网络控制代理设计与实现.docVIP

网络控制代理设计与实现 　　摘要：网络控制代理部署在传统防火墙的位置上，通过专用硬件实现，按照管理中心制定的安全策略，对经过它的各种网络行为进行封堵或放行，并将产生的日志上传到管理中心进行统计和管理，同时还能将网络控制代理产生的日志和告警信息收集起来。 　　关键词：网络控制代理；信息流；数据包；网络安全 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)18-31546-02 　　Design and Implementation of Network Control Agent Systems 　　LU Xiao-jun 　　(Anhui Communications Technology Institute,Hefei 230051,China) 　　Abstract:The network control agent system deployment in the traditional firewalls position, realizes through the special hardware, according to the administrative center formulations security policy, to passes through its each kind of network behavior to carry on the trap or to allow to pass, and will produce the diary uploads to the administrative center carries on the statistics and the management, meanwhile can the diary which and the warning collection of information has the network control agent system. 　　Key words:Network Control Agent;Information Flow;Packet;Network Security 　　 　　1 概述 　　 　　作为“安全网管”系统的重要组件之一，网络控制代理是一台单独的机器，部署在内部网与外部网的出入点，或者是内部网某个子网的网关上。它类似于传统的防火墙，不同之处是自己不进行安全策略的制定和日志信息的处理。网络控制代理按照管理中心制定的安全策略，对经过它的各种网络行为进行封堵或放行，并将产生的日志上传到管理中心进行统计和管理。 　　鉴于目前IP地址严重不足，网络控制代理还应有NAT的功能。借助NAT，内部网用户能用一个或有限的几个合法IP地址联入Internet，和对外提供网络服务，同时隐藏了网络的拓扑结构，为内部网提供最初始的防护。 　　网络控制代理部署在传统防火墙的位置上，保持了传统防火墙的特点，又没有带来传统防火墙的固有缺陷：内部网与外部网出入口这个位置具有得天独厚的优势，对于某些网络攻击如DOS，若在这个位置上进行控制，则只会影响内部网对外面的访问，而不会影响内部网主机之间的通信。另一方面，内部网的主机可由主机安全代理提供保护，因此在网络控制代理上可以不进行复杂的过滤和查询，因此不会造成网络传输的“瓶颈”问题和“单点”故障。 　　网络控制代理通过专用硬件实现[1]，为此，可选择一台带有两个网卡的PC兼容机，操作系统为Linux。因为Linux的源代码是公开的，我们可以对它的内核进行改造和加固，使其不提供危险的服务，也没有漏洞供恶意者利用，为内部网提供最初始的安全防护。 　　 　　2 netfilter架构 　　 　　netfilter是Linux2.4以上版本的内核实现数据包过滤、NAT和数据包修改等功能的框架，是一种用于扩展各种网络服务的结构化底层框架。它的设计思想是生成一个模块结构使之能够比较容易扩展，新的特性加入到内核中并不需要从新启动内核。这样，可以通过简单的构造一个内核模块来实现网络新特性的扩展，给底层的网络特性扩展带来了极大的便利，使更多从事网络底层研发的开发人员能够集中精力实现新的网络特性。 　　Linux2.4内核提供了三种基于netfilter数据包处理的功能模块：包过滤模块、NAT模块和数据包修改模块。它们之间相互独立，都完美地集成到由netfilter提供的框架中[2]。 　　包过滤模块通过NF_IP_LOCAL_IN、NF_IP_FORWARD以及NF_IP_LOCAL_OUT接入netfilter框架中，并在这三个检测点有数据包的过滤函数，对进入的数据包实施过滤。且从检测点可以看出，对于任何