FW防火墙应用代理的设计与实现.docVIP

FW防火墙应用代理的设计与实现* 刘峰 李涛 张炜 王耀 冷丽琴 肖赢 王先旺** 四川大学计算机系(西区) 成都 610065 摘要：本文介绍了FW1.0防火墙的应用代理的设计与实现，介绍的应用代理包括HTTP代理、FTP代理、TELNET代理和SMTP代理。 关键字：应用代理，防火墙，内容过滤  引言 伴随着Internet的迅猛发展，信息安全问题愈加突出。防火墙是保证网络安全的主要工具之一。目前我国网络安全产品的研究还处于初级阶段，显然，研究和开发具有自主知识产权的防火墙，具有无比重大的政治意义和经济价值。在四川省科学基金的支持下，四川大学计算机学院人工智能与网络安全实验室研究并开发了基于Linux的防火墙FW1.0。FW防火墙主要包括包过滤和应用代理两个部分。本文主要介绍FW1.0防火墙的应用代理部分的设计与实现。 2 FW防火墙应用代理的设计及实现 2.1 FW防火墙应用代理的总体设计 防火墙FW主要有包过滤子系统以及应用代理子系统组成。其中FW应用代理主要由：HTTP、FTP、TELNET、SMTP四个各自相对独立的应用代理组成。 不同代理分开实现，相互之间独立，以简化编程。根据配置的不同，代理可以由inetd启动，也可由系统初始化脚本启动，作为独立的守护进程运行。不同代理的总体结构相似，如图1所示。 初始化部分：当代理由系统初始化脚本启动时，它以守护进程的方式监听于特定端口。当请求到来时，它派生一个服务子进程，并复制连接套接字到0、1和2，服务子进程读写套接字描述符0、1、2就可以与客户通信。这样与由inetd启 动的服务进程保持相同的接口。 进程环境设置模块：这个模块的作用是读代理规则配置文件，并根据配置文件设置服务进程的运行环境，包括进程工作目录、UID、GID等。 通信处理模块：这个模块是代理的核心部分，处理与应用协议相关的安全问题，并充当客户与服务器通信的中间人。后面将介绍不同代理的通信处理模块的实现。 2.2代理通信模块的设计与实现 2.2.1 HTTP代理 HTTP代理可以处理HTTP、Gopher、FTP等协议。HTTP代理首先分析客户使用的协议，然后根据不同的协议进行处理。 对HTTP协议，首先与代理规则相匹配，看是否允许客户的当前请求或者首先需要认证。如果需要认证，对于HTTP1.1及其更新版本的客户，如果请求中有Proxy-Authorization头，解析用户名和口令，并与认证服务器通信，验证用户身份；否则，发送407响应，并包含Proxy-Authenticate头域。对版本号低于1.1的客户，由于其不能识别Proxy-Authenticate头,故仅通知它当前请求需要认证用户身份。如果客户的请求被允许，首先对请求消息的头域进行处理（主要是Hop-to-Hop型的头域），然后把客户的请求向前传递。对服务器的响应，如果包含HTML文件，根据规则配置，可对JAVA、javascipt、Activex和vbscript等脚本进行过滤，并可进行基于关键词的内容过滤。对服务器响应的其他文本文件，也可进行基于关键词的内容过滤。然后把处理后的响应传递给客户。另外，HTTP代理使用了cache技术和条件GET请求来优化性能，并支持持久连接(persistent connections)。 对Gopher协议和FTP协议，也可对传输的文件进行内容过滤。对FTP协议，仅提供以匿名方式登录FTP服务器。无论客户使用标准方式（PORT命令）还是被动方式（PASV命令）建立数据连接，代理与服务器的数据连接均优先使用被动方式。这样，代理具有较好的包过滤特性[5]。 2.2.2 FTP代理 FTP使用“USER 用户名@服务器：端口”的方式向FTP代理传递远程服务器的地址信息。FTP代理与远程服务器的数据连接优先使用被动方式。 FTP代理还提供了自定义命令AUTH和RESPONSE用于用户身份认证。认证的过程如下：当代理发现用户的请求需要首先进行身份认证时，它向提示客户需要首先进行身份认证。用户使用AUTH命令把用户名传送给代理，如果代理还没有与认证服务器连接，那么先与认证服务器连接，并把用户名传送给认证服务器。认证服务器根据查找认证数据库，如果存在此用户，根据用户使用的认证协议作出响应。代理把认证服务器的响应传给客户，客户根据响应及认证协议做答。代理把用户的回答传送给认证服务器进行验证。认证服务器把验证结果通知代理。如果验证 通过，则允许请求；否则，提示用户重新进行认证或拒绝用户请求（认证的次数超过了配置的最大值）。如果认证失败的次数超过了配置的最大值，此用户将被锁定一段时间。 2.2.3 TELNET代理 TELNET使用TELNET代理自定义的SERVER命令指定要访问的远程服务器