有关防火墙免疫系统的设计与实现探析
- 作者:admin 来源:网络 日期:2009-1-12 1:31:54
2、审计分析模块
审计分析模块包含审计模块和分析模块。不仅提供审计记录而且能对其进行全面的分析。分析包括来自于防火墙两个方向的数据流。两个模块联动工作,相辅相成。审计模块启动,分析模块在后台联动进行分析总结工作,得到相应的分析报告。报告记录了与攻击相关的详细信息,一方面为追踪攻击者的踪迹提供线索,另一方面又可以作为依据修改防火墙的安全规则,在安全列表里添加一项屏蔽这个入侵者的规则,防止此类攻击再次发生。
五、防火墙免疫系统的实现
结合上面的理论分析,我们开发了一套在Windows平台上的软件防火墙系统:MiniWAL防火墙。防火墙对数据包进行有效过滤之后,再利用免疫系统实现防火墙系统的自身安全保护。
MiniWAL防火墙采用NDISHOOK开发防火墙核心系统,应用大型系统开发方案设计用户系统。MiniWAL防火墙是一套完善的防火墙系统。它主要有三个部分组成:MiniWAL防火墙引擎(WALEngine)、MiniWAL防火墙控制中心(WALCentral)和MiniWAL防火墙守护程序(WALDeamon)。WALEngine是防火墙的核心,完成数据包的截获,同时临时存储安全策略列表,并根据策略列表分析数据包和控制数据包的收发和传递;WALCentral是防火墙的用户系统,是MiniWAL防火墙系统的控制中心,负责向WALEngine传递安全策略列表,控制MiniWAL防火墙的多个核心技术,并从WALEngine得到日志信息,同时控制防火墙的其他部件,防火墙免疫系统就在这里实现;WALDeamon是防火墙的守护程序,应用在网关的情况下,与WALCentral进行通讯,交换控制数据。
防火墙免疫系统结合了密码技术、文件完整性检查和WindowsAPI等诸多技术进行开发的。上面的系统结构和流程图已经能够很清楚的反映出免疫系统的详细设计方案,接下来再就关键问题作一下说明。
1、用户口令
用户口令放在一个密码文件中,这个文件在系统中被设定受免疫系统的文件完整性检查和审计分析模块的双重保护。
用户口令在用户启动防火墙时要求用户输入,并进行验证。然后以该口令为输入,经过安全转换来产生加解密各种重要信息文件的密钥,同时释放用户口令内存,以防止用户口令被通过访问内存的方式窃取。
2、重要文件列表
重要文件是用户定义和设置的,这些文件要做加密保护,同时这些文件也是免疫系统要保护的对象。重要文件列表使用加密算法加密。
3、文件完整性
文件完整性检查系统(简称FICS)是一套通过检查计算机的文件自上次检查后的变化情况来工作的文件监测系统。FICS要保存每个文件的数字摘要,并将这些数据摘要保存在摘要数据库里。每做一次检查,它会重新计算文件的数字摘要,并将它与数据库中的值相比较。如不同,则文件已被修改,这时要登记日志,并通知用户文件已经变化,并将新的值写入数据库;若相同,文件则未发生变化。
免疫系统中的文件完整性检查模块中Hash算法有三种:MD5、SHA和CRC32。这三种算法是目前最安全的散列算法,免疫系统可以让用户选择其中的一种算法作为文件完整性检查模块的散列算法。由这三种算法可以保证文件完整性检查模块的安全性,
文件完整性检查就是对重要文件进行完整性查,这些重要文件列表就存放在一个列表文件中,这个上面已经说过了。每个文件的数字摘要也存放在这个文件中,并且也是加密的。
4、文件加密
上面已经不止一次地提到文件加密,防火墙免疫系统必须采用加密技术才能保证防火墙的重要信息不会泄露。如果不加密的话,各种信息明码存放,攻击者在取得主机控制以后,就可以很轻松地获取防火墙的所有配置信息和系统信息。
免疫系统采用强大的加密手段,并采取有力的措施保护密钥的安全性。免疫系统采用加密算法有四种:RC4、3DES、BLOWFISH、IDEA,这几种算法是目前安全性非常高的对称密码算法。由这四种算法构成免疫系统的文件加密系统,可以大大打提高免疫系统的安全性,也就提高了防火墙的安全性。代写论文网
六、总结
防火墙免疫系统是在对各种防火墙攻击手段的分析后得到的一个遏制攻击的有效策略。它将防火墙的安全性从操作系统、网络拓扑结构等相依赖的因素里面分离出来,由防火墙自己解决它的安全的问题。其通用性和可扩展性都比较好。
防火墙免疫系统设计的根本目的是为了加强防火墙系统的安全,也就是尽量弥补防火墙在设计时的安全漏洞。想要提高防火墙保护网络安全的能力,还要在防火墙安全策略的设计上下功夫。比如:防火墙的深度包检测技术,内容过滤技术、智能识别攻击技术等等都是防火墙发展的热点。两种技术同时发展才可以真正的提高防火墙的安全防护能力,更好的保护我们的网络和资源。
参考文献
[1]Tripwire技术白皮书,2002.7
[2]MicrosoftMSDNLibrary,2001.7
[3]VisualC++6程序设计经典,林俊杰编著,科学出版社,1999.11
[4]SSL与TLSDesigningandBuildingSecuritySystems,EricRescorla著,中国电力出版社,2002.10
代写论文联系方式
联系QQ:904272800
联系信箱:904272800@qq.com
代写论文导航
客户、写手申请单
最新论文
热点论文
