分布式防火墙系统安全问题的研究与实现.zip

摘要
防火墙在保护内部网络安全中发挥着重要作用，然而随着计算机网络的迅速发展和广泛应用，传统防火墙的局限性逐渐暴露出来。为了保留传统防火墙的优点同时克服它所存在的缺陷，美国AT&T实验室研究员Steven M. Bellovin于1999年首次提出了“分布式防火墙” (Distributed Firewalls ，DFW)的概念，给出了分布式防火墙的基本框架。
本文讨论了分布式防火墙系统中的安全问题，分布式防火墙中的安全主要包括主机的安全和通信的安全，主机的安全由主机防火墙来保护，通信的安全包括通信数据的机密性、完整性和数据源的认证，这通过使用密码学技术来实现。
为了保障分布式防火墙系统中的主机安全，在应用层和核心层上对进出主机的网络数据包进行过滤，其中应用层采用Winsock 2 SPI技术，核心层使用NDIS HOOK进行过滤。为了防止策略数据的泄密，解决数据传输中的安全问题，设计了S－SPI安全通信方案。在分析总结现有的一些密码协议的基础上，设计了系统中进行安全通信的认证方案，并用形式化分析方法对其正确性进行了证明，这一方案也可以用于其它分布式系统中的安全通信。最后分析了系统的不足之处，并提出了系统的改进方向。

关键词：网络安全；分布式防火墙；主机防火墙；BAN逻辑；传输服务提供者；NDIS钩子；安全服务提供者接口
 

ABSTRACT
Firewalls have played an important role in protecting the security of interior networks. However, with the rapid development and extensive applications of computer networks, the deficiencies of conventional firewalls appear gradually. In order to retain the advantages and overcome the limitations of the conventional firewalls, Steven M.Bellovin, a member of AT&T Lab, proposed the “Distributed Firewalls” for the first time in 1999, and brought forward the basic framework of distributed firewalls.
This paper discusses the security problems in distributed firewalls. The security in distributed firewalls is mainly involved with host and communication aspects. The host is protected by host firewall module. The communication security includes the secrecy and the integrity of transported data and the data origin authentication, which are implemented by cryptographic technology. 
To guarantee the host security of distributed firewall, we apply packets filtering mechanism to incoming/outgoing packets in both application layer and kernel layer. Winsock 2 SPI technology is used in application layer and NDIS HOOK method is adopted in kernel layer to filter network packets. In order to prevent the divulgence of policy data and resolve the problem of transported data security, the S-SPI scheme is designed. The authentication scheme of secure communication, which correctness is proved by the formal methods, is designed through analyzing and summarizing existing cryptographic protocols. It also can be used in other distributed system’s secure communication. Finally, analyzing the scarcities of the system, some improved proposals are put forward.

Keywords:   Network Security；Distributed Firewall；Host Firewall；BAN Logic；Service Provider Interface；NDIS Hook；Security Service Provider Interface

目录
引言 1
第一章 分布式防火墙的提出 3
1.1 防火墙的定义 3
1.2 分布式系统及其优缺点 4
1.3 传统防火墙存在的问题 4
1.4 分布式防火墙系统的结构及运行机制 5
1.5 分布式防火墙的特点 6
1.6 小结 7
第二章 防火墙实现原理与技术 8
2.1 包过滤防火墙 8
2.2 代理型[2,11]防火墙 9
2.3 Windows下的网络包截获技术 10
2.3.1 Windows网络体系结构 10
2.3.2 Windows下的应用层封包截获技术 12
2.3.3 Windows下的核心层包过滤技术 13
2.4 小结 15
第三章 密码学及其在网络通信安全中的应用 16
3.1 网络通信中存在的安全问题及防范策略 16
3.2 密码学基本概念及算法 16
3.2.1 基本概念 16
3.2.2 对称密钥加密体制 18
3.2.3 公开密钥加密体制 20
3.3 消息认证 22
3.3.1 消息认证码 (Message Authentication Code，MAC) 22
3.3.2 Hash函数 23
3.3.3 数字签名(Digital Signature) 23
3.4 密码协议及其形式化分析 24
3.4.1 密钥交换协议 24
3.4.2 认证协议 25
3.4.3 认证协议的形式化分析 26
3.5 小结 28
第四章 分布式防火墙系统主机安全的研究与实现 29
4.1 基于SPI技术的应用层包过滤 29
4.1.1 SPI技术简介 29
4.1.2 SPI传输服务提供者的安装与启动 30
4.1.3 SPI包过滤的实现 30
4.1.4 不同进程间数据的共享 34
4.2 基于NDIS Hook的核心层包过滤实现 35
4.2.1 实现原理[33,34] 35
4.2.2 NDIS Hook驱动和应用层的通信 36
4.2.3 发送数据包的解析 36
4.2.4 接收数据包的处理 38
4.2.5 NDIS Hook的安装与启动 40
4.3 小结 41
第五章 分布式防火墙系统通信安全解决方案 43
5.1 利用SPI技术构建分布式防火墙系统中的安全通信 43
5.2 通信的安全策略(SP)和安全关联(SA) 44
5.3 S-SPI加密封包格式 45
5.4 S-SPI数据包的处理 46
5.4.1 外出数据包的处理 46
5.4.2 S-SPI进入数据包的处理 47
5.4.3 S-SPI封包处理的效率与安全性分析 48
5.5 密钥的分配方案 49
5.5.1 HFW与CMC之间主共享密钥的分发 49
5.5.2 HFW与CMC间会话密钥的交换 52
5.5.3 HFW间通信时会话密钥的交换 54
5.6 小结 55
第六章  研究总结与改进 57
6.1 研究总结 57
6.2 改进建议 58
6.2.1 关于DOS攻击的防范措施 58
6.2.2 主机防火墙的诊断模型 58
6.3 结束语 59
附录  TCP/IP协议中的包结构 60
致谢 61
缩略词 62
参考文献 63
发表论文 66