基于端口引用访问的ACL/包过滤技术实现

冯乃光,程 曦

摘 要:为了在组网中防火墙的设置方式和实现技术。通过在端口应用中访问控制列表的包过滤技术组建防火墙。有效地控制了外部网络,只有特定用户可以访问内部服务器,而内部网络只有特定主机可以访问外部网络。在应用该技术进行组网后,防火墙在很大程度上有效地隔离了病毒的攻击,使网内用户很少受到网络病毒的攻击。与普通的防火墙相比有较强的防病毒的能力。

关键词:防火墙;过滤包;控制列表;组网

中图分类号:TP393.02文献标识码:A

文章编号:1004-373X(2009)20-082-03

Achievement of ACL/Packet Filtering Skill Based on Accessing of Port Adduction

FENG Naiguang1,CHENG Xi2

(1.Sichuan Radio and TV University,Chengdu,610073,China;2.Anqing TV University,Anqing,246003,China)

Abstract:The purpose of this article is to do research on the skills of setting and achievement of the network firewall,which is to build the firewall in the control list with filtrating skill while accessing the port.The result comes out to be effectively controlling access of the outer network to the inner server through particular users.Meanwhile,the inner network could only access the outer network through the particular mainframe.The conclusion is that the firewall has increased its ability a lot to quarantine the virus with building this firewall with the above skill.This leads to the result that only very few inner users get virus attack,which shows that it has much stronger ability to quarantine the virus than the ordinary firewall.

Keywords:firewall;packet filtering;control lists;network construction

0 引 言

Internet的发展为政府结构、企事业单位带来了革命性的改革和开放。他们正努力利用Internet提高办事效率和市场反应速度,以便更具竞争力。但随之带来的负面效应之一是数据在传输过程中可能存在不安全的因素。网络安全成为当今最热门的话题之一,很多企、事业单位为了保障自身服务器或数据安全都采用了防火墙。随着科技的发展,防火墙也逐渐被大众所接受。这里研究的是防火墙中核心技术的实现,即组网配置中防火墙设计技术的实现。

1 防火墙及ACL/包过滤技术简介

1.1 防火墙的的概念、分类及功能

简单地说,防火墙的作用是在保护一个网络免受“不信任”网络的攻击的同时,保证两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征:经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。现代的防火墙体系不仅是一个“入口的屏障”,而且是几个网络的接入控制点,所有经过被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进入的关口。因此防火墙不但可以保护内部网络在Internet中的安全,同时还可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络中,所有的计算机之间是被认为“可信任的”,它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的“策略”进行互相的访问。现在的许多防火墙同时还具有一些其他特点,如进行身份鉴别,对信息进行安全(加密)处理等。

防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为两大类,即包过滤和应用代理。包过滤(Packet Filtering),作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。应用代理(Application Proxy),也叫应用网关(Application Gateway),它作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际应用中的网关通常由专用工作站实现。

1.2 ACL/包过滤概念

ACL(Access Control Lists,存取控制列表)是一套与文件相关的用户、组和模式项,此文件为所有可能的用户ID或组ID组合指定了权限。ACL初期仅在路由器上支持,目前已经扩展到三层交换机,部分最新的二层交换机如2950等也开始提供ACL支持。只不过支持的特性不是那么完善而已。在其他厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。

ACL的基本原理是使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。

ACL/包过滤应用在路由器中,就为路由器增加了对数据包的过滤功能。ACL/包过滤实现对IP数据包的过滤,对路由器需要转发的数据包,先获取数据包的包头信息,包括IP层所承载的上层协议的协议号,数据包的源地址、目的地址、源端口和目的端口等,然后和设定的ACL 规则进行比较,根据比较的结果决定对数据包进行转发或者丢弃。

1.3 基于接口的ACL/包过滤技术

对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表(见图1)。

图1 ACL/包过滤工作过程

包过滤技术主要是设定一定的规则,控制数据包。路由器会根据设定的规则和数据包的包头信息比较,来决定是否允许这个数据包通过。

实现包过滤技术最核心内容就是访问控制列表。使用访问控制列表的目的主要是拒绝某些不希望的访问。此外访问控制列表具有区分数据包的能力。

访问控制列表按照数据包的特点,规定了一些规则,见图2。这些规则描述了具有一定特点的数据包,并且规定它们是被“允许”的还是被“禁止”的。这些规则的定义是按照数据包包头的特点定义的,例如可以这样定义:允许202.38.0.0/16网段的主机可以使用协议HTTP 访问129.10.10.1。禁止从202.110.0.0/16网段的所有访问。

图2 基于接口的访问控制列表规则

访问控制列表就可以提供这样的功能,它按照数据包的特点,规定了一些规则。

这些规则描述具有一定特点的数据包(例如所有源地址是202.10.10.0 地址段的数据包、所有使用 Telnet 访问的数据包等),并且规定它们是被“允许”的还是被“禁止”的。

这样可以将访问控制列表规则应用到路由器的接口,阻止一些非法的访问,同时并不影响合法用户的访问。访问控制列表提供了一种区分数据包种类的手段,它把各种数据包按照各自的特点区分成各种不同的种类,达到控制用户访问的目的。

用户可以通过 Internet 和外部网络进行联系,网络管理员都面临着一个问题,就是如何拒绝一些不希望的连接,同时又要保证合法用户进行的访问。

为了达到这样的效果,需要有一定的规则来定义哪些数据包是“合法”的(或者是可以允许访问),哪些是“非法”的(或者是禁止访问)。这些规则就是访问控制列表。

由于访问控制列表具有区分数据包的功能,因此,访问控制列表可以控制“什么样的数据包”,可以做什么样的事情。

例如,当企业内部网通过拨号方式访问 Internet,如果不希望所有的用户都可以拨号上网,就可以利用控制列表决定哪些主机可以触发拨号,以达到访问 Internet 的目的。

利用访问控制列表可以控制数据包的触发拨号,同样在IPSec(是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等)、地址转换等应用中,可以利用控制列表描述什么样的数据包可以加密,什么样的数据包可以地址转换等。

2 包过滤防火墙配置原理及配置实例

2.1 包过滤防火墙配置原理

包过滤防火墙的配置包括:允许或禁止防火墙;设置防火墙缺省过滤方式;设置包过滤防火墙分片报文检测开关;配置分片报文检测的上、下门限值;在接口上应用访问控制列表,使能或禁止包过滤防火墙,并在系统视图下进行配置,如表1所示。

表1 配置命令

操作命令

使能包过滤防火墙Firewall packet-filter enable

禁止包过滤防火墙Undo firewall packet-filter enable

系统缺省情况下,使能包过滤防火墙。

2.2 基于接口的ACL/包过滤防火墙典型配置实例

2.2.1 组网需求

以下通过一个公司配置防火墙的实例来说明防火墙的配置。

该公司通过一台 Quidway 安全网关的接口Ethernet1/0/0 访问Internet,安全网关与内部网通过以太网接口Ethernet0/0/0 连接。公司内部对外提供WWW,FTP和Telnet服务,公司内部子网为129.38.1.0,其中,内部FTP 服务器地址为129.38.1.1,内部Telnet 服务器地址为129.38.1.2,内部WWW服务器地址为129.38.1.3,公司对外地址为202.38.160.1。在安全网关上配置了地址转换,这样内部PC 机可以访问Internet,外部PC 可以访问内部服务器。通过配置防火墙,希望实现以下要求:

(1) 外部网络只有特定用户可以访问内部服务器;

(2) 内部网络只有特定主机可以访问外部网络。

现假定外部特定用户的 IP 地址为202.39.2.3。

2.2.2 组网图

图3为该包过滤防火墙组网配置图。

图3 包过滤防火墙组网配置图

2.2.3 配置步骤

第一步:在安全网关Quidway 上允许防火墙。

[Quidway] firewall packet-filter enable

第二步:设置防火墙缺省过滤方式为允许包通过。

[Quidway] firewall packet-filter default permit

第三步:创建访问控制列表3001。

[Quidway] ACL number 3001

第四步:配置规则允许特定主机访问外部网,允许内部服务器访问外部网。

[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.4 0

[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.1 0

[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.2 0

[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.3 0

[Quidway-ACL-adv-3001] rule deny ip

第五步:创建访问控制列表3002。

[Quidway] ACL number 3002

第六步: 配置规则允许特定用户从外部网访问内部服务器。

[Quidway-ACL-adv-3002] rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0

第七步:配置规则允许特定用户从外部网取得数据(只允许端口大于1024 的包)。

[Quidway-ACL-adv-3002] rule permit tcp destination 202.38.160.1 0

destination-port gt 1024

第八步:将规则3001 作用于从接口Ethernet0/0/0 进入的包。

[Quidway-Ethernet0/0/0] firewall packet-filter 3001 inbound

最后将规则3002 作用于从接口Ethernet1/0/0 进入的包。

[Quidway-Ethernet1/0/0] firewall packet-filter 3002 inbound

通过上述方法配置防火墙后,完全能达到外部网络只有特定用户可以访问内部服务器。内部网络只有特定主机可以访问外部网络的要求,并能有效识别欺诈型的IP地址。在实际应用过程中,该防火墙运行稳定,成本低廉,堵塞情况少,能对多数黑客攻击进行有效隔离。

3 结 语

随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。

另外,由于网络多媒体应用越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。因此为了使防火墙在接口处不造成数据堵塞,可使用专门的硬件处理网络数据流,比起ACL/包过滤的防火墙具有更好的性能,但成本较高,不利于普及。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。

参考文献

[1]张玉芳,熊忠阳,赖芳,等.IPv6下基于病毒过滤防火墙的设计与实现[J].计算机科学,2009(4):108-111.

[2]刘鹏远.Windows平台通用个人防火墙的分析与设计[J].计算机工程,2009(6):114-116,119.

[3]刘益洪,陈林.基于防火墙的网络安全技术分析[J].通信工程, 2008(6):136-138.

[4]钟乐海.网络安全技术[M].北京:电子工业出版社,2007.

[5]王永彪,徐凯声.用包过滤技术实现个人防火墙[J].计算机安全,2005(5):21-22,26.

[6]刘建伟.联动型网络安全系统的设计与实现[J].科学技术与工程,2009(3):1 614-1 616.

[7]张连银.防火墙技术在网络安全中的应用[J].科技资讯,2007(9):188-190.

[8]唐成华,胡昌振,崔中杰.基于域的网络安全策略研究[J].计算机工程,2007(9):131-133.

[9]曾旷怡,杨家海.一种基于策略的网络管理系统研究与实现[J].小型微型计算机系统,2007(2):218-223.

[10]Hazem Hamed,Ehab AI-Shaer.Taxonomy of Conflicts in Network Security Policies[J].IEEE Communications Magazine,2006,44(3):134-141.