论文部分内容阅读
本文针对防火墙中透明模式和流过滤技术进行了研究与实现。 很多网络在建设初期并未考虑到安全问题,然而网络安全日益重要。防火墙是保护内网安全的最有效手段,如何在不改变网络各种配置和拓扑的情况下,方便、经济地在原有网络中接入防火墙,成为防火墙应用中面临的一大问题。防火墙按照接入方式是否透明分为透明模式和非透明模式两种,透明模式较非透明模式有诸多优点。 传统防火墙均是非透明的,近两年国内才陆续出现一些实现透明模式的防火墙产品,其实现基本是两种方案,网桥模式或ARP透明代理结合转发策略,两者都有一定弊端。鉴于此,本文从透明模式防火墙的特征和功能出发,探讨了其本质、技术实现要点及可行性方案,给出有别于上述两方案的实现:网卡置于混杂模式,保留MAC地址,IP重组、检查、转发过程一气呵成,将透明模式的实现融合在IP重建中,使得整个防火墙体系结构更加紧凑,提高了效率。 防火墙的核心技术可概括分为包过滤和应用代理,面对网络攻击日益向应用层发展,二者都显得力不从心。流过滤是防火墙技术中一个新概念,它代表了一种全新的防火墙体系结构,不但克服包过滤和应用代理的诸多缺陷,而且融合了它们的优点,提高了抗攻击性。 据调研,目前国内只有东软的产品NetEye实现了流过滤技术,但并非报道的那样对应用完全透明,仅是支持应用协议扩展而已。研究相关技术文档,以流过滤的功能实现为目的,对TCP、应用层协议以及TCP网络应用过程报文传输规律深入研究、分析,依次得出了流过滤的含义、基本实现原理和技术实现要点,找到一种对应用透明的流过滤实现方案:根据是否含应用数据、所含应用数据的种类、并结合标志位,将TCP报文分为4类;对不同种类TCP报文进行不同处理;对含有成块数据流的这类TCP报文,通过专用TCP,在维持双方TCP连接的同时,将其滞留、重组、检查,若合法再继续双方的TCP连接将其转发,整个过程透明:对其他种类TCP报文,以状态检测为主搭配该报文特点来过滤。方案的关键为专用TCP的构建,不同于通用操作系统中以RFC文档为模板的标准TCP实现。 保留MAC地址,同一数据结构下的IP报文重组、检查、转发过程一气呵成,将透明模式融合在IP重建过程中实现;在对TCP报文采取分类处理的指导思想下,通过重建专用TCP来实现流过滤;这些均为本文创新之处。最后实验结果表明本文提出的方案切实可行,基本达到预期效果。