分布式防火墻策略分发系统的设计.docVIP

分布式防火墙策略分发系统的设计 武汉职业技术学院轻工学院 叶莉 摘 要:随着网络技术的发展和网络规模的扩大，传统防火墙单一控制点逐渐成为网络性能的瓶颈和安全隐患。基于“策略集中定义，分散实施，日志集中收集”的思想，分布式防火墙很好的解决了传统防火墙面临的问题，更加适应了网络的发展需求。本文设计了一个基于SOAP的分布式防火墙安全策略分发方法，详细描述了服务器端和防火墙端的体系结构及各子功能模块，并给出了该系统关键技术的实现,并论证了基于SOAP的分布式防火墙策略分发方案的技术可行性。 关键词：网络安全，分布式防火墙，策略分发 1 引言 在对分布式防火墙策略分发的实现方案研究的基础上，针对构建的新型三层分布式防火墙的体系结构中“推送”、“索取”以及“查询”的策略分发机制,本文对汇聚防火墙以及边界防火墙“查询”策略的部分给予实现。 2 运行环境 策略控制中心管理主机:Windows2003 操作系统、SQL Server 2000 、Apache Web服务器、Apache SOAP工具包；终端防火墙:Redhat Linux9、Netfilter/iptables防火墙。 Netfilter/iptables的数据包过滤过程如下图： 图1 数据包过滤过程 Netfilter是Linux网络防火墙实现的基础，它提供了一个抽象、通用化的框架，包含5个部分：①为每种网络协议定义一套钩子函数，IPv4定义了5个钩子函数，对应协议的数据包将按照一定的规则通过这些钩子，每一个钩子都是处理函数挂载点；②内核模块可以在各个钩子上注册处理函数，实现挂接，以操作经过对应钩子的数据包；③函数处理后，根据一定的策略返回给内核进行下一步的处理；④任何在IP层要被抛弃的IP数据包在真正抛弃之前都要进行检查；⑤5个钩子函数的位置如下：NF_IP_PRE_ROUTING：数据包在抵达路由之前经过这个钩子；NF_IP_LOCAL_IN：目的地为本地主机的数据包经过这个钩子，防火墙建立在这里；NF_IP_FORWARD：目的地非本地主机的数据包经过这个钩子；NF_IP_LOCAL_OUT：本地主机发出的数据包经过这个钩子；NF_IP_POST_ROUTING：数据包在离开本地主机之前经过这个钩子。在防火墙的实现过程中，NF_IP_LOCAL_IN被调用，并向Netfilter返回NF_ACCEPT和NF_DROP这两个值。 Iptables组件是一种工具，也称为用户空间，它使插入、修改和除去数据包过滤表中的规则变得容易。通过使用用户空间，可以构建自己的定制规则，这些规则存储在内核空间的数据包过滤表filter表中。当数据包进入系统时，系统首先根据路由表决定数据包发给哪一条链，则可能有三种情况：①如果数据包的目的地址是本机，则系统将数据包送往INPUT链。②如果数据包的目的地址不是本机，这个包将被转发，则系统将数据包送往FOR做RD链。③如果数据包是由本地系统进程产生的，则系统将其送往OUTPUT链。如果通过规则检查，则该包被发给相应的本地进程处理。如果没通过规则检查，系统就会将这个包丢掉。Netfilter/iptables系统使其用户可以完全控制防火墙配置和数据包过滤。它允许为防火墙建立可定制化的规则来控制数据和过滤。 3 系统的总体设计 3.1 服务器端的总体设计 服务器端包括代理层、功能层和数据层。 1)代理层 代理层提供分布式防火墙管理的Web界面，管理员通过浏览器完成管理工作。管理工作具体包括:①组的管理，添加、修改、删除、显示组。②防火墙管理:添加、修改、删除、显示防火墙。③防火墙的配置管理，包括策略管理:在防火墙中添加、修改、删除、显示策略。④发布策略及发布失败处理。⑤性能监测及日志察看。⑦用户管理及登录认证。 2)功能层 功能层包括身份验证模块、日志管理模块、策略制定模块、策略实施模块。(1)身份验证模块 当防火墙端发起获取策略请求时，须首先对防火墙的身份进行验证，然后查看策略文件，决定是否允许对方的请求。身份验证模块通过系统密码、一次性密码、证书等身份验证方案来提供安全保障。主要包括:用户身份验证、客户身份验证和会话身份验证。用户身份验证可以提供Http，FTP，Telnet和Rlogin连接固有的身份验证，它直接利用了这些应用层协议内部的身份验证功能。客户身份验证可以向那些自身未提供身份验证功能的服务提供身份验证。会话身份验证可以提供对远程端点主机的身份验证，主要采用证书鉴别的形式。每种验证类型都将维护一个验证连接表，只有在连接初始化时才进行身份验证。身份验证后就可以建立连接，并将相关的连接信息写入连接表中。对于连接建立以后的过程中进行的后续分组交换，将根据源/目标IP地址及源/目标TCP/UDP端口这样的参数进行身份识别，并和连接表内某条