摘要：隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)所帶給我們的好處有目共睹，但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、惡意軟件和其他不軌的攻擊，因此，網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施，無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。

該文就解決局域網(wǎng)網(wǎng)絡(luò)安全的一項(xiàng)重要技術(shù)——利用代理服務(wù)器來(lái)實(shí)現(xiàn)防火墻技術(shù)進(jìn)行了全方位，深層次地探討，并提供了一種實(shí)用的防火墻設(shè)計(jì)方案。

關(guān)鍵詞：代理服務(wù)；防火墻；網(wǎng)絡(luò)安全；包過濾

中圖分類號(hào)：TP368文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)28-0086-02

The Realization of Proxy Server Designed by Delphi

GAO Ming-da

(Xiamen University Department of Computer Science， Fujian 361000，China)

Abstract:With the development of the Internet technology， the benefits brought by the Internet are obvious to all.But because of some special characteristics， such as the variety of connecting type， openness and connectivity， the computer network is easily attacked by hackers， malicious software and other illegal invasion. There exists the frangibility and latent threat in both LAN and WAN due to the nature and artificial causes. Therefore， some necessary security measures， which is strong enough， must be taken in order to insure the secrecy， integrality and usability of network information， in view of different kinds of threats and frangibility.

This article comprehensively and deeply discusses an important technology about the school network security， using proxy server as a firewall technology， and provides a practical firewall design proposal.

Key words: proxy;firewall;network security;packet filter

1 常見網(wǎng)絡(luò)攻擊手段

互聯(lián)網(wǎng)上廣泛使用的是TCP/IP協(xié)議，但由于早期該協(xié)議設(shè)計(jì)方面的缺限，造成了其自身存在很多的安全漏洞。比如：IP地址可以由軟件設(shè)置，給假冒地址和地址欺騙提供了可用之門；支持源路由方式，也就是說源點(diǎn)可以指定信息包傳送到目的節(jié)點(diǎn)的中間路由，這就提供了源路由攻擊的條件，還有應(yīng)用層上的多種協(xié)議本身不具有保密性可言，也為否認(rèn)及拒絕等欺騙行為提供了方便。在基于TCP/IP的網(wǎng)絡(luò)上，有以下多種可用的攻擊類型：利用程序處理錯(cuò)誤的攻擊，WWW欺騙的攻擊，IP欺騙攻擊，緩沖區(qū)溢出攻擊，遠(yuǎn)程攻擊。

利用程序處理錯(cuò)誤的攻擊是指利用程序?qū)⒑绣e(cuò)誤IP包頭信息的IP包發(fā)送到對(duì)方網(wǎng)絡(luò)，對(duì)方在對(duì)此包進(jìn)行組裝時(shí)會(huì)因?yàn)榘腻e(cuò)誤而出錯(cuò)，嚴(yán)重的可以引起重大系統(tǒng)崩潰等。

Web欺騙攻擊是指在用戶瀏覽目標(biāo)網(wǎng)站之前，由黑客生成相同的頁(yè)面迷惑用戶，而用戶輸入一些重要信息時(shí)，這些信息先經(jīng)由中間網(wǎng)站處理，再提交不同的要求至原先的目標(biāo)站點(diǎn)，這時(shí)目標(biāo)站點(diǎn)可能不予理會(huì)用戶的請(qǐng)求，因?yàn)橹虚g站點(diǎn)實(shí)際上已改變了用戶原先的請(qǐng)求。

IP欺騙攻擊是指利用偽造的IP地址進(jìn)行攻擊，通常情況下這種攻擊只適合于同一子網(wǎng)內(nèi)的機(jī)器，因?yàn)楫?dāng)偽造的機(jī)器與攻擊目標(biāo)不在同一子網(wǎng)內(nèi)時(shí)，就收不到對(duì)方返回的IP數(shù)據(jù)包。

緩沖區(qū)溢出其實(shí)是利用了C語(yǔ)言中子程序設(shè)計(jì)、調(diào)用的漏洞的。它的主要原理是由于C語(yǔ)言在執(zhí)行函數(shù)調(diào)用時(shí)，將參數(shù)與返回地址全壓入棧，待執(zhí)行完時(shí)再?gòu)亩褩Ｈ?。但是如果程序?nèi)部的數(shù)組或共享數(shù)據(jù)緩沖區(qū)占用了堆棧內(nèi)容，那么程序可能出錯(cuò)，或返回的不是原來(lái)的地址而是另一個(gè)地址，而黑客就是利用了這個(gè)地址，旋轉(zhuǎn)了自己精心編寫的程序。

遠(yuǎn)程攻擊，就是針對(duì)于除自己以外的任何機(jī)器的攻擊，主要是利用了網(wǎng)絡(luò)的相關(guān)協(xié)議進(jìn)行相連的。

2 防火墻技術(shù)類型

到今天，防火墻技術(shù)已經(jīng)歷了三個(gè)階段：包過濾技術(shù)、代理服務(wù)技術(shù)、狀態(tài)監(jiān)控技術(shù)，使用比較廣泛的是前兩種技術(shù)。

包過濾技術(shù)是源于IP地址的，它的原理是把合法IP地址的數(shù)據(jù)包轉(zhuǎn)發(fā)，而把非法IP地址來(lái)源的數(shù)據(jù)包丟棄。

代理服務(wù)技術(shù)等于在外網(wǎng)與內(nèi)網(wǎng)間建立了一個(gè)中間層服務(wù)器，用來(lái)提供對(duì)外的多項(xiàng)服務(wù)，如：FTP，TELNET，HTTP等等，每一個(gè)代理服務(wù)器都是一個(gè)簡(jiǎn)短的程序，專門為網(wǎng)絡(luò)安全設(shè)計(jì)，它只支持標(biāo)準(zhǔn)命令的子集，如果代理服務(wù)器不支持某個(gè)命令，則用戶就沒有該命令的權(quán)限，而且代理服務(wù)器只允許被特定的主機(jī)訪問，每個(gè)代理服務(wù)器與其它的代理服務(wù)器無(wú)關(guān)，這樣，如果某個(gè)代理服務(wù)器出現(xiàn)了漏洞，只需要簡(jiǎn)單地去掉這個(gè)服務(wù)器，也不會(huì)對(duì)其它的服務(wù)器構(gòu)成威脅，同時(shí)便于增加新的功能。代理服務(wù)的原理是對(duì)于用戶的請(qǐng)求進(jìn)行驗(yàn)證，如果合法，再由代理服務(wù)器從目標(biāo)主機(jī)取回信息，這樣做的好處在于可以有效地屏蔽非法用戶申請(qǐng)及信息，有效地保證認(rèn)證和登錄，簡(jiǎn)化了過濾規(guī)則。代理服務(wù)器除有安全控制功能外，還提供了CACHE功能，以提高網(wǎng)絡(luò)的響應(yīng)速度。代理服務(wù)器的日志也為網(wǎng)絡(luò)管理員提供更多的管理信息。

3 防火墻結(jié)構(gòu)類型

根據(jù)網(wǎng)絡(luò)拓樸結(jié)構(gòu)，防火墻還可以分為：雙宿主機(jī)型，屏蔽主機(jī)型，屏蔽子網(wǎng)型。所謂的雙宿主機(jī)是指僅用一臺(tái)計(jì)算機(jī)建立的防火墻系統(tǒng)，此機(jī)配有兩塊網(wǎng)卡，一接INTERNET，另一個(gè)接INTRANET（也即內(nèi)部網(wǎng)），實(shí)現(xiàn)防火墻功能。而屏蔽主機(jī)型指利用一個(gè)包過濾路由器加一臺(tái)代理服務(wù)器組合構(gòu)成一個(gè)防火墻系統(tǒng)，這樣比前者效率高。屏蔽子網(wǎng)是指利用兩個(gè)包過濾路由器及一臺(tái)代理服務(wù)器建立的防火墻系統(tǒng)，一個(gè)包過濾用于過濾外來(lái)信息，一臺(tái)包過濾用于過濾內(nèi)部請(qǐng)求。

4 利用delphi設(shè)計(jì)簡(jiǎn)易的代理服務(wù)器的原理

4.1 防火墻設(shè)計(jì)原則

防火墻的設(shè)計(jì)總體來(lái)說分成硬件和軟件兩個(gè)部分。軟件就是在實(shí)施了相應(yīng)的硬件架構(gòu)之后，寫出能充分利用這種架構(gòu)的程序。一般情況下，在設(shè)計(jì)防火墻之前，首先應(yīng)該明確整個(gè)系統(tǒng)的安全策略，也就是防火墻將為我們這個(gè)系統(tǒng)提供什么的一種保護(hù)。

4.2 簡(jiǎn)易的代理服務(wù)器系統(tǒng)的功能組成

基于以上策略以及對(duì)防火墻的初步認(rèn)識(shí)，我們可以利用delphi軟件開發(fā)平臺(tái)設(shè)計(jì)一個(gè)簡(jiǎn)易的代理服務(wù)器程序，整個(gè)體系結(jié)構(gòu)可采用雙宿主機(jī)結(jié)構(gòu)，其中在堡壘主機(jī)上安裝在Windows2000 SEVER版或Windows XP操作系統(tǒng)，網(wǎng)卡采用普通網(wǎng)卡即可。內(nèi)部網(wǎng)采用的是10/100M自適應(yīng)交換機(jī)相連形成的以太網(wǎng)結(jié)構(gòu)，客戶端采用的是Windows XP或2000 Professional操作系統(tǒng)，瀏覽器IE6.0。

4.3 開發(fā)思路

當(dāng)前流行的瀏覽器的系統(tǒng)選項(xiàng)中有一個(gè)參數(shù)，即“通過代理服務(wù)器連接”，經(jīng)過編程測(cè)試，當(dāng)局域網(wǎng)中一臺(tái)工作站指定了該屬性，再發(fā)出Internet請(qǐng)求時(shí)，請(qǐng)求數(shù)據(jù)將發(fā)送到所指定的代理服務(wù)器上，以下為請(qǐng)求數(shù)據(jù)包示例：

GET http://www.google.cn/ HTTP/1.0

Accept: */*

Referer: http://www.hao123.com/

Accept-Language: zh-cn

Proxy-Connection: Keep-Alive

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7)

Host: www.google.cn

Cookie: PREF＝ID＝65a3921d531ae5ee:NW＝1:TM＝1210733840:LM＝1210733840:S＝E0vq43rKo-MPVSfU; NID＝14＝j(luò)wzNJbv3IlINgK8＿pUQGHO7enkGuFf3jdIq785IA4n7ohygC7UEsUFAdJZTQJ9＿Ssdf0PJJaeeDGeITYgeMOP9czT2zf9n1SEYUVlTwAsHxS44RKDTlFAU48osgLGZ2R

其中第一行為目標(biāo)URL及相關(guān)方法、協(xié)議，“Host”行指定了目標(biāo)主機(jī)的地址。由此知道了代理服務(wù)的過程：接收被代理端的請(qǐng)求、連接真正的主機(jī)、接收主機(jī)返回的數(shù)據(jù)、將接收數(shù)據(jù)發(fā)送到被代理端。為此可編寫一個(gè)簡(jiǎn)單的程序，完成上述網(wǎng)絡(luò)通信重定向問題。

用Delphi設(shè)計(jì)時(shí)，選用ServerSocket作為與被代理工作站通信的套接字控件，選用ClientSocket動(dòng)態(tài)數(shù)組作為與遠(yuǎn)程主機(jī)通信的套接字控件。

編程時(shí)應(yīng)解決的一個(gè)重要問題是多重連接處理問題，為了加快代理服務(wù)的速度和被代理端的響應(yīng)速度，套接字控件的屬性應(yīng)設(shè)為非阻塞型；各通信會(huì)話與套接字動(dòng)態(tài)綁定，用套接字的SocketHandle屬性值確定屬于哪一個(gè)會(huì)話。

通信的銜接過程如下圖1所示。

1）被代理端瀏覽器發(fā)出Web請(qǐng)求，代理服務(wù)器的Serversocket接收到請(qǐng)求。

2） 代理服務(wù)器程序自動(dòng)創(chuàng)建一個(gè)ClientSocket，并設(shè)置主機(jī)地址、端口等屬性，然后連接遠(yuǎn)程主機(jī)。

3） 遠(yuǎn)程連通后激發(fā)發(fā)送事件，將Serversocket接收到的Web請(qǐng)求數(shù)據(jù)包發(fā)送到遠(yuǎn)程主機(jī)。

4） 當(dāng)遠(yuǎn)程主機(jī)返回頁(yè)面數(shù)據(jù)時(shí)，激發(fā)ClientSocket的讀事件，讀取頁(yè)面數(shù)據(jù)。

5） 代理服務(wù)器程序根據(jù)綁定信息確定屬于ServerSocket控件中的哪一個(gè)Socket應(yīng)該將從主機(jī)接收的頁(yè)面信息發(fā)送到被代理端。

6） ServerSocket中的對(duì)應(yīng)Socket將頁(yè)面數(shù)據(jù)發(fā)送到被代理端。

以上delphi中兩個(gè)控件在數(shù)據(jù)通訊時(shí)的大致流程，在具體編寫中可根據(jù)實(shí)際情況設(shè)置控制內(nèi)部網(wǎng)絡(luò)用戶訪問的站點(diǎn)的功能，包括可以添加內(nèi)容過濾、MAC地址過濾以進(jìn)一步的完善其功能。

參考文獻(xiàn)：

[1] Linux 中國(guó)門戶站[EB/OL].http://www.linux-cn.com.

[2] 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理中心[EB/OL].http://www.cert.org.cn/.

[3] 上?？茖W(xué)技術(shù)委員會(huì)[EB/OL].http://www.stcsm.gov.cn/.

[4] 韓德志，謝長(zhǎng)生.一種高性能防火墻系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用，2000，20(07):34-37.