【word】 具有系统防御功能的新型主机防火墙系统设计

【word】 具有系统防御功能的新型主机防火墙系统设计 具有系统防御功能的新型主机防火墙系统 设计 第10卷第12期 2011年12月 南阳师范学院 JournalofNanyangNormalUniversity Vo1.10No.12 Dee.2011 具有系统防御功能的新型主机防火墙系统设计 郝身刚 (南阳师范学院计算机与信息技术学院,河南南阳473061) 摘要:提出一种新型的主机防火墙体系的设计,在该体系中融合了操作系统防护和数据防护策略,在一定程度上提 高了用户数据的安全性,完善了防火墙的功能.在防火墙的包过滤器中增加了专家系统,采用推理杌来动态地实现规则生 成,以降低系统资源的消耗. 关键词:防火墙;专家系统;系统防护;数据恢复 中图分类号:TP302.1文献标识码:A文章编号:1671—6132(2011)12—0082—03 目前,市场上防火墙产品很多,任意一种防火 墙对于网络安全来说都有其独自的特点和功能.但 是使用防火墙最终的目的是为了保证数据的安全 性和系统的稳定性,集成了操作系统防护和数据备 份功能的防火墙在众多的攻击中将会起到良好的 保护作用,这也是用户的期望.本文正是在这个背 景下提出设计一种新型的主机防火墙体系,在该体 系中融合了操作系统防护和数据防护策略,在一定 程度上提高了用户数据的安全性,完善了防火墙的 功能. 1防火墙主要技术及局限性 根据防范的方式和侧重点的不同,防火墙技术 总体来讲可分为三大类:包过滤,代理应用和状态 检测.下面简单介绍三种防火墙技术的优缺点. 1.1包过滤技术 包过滤(Packetfiltering)作用在网络层和传输 层,它根据包头源地址,目的地址和端口号,类 型等标志确定是否允许数据包通过.只有满足过滤 逻辑的数据包才被转发到相应的目的地出口端,其 余数据包则被从数据流中丢弃. 目前的包过滤一般采用将过滤规则显式定义 在包过滤器中,规则匹配时逐条进行.另外,还有一 种动态包过滤技术,是包过滤技术中比较先进的技 术,基本思想就是在匹配的过程中动态生成或删除 某些规则,以适应不同的需要,降低规则匹配的系 统消耗,提高系统的反应速度. 包过滤的优点:不用改动客户机和主机上的应 用程序,因为它工作在网络层和传输层,与应用层 无关.系统消耗比较少,工作速度较快. 包过滤的缺点:通常它没有用户的使用记录, 不能从访问记录中发现攻击者的攻击记录.在许多 过滤器中,过滤规则的数目是有限制的,且随着规 则数目的增加,性能会受到很大的影响;由于缺少 上下文关联信息,不能有效地过滤如UDP,RPC一 类的协议. 1.2代理应用技术 应用代理(ApplicationProxy)也叫应用网关 (ApplicationGateway),它作用在应用层,所谓代理 服务,即防火墙内外的计算机系统应用层的链接是 在两个终止于代理服务的链接来实现的,这样便成 功地实现了防火墙内外计算机系统的隔离.代理服 务是设置在Internet防火墙网关上的应用,是在网 管员允许或拒绝的特定的应用程序或者特定服务, 同时,还可应用于实施较强的数据流监控,过滤,记 录和等功能.一般情况下可应用于特定的互联 网服务,如超文本传输(HTTP),远程文件传输 (FTP)等.代理服务器通常拥有高速缓存,缓存中 存有用户经常访问站点的内容,在下一个用户要访 问同样的站点时,服务器就用不着重复地去抓同样 的内容,既节约了时间也节约了网络资源.它工作 在OSI模型的最高层,掌握着应用系统中可用作安 全决策的全部信息. 1.3状态检测技术 状态监视器作为防火墙技术其安全特性最佳, 它采用了一个在网关上执行网络安全策略的软件 检测模块.检测模块在不影响网络正常工作的前提 下,采用抽取相关数据的方法对网络通信的各层实 收稿日期:2011—08—25 作者简介:郝身刚(1977一),河南南阳人,讲师,主要从事网络安全方面 的研究 第12期郝身刚:具有系统防御功能的新型主机防火墙系统设计 施监测,抽取部分数据,即状态信息,并动态地保存 起来作为以后制定安全决策的参考.检测模块支持 多种协议和应用程序,并可以很容易地实现应用和 服务的扩充. 与其他安全不同,当用户访问到达网关的 操作系统前,状态监视器要抽取有关数据进行分 析,结合网络配置和安全规定作出接纳,拒绝,鉴定 或给该通信加密等决定.一旦某个访问违反安全规 定,安全报警器就会拒绝该访问,并作记录向系统 管理器报告网络状态.状态监视器的另一个优点就 是可以监测RPC和UDP类的端口信息.然而状态 监视器的配置非常复杂,而且会降低网络的运行 速度. 2新型防火墙的设计与分析 现有防火墙存在着一些不能防范的安全威胁, 如防火墙不能防范不经过防火墙的攻击.防火墙不 能防止感染了病毒的软件或文件的传输.这只能在 每台主机上装反病毒软件.防火墙不能防止数据驱 动式攻击.当有些表面看来无害的数据被邮寄或复 制到Internet主机上并被执行而发起攻击时,就会 发生数据驱动攻击.例如,一种数据驱动的攻击可 以使一台主机修改与安全有关的文件,从而使入侵 者下一次更容易入侵该系统.因此本文设计了一 种具有系统防御功能的主机防火墙系统. 2.1新型防火墙设计 本文设计的新型防火墙是综合型防火墙,综合 了包过滤器和应用监控的功能,同时设计了一种保 障数据安全的策略. 为了尽可能减少操作系统因为病毒的攻击所 造成的数据丢失,本设计基本思路是防火墙除了包 含包过滤和应用监控基本功能外增加了操作系统 防护和数据备份两个功能,同时防火墙的规则设计 采用了推理机来实现规则动态更新.体系结构设计 如图1所示. 防火墙: (I)由主机发往网络的数据或者信息经过应 用监控模块确认是否允许该应用访问网络,如果允 许则将数据包发到包过滤模块,该模块检测IP和 端口信息是否匹配,如果匹配允许则将该数据包发 往网络,否则将该包丢弃,并报警给用户同时写入 日志. (2)由网络发给主机的数据或者信息经过包 过滤后经匹配规则并允许后发给上层应用程序.不 允许则丢弃或者拒绝,同时将信息写入日志. (3)包过滤规则的生成是经用户配置特殊规 则并将数据加入数据库后,经过推理机得到知识 库,进一步过滤得到动态规则集.其中所有特殊规 则需要用户配置.特殊规则序号在规则表中排在前 面,当需要匹配规则时总是从特殊规则开始匹配. 对于一般规则,根据用户的需求在数据库中进 行配置或预先定义. (4)关于系统的防护策略: ?对于Windows操作系统:主要保护注册表, 防止在管理员不知道的情况下恶意程序修改注册 表.并且对于注册表做好备份,当需要时进行注册 表恢复.另外备份分区表,可以在防火墙中集成分 区表恢复功能或者利用第3方的分区表恢复工具 进行数据恢复. ?对于Unix操作系统:备份分区表即可,目前 软件还不能做到对分区表的保护.采用的策略只能 是备份和恢复.另外,需要对初始化进程进行保护, 防止系统崩溃. 获取包 [孽I] 数据流入 图1主机型防火墙体系结构图 2.2新型防火墙的功能模块设计 新型防火墙采用立体空间网络结构,用户可以 配置应用程序规则,协议规则,端口规则.该防火墙 的功能模块包括应用程序规则模块,协议规则模 块,端口规则模块,守护进程模块和数据备份模块. 应用程序规则模块:用户可以对系统中应用程 序进行监视和控制.主要功能就是允许或者拒绝某 一 应用程序访问网络,对于所有的系统中安装的应 用程序进行监控和过滤,为防火墙中的应用过滤 模块. 协议规则模块:用户可以对于系统中协议进行 监视和控制,主要功能就是允许或者拒绝某一协议 访问网络,对于发送或者接收的数据包进行过滤, 南阳师范学院第l0卷 分析相应的协议,属于包过滤模块. 端口规则模块:用户可以直接对端口进行控 制.如:某些不法程序在注册表中隐藏了名字之后 访问网络,造成网络拥挤,消耗系统资源,可以使用 netstat—a-n,通过系统命令查得当前非法连接端口, 然后通过这个模块直接关掉相应的网络链接. 守护进程模块:该模块用户不能调整,是系统 本身自己控制在操作系统启动时是否启动防火墙 系统,同时进行必要的系统级管理(为独立进程). 数据备份模块:该模块用户不能调整,但是可 以使用,包括Windows注册表备份和恢复,分区表 备份,系统支持对Unix初始化进程进行保护并备 份Unix分区表. 2.3新型防火墙的功能模块实现 下面重点介绍新型防火墙的功能模块中主要 模块的实现细节. 2.3.1应用过滤模块 应用过滤模块的主要功能是允许或者拒绝某 一 应用程序访问网络,对于所有的系统中安装的应 用程序进行监控和过滤.具体流程设计如下: 注册系统应用程序 If(应用程序i访问网络) {if(逐条匹配系统应用规则如果成功) {采用该系统应用规则} Else { 报警,禁止该应用程序访问网络 等待系统管理员操作 If(管理员配置该应用程序规则) {系统记录该规则} }} 2.3.2包过滤——端口规则模块 包过滤——端口规则模块主要实现协议规则 模块对端口的控制功能,具体实现过程如下列的 telnet规则. if(如果远程主机IP满足telnetIP规则) //对于本地主机服务器 {本机端口为23远端主机端口任意则通过} Else {拒绝数据包通过} if(如果远程主机IP满足telnetIP规则) /对于远程主机服务器 {远程端口为23本地主机端口任意则通过} Else {拒绝数据包通过} 2.3.3规则定义,生成模块 规则定义,生成模块为系统级规则定义模块. 包括应用程序规则,包过滤规则的配置,推理及 生成. 图2规则生成模块示意图 采用的方案如下: (1)特殊规则 通过用户配置生成,在规则顺序表中的头部, 为方便规则匹配特殊规则优先.系统记录被拒绝数 据包的状态,同时检测该类数据包的动态,写入日 志,通过推理机分析并动态生成或者删除相应动态 规则. (2)一般规则 预先定义在数据库中. 3小结 本文对新型主机型防火墙系统的设计进行了 描述,该设计将操作系统的安全防护添加到防火墙 体系中,降低了数据丢失的风险,同时对于规则的 生成采用了推理机动态生成的方式降低了系统内 存的消耗. 参考文献 [1][美]TerryWilliamOgletree.防火墙的原理与实施 [M].李之棠,等译.北京:电子工业出版社,2005. [2]路莹.防火墙与入侵检测系统联动的研究[J].中华 医学图书情报杂志,2009,4(1):107—111. [3][美]KeithE.Strassberg,RichardJ.Gondek,GaryRol— lie等.防火墙技术大全[M].李昂,等译.北京:机械 工业出版社,2003. [4]曹进,张平.现代网络安全与防火墙研究【J].中国科 技信息,2006,11(19):36—42. 第10卷第12期 2011年12月 南阳师范学院 JournalofNanyangNormalUniversity Vol_10No.12 Dec.2O11 基于Web的远程教育系统数据库的设计 苗玉辉 (南阳师范学院教育科学学院,河南南阳473061) 摘要:数据库是远程教育系统的核心和基础,数据库设计是远程教育系统设计中的重要组成部分.从远程教育系统 数据构成出发,分析了数据库的概念结构设计和逻辑结构设计,并描述了数据库的实现. 关键词:远程教育系统;数据库;设计. 中图分类号:G642文献标识码:A文章编号:1671—6132(2011)12—0085—03 一 个完备的基于Web的远程教育系统应该包 括以下五个主要的子系统,教学教务管理系统,教 师授课系统,学生学习系统,在线考试系统和辅导 答疑系统….为此,远程教育系统需设置以下模 块:登录模块,网上教学模块,在线学习模块,教学 资源模块,答疑模块.考试模块,数据挖掘模块,管 理模块和交流模块,这些模块相互配合,相互补充 以实现远程教育的目标,即设计开发出一个集教 学,管理,信息交流等多项功能于一体的远程教育 系统. 远程教育系统的核心和基础是数据库,一个远 程教育系统的各个部分能否紧密地结合在一起以 及如何结合,关键在数据库.因此只有对数据库进 行合理的设计,才能开发出完善而高效的远程教育 系统. 1远程教育系统数据构成 为了保证远程教育系统正常工作,在远程教育 系统中至少应包含五个数据实体,分别是教师数据 实体,学生数据实体,管理员数据实体,教学资源数 据实体和考试数据实体. 1.1教师数据实体 教师基本信息数据类字段为编号,姓名,性别, 职称,所在系别,E.mail,联系电话和讲授课程.教 师主要任务:一是负责管理所教课程的各模块内 容,包括提供所教课程的课程介绍,教学大纲,教学 计划,考试形式,考试时间,授课录像,电子,课 件等;二是为学生提供辅导和答疑;三是组织学生 讨论,考试;四是布置,批改作业及试卷. 1.2学生数据实体 学生基本信息数据类字段为学号,姓名,性别, 年龄,联系电话,E.mail,住址等.根据学生基本信 息数据类字段为每名学生建立用户账号,即学生以 真实的身份登录网站,参与学习,讨论,提交作业 等.真实身份使系统跟踪每名学生的活动,记录学 生参与学习,讨论的情况,为教师评价学生的学习 情况提供依据. Designofanewfirewallonhostcomputerwith thefunctionofsystemdefense HAOShen-gang (SchoolofComputerandInformationTechnology,NanyangNormalUniversity,Nanyang473061,China) Abstract:Thispaperputforwardthedesignofanewfirewallonhostcomputerwhichhadthefunctionofguar— dingtheoperatesystemandprotectingthedata.Itimprovedthesecurityofuserdataandmadethefirewallmore stronger.Thissystemaddedexpertsystemtothepackagefilterofthefirewallandadoptedreasoningmachineto achievetherulecreation,whichcanreducetheconsumeofsystemresource. Keywords:firewall;expertsystem;systemsafety;rulecreation 收稿日期:2011—09—15 作者简介:苗玉辉(1981一),女,黑龙江讷河人,硕士,讲师,主要从事计 算机辅助教育,多媒体课件设计与制作研究