系统内核为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全检测核心引擎要以嵌入操作系统内核的形态运行,直接接管网卡,在把所有数据包进行检查后,再提高操作系统。(3)适用于托管服务器用户只需在该服务器上安装主机防火墙软件,并根据该服务器的应用设置策略即可。并可以利用中心管理软件对该服务器进行远程监控,不须任何额外租用新的空间放置边界防火墙[4]。1.2分布式防火墙的基本原理防火墙可以用来控制Intemet和Intranet之间所有的数据流量。在具体应用中,防火墙是位于被保护网和外部网之间的一组路由器以及配有适当软件的计算机网络的多种组合。防火墙为网络安全起到了把关作用,只允许授权的通信通过。防火墙是两个网络之间的成分集合。在分布式防火墙中,安全策略仍然被集中定义,但发布在网络端点(例如主机、路由器)上单独实施。传统防火墙缺陷的根源在于它的拓扑结构,分布式防火墙打破了这种拓扑限制,将内部网的概念由物理意义变成逻辑意义。按照Steven的说法,分布式防火墙是由一个中心来制定策略,并将策略分发到主机上执行。它使用一种策略语言(如KeyNote,在RFC2704文挡中说明)来制定策略,并被编译成内部形式存于策略数据库中,系统管理软件将策略分发到被保护的主机上,而主机根据这些安全策略和加密的证书来决定是接受还是丢弃包,从而对主机实施保护。在DFW中主机的识别虽然可以根据IP地址,但IP地址是一种弱的认证方法,容易被欺骗。在DFW中建议采用强的认证方法,用IPsec加密的证书作为主机认证识别的依据,一个证书的拥有权不易伪造,并独立于拓扑,所以只要拥有合法的证书不管它处于物理上的内网还是外网都被认为是内部!用户。加密认证是彻底打破拓扑依赖的根本保证。在DFW系统中,各台主机的审计事件要被上传到中心日志数据库中统一保存。分布式防火墙中包含有三个必需的组件[5]:(1)描述网络安全策略的语言。(2)安全发布策略的机制。(3)应用、实施策略的机制。1.3分布式防火墙的研究现状1999年AT&T实验室的StevenM.Bellovin博士在《DistributedFirewall》一文中首次提出了将防火墙技术分布式化的思想。该文的核心内容是提出了关于构建分布式防火墙的三点构想:①策略描述语言(aPolioyLanguage);②系统管理工具(SystemManagementTools):③IPSEC。该文主要围绕AT&T实验室在1999年9月提出了的ThekeynoteTrustMangementSystem策略描述机制展开[6]确立了分布式防火墙的体系结构,之后的研究大多以此为起点。在网络安全技术领域,防火墙并不是个新课题。防火墙技术经过多年的积累和发展,已经有了相当成熟和稳定的商业产品,逐渐成为了网络安全技术的一个基础性设施。在国际防火墙市场上,能够占有两位数市场份额的厂家就只有CheckPointSoftware公司和Cisco公司,其市场占有率都在20%左右。在国内市场中,占有优势的仍旧是国外的防火墙产品,CheckpointFirewall防火墙、CiscoPIX防火墙、NetScreen防火墙等在产品功能和质量方面的优势使得许多大型客户纷纷采用。国内较有名的防火墙品牌有天融信公司网络卫士、东大阿尔派的网眼等。虽然市场上防火墙产品不少,但是这并不意味着防火墙技术己经过时或者没有太多研究意义。恰恰相反,随着黑客技术和黑客攻击的不断进步,传统意义上的有着异常重要作用的防火墙的安全能力却显得相对不足。从市场提供的商业防火墙品牌来看,国外(一些著名)厂家均是采用专用的操作系统,自行设计防火墙。而国内所有厂家所采用的操作系统系统都是基于通用的Linux。各厂家的区别仅仅在于对Linux系统本身和防火墙部分所作的改动量有多大。所以当前防火墙产品多有各自的缺陷,只有进行深入的防火墙结构、技术的研究,才能从根本上解决这一问题。从技术的理论上来讲,防火墙属于最底层的网络安全技术,而且随着网络安全技术的发展,现在的防火墙已经成为一种更为先进和复杂的基于应用层的网关。然而,随着黑客入侵技术的提高和入侵手段的增加,仅仅使用网关级防火墙保障网络安全是远远不够的。目前,网关级的边界防火墙技术取得了较大的发展,从初期的简单的包过滤产品到应用网关代理,以及由CheckPoint公司(世界最大防火墙厂商之一)提出的状态检测机制的防火墙,产品日趋成熟。但是防火墙技术领域中速度与安全是永恒的主题和矛盾。通常高安全性的传统防火墙必然构成整个企业网的瓶颈。其原因是安全计算过度集中,大量的应用级检测、过滤计算使防火墙的吞吐能力大幅下降。降低了传统网关级边界防火墙在大型网络中的应用效能。又由于传统网关级的边界防火墙存在着以下缺陷:防外不防内,易于从内部攻破;配置不够灵活,不便于应用;难以有效防止分布式的攻击;只实现了粗粒度的访问控制和单薄的安全保护。所以网络安全业界逐渐对一种新型的防火墙技术体系结构--分布式防火墙系统体系结构--加大了研究力度。分布式防火墙与传统的边界防火墙相比有以下优点:1内外兼顾,可以提供更高的安全性;2配置灵活,适用性强;3便于集中管理;4提供多层次的纵深形的防护体系。目前分布式防火墙的研究虽然已经有了一些商业产品,但总体上说还属于起步阶段。无论从体系结构,运行布置方式,管理手段,以及与其他安全设备的关联上离技术成熟还有很大的差距。2分布防火墙技术分布式防火墙技术可以总结为如下几个方面[7]:主机驻留(Host-resident):主机防火墙的重要特征是驻留在被保护的主机上,该主机以外的网络不管是处在内部网还是外部网都认为是不可信任的,因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是使安全策略不仅仅停留在网络与网络之间,而是把安全策略推广延伸到每个网络末端[8]。嵌入操作系统内核(EmbeddedinOSkermel):众所周知,操作系统自身存在许多安全漏洞,运行在其上的应用软件无一不受到威胁。主机防火墙也运行在该主机上,所以起运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行直接接管网卡,在把所有数据包进行检查后再提交操作系统。为实现这样的运行机制,除为这需要一些自身的开发技术外,与操作系统厂商的技术合作也是必要的条件,因为这需要一些操作系统不公开的内部技术接口。不能实