基于C++的计算机防火墙的设计与实现

摘? 要 随着Interent的飞速发展，网络安全问题越来越受到人们的关注，防火墙己经成网络安全的重要产品，边界防火墙作为一种有效的网络安全技术，提供了对企业内部网络的保护，但在不断扩大的网络规模和日益多样化的网络技术面前，边界防火墙的缺也日益突出，它很难实现网络的安全性和网络性能之间的均衡。 为了克服传统防火墙的缺陷，而又保留其优点，人们提出了分布式防火墙的概念分布式防火墙的本质特征可概括为“策略集中制定分散实施，日志分散产生集中保存安全策略必须有管理员统一制定，策略必须被推到网络的边缘即主机上实施，日志必统一收集、集中管理。 本文首先分析了目前传统防火墙的作用和存在的问题，接着对分布式防火墙的经构、关键技术以及优势进行了深入地研究，并对分布式防火墙的相关技术以及研究领较有代表性的几种模型进行了比较总结。 其次，通过对防火墙策略的定义、实施和分发机制的研究，对分布式防火墙的略管理进行了探讨，并对策略执行器的功能、特点和相关技术做了系统的分析。 再次，通过对策略执行器的实施方案的比较，以及结构，处理流程和稳定性的分并结合我国目前网络的实际状况，实现了一个分布式防火墙系统，给出了系统中包过滤模块的软件实现。 最后，总结了全文并提出了一些值得研究的问题。 关键词：防火墙，包过滤，策略执行器，NDIS 1.1 课题背景 随着互联网的飞速发展和网络应用的普及，计算机网络己经成为人们生活中必不可少的一部分，但是由于互联网的开放性和跨区域等特点，使它在安全性上存在一些隐患。并且互联网作为电子商务和电子政务运行的重要平台，其安全性越来越受到各级用户的普遍关注。人们在享受信息化带来的众多好处的同时，也面临着日益突出的信息安全问题，比如:网络环境中国家机密和商业秘密的保护，特别是政府上网后对机密敏感信息的保护;网上各种行为者的身份确认:高度网络化的各种业务信息系统的正常运行并不受破坏;网络银行、电子商务、各类资金管理系统中的支付与结算的准确真实和金融机构数据保护与管理系统的不被欺诈，都将成为企业形象、商业利益、国家安全和社会稳定的焦点。所以研究和开发网络安全技术已是一项必不可少和非常迫切的任务。 在目前的网络安全产品中，使用最多的是“边界防火墙”。作为网络安全的第一道屏障，它是最早出现的网络安全产品，实现技术也最为成熟。但是面对不断扩大的网络规模和越来越复杂的网络拓扑结构，边界防火墙的缺陷也日益突出。为了切实保障网络的安全，不断满足网络中不断出现的最新需求，迫切需要对传统的边界防火墙体系结构进行改造。分布式防火墙将分布式技术和防火墙技术相结合，扩展了边界防火墙系统架构，在保留边界防火墙优势的同时，弥补了边界防火墙的不足，作为一种新型的网络安全解决方案，受到了广泛的关注。 1.2 国内外研究现状 目前总的来说国外的一些著名的网络设备开发商在分布式防火墙技术方面更加先进，所提供的产品性能也比较高，主要采用“软件十硬件”形式，如美国网络安全系统公司开发生产了集成分布式防火墙技术的硬件分布式防火墙、3COM，CISCO开发了嵌入式防火墙PCI卡或Pc卡，但负责集中管理的还是一个服务器软件。如3COM公司就开发了一整套分布式防火墙系统，防火墙服务器管理软件安装于服务器上，其它各种防护工作或成员服务器就只需安装防火墙功能网卡，这些网卡的防火墙功能受中心管理软件统一配置和管理。国内的一些分布式防火墙技术方面略逊一筹。主机防火墙可以是集成了分布式防火墙技术的硬件产品，而防火墙服务器则采用软件形式，以适应更加灵活和高智能的要求，不过也有许多是以纯软件形式提供的，如北京安软科技有限公司EverLink Distributed Firewall就是一款分布式防火墙软件系统。EverLink分布式防火墙依靠包过滤、特洛伊木马过滤和脚本过滤的三层过滤检查，保护个人计算机在正常使用网络时不会受到恶意的攻击，提高了其网络安全属性:同时，为方便管理，所有分布式防火墙的安全策略由统一的中央策略管理服务器进行设置和维护，服务器由系统管理员专人监管，这样就降低了分布式防火墙的使用成本，同时提高了安全保障能力。这里，安全策略包括安全级别以及相关的安全属性。 关于分布式防火墙的很多方面的研究工作还在进行当中，目前对分布式防火墙的研究主要集中在两个方面: (1) 分布式防火墙系统的策略管理和信任管理，确保策略分发的安全性。 (2) 主机防火墙的实现机制和功能扩展。 主机防火墙是分布式防火墙系统的重要组成部分，它驻留在每个受保护的主机上， 执行由管理中心统一制定和分发的安全策略。从部署的位置来看，主机防火墙和个人防 火墙比较相似，但是作为分布式防火墙系统的策略执行节点，它与个人防火墙在管理方 式、运行及实现机制上又有着本质的区别。目前的主机防火墙在设计和实现上还有许多 不足之处，主要体现在以下方面: (1) 实现机制有待改进 分布式防火墙运行在企业(或其他组织)的环境中，它既防范外部的恶意攻击，也对 内部人员的行为加以约束，然而内部的用户可能不会给予配合，错误的操作、甚至恶意 的行为可能造成对主机防火墙的破坏，另外来自网络的攻击〔一些特殊的木马、蠕虫等) 也使主机防火墙的正常运行面临威胁，主机防火墙在运行期间一旦被破坏或关闭，将使 整个分布式防火墙体系出现安全漏洞，从而造成分布式防火墙系统节点失效的问题，因 此主机防火墙在实现机制上必须有一定的抵御攻击的能力，并且应该提供对节点失效的 发现和响应机制，这是主机防火墙设计和实现过程中所面临的主要困难。 现有的主机防火墙产品主要有两种实现方式:一种是硬件实现，把主机防火墙的策略执行机制嵌入到网络接口设备中。这种主机防火墙提供了较高的性能和安全性，但功 能非常有限，成本很高，并且仍然存在驻留主机的软件部分的安全性问题;另一种是软 件实现，现有的软件实现的主机防火墙产品大都沿用了个人防火墙的设计思想和实现技 术，虽然功能相对丰富，但在设计和实现上很少考虑自身的安全性。改进主机防火墙的 实现机制，特别是软件实现机制，提高主机防火墙自身的安全性和抵御攻击的能力，确 保主机防火墙持续、有效、稳定的运行是主机防火墙在设计和实现过程中急需解决的一 个问题。 (2) 功能有待扩展 ? ???在分布式防火墙系统中，主机防火墙是策略的执行者，其所提供的控制功能也直接 体现了整个分布式防火墙系统的控制能力，同时也影响到管理中心对策略的制定。在不 使策略的制定过于复杂的情况下，应该充分利用驻留在终端系统的优势，丰富主机防火 墙的控制功能。其中一个比较突出的问题就是如何提供对单机多用户的支持。分布式防 火墙的策略分发是针对主机而不是针对用户的，用户无法更改本机所执行的安全策略。 这种针对主机的策略执行机制在一些环境中限制了分布式防火墙的应用，例如在组织中 如果存在单机多用户的情况，主机防火墙就无法根据不同的用户实施不同的安全策略。 分布 式 防 火墙为大型网络加入了一层防范入侵的分布式保护层，其主机防火墙能够 集成到移动Pc，桌面系统和各类服务器中，为企业构建网络安全解决方案提供了良好的 基础。随着网络应用的发展和普及，各种大型的企业、组织，例如政府机构、金融机构 以及各类的医疗机构等等，将对可靠的网络安全解决方案产生巨大的需求，因此对分布 式防火墙的研究与应用是十分必要的，而且有着重要的现实意义。