分布式防火墙技术及实现
2021-12-14
来源:爱问旅游网
分布式防火墙技术及实现‘赵征①于波.马光思①叭西安建筑科技大学信息与控制工租学院西安710055)②(北京大学信息科学中心北京100871)j annet_zhw@163.net摘 要随着网络信息交换安全性、可移植性、有效性要求的不断提高,分布式防火墙技术逐步得到了应用本文系统地阐述了分布式防火瑞的概念、结构、特点和不足,并给出了其实现机制.关位询 分布式防火墙,安全策略,KeyNote. IPSec中圈分类号 TP393.081引言 随着网络技术的迅猛发展,网络安全越来越引起人们的关注.在众多网络安全技术中,防火墙技术是最重要的技术之一在过去几年里,通过单接入点方式实现的传统防火墙技术对保护网络安全起到了很好的作用,但随着信息交换安全性,可移植性、有效性要求的不断提高,它已逐渐不能适应实际要求.于是,人们提出了分布式防火墙技术.2分布式防火墙技术的概念及其特点 防火墙技术是指通过一组设备(包含软件和硬件)介入被保护者和可能的攻击者之间,对它们之间的网络通信进行主动限制,达到对保护者的保护作用.2.1传统防火姗技术的不足传统防火墙技术依赖拓扑结构,解决了企业内部网与I ntenret互联时的IP地址和端口的过滤、IP地址翻译、应用服务代理等问题,但存在一些不足之处(2. 3’]:〔I)传统防火墙技术依赖于网络的物理拓扑结构。通过IP地址把网络分为内部(可信的)和外部(不可信的)两部分,而且只“防外不防内”.这样做,不仅使IP欺骗成为可能,而且很难满足不同机器的连接需求(如使用DHCP协议或BOOTP协议).同时也不利于企业在互联网上构建跨地区网络,以及电子商务、移动办公的广泛应用,(2)传统防火墙技术使用单接入点实现机制.由于CPU速度的增长远远快于网络速度的增长,如果使用IPSec这种强调计算的协议,将极大增加防火墙的负载因此,整个网络很可能因单点失败而瘫痪、(3)对FTP等协议不能提供有效的安全控制.传统防火墙不允许FTP通过指定端口由外向内发包,所.赵征,女。1978年生,硕士研究生,主要研究方向是信息系统安全与防火瑞技术于波。男,1973年生.博士研究生,主要研究方向为致据库技术马光思.男.1949年生,副教授,主姿研究方向为软件复用技术36二鱼望堕!}#i7i进塑吐2002}^f.堑鱼丝翌#iTi1'生丝i5Ci丝色-—州以会将外部会话阻断:但其又不限制内部网络之间通过FTP进行传输。所以实际上仍存在安全隐患(4)大型网络出于性能上的考虑,通过多接入点接入传统防火墙来划分网络,但由于没有统一、全面的管理机制,从实际倩况来看,网络的安全管理很困难.基于以上问题,人们提出了分布式防火墙技术. 2.2分布式防火墙技术 分布式防火墙技术是由Steven M. Bellovin于】999年在文献[I]中提出.其基本思想是安全策略被某种策略语言集中定义,系统管理工具将安全策略分布到每个主机.根据策略和IPSec中发送方的加密校验认证,由受保护的主机来决定接受或拒绝到来的包,其拓扑结构如图I所示.分布式防火墙中有三个重要概念:通用策略语言、策略分配和IPSec.请求,密钥,签名(远程证书)通信图1分布式防火墙的拓扑结构22.,通用策略语言图2 KeyNote实现应用交互 大多数分布式防火墙采用KeyNote. PolicyMaker等通用策略语言[41图2所示的是KeyNote作为可信管理的实现机理B1请求者是典型的用户,由依赖应用的协议来认证并提供证书验证者判断请求者能否执行所请求的动作,负责向KeyNote提供所有的必要信息、本地策略和证书,并按照KeyNote的响应作动作.KeyNote语言[51的基本元素是断言(assertion).断言是指授权密钥执行不同受信行为的机制,用于指定本地策略作为证书.断言允许一个实体授权另一个实体执行指定的受信行为.KeyNote语言可以描述复杂的规则表达式,以下是一个简单的KeyNote策略和证书示例:Ke yNote-Version I Authorizer: "rsa-pkcsI-hex:"I023abcd"Li censes: "rsa-pkcsI-hex:I9abcd02"}!"dsa-hex:"986512aI"Comment : Authorizer delegates read access to either of the LicenseesCondi tions:(¥file -,'/etc/passwd" && ¥access = "read")一>(return "ok")Si gnature: rsa-md5-pkcsl-hex:"fO0f5673"2.2.2策略分配 策略的结果应能被编译成某种内部格式,分配到每一个主机端,因而策略分配机制是十分必要的.任何密钥管理协议在这都能被使用。策略的完整性必须被保证,并且当需要时可使用证书.策略分配可用以下方法来实现:(1)安全策略分布到终端,依次发送到正在使用某种协议(如LDAP)的主机中.这种方法的好处是用户不需要在线策略更新,并在某种赵征等:分布式防火琦技术及实现程度上消除了否认服务攻击.(2)策略直接分布到主机.但由于每个主机都需要大量的策略,存储和传送带宽将比以前有更高的要求(3)策略被放在集中的策略库中,如WEB server和LDAP server.在这种情况下,终端主机在需要时,能动态地取出策路.但是它要求策略库的使用必须稳定,在TCP连接建立时可能会造成延误.2.2.3 IPSec技术161安全策略是根据主机标识符来定义的.在传统防火墙中用逻辑位置(内部或外部)和I P地址来标记主机.而分布式防火墙中主机标识符是用IPSec加密认证名字(KeyNot term中主体)来表示的.IPSec为IP层提供安全服务,使用IP头部认证((AH)和封装安全负载(ESP)两个协议来提供传输安全,系统按照需要选择安全协议,决定服务所使用的算法及放置服务所需密钥到相应位置,保护一条或多条主机与主机之间、安全网关与安全网关之间、安全网关与主机之间的路径.2.3分布式防火幼的特点与传统防火墉相比,分布式防火墙具有以下特点1 31: (1)传统防火墙和分布式防火墙都使用主机标识符来决定主机是否可信,但分布式防火墉的主机标识符是IPSec加密证书,不是主机IP地址,因此它是拓扑独立的.例如,如果职员机器具有合法的证书,无论在何处,它总是可信的.这就大大加强了防火姗的可移植性和灵活性,消除了传统防火墙所遇到的复杂度和管理困难.(2)网络中有很多入口点,吞吐量不再受防火墙速度的限制,单点失败也不再使整个网络瘫痪.而且安全策略是由系统统一发送到各主机端,避免了在多台防火墙接入时,由于策略不一致造成的冲突.因此,网络性能得到了很大提高.(3)用加密证书做主机标识符能够消除在传统防火墙的IP地址欺编.由于主机标识符不再和IP地址联系到一起,所以DHCP, BOOTP等协议能毫无问题地被使用.(4)由终端主机执行初始化连接和包过滤,内核知道哪个端口打开以及为什么打开.传统防火墙中内部终端主机很难执行包过滤.例如在电子邮件系统中,传统防火墙通过SMTP协议连接到内部邮件网关,在防火墙内部,访问端口25将不会被限制,而对外部主机的访问将被阻止.在分布式防火墙中,所有主机都有关于端口25的规则,邮件网关允许任何人连接到该端口,但对其它内部机器的访问仅允许从邮件网关进行联系.3分布式防火墙的实现 分布式防火墙的实现方式有多种,一种可行的方案是基于OpenBSD系统来实现的121因为其提供了IPSec stack. SSL. KeyNote等特性和库函数,具有良好的完整性.系统由三部分组成:内核扩展、策略设备和策略处理.如图3所示.3.1内核扩欣 以TCP连接控制为例,在UNIX操作系统中,TCP连接用两个系统调用connect()和accept()来完成,这两个系统调用可被任何用户访问,因此需要基于安全策略的过滤.过滤既可在用户空间,也可在内核空间实现.用户级方式是指将应用直接联系到提供所需安全机制的库中.它的好处是独立于操作系统,无须改变内核代码.但是,如果应用程序使用了己开放式分布与并行计算进展年全国开放式分布与并行计算学术会议论文集应用后台策略系统库accepto/connect()用户空间openo,closeo,madowriteo,ioctlo更改过的系统调用卜-鲤叫一夕内容队列七内核空间/dev/policy图3系统功能调用修改的库,这种方式就不能保证安全.内核方式要求修改操作系统.虽然会限制使用像HSD这样开放的操作系统,但是为应用层提供了透明的安全机制.策略内容是包含所有连接信息的一个数据结构它包括用户ID,证书,目的地址及端口等内容.策略内容按序号排列,等待后台策略程序决定是否接受它.3.2为了使整个系统更加灵活,可以将后台策略处理放到应用层.采用伪设各驱动器 ( /dev/policy)作为策略设备可达到该目的,策略设备作为用户空间的策略处理和内核中以修改的系统调用之间的通信路径.支持一般的操作,如openo, closeo, reado, write()和ioctl)(.当从设备读时,策略处理被阻断,直到提出了请求为止.write()负责将策略处理决定返回到被阻断的调用并唤醒它.3.3策略处理 策略处理是用户级处理它基于策略来决定是否接收或否认连接,由管理员和内核提供策略或由远程接收的证书指定.用伪设备完成策略处理和内核的通信.每一个连接关联的策略内容是用KeyNote库处理的所需的认证也能通过查询远端策略池如web server或LDAI'serve:来获取.远端策略池将策略内容中的ID作为密钥.4分布式防火墙的不足 尽管分布式防火墙解决了传统防火墙中的一些问题,但由于技术、成本等原因,仍存在一些不足之处131: (1)内部对安全策略的绝对服从有时难以实现,如当终端用户有控制主机的权限时,用户可能在某种程度上改变安全策略甚至关掉安全策略.(2)入侵检测机制的实现比传统防火墙有更多的问题.在分布式防火墙中,有问题的连接被记录在本地服务器日志中,仅当安全专家集中分析日志后,才能发现问题.但如果要求进行实时入侵检测,整个网络的速度将减慢,而且更容易受到DoS的攻击.(3)拓扑的控制漏洞.因为缺乏集中式访问,如果主机在本地不执行包校验,分布式防火墙就不能限制从内到外的访问这就意味着刚建立的工作站或网络中具有物理连接的其它设备可以有无限制的连接.(4)独立主赵征等:分布式防火墙技术及实现机问题.在网络中,被分布式防火墙保护的每个主机的改变都会影响系统,这对于系统管理来说,极其困难.而且,每个主机独立实施自己的包过滤机制,要比传统防火墙消耗更多的资源,并且增加了主机负载.5结束语 作为一种新技术,分布式防火墙解决了一些传统防火墙中的不足.但是,就目前技术而言,完全实现分布式防火墙难度系数较大.因而采用引入IPSec技术和分布式思想的混合式防火墙技术是一种比较好的折中方案.参考文献Bellovin S M. Distributed Firewalls; login: magazine, special issue on securiyt. November 1999.Loannidis S and Keromytis A D. Implementing a Distributed Firewall. http://www.cis.upenn.edu/,2000.Wei Li. Distributed Firewall. http://www.es.heisinki.filulasokan/distsec/documenWli.ps.gz, 2000.Matt Blaze,Joan Feigenbaum and Jack Lacy. Decentralized trust management. In IEEE Symposium onSecuriyat nd Privacy. 1996, 164^-174Blaze Matta nd Feigenbaum Joan. KeyNote: Trust Management for Public-Key Infrastructures. In Proceedingsof the 1998 SecuriyPt rotocols International Workshop, 1999, 1550: 59^-63Doraswamy Naganand, Harkins Dan. IPSec: the new security standard for the Internet, and Vitrual PrivateNetworks. Prentice Hall PTR, 1999.韩晓璞.用分布式防火墙堵住内网的翻洞.网络世界,2002.The Distributed Firewall Technique and Its ImplementationZh ao Zheng0 Yu Bo0 Ma Guangsi0m (Xi'an UniversiytofAr chaectune and Technology, Xi'an 71005习m(Centerjor Information Science ofPeking Universiyt, Beijing 100871)Abst ract In this paper, we present the concept, characteristic and architecture of a distributed firewall. Aclose look of problems of conventional firewall and possible solutions of distributed firewall are given.Key words distributed firewall, securiypolt icy, KeyNote, IPSec