044浅析包过滤技术样本
(样本只提供该系统的基本情况介绍,若需要完整的设计和论文,建议您购买本系统,凡是购买本站系统的,本站均根据您的要求,把系统上的开发信息,题目等修改成符合您的要求)
本设计包含内容:毕业论文+开题报告+答辩稿
论文大概:
浅析包过滤技术
1 前言
2 TCP/IP协议的安全问题
3 防火墙和包过滤技术简介
一、 数据包
二、 数据包过滤是怎样工作的
三、 包过滤的优缺点
四、 包过滤处理内核
4、截获网络封装包
5、驱动程序和应用程序间的通讯
6
包过滤算法
7 过滤规则设置
8 记录和报警
致 谢
参考书目
摘
要
随着网络的迅速发展,各种各样的网络软件也随之出现,人们的生活和学习对网络的依赖也越来越多,但问题也接踵而来,网站被攻击,病毒泛滥,信息被窃取,使人们面临这样一个问题:网络是否安全?
而防火墙正是网络的保护伞,形形色色的防火墙很多,本文通过介绍包过滤技术实现防火墙,使大家对防火墙的知识有进一步的了解。
本文通过介绍如何运用包过滤技术实现防火墙,深入的剖析了防火墙中所用到的各种技术,
本文首先分析了目前流行的网络互连协议——TCP/IP协议存在的安全问题及Internet网的不安全性,然后给出了Internet网安全可行的解决方案——防火墙技术,同时分析了传统防火墙系统存在的不足,介绍了通过微软的NDIS
中间驱动程序实现网络封装包,以及驱动程序与应用程序之间的通讯方法.
关键词 包过滤技术 TCP/IP
NDIS
中间层驱动程序
1.1.1 1 前言
随着计算机网络的发展,网络的开放性、共享性、互连程度扩大,比如Internet网的出现,一些网络新业务开始兴起,比如电子商业(electronic
commerce)数字货币(digital
csash)、互联网络银行等,安全问题显得越来越重要,成为关键之所在。因此网络安全成了数据通信领域研究和发展的一个重要方向,目前,网络互连的协议一般采用TCP/IP协议,TCP/IP协议在制订之初,没有把安全考虑在内,所以没有安全可言,协议中存在很多的安全问题,由此人们开始研究各种各样的网络安全技术来保证网络安全,方法主要有两种,一种是制订一个新的安全的网络互连协议,比如IPv6,另一种是在兼容目前网络系统的基础上开发网络安全产品来保证网络上的信息安全,前一种目前不是很现实,因此现在唯一可行的解决方法就是采用网络安全技术,比如密码技术、防火墙技术等,现解决网络安全问题的一个有效方法就是在内部网和外部网之间设置防火墙,因此,研究防火墙包过滤技术,无任从理论上还是实际应用中都具有十分重要的意义,
1.1.2 2 TCP/IP协议的安全问题
Internet是基于TCP/IP协议的,TCP/IP协议具有网络互连能力强、网络技术独立,支持FTP、TELNET、SMTP和HTTP等标准τ眯椋悄壳澳芄宦阋?种计算机、异构网络互连要求的网络互连协议,但是由于它在制定之初,没有考虑安全性问题,因此协议中存在着很多安全问题,主要有:
(1)
TCP/IP协议数据流采用明文传输,因此数据信息很容易被在线窃听、篡改和伪造,特别是在使用FTP和TELNET时,用户的帐号、口令是明文传输,所以攻击者可以截取含有用户帐号、口令的数据包,进行攻击,例如使用SNIFFER程序、SNOOP程序、网络分析仪等;
(2)
源地址欺骗(Source address
spoofing),TCP/IP协议是用IP地址来作为网络节点的唯一标识,但是节点的IP地址又是不固定的,因此攻击者可以直接修改节点的IP地址,冒充某个可信节点的IP地址,进行攻击;
(3)
源路由选择欺骗(Source Routing spoofing),TCP/IP协议中,IP数据包为测试目的设置了一个选项——IP
Source
Routing,该选项可以直接指明到达节点的路由,攻击者可以利用这个选项进行欺骗,进行非法连接,攻击者可以冒充某个可信节点的IP地址,构造一个通往某个服务器的直接路径和返回的路径,利用可信用户作为通往服务器的路由中的最后一站,就可以向服务器发请求,对其进行攻击,在TCP/IP协议的两个传输层协议TCP和UDP中,由于UDP是面向非连接的,因而没有初始化的连接建立过程,所以UDP更容易被欺骗; (4)
路由选择信息协议攻击(RIP
Attacks),RIP协议用来在局域网中发布动态路由信息,它是为了在局域网中的节点提供一致路由选择和可达性信息而设计的,但是各节点对收到的信息是不检查它的真实性的,TCP/IP协议没有提供这个功能,因此攻击者可以在网上发布假的路由信息,利用ICMP的重定向信息欺骗路由器或主机,将正常的路由器定义为失效路由器,从而达到非法存取的目的;
(5)
鉴别攻击(Authentication
Attacks),TCP/IP协议只能以IP地址进行鉴别,而不能对节点上的用户进行有效的身份认证,因此服务器无法鉴别登录用户的身份有效性,目前主要依靠服务器软件平台提供的用户控制机制,比如UNIX系统采用用户名、口令,虽然口令是密文存放在服务器上,但是由于口令是静态的、明文传输的,所以无法抵御重传、窃听,而且在UNIX系统中常常将加密后的口令文件存放在一个普通用户就可以读的文件里,攻击者也可以运行已准备好的口令破译程序来破译口令,对系统进行攻击;
(6)
TCP序列号欺骗(TCP Sequence number
spoofing),由于TCP序列号可以预测,因此攻击者可以构造一个TCP包序列,对网络中的某个可信节点进行攻击。
因为Internet网是基于TCP/IP协议的,所以TCP/IP协议中存在的安全技术缺陷导致了Internet网的不安全,另外,Internet网是一个国际性的互连网络,中间环节多,也使得整个网络的安全性很难得到保证。为了解决这个问题,目前有效的解决方法是采用防火墙技术。
1.1.3 2、防火墙和包过滤技术简介
网络防火墙是一种用来加强网络之间访问控制的特殊网络互连设备,它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,其中被保护的网络称为内部网络或私有网络,另一方则称为外部网络或公用网络,它能有效地控制内部网络与外部网络之间的访问及数据传送,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。一个好的防火墙系统应具有以下五方面的特性:(1)所有在内部网络和外部网络之间传输的数据必须通过防火墙;(2)只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙;(3)防火墙本身不受各种攻击的影响;(4)使用目前新的信息安全技术,比如现代密码技术等;(5)人机界面良好,用户配置使用方便,易管理。
防火墙技术主要分为两大类:一是包过滤技术,一般作用在网络层(IP层),主要根据防火墙系统所收到的每个数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位来进行判定,根据系统设定的安全策略来决定是否让数据包通过,其核心就是安全策略即过滤算法的设计;另一类是代理(Proxy)[3],它作用在应用层,它用来提供应用层服务的控制,起到外部网络向内部网络申请服务时中间转接作用,内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。这两类技术各有优缺点,包过滤技术速度快、实现方便,但审计功能差,过滤规则的设计存在矛盾关系,过滤规则简单,安全性差,过滤规则复杂,管理困难,代理技术则既能进行安全控制又可以加速访问,安全性好,但对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制,而每一种网络应用服务的安全问题各不相同,分析困难,因此实现也困难。
传统防火墙系统一般只采用一种防火墙技术,并且只基于IP地址进行安全控制,且很少采用信息安全技术,比如数据加密、身份认证等,因此安全性不高,为了解决这个问题,提高系统的安全性,一个基于包过滤、代理技术和密码技术的防火墙系统,从一定程度上解决了TCP/IP协议存在的安全问题,提高了系统的安全性,包过滤防火墙存在的几个不易实现的技术难题,FTP、X.11、DNS服务的过滤。所以一般采用采用双层防火墙系统,比如整个系统分为两层,内层是带包过滤功能的路由器,外层是代理服务器。包过滤防火墙只接受代理服务器发出的服务请求和内部网络发起的服务连接,代理服务器负责向公共网用户提供内部网络允许的网络服务。
而包过滤技术是防火墙最基本的实现技术,具有包过滤技术的装置是用来控制内、外网络数据流入和流出,包过滤技术的数据包大部分是基于TCP/IP协议平台的,对数据流的每个包进行检查,根据数据报的源地址、目的地址、TCP和IP的端口号,以及TCP的其他状态来确定是否允许数据包通过。
数据包过滤是一个网络安全保护机制。它是用来控制流出和流入网络的数据。主要讨论以下内容:
(1)
数据包;
(2) 数据包过滤是怎样工作的;
(3) 数据包过滤的主要优点;
(4)
包过滤路由器的选择与包过滤系统集成。
一、
数据包
为了理解数据包过滤,首先讨论一下数据包,以及它们在每一个TCP/IP协议层的处理过程:
(1)
应用层(例如,FTP、Telnet和Http);
(2) 传输层(TCP 或UDP);
(3)
因特网络层(IP);
(4)
网络访问(以太网、FDDI、ATM等)。
包的构造有点像洋葱一样,它是由各层连接的协议组成的。在每一层,包都由包头与包体两部分组成。在包头中存放与这一层相关的协议信息,在包体中存放包在这一层的数据信息。这些数据也包含了上层的全部信息。在每一层上对包的处理是将从上层获取的全部信息作为包体,然后依本层的协议在加上包头。这种对包的层次性操作(每一层均加上一个包头)一般称为封装。
在应用层,包头含有需被传送的数据。当构成下一层(传输层)的包时,传输控制协议(TCP)或用户数据报协议(UDP)从应用层将数据全部取来,然后在加装上本层的包头。当构筑再下一层(网间网层)的包时,IP协议将上层的包头与包体全部当做本层的包体,然后再加装上本层的包头。在构筑最后一层(网络接口层)的包时,以太网或其它网络协议将IP层的整个包作为包体,再加上本层的包头。
与封装过程相反,在网络连接的另一边(接收方)的工作是解包。即在另一边,为了获取数据就由下而上依次把包头剥离。
在数据包过滤系统看来,包的最重要信息是各层依次加上的包头。在下文中将主要介绍各种将被包过滤路由器检查的包的包头内容。
二、
数据包过滤是怎样工作的
包过滤技术可以允许或不允许某些包在网络上传递,它依据以下的根据:
(1)将包的目的地址作为判断依据;
(2)将包的源地址作为判断依据;
(3)将包的传送协议作为判断依据。
大多数包过滤系统判断是否传送包时都不关心包的具体内容。作为防火墙包过滤系统只能让我们进行类似以下情况的操作:
(1)不允许任何用户从外部网用Telnet登录;
(2)允许任何用户使用SMTP往内部网发电子邮件;
(3)只允许某台机器通过NNTP往内部网发新闻。
但包过滤不能允许我们进行如下操作:
(1)允许某个用户从外部网用Telnet登录而不允许其它用户进行这种操作;
(2)允许用户传送一些文件而不允许用户传送其它文件。
数据包过滤系统不能识别数据包中的用户信息。同样数据包过滤系统也不能识别数据包中的文件信息。包过滤系统的主要特点是让用户在一台机器上提供对整个网络的保护。以Telnet为例,假定不让客户使用Telnet而将网络中现有机器上的Telnet服务关闭,作为系统管理员在现有的条件下可以作到,但是不能保证在网络中新增机器时,新机器的Telnet服务也被关闭或其它用户就永远不在重新安装Telnet服务。如果有了包过滤系统,由于只要在包过滤中对此进行设置,也就无所谓机器中的Telnet服务是否存在的问题了。
路由器为所有用户进出网络的数据流提供了一个有用的阻塞点。而对有关的保护只能由网络中的特定位置的过滤路由器来提供。比如,我们考虑这样的安全规则,让网络拒绝任何含有内部邮件的包——就是那种看起来好象来自于内部主机而其实是来自于外部网的包,这种包经常被作为地址伪装入侵的一部分。入侵者总是用这种包把他们伪装成来自于内部网。要用包过滤路由器来实现我们设计的安全规则,唯一的方法是通过参数网络上的包过滤路由器。只有处在这种位置上的包过滤路由器才能通过查看包的源地址,从而辨认出这个包到底是来自于内部网还是来自于外部网。
三、
包过滤的优缺点
1.包过滤的优点
包过滤方式有许多优点,而其主要优点之一是仅用一个放置在战略要津上的包过滤路由器就可保护整个网络。如果站点与因特网间只有一台路由器,那么不管站点规模有多大,只要在这台路由器上设定合适的包过滤,我们的站点就可以获得很好的网络安全保护。
包过滤不需要用户软件的支撑,也不要求对客户机做特别的设置,也没有必要对用户做任何培训。当包过滤路由器允许包通过时,它看起来与普通的路由器没有任何区别。此时,用户甚至感觉不到包过滤功能的存在,只有在有些包在禁入和禁出时,用户才认识到它与普通路由器的不同。包过滤工作对用户来讲是透明的。这种透明就是可在不要求用户作任何操作的前提下完成包过滤。
包过滤产品比较容易获得。在市场上有许多硬件和软件的路由器产品不管是商业产品还是从网上免费下载的都提供了包过滤功能。比如,Cisco公司的路由器产品就包含有包过滤功能。Drawbrige、KralBrige以及Screened也都具有包过滤功能,而且还能从Internet上免费下载。
2.
包过滤的缺点
尽管包过滤系统有许多优点,但是它仍有缺点和局限性:
1)
在机器中配置包过滤规则比较困难;
2) 对包过滤规则设置的测试也很麻烦;
3)
许多产品的包过滤功能有这样或那样的局限性,要找一个比较完整的包过滤产品很难。
包过滤系统本身就存有某些缺陷,这些缺陷对系统的安全性的影响要大大超过代理服务对系统的安全性的影响。因为代理服务的缺陷仅仅会使数据无法传送,而包过滤的缺陷会使得一些平常应该拒绝的包也能进出网络,这对系统的安全性是一个巨大的威胁。
即使在系统中安装了比较完整的包过滤系统,我们也会发现对有些协议使用包过滤方式不太合适。比如,对Berkeley的“r"命令(rcp、rsh、rlogin)和类似于NFS和NIS/YS协议的RPC,用包过滤系统就不太合适。有些安全规则是难以用包过滤规则来实现的。比如,在包中只有来自于哪台主机的信息而无来自于哪个用户的信息。因此,若要过滤用户就不能使用包过滤。
四.包过滤处理内核
过滤路由器可以利用包过滤作为手段来提高网络的安全性。过滤功能也可以由许多商用防