摘要
防火墻在保護(hù)內(nèi)部網(wǎng)絡(luò)安全中發(fā)揮著重要作用，然而隨著計算機(jī)網(wǎng)絡(luò)的迅速發(fā)展和廣泛應(yīng)用，傳統(tǒng)防火墻的局限性逐漸暴露出來。為了保留傳統(tǒng)防火墻的優(yōu)點同時克服它所存在的缺陷，美國AT&T實驗室研究員Steven M. Bellovin于1999年首次提出了“分布式防火墻” (Distributed Firewalls ，DFW)的概念，給出了分布式防火墻的基本框架。
本文討論了分布式防火墻系統(tǒng)中的安全問題，分布式防火墻中的安全主要包括主機(jī)的安全和通信的安全，主機(jī)的安全由主機(jī)防火墻來保護(hù)，通信的安全包括通信數(shù)據(jù)的機(jī)密性、完整性和數(shù)據(jù)源的認(rèn)證，這通過使用密碼學(xué)技術(shù)來實現(xiàn)。
為了保障分布式防火墻系統(tǒng)中的主機(jī)安全，在應(yīng)用層和核心層上對進(jìn)出主機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行過濾，其中應(yīng)用層采用Winsock 2 SPI技術(shù)，核心層使用NDIS HOOK進(jìn)行過濾。為了防止策略數(shù)據(jù)的泄密，解決數(shù)據(jù)傳輸中的安全問題，設(shè)計了S－SPI安全通信方案。在分析總結(jié)現(xiàn)有的一些密碼協(xié)議的基礎(chǔ)上，設(shè)計了系統(tǒng)中進(jìn)行安全通信的認(rèn)證方案，并用形式化分析方法對其正確性進(jìn)行了證明，這一方案也可以用于其它分布式系統(tǒng)中的安全通信。最后分析了系統(tǒng)的不足之處，并提出了系統(tǒng)的改進(jìn)方向。

關(guān)鍵詞：網(wǎng)絡(luò)安全；分布式防火墻；主機(jī)防火墻；BAN邏輯；傳輸服務(wù)提供者；NDIS鉤子；安全服務(wù)提供者接口
 

ABSTRACT
Firewalls have played an important role in protecting the security of interior networks. However, with the rapid development and extensive applications of computer networks, the deficiencies of conventional firewalls appear gradually. In order to retain the advantages and overcome the limitations of the conventional firewalls, Steven M.Bellovin, a member of AT&T Lab, proposed the “Distributed Firewalls” for the first time in 1999, and brought forward the basic framework of distributed firewalls.
This paper discusses the security problems in distributed firewalls. The security in distributed firewalls is mainly involved with host and communication aspects. The host is protected by host firewall module. The communication security includes the secrecy and the integrity of transported data and the data origin authentication, which are implemented by cryptographic technology. 
To guarantee the host security of distributed firewall, we apply packets filtering mechanism to incoming/outgoing packets in both application layer and kernel layer. Winsock 2 SPI technology is used in application layer and NDIS HOOK method is adopted in kernel layer to filter network packets. In order to prevent the divulgence of policy data and resolve the problem of transported data security, the S-SPI scheme is designed. The authentication scheme of secure communication, which correctness is proved by the formal methods, is designed through analyzing and summarizing existing cryptographic protocols. It also can be used in other distributed system’s secure communication. Finally, analyzing the scarcities of the system, some improved proposals are put forward.

Keywords:   Network Security；Distributed Firewall；Host Firewall；BAN Logic；Service Provider Interface；NDIS Hook；Security Service Provider Interface

目錄
引言 1
第一章 分布式防火墻的提出 3
1.1 防火墻的定義 3
1.2 分布式系統(tǒng)及其優(yōu)缺點 4
1.3 傳統(tǒng)防火墻存在的問題 4
1.4 分布式防火墻系統(tǒng)的結(jié)構(gòu)及運行機(jī)制 5
1.5 分布式防火墻的特點 6
1.6 小結(jié) 7
第二章 防火墻實現(xiàn)原理與技術(shù) 8
2.1 包過濾防火墻 8
2.2 代理型[2,11]防火墻 9
2.3 Windows下的網(wǎng)絡(luò)包截獲技術(shù) 10
2.3.1 Windows網(wǎng)絡(luò)體系結(jié)構(gòu) 10
2.3.2 Windows下的應(yīng)用層封包截獲技術(shù) 12
2.3.3 Windows下的核心層包過濾技術(shù) 13
2.4 小結(jié) 15
第三章 密碼學(xué)及其在網(wǎng)絡(luò)通信安全中的應(yīng)用 16
3.1 網(wǎng)絡(luò)通信中存在的安全問題及防范策略 16
3.2 密碼學(xué)基本概念及算法 16
3.2.1 基本概念 16
3.2.2 對稱密鑰加密體制 18
3.2.3 公開密鑰加密體制 20
3.3 消息認(rèn)證 22
3.3.1 消息認(rèn)證碼 (Message Authentication Code，MAC) 22
3.3.2 Hash函數(shù) 23
3.3.3 數(shù)字簽名(Digital Signature) 23
3.4 密碼協(xié)議及其形式化分析 24
3.4.1 密鑰交換協(xié)議 24
3.4.2 認(rèn)證協(xié)議 25
3.4.3 認(rèn)證協(xié)議的形式化分析 26
3.5 小結(jié) 28
第四章 分布式防火墻系統(tǒng)主機(jī)安全的研究與實現(xiàn) 29
4.1 基于SPI技術(shù)的應(yīng)用層包過濾 29
4.1.1 SPI技術(shù)簡介 29
4.1.2 SPI傳輸服務(wù)提供者的安裝與啟動 30
4.1.3 SPI包過濾的實現(xiàn) 30
4.1.4 不同進(jìn)程間數(shù)據(jù)的共享 34
4.2 基于NDIS Hook的核心層包過濾實現(xiàn) 35
4.2.1 實現(xiàn)原理[33,34] 35
4.2.2 NDIS Hook驅(qū)動和應(yīng)用層的通信 36
4.2.3 發(fā)送數(shù)據(jù)包的解析 36
4.2.4 接收數(shù)據(jù)包的處理 38
4.2.5 NDIS Hook的安裝與啟動 40
4.3 小結(jié) 41
第五章 分布式防火墻系統(tǒng)通信安全解決方案 43
5.1 利用SPI技術(shù)構(gòu)建分布式防火墻系統(tǒng)中的安全通信 43
5.2 通信的安全策略(SP)和安全關(guān)聯(lián)(SA) 44
5.3 S-SPI加密封包格式 45
5.4 S-SPI數(shù)據(jù)包的處理 46
5.4.1 外出數(shù)據(jù)包的處理 46
5.4.2 S-SPI進(jìn)入數(shù)據(jù)包的處理 47
5.4.3 S-SPI封包處理的效率與安全性分析 48
5.5 密鑰的分配方案 49
5.5.1 HFW與CMC之間主共享密鑰的分發(fā) 49
5.5.2 HFW與CMC間會話密鑰的交換 52
5.5.3 HFW間通信時會話密鑰的交換 54
5.6 小結(jié) 55
第六章  研究總結(jié)與改進(jìn) 57
6.1 研究總結(jié) 57
6.2 改進(jìn)建議 58
6.2.1 關(guān)于DOS攻擊的防范措施 58
6.2.2 主機(jī)防火墻的診斷模型 58
6.3 結(jié)束語 59
附錄  TCP/IP協(xié)議中的包結(jié)構(gòu) 60
致謝 61
縮略詞 62
參考文獻(xiàn) 63
發(fā)表論文 66