防火墙包过滤规则的优化和分析Word文件下载.docx

1、先介绍当今包过滤防护区的国内外概况和它的理论意义、实用价值，再对包过滤防火墙技术进行简介，通过包过滤防火墙的技术特点、工作原理，以及数据包过滤技术，和它的具体实现，来对防火墙的包过滤技术进行研究和优化。关键词：防火墙，Windows 2000，包过滤，优化ABSTRACTWith the fast development in the network technique,the hackers and virus have brought huge damage to the Internet customers annually,and personal firewalls have eme

2、rged.Some firewalls filtrate data packets,and the safety is lower.Some firewalls work in the NDIS layer so that they can carry on filtration to all data packets,and their safety is better.A packet filtering firewall has been designed and implemented.It can capture the data packet in the core of Wind

3、ows,filter on driving level.The optimization of the packet filtering perfomance has completed by using the techology of multithreading.First introduce the current packet filtering protection area in China and Abroad and its theoretical significance, practical value, and then on the packet filtering

4、firewall technology introduction, through the packet filtering firewall technology features, working principle, and packet filtering technology, and its specific to achieve, to the firewalls packet filtering technology was studied and optimized.Key word: Firewall,Windows 2000,packed filtering,Optimi

5、zation第一章 引言1.1 课题的国内外概况包过滤防火墙是最简单的一种防火墙，它在网络层截获网络数据包，根据防火墙的规则表，来检测攻击行为。包过滤防火墙一般作用在网络层（IP层），故也称网络层防火墙（Network Lev Firewall）或IP过滤器（IP filters）。数据包过滤（Packet Filtering）是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。包过滤防火墙工作在网络层，对数据包的源及目地 IP 具有识别和控

6、制作用，对于传输层，也只能识别数据包是 TCP 还是 UDP 及所用的端口信息，如下图所示。现在的路由器、Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。简单介绍近年来,Internet的快速增长促进了信息技术的飞速发展,它的迅猛成长正在使世界成为一个整体。但随之而来的是数据的完整性与安全性问题。人们一方面要把自己的内部网接入Internet,以便公司成员可以最大可能地利用Internet 上的资源,同时大家都需要把自己的数据有意识地保护

7、起来,以防数泄密及受到外界对内部系统的恶意破坏。而当前能采用的有效措施就是防火墙。防火墙大致可以分为两大类:包过滤防火墙和代理防火墙。其中包过滤技术由于可以与现有的路由器集成,也可以用独立的包过滤软件实现,使用较灵活,应用比较广泛。本文由此展开,主要介绍包过滤。开始文章介绍了一些网络的基本概念，数据包截取需要用到的非常重要的库函数winpcap的结构。在此基础上回顾了当前包过滤技术研究的进展和现状，着重介绍了包过滤的原理、以及优点和缺点。最后介绍了一个在单机上实现的简单的对指定端口实现数据包抓取的程序。随着网络技术的飞速发展，网络安全问题日益突出。防火墙是目前广泛使用的一种网络安全技术，已成为

8、企业内部与公用网络之间的一道必备的屏障，个人用户也纷纷安装了个人防火墙软件。防火墙往往放在网络的出口，成为一个信息流量的阻塞点，若造成网络阻塞，再安全的防火墙也无法应用。在实现中需要解决的主要问题是如何提高包过滤的性能。本文研究目标是实现一种基于Windows的包过滤型防火墙。其核心问题是如何基于NDIS中间驱动程序在Windows内核中截获数据包，并提高包过滤的性能。1.2本论文题目的理论意义和实用价值 防火墙技术的发展离不开社会需求的变化，着眼未来，我们注意到以下几个新的需求。 远程办公的增长。这次全国主要城市先后受到 SARS 病毒的侵袭，直接促成大量的企事业在家办公，这就要求防火墙既能

9、抵抗外部攻击，又能允许合法的远程访问，做到更细粒度的访问控制。现在一些厂商推出的 VPN （虚拟专用网）技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙，这样可以确保信息的保密性，又能成为识别入侵行为的手段。 内部网络 “ 包厢化 ” （ compartmentalizing ）。人们通常认为处在防火墙保护下的内网是可信的，只有 Internet 是不可信的。由于黑客攻击技术和工具在 Internet 上随手可及，使得内部网络的潜在威胁大大增加，这种威胁既可以是外网的人员，也可能是内网用户，不再存在一个可信网络环境。由于无线网络的快速应用以及传统拨号方式的继续存在，内网受到了前

10、所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里，全国各地的分支机构共享一个论坛，都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的 “ 包厢 ” ，对每个 “ 包厢 ” 实施独立的安全策略。Internet 的迅速发展,为人们提供了发布信息和检索信息的场所,但同时它也带来了信息污染和信息被破坏的危险,网络的安全性问题已成为一个重要研究课题。在Internet上存在两种安全性问题:Internet服务本身所固有的脆弱性;主机配置和访问控制难于实现或过于复杂而产生的安全漏洞。Internet 安全的脆弱性的表现形式主要有Internet蠕虫（Worm） ,身份验证机制的脆

11、弱性,网上传输的信息易窃取及易被欺骗等。其中蠕虫程序与计算机病毒有区别,它是一个独立、完整的程序,本身并不损坏任何文件或窃取信息,但它严重干扰了网络的正常操作,使受感染的计算机处于重负载状态,拒绝其他机器用户的服务请求。而通过破译口令的加密方式和截获传递口令报文的方法,就可以获得该帐户的权限,其身份验证机制的脆弱性由此表现出来。特别是一些TC 或UD 服务的身份验证仅仅依赖报文中的IP 地址,管理员不能对某个用户定义访问权限,必须以主机为单位来定义访问权限,该主机上所有用户的权限都一样,这样就容易产生安全问题. 当使用Telnet或FTP与远程主机相连并进行身份验证时,使用的用户口令以明文的形

12、式在Internet上传输,这样只需监视、截获连接中包含用户名和口令的IP 报文,就很容易获得某台主机的帐户。E-mail在网上也是以明文传输,通过监视网上交换的电子邮件可以获得有关某个站点的信息。第二章 包过滤防火墙技术2.1 包过滤防火墙技术简介防火墙是专用网络系统，旨在防止XX的访问或从。防火墙是用于防止XX的Internet网络的互联网连接的用户访问私营，尤其是内部网，虽然使用防火墙保护互联网从单一的电脑也越来越大，随着越来越多的电脑用户成为世界知道，网络安全问题的。防火墙可以是即时通讯 在硬件和软件，或两者相结合的，一般可分为下列之一类别： 数据包过滤 ， 应用网关 ， 电路级网关和

13、代理服务器 。虽然他们都 不同层次的不同情况在实用性和缺点，本文只处理数据包过滤器，如他们更有可能得到有效的硬件实现研究。包过滤字段的标题是基于他们对网络资源的众所周知的方法限制访问滤波要求的能力，按照指定的数据包分类过滤规则。这些规则可以看作是头字段的逻辑功能的数据包。分类数据包也出现在计算其他领域，如路由，策略路由，区分交通服务质量，然而，并非所有的人都使用或需要分类的基础上多包头中的字段。例如，一个简单的包转发路由器只需要根据数据包进行分类在一个领域（目的地的IP地址）来执行正确的路线。过滤的概念和分类是紧密联系在一起，因此，这些条款将用于在本文件比较松散，除非区别要避免混淆。总的想法包

14、过滤，或分类，是人开始在后来扩大由他人创立和雅各布森，虽然包分类问题时，防火墙的主要焦点本文件的背景是计算机网络在许多领域。快速和有效的数据包分类在多个领域的头是一个具有挑战性的问题。主要有两种方法来实施该系统的过滤： 翻译为基础和模式为基础 。第一种方法由一个指令集的规范规则和一名翻译引擎解释处理能力的指示表，而后者匹配图案用一些比较机制，不需要翻译引擎。它也可以使用这些做法都一起实现方便和效率之间的平衡。防火墙是内部、外部两个网络之间的一个阻隔，通过允许和拒绝经过防火墙的数据流，防止不希望的、未授权的通信，并实现对进、出内部网络的服务和访问的审计和控制防火墙对网络用户提供访问控制服务和通信

15、安全服务，对网络用户基本上是“透明”的，并且只有授权的管理员方可对防火墙进行管理。防火墙一般要解决的安全问题可分为被保护系统（即内部网）的安全问题和自身的安全问题。防火墙产品主要分为两类:包过滤和应用级防火墙本标准规定了包过滤防火墙的各级安全要求。包过滤防火墙根据安全功能策略建立包过滤规则。过滤规则的主要要素有源IP地址、目的IP地址、协议号、源端口、目的端口、连接标志和另外一些IP选项，以及包到达或发出的接口。现在的路由器、 Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。包过滤防火墙是用一个软件查看所流经的数据包的包头（header），由此决

16、定整个包的命运。它可能会决定丢弃（DROP）这个包，可能会接受（ACCEPT）这个包（让这个包通过），也可能执行其它更复杂的动作。在Linux系统下，包过滤功能是内建于核心的（作为一个核心模块，或者直接内建），同时还有一些可以运用于数据包之上的技巧，不过最常用的依然是查看包头以决定包的命运。2.2 防火墙包过滤技术的特点 包过滤防火墙工作在网络层，对数据包的源及目地IP具有识别和控制作用，对于传输层，也只能识别数据包是TCP还是UDP及所用的端口信息，如下图所示。现在的路由器、Switch Router以及某些操作系统已经具有用Packet Filter控制的能力。由于只对数据包的IP地址、T

17、CP/UDP协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。（1）优点：对于一个小型的、不太复杂的站点，包过滤比较容易实现。因为过滤路由器工作在IP层和TCP层，所以处理包的速度比代理服务器快。过滤路由器为用户提供了一种透明的服务，用户不需要改变客户端的任何应用程序，也不需要用户学习任何新的东西。因为过滤路由器工作在IP层和TCP层，而IP层和TCP层与应用层的问题毫不相关。所以，过滤路由器有时也被称为“包过滤网关”或“透明网关”，之所被称为网关，是因为包过滤路由器和传统路由器不同，它涉及到了传输层。过滤路由器在价格上一般比代理服务器便宜。（2）缺点：一些包过滤网关不支持有效的用

18、户认证。规则表很快会变得很大而且复杂，规则很难测试。随着表的增大和复杂性的增加，规则结构出现漏洞的可能性也会增加。这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题，会使得网络大门敞开，而用户其至可能还不知道。在一般情况下，如果外部用户被允许访问内部主机，则它就可以访问内部网上的任何主机。包过滤防火墙只能阻止一种类型的IP欺骗，即外部主机伪装内部主机的IP，对于外部主机伪装外部主机的IP欺骗却不可能阻止，而且它不能防止DNS欺骗。虽然，包过滤防火墙有如上所述的缺点，但是在管理良好的小规模网络上，它能够正常的发挥其作用。一般情况下，人们不单独使用包过滤网关，而是将它和其

19、他设备（如堡垒主机等）联合使用。综上可见，包过滤防火墙技术面太过初级，就好比一位保安只能根据访客来自哪个省市来判断是否允许他（她）进入一样，难以履行保护内网安全的职责。2.3 包过滤防火墙工作原理包过滤防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数

20、是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。第一代：静态包过滤 这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议（TCP、UDP、ICMP等等）、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。图2.3.1 简单包过滤防

21、火墙第二代：动态包过滤 这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（Stateful Inspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。图2.3.2 动态包过滤防火墙包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少

22、上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。包过滤是一种内置于Linux内核路由功能之上的防火墙类型，其防火墙工作在网络层。（1）使用过滤器。数据包过滤用在内部主机和外部主机之间，过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。用于过滤数据包的路由器被称为过滤路由器。数据包过滤是通过

23、对数据包的IP头和TCP头或UDP头的检查来实现的，主要信息有：IP源地址IP目标地址协议（TCP包、UDP包和ICMP包）TCP或UDP包的源端口TCP或UDP包的目标端口ICMP消息类型TCP包头中的ACK位数据包到达的端口数据包出去的端口在TCP/IP中，存在着一些标准的服务端口号，例如，HTTP的端口号为80。通过屏蔽特定的端口可以禁止特定的服务。包过滤系统可以阻塞内部主机和外部主机或另外一个网络之间的连接，例如，可以阻塞一些被视为是有敌意的或不可信的主机或网络连接到内部网络中。（2）过滤器的实现。数据包过滤一般使用过滤路由器来实现，这种路由器与普通的路由器有所不同。普通的路由器只检查

24、数据包的目标地址，并选择一个达到目的地址的最佳路径。它处理数据包是以目标地址为基础的，存在着两种可能性：若路由器可以找到一个路径到达目标地址则发送出去；若路由器不知道如何发送数据包则通知数据包的发送者“数据包不可达”。过滤路由器会更加仔细地检查数据包，除了决定是否有到达目标地址的路径外，还要决定是否应该发送数据包。“应该与否”是由路由器的过滤策略决定并强行执行的。路由器的过滤策略主要有：拒绝来自某主机或某网段的所有连接。允许来自某主机或某网段的所有连接。拒绝来自某主机或某网段的指定端口的连接。允许来自某主机或某网段的指定端口的连接。拒绝本地主机或本地网络与其它主机或其它网络的所有连接。允许本地

25、主机或本地网络与其它主机或其它网络的所有连接。拒绝本地主机或本地网络与其它主机或其它网络的指定端口的连接。允许本地主机或本地网络与其它主机或其它网络的指定端口的连接。2.4 数据包过滤技术这种技术是在网络中适当的位置对数据包实施有选择的通过，选择依据，即为系统内设置的过滤规则（通常称为访问控制表-Access Control List），只有满足过滤规则的数据包才被转发至相应的网络接口，其余数据包则被从数据流中删除。包过滤在本地端接收数据包时，一般不保留上下文，只根据目前数据包的内容做决定。根据不同的防火墙的类型，包过滤可能在进入、输出时或这两个时刻都进行。可以拟定一个要接受的设备和服务的清单

26、，一个不接受的设备和服务的清单，组成访问控制表。在主机或网络级容易用包过滤接受或决绝访问，例如，可以允许主机A和主机B之间的任何IP访问，或者拒绝除A外的任何设备对B的访问。包过滤的设置: 必须知道什么是应该和不应该被允许的，即必须制定一个安全策略。 必须正式规定允许的包类型、包字段的逻辑表达。 必须用防火墙支持的语法重写表达式。下面是我就一个简单的按地址数据包过滤方式，它按照源地址进行过滤。比如说，认为网络202.110.8.0是一个危险的网络，那么就可以用源地址过滤禁止内部主机和该网络进行通信。在网络中数据是以数据包的形式传输的。这样，当数据包经过防火墙时，防火墙可以检查数据包中的那些信息

27、，然后根据规则决定是否允许该包通过，就源地址过滤而言，防火墙只要检查目标地址和源地址就可以了。表1.1表示的是根据上面的政策所制定的规则。表1.1 过滤规则示例规则方向源地址目标地址动作A出内部网络202.110.8.0拒绝B入 这种方式没有利用全部信息，对于当今网络攻击的发展以无法满足防火墙的需求，下面是一种更为先进的过滤方式按服务过滤。假设安全策略是禁止外部主机访问内部的E-mail服务器（SMTP，端口25），允许内部主机访问外部主机，实现这种的过滤的访问控制规则类似表1.2。规则按从前到后的顺序匹配，字段中“*”代表任意值，没有被过滤器规则明确允许的包将被拒绝。就是说，每一条规则集都跟

28、随一条含蓄的规则，就像表1.2中的规则C。这与一般原则是一致的：没有明确允许就被禁止。任何一种协议都是建立在双方的基础上的，信息流也是双向的，所以在考虑允许内部用户访问Internet时，必须允许数据包不但可以出站而且可以入站。同理，若禁止一种服务，也必须从出站和入站两方面制定规则，规则总是成对出现的。表 1.2规则表源端口目的地址目的端口注释进m*E-mail25不信任允许允许联接C双向缺省状态下面，通过一个包过滤实例来讲解分析。第一，假设处于一个C类网116.111.4.0，认为站点202.208.5.6上有不健康的BBS，所以希望阻止网络中的用户访问该点的BBS；再假设这个站点的BBS服

29、务是通过Telnet方式提供的，那么需要阻止到那个站点的的出站Telnet服务，对于Internet的其他站点，允许内部网用户通过Telnet方式访问，但不允许其他站点以Telnet方式访问网络。第二，为了收发电子邮件，允许SMTP出站入站服务，邮件服务器是IP地址为116.111.4.1。第三，对于WWW服务，允许内部网用户访问Internet上任何网络和站点，但只允许一个公司的网络访问内部WWW服务器，内部WWW服务器的IP地址为116.111.4.5，因为你们是合作伙伴关系，那个公司的网络为98.120.7.0。 根据上面的安全策略可以得到表1.3。 表1.3 过滤规则示例协议目标端口ACK设置116.111.4.0202.108.5.6TCP102323任意是D11