校园网防火墙的开发应用
摘要
本次校园网防火墙的设计是通过对现有防火墙技术进行综合分析后提出的。在充分利用现有防火墙技术优点的基础上,实现对防火墙技术的改进和完善。
首先从TCP/IP协议的角度分析了加强网络安全的必要性,包括传输的数据和各类应用服务的安全性;其次从网络安全的角度分析了各类网络攻击的原理和攻击者常用的手段;再次,具体地介绍了防火墙设计的一般规则和具体过程以及Red hat Linux下ipchains防火墙工具的工作原理和使用方法;最后,在前面理论分析的基础上并从校园网本身的特点出发,提出了校园网防火墙设计的策略和采取的设计开发方法:在借鉴前人成果的基础上,完善并实现防火墙的功能。
本次校园网防火墙的设计主要包括两个方面:一方面是校园网防火墙系统的体系设计,主要采用了堡垒主机的防火墙技术,实现对子网的完全屏蔽,在这方面,是在借鉴前人的基础上完成防火墙总体体系的设计;另一方面是校园网防火墙的功能设计,在这方面主要是在完善和改良以往防火墙的功能,提出了日志分析和数据包首部字段组合处理,在对数据包处理方面采用不同的处理方法:日志、阻拦、重定向。
校园网防火墙实现了如下几个方面的功能:
(1)、对子网的屏蔽
本次设计采用堡垒主机的技术,利用三个网络接口分别是:外部网络接口、公共服务接口、内部网络接口。这样三者中任何两者之间的通信都可以被控制,从而实现对子网的安全保护。
(2)、对同一用户在一定时间内访问次数的控制
本次设计在防火墙系统上,对用户的访问次数进行了限制,有效地控制了用户可能发动的拒绝服务之类的攻击,此功能是通过限制同一IP源地址在一定时间内访问同一服务端口的次数来实现的。
(3)、对数据包首部的组合分析
在本次设计中,增加了对数据包首部字段数的处理,将数据包首部中能确定攻击的字段组合起来加以考虑。通过对常用攻击工具的分析将它们的首部字段值记录下来形成规则,每通过一个数据包就和记录下来的规则比较,看是否为可疑的或危险数据,再进一步进行处理。
(4)、对防火墙日志的分析处理
本次设计通过对信息分析技术的分析研究,采用了人工神经网络(BP算法)的技术,此种技术智能性好,通过对历史数据进行学习后,就可以判断每一条日志记录,是否已经出现过,与先前的日志信息是否是同一类信息,能及时有效的发现日志中的攻击信息或可疑信息。
本次校园网防火墙的设计,在借鉴前人的基础上,利用它们的优点,并扩展、完善它们的功能。在设计过程中,充分考虑了防火墙系统的灵活性和可扩展性。本次设计的防火墙系统在北方工业大学校园网上测试成功。
The design of firewall of campus network is a kind of special design of firewall. In the course of designing, it needs the support of the general firewall theory on one hand, On the other hand, has special designing requirement.
At first ,in theory, have analysed the necessity of strengthenning the safety of network in terms of TCP/IP, including data wrap up and all kinds of security of application service ; Secondly have analysed the principles and the commonly methods of network attack; Moreover, have concretely introduced the general rule and concrete course of design of firewall and the principles and methods of IPCHAINS, a kind firewall tool under the Linux; Finally, put forward the intercepting strategy of campus network firewall and the design development approach adopted in this design.
The design of campus network firewall includes two respects mainly: On one hand is the system design of campus network firewall, mainly adopting the technology of Bashion Host; Another, the design of function of campus network firewall, mainly perfect and improve the function of firewall in the past, in this respect, put forward log analysis with artificial neural network and packet head association deal with.
Campus network fire wall realized the following several functions :
(1)The group analyse of packet head the whole analysis of packet head can find net attack correctly;
(2)AnaIyzing and processing to log of firewall Adopt artificial neural network that can effectively find information of log;
(3)The control of the same user's access at a fixed period of time Block the attacks of denial of service, effectively.
At the designing and realizing of campus network firewall, fully considers the flexibility and the extension of system.
首先从TCP/IP协议的角度分析了加强网络安全的必要性,包括传输的数据和各类应用服务的安全性;其次从网络安全的角度分析了各类网络攻击的原理和攻击者常用的手段;再次,具体地介绍了防火墙设计的一般规则和具体过程以及Red hat Linux下ipchains防火墙工具的工作原理和使用方法;最后,在前面理论分析的基础上并从校园网本身的特点出发,提出了校园网防火墙设计的策略和采取的设计开发方法:在借鉴前人成果的基础上,完善并实现防火墙的功能。
本次校园网防火墙的设计主要包括两个方面:一方面是校园网防火墙系统的体系设计,主要采用了堡垒主机的防火墙技术,实现对子网的完全屏蔽,在这方面,是在借鉴前人的基础上完成防火墙总体体系的设计;另一方面是校园网防火墙的功能设计,在这方面主要是在完善和改良以往防火墙的功能,提出了日志分析和数据包首部字段组合处理,在对数据包处理方面采用不同的处理方法:日志、阻拦、重定向。
校园网防火墙实现了如下几个方面的功能:
(1)、对子网的屏蔽
本次设计采用堡垒主机的技术,利用三个网络接口分别是:外部网络接口、公共服务接口、内部网络接口。这样三者中任何两者之间的通信都可以被控制,从而实现对子网的安全保护。
(2)、对同一用户在一定时间内访问次数的控制
本次设计在防火墙系统上,对用户的访问次数进行了限制,有效地控制了用户可能发动的拒绝服务之类的攻击,此功能是通过限制同一IP源地址在一定时间内访问同一服务端口的次数来实现的。
(3)、对数据包首部的组合分析
在本次设计中,增加了对数据包首部字段数的处理,将数据包首部中能确定攻击的字段组合起来加以考虑。通过对常用攻击工具的分析将它们的首部字段值记录下来形成规则,每通过一个数据包就和记录下来的规则比较,看是否为可疑的或危险数据,再进一步进行处理。
(4)、对防火墙日志的分析处理
本次设计通过对信息分析技术的分析研究,采用了人工神经网络(BP算法)的技术,此种技术智能性好,通过对历史数据进行学习后,就可以判断每一条日志记录,是否已经出现过,与先前的日志信息是否是同一类信息,能及时有效的发现日志中的攻击信息或可疑信息。
本次校园网防火墙的设计,在借鉴前人的基础上,利用它们的优点,并扩展、完善它们的功能。在设计过程中,充分考虑了防火墙系统的灵活性和可扩展性。本次设计的防火墙系统在北方工业大学校园网上测试成功。
The design of firewall of campus network is a kind of special design of firewall. In the course of designing, it needs the support of the general firewall theory on one hand, On the other hand, has special designing requirement.
At first ,in theory, have analysed the necessity of strengthenning the safety of network in terms of TCP/IP, including data wrap up and all kinds of security of application service ; Secondly have analysed the principles and the commonly methods of network attack; Moreover, have concretely introduced the general rule and concrete course of design of firewall and the principles and methods of IPCHAINS, a kind firewall tool under the Linux; Finally, put forward the intercepting strategy of campus network firewall and the design development approach adopted in this design.
The design of campus network firewall includes two respects mainly: On one hand is the system design of campus network firewall, mainly adopting the technology of Bashion Host; Another, the design of function of campus network firewall, mainly perfect and improve the function of firewall in the past, in this respect, put forward log analysis with artificial neural network and packet head association deal with.
Campus network fire wall realized the following several functions :
(1)The group analyse of packet head the whole analysis of packet head can find net attack correctly;
(2)AnaIyzing and processing to log of firewall Adopt artificial neural network that can effectively find information of log;
(3)The control of the same user's access at a fixed period of time Block the attacks of denial of service, effectively.
At the designing and realizing of campus network firewall, fully considers the flexibility and the extension of system.
引文
1 徐磊 校园网的安全策略 计算机工程 第26卷 增刊 2000,10
2 Michael J. Assels Computer Security at Concordia: Past Problems, Proposed Plans Computer Science ConcordiaUniversity http://compserv.concordia.ca/Computing_Services/geninfo/Policy/policy.html
3 刘占全 网络管理与防火墙技术 人民邮电出版社2000
4 [美]Robert L.Ziegler著 余青霓译 Linux防火墙 人民邮电出版社2000
5 黄锦 李家滨 基于防火墙日志信息的入侵检测研究 计算机工程 第27卷 第9期2001.9
6 刘美兰 南相浩 姚京松 基于审计的入侵检测系统 计算机工程第26卷 增刊2000.10
7 周昕 刘勇 沈熙 谢俊元 Linux安全性能改进研究 计算机工程第27卷 第10期2001.10
8 Chris Coleman Firing up Firewalls http://www.onlamp.com/pub/a/onlamp/2001/10/19/firewalls.html
9 Anton Chuvakin A Comparison of iptables Automation Tools http://online.securityfocus.com/infocus/1410
10 Gianluca Insolvibile Kernel Korner: Inside the Linux Packet Filter http://www.linuxjournal.com/artide.php?sid=4852
11 Matt Curtin Internet Firewalls:Frequently Asked Questions http://www.enteract.com/~lspitz/pubs.html
12 Lance Spitzner Honeypots Definitions and Value of Honeypots http://www. enteract.com/~lspitz/pubs.html
13 Lance E.Spitzner Intrusion Detection—Knowing when someone is knocking on your door.http://www.enteract.com/~lspitz/pubs.html
14 Kevin Fenzi Wreski Linux Secerity HOWTO http://www.hideaway.net/Server_Security/Library/Linux/linux.html
15 Xie Huagang LIDS Hacking HOWTO http://www.hideway.net/ServerS_ecurity/Library/IDS/LIDS.html
16 Mark Grennan Firewall HOWTO http://www.hideway.net/Server_Security/Library/firewall/firewall.html
17 David A. Ranch Linux IP Masquerade HOWTO http://www.linuxsecurity.com/resources/linux ip masquerade howto..html
18 周世斌 宾晓华 董占球 口令窃取的基本途径及其防护对策 计算机工程与应用第37卷 第20期2001.10
19 闫巧 喻建平 谢维信 基于系统调用的神经网络异常检测技术 计算机工程第27卷 第9期2001.9
20 王辉 邵佩英 以状态检测实施基于角色的网络访问控制 计算机工程第27卷 第10期2001.10
21 胡睿 张冬茉 杜蓬 用有限状态图来识别系统入侵 计算机工程与应用第37卷 第20期2001.1
22 [美]Anonymous Maximum Linux Security 电子工业出版社2000.5
23 胡伟栋 汪为农 分布式拒绝服务攻击及其防范 计算机工程第26卷 增刊2000.10
2 Michael J. Assels Computer Security at Concordia: Past Problems, Proposed Plans Computer Science ConcordiaUniversity http://compserv.concordia.ca/Computing_Services/geninfo/Policy/policy.html
3 刘占全 网络管理与防火墙技术 人民邮电出版社2000
4 [美]Robert L.Ziegler著 余青霓译 Linux防火墙 人民邮电出版社2000
5 黄锦 李家滨 基于防火墙日志信息的入侵检测研究 计算机工程 第27卷 第9期2001.9
6 刘美兰 南相浩 姚京松 基于审计的入侵检测系统 计算机工程第26卷 增刊2000.10
7 周昕 刘勇 沈熙 谢俊元 Linux安全性能改进研究 计算机工程第27卷 第10期2001.10
8 Chris Coleman Firing up Firewalls http://www.onlamp.com/pub/a/onlamp/2001/10/19/firewalls.html
9 Anton Chuvakin A Comparison of iptables Automation Tools http://online.securityfocus.com/infocus/1410
10 Gianluca Insolvibile Kernel Korner: Inside the Linux Packet Filter http://www.linuxjournal.com/artide.php?sid=4852
11 Matt Curtin Internet Firewalls:Frequently Asked Questions http://www.enteract.com/~lspitz/pubs.html
12 Lance Spitzner Honeypots Definitions and Value of Honeypots http://www. enteract.com/~lspitz/pubs.html
13 Lance E.Spitzner Intrusion Detection—Knowing when someone is knocking on your door.http://www.enteract.com/~lspitz/pubs.html
14 Kevin Fenzi Wreski Linux Secerity HOWTO http://www.hideaway.net/Server_Security/Library/Linux/linux.html
15 Xie Huagang LIDS Hacking HOWTO http://www.hideway.net/ServerS_ecurity/Library/IDS/LIDS.html
16 Mark Grennan Firewall HOWTO http://www.hideway.net/Server_Security/Library/firewall/firewall.html
17 David A. Ranch Linux IP Masquerade HOWTO http://www.linuxsecurity.com/resources/linux ip masquerade howto..html
18 周世斌 宾晓华 董占球 口令窃取的基本途径及其防护对策 计算机工程与应用第37卷 第20期2001.10
19 闫巧 喻建平 谢维信 基于系统调用的神经网络异常检测技术 计算机工程第27卷 第9期2001.9
20 王辉 邵佩英 以状态检测实施基于角色的网络访问控制 计算机工程第27卷 第10期2001.10
21 胡睿 张冬茉 杜蓬 用有限状态图来识别系统入侵 计算机工程与应用第37卷 第20期2001.1
22 [美]Anonymous Maximum Linux Security 电子工业出版社2000.5
23 胡伟栋 汪为农 分布式拒绝服务攻击及其防范 计算机工程第26卷 增刊2000.10