文档介绍：第十三讲: 虚拟专用网的设计实例
本讲在介绍了北京邮电大学信息安全中心研制开发的具有完全自主知识产权的国内首创的PC防火墙(Secure PC)之后,接着介绍基于此种防火墙而设计的一种用于桌面系统保护的虚拟专用网。
A: 北京邮电大学PC防火墙(Secure PC)简介
PC防火墙(Secure PC)是北京邮电大学信息安全中心研制开发的具有完全自主知识产权的国内第一家(到目前为止也是唯一一家)桌面防火墙系统。目前,它已经通过专家鉴定,获得了公安部颁发的合格检测证书(编号:公计检(委)字第99036号)与国外同类产品相比,Secure PC基本与,有些功能比同类产品要强。从面向用户的角度来说,显然我们的防火墙更适合于中国人的思维习惯和生活习惯。
传统意义下的防火墙是从保护局域网的角度出发设计的,目的是防止局域网系统不受来自互连网攻击。随着PC机的迅速普及,PC机的安全问题和原有局域网一起成为了防火墙的考虑对象。由于PC机环境和用户的特殊性,因此,不管从技术上还是从用户需求来说都有许多的不同。传统防火墙考虑得更多的是进入局域网的数据包的过滤,几乎不考虑局域网内部的主机系统的安全,而PC机的防火墙必须全面考虑主机系统的网络信息,甚至系统所采用的应用软件,对于某种条件下,还得考虑PC机的多用户问题。
北京邮电大学PC防火墙(Secure PC)能够实现对上层网络应用软件的全透明控制,也就是说,Scape浏览器还是微软公司Explorer浏览器、不管是选用的是哪家的ftp软件等,系统都将提供同样的网络安全服务。
北京邮电大学PC防火墙(Secure PC)是一个基于桌面的防火墙产品。该系统的主要功能是实现对进出主机的
IP包的IP地址和协议端口的过滤,系统应当能够对主机发送和接受的每一个IP包进行检查,获取IP源地址、目标地址和协议端口,并根据事先设定的规则拒绝或允许这个IP包通过。从而实现对网络上进出本机所有信息的全面的控制,从而达到保护本桌面系统的作用。该系统的运行平台应为Windows95和Windows98.
桌面防火墙与网关型防火墙在管理方面有很大区别。后者由网络管理员管理,前者则可能由多人使用,访问权限可能大不相同。例如,使用桌面防火墙,父母会设定一些不利于小孩健康成长的站点不让小孩去访问等等。因此过滤规则文件应为通过口令访问的方式,而且在必要时文件应以密文方式存盘。再者,对英特网 CACHE目录、文件删除、进程强制结束等方面也应有所考虑,无疑加大了桌面防火墙的开发难度。另外,通过设定IP地址,实现安全的ftp服务器,达到数据安全的传输。
作为桌面防火墙,北京邮电大学PC防火墙(Secure PC)本身的安全性尤为重要。对此,我们作到了防火墙启动以后,即使关闭本系统,防火墙依然能按要求继续工作。
北京邮电大学PC防火墙的功能机制:
1 IP包过滤机制:PC防火墙系统的最终目标是保护PC机的桌面系统,所以系统必须能对进出本机的所有数据进行控制。例如对进出主机的所有IP包的IP地址和协议端口的过滤,系统应当能够对主机发送和接受的每一个IP包进行检查,获取IP源地址、目标地址和协议端口,根据事先设定的规则拒绝或允许这个IP包通过,有必要的情况下,能及时反馈有关信息到上层应用程序以动态处理。从而实现对网络上进出本机所有数据的全面的控制。
2 网络病毒的检测机制:PC防火墙系统应当具有病毒检测功能。用户访问的网络资源可能携带病毒源,从而对用户造成损害。
3 用户通讯的保密机制:当两个用户进行通讯时,系统应当能够提供一种保密机制,实现用户之间通讯的机密性。
北京邮电大学PC防火墙(Secure PC)主要由以下几个模块组成:
模块之一:过滤规则管理。对用户提供方便实用的过滤规则管理界面, 使用户可以对当前的防火墙过滤规则表中的记录进行增加、删除和修改等各种操作,过滤规则表则以密文形式存放,对过滤规则表的访问系统提供用户身份认证的机制。
模块之二:过滤规则加密处理。以加密形式存放当前防火墙的过滤规则,并利用杂凑函数实现对文件完整性的校验,从而防止未经授权的用户窜改和查看当前防火墙的过滤规则。如果无过滤规则文件,系统将拒绝对任何外部IP的访问。
模块之三:启用当前过滤规则(Ring 3 部分)。用户通过该模块应用当前最新的过滤规则。该模块首先读取过滤规则存放文件
,将读出的过滤规则解密后存放在常规内存中的缓冲区中。再通过WIN32接口的DeviceIOControl调用Ring 0的过滤规则服务模块,并将缓冲区指针作为调用参数传递。
模块之四:启用当前过滤规则(Ring 0 部分)。该模块接收WIN32应用程序传送来的存放当前过滤规则的缓冲区的指针,并使用