发信人: arclight (别惹我，正烦着呢！), 信区: CRC
标  题: Internet防火墙系统的设计与实现(2)
发信站: 紫 丁 香 (Wed Jul  7 12:26:43 1999), 转信



　　(6) TCP序列号欺骗(TCP Sequence number spoofing)，由于TCP序列号可以预  
测，因此攻击者可以构造一个TCP包序列，对网络中的某个可信节点进行攻击。  
 
　　因为Internet网是基于TCP/IP协议的，所以TCP/IP协议中存在的安全技术  
缺陷导致了Internet网的不安全，另外，Internet网是一个国际性的互连网络，  
中间环节多，也使得整个网络的安全性很难得到保证。为了解决这个问题，目  
前有效的解决方法是采用防火墙技术。  
 
3　防火墙技术  
 
　　网络防火墙是一种用来加强网络之间访问控制的特殊网络互连设备，它对两  
个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查，  
来决定网络之间的通信是否被允许，其中被保护的网络称为内部网络或私有网络，  
另一方则称为外部网络或公用网络，它能有效地控制内部网络与外部网络之间的  
访问及数据传送，从而达到保护内部网络的信息不受外部非授权用户的访问和过  
滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性：(1)所有在内  
部网络和外部网络之间传输的数据必须通过防火墙；(2)只有被授权的合法数据即  
防火墙系统中安全策略允许的数据可以通过防火墙；(3)防火墙本身不受各种攻击  
的影响；(4)使用目前新的信息安全技术，比如现代密码技术等；(5)人机界面良  
好，用户配置使用方便，易管理。  
 
　　防火墙技术主要分为两大类：一是包过滤技术，一般作用在网络层(IP层)，主  
要根据防火墙系统所收到的每个数据包的源地址、目的地址、TCP/UDP源端口号、  
TCP/UDP目的端口号及数据包头中的各种标志位来进行判定，根据系统设定的安  
全策略来决定是否让数据包通过，其核心就是安全策略即过滤算法的设计；另一  
类是代理(Proxy)［3］，它作用在应用层，它用来提供应用层服务的控制，起到  
外部网络向内部网络申请服务时中间转接作用，内部网络只接受代理提出的服务  
请求，拒绝外部网络其它节点的直接请求。这两类技术各有优缺点，包过滤技术  
速度快、实现方便，但审计功能差，过滤规则的设计存在矛盾关系，过滤规则简  
单，安全性差，过滤规则复杂，管理困难，代理技术则既能进行安全控制又可以  
加速访问，安全性好，但对于每一种应用服务都必须为其设计一个代理软件模块  
来进行安全控制，而每一种网络应用服务的安全问题各不相同，分析困难，因此  
实现也困难。  
 
　　传统防火墙系统一般只采用一种防火墙技术，并且只基于IP地址进行安全控  
制，且很少采用信息安全技术，比如数据加密、身份认证等，因此安全性不高，  
为了解决这个问题，提高系统的安全性，本文基于863计划 Internet/Intranet网的信  
息安全系统研制与开发课题的实现设计了一个基于包过滤、代理技术和密码技术  
的双层防火墙系统，从一定程度上解决了TCP/IP协议存在的安全问题，提高了系  
统的安全性，由于采用双层防火墙系统，也解决了包过滤防火墙存在的几个不易  
实现的技术难题［4］，FTP、X.11、DNS服务的过滤。如图1所示，整个系统分为  
两层，内层是带包过滤功能的路由器，外层是代理服务器。包过滤防火墙只接受  
代理服务器发出的服务请求和内部网络发起的服务连接，代理服务器负责向公共  
网用户提供内部网络允许的网络服务。  
 
图1　防火墙系统结构图(略)  
 
3.1　包过滤算法  
 
　　包过滤算法的设计是包过滤防火墙的关键问题，由于包过滤防火墙作用于网  
络层，因此它只能根据所收到的每个数据包的源地址、目的地址、TCP/UDP源端  
口号、TCP/UDP目的端口号及数据包头中的各种标志位(我们称之为过滤数据)来  
进行过滤操作，但是因为有些系统定义的或用户开发的网络服务端口号是不固定  
的，因此包过滤防火墙是不能单根据这些过滤数据来很好地区分该数据包是为内  
部网络节点服务的，还是为外部节点服务的，也就无法正确进行数据包过滤，由  
于图1所示的防火墙系统采用了双层结构，内部网络给外部网络提供的服务只由代  
理服务器提供，且由标准的代理软件实现，因此包过滤防火墙可以根据上述过滤  
数据按照以下包过滤规则很好地进行数据过滤。  
 
　　系统的包过滤规则包含以下各项：过滤规则序号FRNO(Filter rule No.)，它决  
定过滤算法执行时过滤规则排列的顺序，正确地排列过滤规则是至关重要的；过  
滤方式(Action)包括允许(Allow)和阻止(Block)；源IP地址SIP(Source IP address);  
源端口SP(Source port);目的IP地址DIP(Destination IP address)；目的端口 
DP(Destination   
port)；协议标志PF(Protocol flags option)；最后一项是注释(Comment)。如下表1所示 
：  
 
表1　　包过滤防火墙系统的包过滤规则  
 
 FRNO  Action     SIP     SP   DIP  DP   PF   Comment  
   1    允许   内部网节点  *    *    *    *   内部网络允许访问外部网络  
   2    允许       *       *    *    *   ACK  允许响应数据包进入内部网  
   3    允许   代理服务器  *    *    *        允许代理服务器访问内部网  
 
* 表示所有情况  




--
※ 来源:．紫 丁 香 bbs.hit.edu.cn．[FROM: sys03.hit.edu.cn]