最近更新赞助商链接
摘 要 本文介绍了基于专业过滤器的网络管理与安全系统的设计和实现过程,该系统结合了包过滤、用户认证、计费和数据加密等多种技术.由屏蔽路由器、屏蔽主机等实现的包过滤器出于本身的安全、性能和复杂性等考虑,其过滤策略很难改变,用户不能参与管理帐户权限.本系统借鉴了代理服务器中的用户认证功能,使用户可参与管理自己的帐户权限,可有效地防止合法IP地址的非法盗用.同时,由于采用了硬件加速和包过滤技术,可得到较高的吞吐量,可服务的用户数较多.目前,以PC专业过滤器实现的网络管理与安全系统已在西安交通大学等校园网中采用.
关键词 双穴主机 包过滤 用户认证 代理服务器 网络管理 安全系统
分类号 TP393
1 引 言
在我国,中国教育科研网(Cernet)正处于发展阶段,由于我国的特殊情况,网络管理尚有很多欠缺,特别明显的有如:由于收费制度的不同(国外每月固定收费,国内一般根据用户上网的时间或产生的流量进行收费),合法IP地址的非法盗用和未分配IP地址的非法使用非常普遍,并得不到很好的控制,这样就造成了基于流量针对IP地址收费的混乱.由于国内外政策的不同,Internet网上存在着某些内容不健康的站点,目前尚得不到很好的控制,对内部的某些重要的站点保护也得不到保证.鉴于上述原因,开发符合国内特殊条件的防火墙系统显得十分重要.本文详细说明了基于专业过滤器的安全系统的设计和实现过程.第一部分介绍了目前防火墙技术的发展情况和各自的特点,其次叙述了基于过滤器的安全系统的设计思想和技术线路,最后详细说明了专业过滤器、数据加密、认证过程的设计和实现,以及对专业过滤器性能的评价.
2 目前网络防火墙中采用的技术和特点
防火墙是介于内部网(internal networks)和外部网(external networks)之间的屏障.其主要作用是过滤出入内部网的数据包,达到访问控制的目的.对数据包的过滤或屏蔽(screening)方法目前有三种.
第一种方法采用内部网出口的路由器来过滤出入的数据包,具有包过滤功能的路由器被称为屏蔽路由器(screen router).屏蔽路由器根据数据包的目的IP地址、源IP地址和TCP/UDP包的端口号允许或禁止数据包的通过.由于路由器的主要功能是路由和网管代理,过滤策略(policy)不可太复杂,以免影响路由器的性能.另一方面由于路由器本身的安全性和复杂性,过滤策略只能由网络管理员来定义和改变.
应用层代理服务器(application proxy)是目前安全性较高的网络安全机制,应用层代理服务器也称为应用层网关(application gateway),代理服务器软件针对具体的网络服务而不同,如HTTP、FTP和telnet代理服务器.代理服务器分应用层服务器和应用层客户,分别与内部网和外部网沟通.对于不同的网上服务,代理服务器要启动相应的服务程序,如果完全由一台主机来完成,会影响处理机的处理能力,一般把这些服务程序放在不同的主机上运行,目前采用堡垒主机(bastion host)和双穴主机(dual-homed host)来运行代理服务器程序.即使如此,由于代理服务器软件大部分建立在面向连接的TCP之上,对不同的请求需要启动响应的应用层客户进程,当有大量进程同时存在时,代理服务器会出现拥塞现象,所以同时可服务的用户数不能太多.如果必须保护内部重要部门的敏感信息,如建立虚拟专用网(virtual private network,VPN),代理服务器是最好的选择,但需要运行一些基于特定硬件的高性能代理服务器,如Cisco公司的PIX Firewall和Seattle Software公司的Firebox〔1〕,或把代理服务器程序安装到多处理机系统上〔2〕.
第三种方法在出口处设置专业包过滤器(packet filter)过滤数据包.专业包过滤器比较便宜,对用户透明,过滤的策略可以制定得相对复杂一点,如美国CheckPointer公司在其产品FIREWALL-1中采用的stateful inspection过滤技术〔3〕,其安全性就可和应用层代理服务器技术相媲美,目前国外还有域名过滤技术(DNS filtering)〔4〕和基于MAC地址的subscribler side filtering、center side filtering〔5〕等技术,效果也不错.由于过滤器软件工作于网络层,和路由设备一样具有无连接无状态的特性,对网络性能的影响小,但它在敏感信息保护上目前还得不到保证.过滤器软件主要在双穴主机上运行,PC桥式过滤器如有由美国德克萨斯州A&M University开发的Drawbridge和由美国人Doug Karl开发的Karlbridge等,Unix过滤器如由DEC公司Jeff Mogul开发的Screend〔6〕.
3 基于专业过滤器的网络管理与安全系统的设计思想
目前国内很多校园网、企业网的用户数多者上千,少者也有上百个,防火墙系统的选用应考虑具体情况,对于内部网中的重要部门可采用代理服务器作防火墙,但对于有好几百用户的校园网总出口,除非有高性能,高配置的代理服务器系统或出口线路的带宽太小,一般不宜采用该技术.代理服务器把内部网认为是可信网(trustednetwork),对于很大的校园网、企业网,内部网同样不可信,在内部网中用明文传送的代理服务器的用户认证信息同样不安全.具有IP地址的代理服务器同样面临着黑客攻击,其数据转发机制会影响外部站点对内部服务器的访问,如对WWW、FTP服务器的访问.所以在选择一种防火墙时,应考虑其性能、价格、方便等综合因素.
在这种内部网并不安全的环境下,采用低成本的无IP地址的专业过滤器,能保证较高的安全性.首先无IP地址、无连接和透明的专业过滤器系统能减少黑客的攻击;由于工作于网络层,避免了和上百用户的连接,能减少对网络性能的影响,提高了过滤器的吞吐量.专业过滤器是透明的,其不会影响合法的外部站点对内部服务器的访问.为了改变因包过滤器本身的复杂性和安全因素,过滤策略不容易被改变的缺点,系统中采用在Web服务器上开发的CGI程序,来动态改变专业过滤器上的过滤策略,向用户提供Web页面,接收用户的输入,处理后把结果以HTML文本返回给用户.
为了使合法用户能够管理自己的帐户和访问权限,首先必须得到服务器的认证,认证过程在内部的Web服务器上进行,这里把Web服务器称为管理服务器.鉴于内部网同样不安全,对内部用户的认证信息经加密后再在网上传送,避免信息被窃听.
前国内计费不同于国外,所以计费软件必须自己开发,传统的计费软件采用SNMP对路由器流量信息的采集方式,采集数据量非常大,由于路由器不能区分国内、国外IP地址,必须记录每一个和外部网连接站点的IP地址,以便计费软件统计流量.在本系统中专业过滤器能根据国内IP地址表区分国内、国外IP地址,对国内、国外分别统计出入流量,不需记录外部站点的IP地址,所以计费软件采集的数据量不大,可得到实时的流量信息.同时专业过滤器为用户提供了对国内、国外访问控制权的设置,如西安交通大学校园网为学生提供的低廉的国内浏览服务.鉴于上述原因系统采用的结构如图1所示.
用户和管理员在管理服务器认证后,可通过管理服务器改变专业过滤器上的过滤策略,从而起到控制访问权限的目的.管理员经管理服务器控制过滤器,使它对外屏蔽内部的内部的重要站点,对内屏蔽外部的不良站点.管理服务器分时段采集过滤器上统计的流量,并向用户提供计费查询.用户端不需安装特殊的软件,可通过浏览器操作.
4 系统实现
4.1 专业过滤器的实现
从图1所示的结构看,专业过滤器处在周边网络(perimeter network)〔6〕上,由于内部网中有内部路由器或内部网关,外部网中有外部路由器,所以不再需要有路由器的功能(如寻径、计算校验和、路由信息的广播、路由发现和建立路由表等功能),在网络中完全可以设计成象细缆一样透明(这里采用类似于透明桥的方式转发包).用路由器附带进行包过滤必然加重路由器的负担,现在由双穴主机来完成包过滤功能,而路由器只实现路由功能,这种类流水线作业比单台设备独立完成全部工作要省时间.
过滤器软件采用汇编语言针对网卡编程,硬件加速,改变传统单机上包驱动程序(packet driver)和(NDIS)中的严格等待发送和遇错重发机制(NE2000网卡在无冲突的10mbps以太网上,用DOS下的packet driver发100字节的包,每秒发包数达到7000个左右,用建立在Windows上的应用程序用NDIS发包,每秒只能发5000个左右).在实现的过滤器中,还使用自行开发的特殊硬件插卡,加快了用户权限的处理和流量统计过程,提高了过滤器的工作效率,使其能够支持更多的用户.
专业过滤器采用一台Pentium 133计算机,Intel网卡,它的软件系统由以下几部分组成:
(1)面向网卡硬件的驱动程序,完成对网卡的设置,实现数据帧的截获和对数据包的转发.
(2)对管理服务器的命令包的认证,接收用户和系统管理员的命令,维护系统的权限表,响应管理服务器上流量采集程序的采集.
(3)包过滤和流量统计模块,根据过滤器上的用户权限表,完成包的过滤功能和各类包的流量统计功能.对包的过滤主要依据用户的权限表(把IP地址、权限表和流量信息进行绑定),对IP、TCP和UDP等包的头信息进行检查从而允许或禁止包的通过.对外部站点的屏蔽采用黑名单法〔7〕,进入黑名单的IP地址块的站点不能被内部用户访问,同样这些站点也不能访问内部的任何站点,这可以控制外部非法的用户向内部的服务器发反动或广告信息.内部站点可以经过设置自己的权限,禁止外部站点的访问,从而起到保护作用.为了区分国内、国外地址和计费,系统中采用了下述方法.
假定国内IP地址块集为D,国内IP地址块Di(Di中由基地址Dib和偏移Dio组成)按从小到大排放,对于内部IP地址为A的用户,过滤器上为其留有四个流量表A1、A2、A3和A4分别记录国内出、国内入、国外出和国外入四种流量,当IP地址为A的用户访问外部IP地址为B的站点时,包长为L的请求包经过过滤器时是这样处理的.
(1) i = 1
(2)在D={D1,D2…Dn}中,检查B是否在Di中.
(3)如果Dib≤B≤Dib + Dio,转(6);如果B
(5) B为国外IP地址,A3 = A3+L转(7)
(6) B为国内IP地址,A1 = A1+L
(7)结束
对于进入的包也进行相应处理.流量表A1,A2,A3和A4从过滤器采集到管理服务器中后,管理服务器把它们和上次采集到的值A1’,A2’,A3’和A4’进行比较,如果A1≤A1’则本次采集的流量为A1-A1’,否则为A1-A1’+溢出最大值,流量表就象手表一样,如果在两次采集时间内流量不超过一圈(溢出最大值为1000GB),就能计算出本次所产生的流量,在系统中保证了在采集区段内用户产生的流量不超过溢出最大值.流量表储存在硬件中,断电自动保护.
4.2 管理服务器的实现
管理服务器应该完成用户的认证、口令等重要信息的加密与解密、和过滤器之间通信协议设置和管理过滤器的功能.管理服务器用CGI程序完成和过滤器之间的通信,采用Web技术和用户通信.
过滤器是基于数据帧的包过滤器,只对帧头、IP头和TCP头感兴趣,不涉及TCP包中的内容,传统用TCP和UDP包传送数据,如不作特殊处理,载送用户命令的包会被过滤器认为是普通包而只对其包头作检查.鉴于此,CGI程序和过滤器之间的通信必须构造自定义传输层包来传送命令数据,解决的方法是在IP头的协议域选一个保留值,然后构造自己的TCP包来传送命令,过滤器根据这个保留值来区分命令包和普通TCP包,进而分别对待.命令包处理过程如图2所示.管理服务器采用Windows 95作为操作系统,CGI程序采用Turbo C3.0开发,由于要构造自定义传输层协议包和对数据包的加密,所以采用Windows 95底层的NDIS开发数据包的发送和接收模块.
Web服务器和浏览器之间的数据加密方法国外一般采用SSL,但采用SSL需要取得第三方的X.509证书〔8〕,费用高,高安全的加密算法会影响管理服务器的处理能力,所以在系统中采用Applet对用户输入的敏感信息进行加密,Applet的字节码能减少对口令破解的危险,为了不影响管理服务器的处理能力,这里采用32位的RSA算法.首先由Javascript文本截获用户的输入,交给从Web服务器上下载的Applet程序用公钥加密,然后用post方法传给Web服务器上的CGI程序,CGI程序用私钥解密得到用户的口令等数据.为了防止命令数据包的仿冒和接管,在自定义传输层数据包中还加入了动态信息进行加密.
5 专业过滤器的性能分析
专业过滤器的带宽主要由网卡的通信速度、CUP速度和过滤程序的复杂性所决定.在开发过程中采用了在过滤程序的主循环中设置了三个计数器,记录过滤并通过的包数、截获的包数和丢弃的包数,计算过滤器达到的吞吐量.采用在10Mbps以太网上对过滤器两个方向上近似等量连续发送长度为100字节的数据帧,得到过滤器吞吐量随网络两边发包速度之和变化的曲线如图3所示.
从图3可以看出,过滤器两边的发包速度对过滤器的影响非常大,过滤器两边的发包速度太大会引起过滤器的拥塞,当网络两边的发包速度和达到5000pps(约4.8Mbps)左右时,过滤器吞吐量达到最佳值4500pps,这时过滤器两边网络吞吐量各达到4700pps左右.对于目前带宽只有几百Kbps的外线(如和外部Internet相连的DDN专线)来说已经能满足要求了,所以放在内部网的总出口不会产生太大的拥塞,如果要放在内部网中,用户数不能太多,以免阻塞.
6 结束语
基于专业过滤器的网络管理与安全系统结合了包过滤、用户认证、加密、硬件加速和计费等多种技术,采用浏览器界面,跨平台特性好;用户能参与管理自己的帐户,很好地控制内外用户的访问权限,同时减轻了周边路由器的负担.它费用低,适用面宽,不仅适用于校园网出口,也适用于在实验室和机房中用作访问权限控制和计费的工具,目前我们正用多处理机和双机来进一步提高过滤器的吞吐量.希望过滤器和与之配套的服务器能构成一个功能完备成本低廉的网络管理和计费的实用系统,提高网络管理水平,促进更多的用户放心地使用网络资源.
上海联兵环保科技有限公司
地址:上海市松江区工业区茸北分区茸阳路69号
总机:021-51691929
传真:021-57784244
免费电话:400-600-5030
技术支持:13641659499
E-mail:zhanglianbing@126.com
http://www.shlbhb.com
相关文章发表评论最近更新赞助商链接