發(fā)表論文(杭書文)

1、<p>　　防火墻遠程配置系統(tǒng)的研究與設(shè)計</p><p>　　作者:杭書文 單位:江蘇省無錫立信職教中心校</p><p>　　摘 要：防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)。防火墻的遠程配置的技術(shù)背景是HTTP協(xié)議。它遵循HTTP協(xié)議來分析客戶端請求，包括一系列請求頭和消息實體，并根據(jù)客戶端請求構(gòu)造相應(yīng)的響應(yīng)消息，也包括一系列

2、響應(yīng)消息頭和響應(yīng)消息實體，從而對客戶端請求作出相應(yīng)的回應(yīng)。達到遵從HTTP協(xié)議要求來設(shè)計實現(xiàn)遠程管理技術(shù)平臺的要求。目的就是設(shè)計一個防火墻的安全遠程管理的基礎(chǔ)平臺，實現(xiàn)防火墻的遠程配置功能。</p><p>　　關(guān)鍵詞：防火墻，HTTP協(xié)議，WEB</p><p><b>　　一、開發(fā)背景</b></p><p>　　隨著計算機和網(wǎng)絡(luò)的發(fā)展，它

3、提供了發(fā)布住處和檢索信息的場所,但它也帶來了信息污染和信息破壞的危險,各種攻擊入侵手段也相繼出現(xiàn)了，為了保護其數(shù)據(jù)和資源的安全，人們開發(fā)出一種能阻止計算機之間直接通信的技術(shù)，并沿用了古代類似這個功能的名字——“防火墻”。用專業(yè)術(shù)語來說，防火墻是一種位于兩個或多個網(wǎng)絡(luò)間，實施網(wǎng)絡(luò)之間訪問控制的組件集合。對于普通用戶來說，所謂“防火墻”，指的就是一種被放置在自己的計算機與外界網(wǎng)絡(luò)之間的防御系統(tǒng)，從網(wǎng)絡(luò)發(fā)往計算機的所有數(shù)據(jù)都要經(jīng)過它的判斷處理

4、后，才會決定能不能把這些數(shù)據(jù)交給計算機，一旦發(fā)現(xiàn)有害數(shù)據(jù)，防火墻就會攔截下來，實現(xiàn)了對計算機的保護功能。</p><p>　　防火墻是一種安全性機制，通過這種機制可以增強對兩個網(wǎng)絡(luò)之間的訪問控制。防火墻可以限制來自外部網(wǎng)絡(luò)的訪問，按照有關(guān)設(shè)置允許經(jīng)過檢查的數(shù)據(jù)進入和流出。原則上應(yīng)該認為防火墻存在兩種機制：一種用于阻礙訪問，一種用于允許訪問。當(dāng)外部網(wǎng)絡(luò)的用戶訪問網(wǎng)內(nèi)資源時，要通過防火墻控制；而內(nèi)部網(wǎng)絡(luò)的用戶訪問網(wǎng)外

5、資源時，也相應(yīng)的要通過防火墻來實現(xiàn)。這樣，防火墻就起到了一個“警衛(wèi)”的作用，可以將需要禁止的數(shù)據(jù)包在這里丟掉。</p><p>　　正是由于防火墻管理的必要和遠程配置管理技術(shù)良好的發(fā)展前景，又鑒于Web的遠程管理模式的方便性和靈活性，本文將對基于Linux的遠程配置管理系統(tǒng)進行研究、設(shè)計與實現(xiàn)。</p><p>　　二、防火墻遠程配置研究的意義</p><p>　　

6、在網(wǎng)絡(luò)安全問題日趨嚴峻的今天，防火墻作為第一道防線起著關(guān)鍵的作用。防火墻可以對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。從而對防火墻的研究成為研究熱點。</p><p>　　安全、方便、易用的遠程配置和管理，是防火墻產(chǎn)品作為網(wǎng)絡(luò)安

7、全設(shè)備必不可少的組成部分，也是防火墻產(chǎn)品在市場中的賣點之一。其實隨著IPv6新協(xié)議的逐步推廣，這種遠程配置和管理技術(shù)將成為所有網(wǎng)絡(luò)電器產(chǎn)品的技術(shù)賣點。由于IPv6的地址位數(shù)是IPv4的四倍，即地址位數(shù)達到128位，這樣，可以提供的IP地址幾乎是取之不盡，完全可以使世界上每一臺網(wǎng)絡(luò)電器都分配到一個唯一的IPv6地址，從而使每一個產(chǎn)品通過遠程配置和管理成為可能，每個產(chǎn)品的維護和售后服務(wù)以及有關(guān)產(chǎn)品的其它參數(shù)和性能的了解都可以通過遠程控制進行

8、。由于遠程配置、管理有這樣的廣闊用途和使用空間，就使得對它的研究和開發(fā)成為必要。</p><p>　　三、防火墻遠程安全管理系統(tǒng)模塊設(shè)計</p><p>　　本防火墻系統(tǒng)采用基于Web的遠程管理方式，用戶通過標準瀏覽器進行遠程管理，因此需要Web服務(wù)程序?qū)λ鼈児芾淼恼埱筮M行響應(yīng)。</p><p>　　本課題是以防火墻服務(wù)管理系統(tǒng)為中心展開研究，Web服務(wù)模塊的設(shè)計、

9、系統(tǒng)平臺的搭建等兩方面都是為之服務(wù)。而防火墻遠程安全管理是整個防火墻系統(tǒng)安全的重要組成部分之一，沒有安全的管理，防火墻不可能達到預(yù)期的安全目的。實用的防火墻必須有完善、可靠的遠程管理系統(tǒng)作為后盾，依靠它進行防火墻基本策略的制定、遠程過濾規(guī)則的配置，遠程進行規(guī)則、日志的瀏覽以及用戶、網(wǎng)絡(luò)和防火墻本身的管理等。為了整合項目并使之能正常運作，必須對防火墻的遠程配置進行研究和設(shè)計。</p><p>　　系統(tǒng)模塊設(shè)計的技術(shù)

10、背景</p><p>　　HTTP協(xié)議是用于從Web服務(wù)器傳輸超文本到本地瀏覽器的傳送協(xié)議，是Web服務(wù)器與瀏覽器傳輸?shù)膬?nèi)容必須遵循的應(yīng)用層協(xié)議，是一種無狀態(tài)協(xié)議。</p><p>　　根據(jù)RFC1945（HTTP1.0）和RFC2616（HTTP1.1）規(guī)定，HTTP協(xié)議是基于請求／響應(yīng)范式的，HTTP消息分為請求消息和響應(yīng)消息兩類。</p><p>　　WWW使

11、用過程中，傳輸分為四個過程：建立TCP連接、客戶端提出HTTP請求、服務(wù)端HTTP響應(yīng)、拆除TCP連接，如圖3-1所示：</p><p>　　1)客戶端與服務(wù)器建立聯(lián)系。與服務(wù)器建立連接，要指定機器名稱、資源名稱和端口號，可以通過URL來提供這些信息。URL的格式為： </p><p>　　HTTP：//<IP地址>/[端口號]/[路徑][?<查詢信息>]</

12、p><p>　　資源的缺省值是INDEX或DEFAULT，端口號缺省為80。</p><p>　　2)客戶端向服務(wù)器提出請求。請求信息包括希望返回的文件名和客戶機信息，客戶機信息以請求頭發(fā)送給服務(wù)器。</p><p>　　3)服務(wù)器對請求作出應(yīng)答。服務(wù)器收到一個請求，就會立刻解釋請求中所用到的方法，并開始處理應(yīng)答。服務(wù)器的應(yīng)答消息也包含頭字段形式的報文信息。</p

13、><p>　　4)關(guān)閉客戶與服務(wù)器之間的連接。</p><p>　　客戶與服務(wù)器之間的連接是一次性的連接，它限制每次連接只處理一個請求，當(dāng)服務(wù)器響應(yīng)一個請求后就會立即關(guān)閉此連接，這樣及時地釋放連接可以大大提高服務(wù)器的執(zhí)行效率。</p><p>　　在客戶和Web服務(wù)模塊進行交互時，用戶的輸入常常通過使用HTML表單將相關(guān)信息送往Web服務(wù)模塊。HTML表單包含有下拉式菜

14、單和按鈕等HTML頁面元素，這樣的表單將使用戶能夠進行交互式訪問。在一個HTML文檔中可以有多個HTML表單，每個表單都具有相同基本結(jié)構(gòu)，且都必須有處理程序相對應(yīng)。表單中有如下重要屬性：</p><p><b>　　1)Method </b></p><p>　　Method屬性，用來指定Web客戶機在向服務(wù)器提交表單數(shù)據(jù)時所采取的請求方法。一般有GET和POST兩種

15、方法。二種方法之間的主要區(qū)別是在向服務(wù)器傳送表單數(shù)據(jù)時，采用的方法不同。</p><p>　　a) GET方法是把需要提交的數(shù)據(jù)用“?”附加到URL的后面， 在頭部信息中發(fā)送。</p><p>　　b) POST方法是把需要提交的數(shù)據(jù)作為數(shù)據(jù)信息內(nèi)容發(fā)送。</p><p><b>　　2)Action </b></p><p

16、>　　Action屬性也位于表單的Form標簽中，用來指定Web服務(wù)器上用來接收表單數(shù)據(jù)內(nèi)容并進行處理的URL，它一般是Web服務(wù)器上的可執(zhí)行程序，它負責(zé)處理表單數(shù)據(jù)，還負責(zé)產(chǎn)生對所提交的數(shù)據(jù)的響應(yīng)，以便服務(wù)器可以向客戶機返回響應(yīng)。</p><p>　　3)Enctype </p><p>　　Web客戶機發(fā)送數(shù)據(jù)所使用的編碼機制都由Enctype屬性指定。URL編碼機制的基本思想就

17、是把表單中的所有數(shù)據(jù)都格式化為順序?qū)?，組合在一個字符串中。</p><p>　　另外，還有一種稱為Multipart的編碼機制被加入到HTML規(guī)范中，它的指定方法為:ENCTYPE= "Multipart/form-data"。Multipart編碼機制的主要目的是使文件能夠通過HTML表單上傳。</p><p>　　2、防火墻遠程安全管理中的Web服務(wù)模塊設(shè)計<

18、/p><p>　　Web服務(wù)模塊主進程監(jiān)聽設(shè)定的端口，一旦有瀏覽器的請求到達，則建立連接并返回新的套接字描述符交由子進程使用。子進程讀取請求并分解出URI、請求方法，再創(chuàng)建子進程并根據(jù)所請求文件的擴展名對應(yīng)的MIME類型進行判斷，如是靜態(tài)文本則根據(jù)配置文件進行相應(yīng)的修改然后構(gòu)造返回網(wǎng)頁發(fā)送給瀏覽器；如是CGI腳本，則創(chuàng)建一個子進程執(zhí)行該腳本，處理腳本運行結(jié)果并把結(jié)果返回服務(wù)器，服務(wù)器再根據(jù)實際情況確定返回給瀏覽器的信

19、息。最后關(guān)閉該連接。</p><p>　　防火墻遠程服務(wù)管理系統(tǒng)內(nèi)部關(guān)系：</p><p>　　整個系統(tǒng)分三大模塊，三個模塊之間的關(guān)系見圖3-2，客戶端利用標準瀏覽器發(fā)出請求，HTTPD響應(yīng)客戶端的請求，進行相應(yīng)的處理。其中傳輸?shù)臄?shù)據(jù)需要安全保障。</p><p>　　這三個模塊中前兩個模塊SSL和HTTPD是輔助模塊，是為第三個模塊遠程管理提供服務(wù)，所有工作都圍繞

20、第三個模塊進行。為了達到防火墻遠程管理、配置的目的，設(shè)計的HTTPD需要支持三種請求。</p><p>　　三個模塊形成一個統(tǒng)一整體，整體系統(tǒng)的數(shù)據(jù)流程見圖3-3，HTTPD接收到客戶端的請求后，進行HTTP頭的解析，分析出客戶端的請求是何種請求，根據(jù)防火墻遠程管理、配置系統(tǒng)的功能要求，本系統(tǒng)從大的方面實現(xiàn)二種請求，即GET 和POST請求，POST請求是進行配置文件的更新，即執(zhí)行相關(guān)的CGI程序，完成相應(yīng)的功能

21、。GET請求分成兩種，第一種是對相應(yīng)的配置網(wǎng)頁的調(diào)用，其中還要調(diào)用配置文件對相應(yīng)的網(wǎng)頁進行修改，再生成相應(yīng)的網(wǎng)頁返回給客戶端。另一種是客戶端請求的不是瀏覽相應(yīng)網(wǎng)頁內(nèi)容，而是要瀏覽相應(yīng)配置文件或相應(yīng)的配置規(guī)則，此時就要進行HTTP協(xié)議下的文件傳輸，使客戶端能瀏覽相應(yīng)的配置文件或配置規(guī)則，甚至在必要時還可以把它們下載存儲在客戶端。如果客戶端不是這兩種請求方法，分析HTTP頭時就會報錯。</p><p>　　圖3-3

22、 系統(tǒng)流程圖</p><p><b>　　四、展望</b></p><p>　　本文除了現(xiàn)有的研究意義外，還有一定的發(fā)展?jié)摿?。在現(xiàn)在的這個飛速發(fā)展的電子信息以及網(wǎng)絡(luò)時代，所有的電子數(shù)碼終端等產(chǎn)品都可以在其嵌入式系統(tǒng)中設(shè)計遠程配置管理系統(tǒng)，但這將對于技術(shù)、設(shè)備有更高的要求，而卻可以使電子數(shù)碼終端產(chǎn)品邁上一個新的臺階。</p><p><b

23、>　　參考文獻：</b></p><p>　　[1] 張斌，Linux平臺下的Web編程，北京：清華大學(xué)出版社，2000</p><p>　　[2] Richard J.Gondek等編，《防火墻技術(shù)大全》，機械工業(yè)出版社</p><p>　　[3] 博嘉科技主編，《linux防火墻技術(shù)探秘》，北京：國防工業(yè)出版社，2002.10</p>