[发明专利]实现终端点对防火墙特征的协商的方法、装置和计算机程序产品

说明书

技术领域

本发明的各种实施例主要地涉及通信网络安全过程并且具体地涉及网际协议(IP)网络的安全。

背景技术

随着威胁的数目在因特网中与日俱增，防火墙在保护终端用户和网络资源中起到关键作用。通过决定在cdma2000网络中指定采用和利用这些网络实体，3GPP2标准已经认识到它们的重要性(参见2004年11月的3GPP2Network Firewall Configuration and Control-Stage 1的要求)。通过限定允许防火墙配置的数个协议如MIDCOM(http://ietf.brg/html.charters/midcom-charter.html)和NAT FW NSLP(http://www.ietf.org/internet-drafts/draft-ietf-nsis-nslp-natfw-04.txt)，IETF也承认这些网络实体的价值以及在IP网络中需要存在这些网络实体。

在当前防火墙中已经开发和实施数个安全特征以防止出现服务拒绝(DoS)攻击的发生。尽管这些特征已经提供对目标机器的某一保护，但是当考虑新的应用和情境时这些特征可能会存在问题。这些问题的存在可能造成丢弃数据分组或者终止数据通信。

在许多当前防火墙中实施如下数个特征：1)分片完整性检验、2)SYN中继和3)TCP序列校验器。

分片完整性检验

正如Jim Nobe等人在Syngress Publishing Inc.2003年的CheckPoint NG VPN-1/FireWall-1中所说明的，如果某一攻击被分片成较小的片，一些防火墙和IDS系统将检测不到该攻击。之所以发生这一点是因为在各分组通行经过设备时是单独地被检查，并且不会将攻击者数据的某一分片识别为攻击。为了避免这一问题，防火墙收集所有分片并且在传递信息到目的地之前检验重新组装的分组。

TCP序列校验器

同样正如Nobe等人所说明的，TCP会话中的每个分组在TCP报头信息中包含序列号。该序列号之所以重要是因为它是用来允许主机之间可靠通信的机制。序列号标识数据的各数据集合，使得接收主机能够以正确的次序重新组装流并且能够在收到各单独分组时确认该分组。如果在设置的时间段内没有确认序列号，则发送方知道重新发送未确认的分组。在重新发送以及确认在网络上相互传递的情况下，接收主机将知道丢弃重复的分组，因为它已经观察到过序列号。

多数防火墙支持对经过网关的所有业务流进行监视并且保持对分组中序列号的跟踪的TCP序列校验器。如果防火墙观察到与不正确的序列号一起接收的分组，则EP(实施点)认为该分组状态错误并且丢弃该分组。网络管理员可以禁用这一特征，因为在比如使用不对称路由的防火墙集群这样的某些配置中不支持该特征。

SYN中继

已经设计SYN中继方法用来解决传送控制协议(TCP)SYN泛洪(flooding)的威胁(关于对TCP SYN泛洪型恶意攻击的描述，参见http://www.cert.org/advisories/CA-1996-21.html)

防火墙在使用时将通过发送SYN/ACK到客户机来代表(受防火墙保护的)服务器对所有SYN分组做出响应。一旦从客户机接收到ACK，防火墙将传递通向服务器的连接。利用这一方法，服务器将不会接收无效的连接尝试，因为防火墙在它已经从客户机接收对应的ACK之前将不会传递原始SYN分组。这一方法为目标服务器提供了良好保护，但是具有与它的使用相关联的明显开销，因为要求防火墙对通行经过的所有连接请求做出响应。在TCP连接中也需要涉及到防火墙。之所以这样是因为来自客户机的TCP连接实际上终止于防火墙而防火墙然后建立与服务器的另一TCP连接。

参照图1，恶意节点1可以通过防火墙3经由外部网络2如因特网发送业务到蜂窝网络4。恶意业务从蜂窝网络4通行经过空中接口5到达受害方无线终端6。假设无线终端6与蜂窝网络订户相关联。这可能造成蜂窝网络4中的各种问题，比如与过量计费、受害方的电池寿命缩短以及不必要地消耗空中接口带宽有关的问题。

设计上述分片完整性检查和TCP序列校验器以防止恶意节点尝试起动隐藏的攻击或者尝试注入虚假的业务(泛洪)。通常当EP检测到活跃的攻击正在进行(超出某一攻击尝试阈值)时使用SYN中继方法来保护目标机器免受TCP SYN泛洪。

然而，当考虑新的应用和情境时，通常只能由网络管理员启用/禁用的这些特征可能引入许多很难解决的新问题。