透明代理在防火墻中的應用和測試方法研究

李旋 李毅

摘 要：工作于透明代理模式下的防火墻可以實現(xiàn)深度內(nèi)容檢測、應用層控制等功能，且提升了防火墻的自身安全性。文章從代理的原理入手，分析了防火墻的透明模式原理和其常用的實現(xiàn)方式，并給出了防火墻透明模式的測試方法。在透明模式的基礎上，闡述了防火墻透明代理的概念，分析了測試防火墻透明代理時遇到的問題，并給出一種有效的測試透明代理的方法。

關鍵詞：防火墻；代理；透明代理

中圖分類號：TP391 文獻標識碼：A

1 引言

隨著網(wǎng)絡安全法的不斷推進，網(wǎng)絡安全的重要性已關系到了國計民生。防火墻作為網(wǎng)絡的邊界設備，網(wǎng)絡安全的第一道大門，受到的網(wǎng)絡攻擊從來都沒有停止過。網(wǎng)絡安全技術(shù)在于網(wǎng)絡攻擊博弈的不斷發(fā)展之中，防火墻也已經(jīng)由第一代發(fā)展為第二代，其安全功能不斷的增加，安全性也不斷增強，操作配置也不斷地變得簡易。

透明代理因其獨特的安全功能，被廣大防火墻廠商應用于產(chǎn)品中，進行會話管理、應用協(xié)議、應用內(nèi)容的訪問控制，所以防火墻的透明代理功能不能被忽視。防火墻的透明代理屬于代理服務的類型，具有普通代理服務器的工作原理和實現(xiàn)機制，但又具有其特殊性。本文從代理技術(shù)的實現(xiàn)方式入手，對透明模式、防火墻的透明代理進行說明，并設計防火墻的透明代理測試方法，用已對防火墻的透明代理功能進行研究和測試[1-3]。

2 代理技術(shù)

2.1 代理

代理（Proxy），也稱網(wǎng)絡代理，是一種允許一個網(wǎng)絡終端（一般為客戶端）與另一個網(wǎng)絡終端（一般為服務器）進行非直接的通信的網(wǎng)絡服務。代理一般通過代理服務器（Proxy Server）實現(xiàn)，一般情況下，代理服務器可以對客戶端的任何網(wǎng)絡請求進行代理，如HTTP、FTP、SSH等協(xié)議。

以Web服務為例，當不使用代理服務時，用戶使用客戶端瀏覽器去連接服務器端的Internet站點取得網(wǎng)絡服務，發(fā)送服務請求信號，以期得到服務器應答，服務器收到客戶端的請求后，對客戶端回送應答信號，客戶端和服務器端通過三次握手建立連接。當使用代理服務時，代理服務器在邏輯上介于客戶端和服務器端之間，客戶端瀏覽器在發(fā)送服務請求時，先將請求發(fā)送至代理服務器，由代理服務器再對服務器端進行請求，而且代理服務器接收服務器回送的應答信號，并將該應答發(fā)回給客戶端瀏覽器。在一次請求服務中，代理服務器分別與客戶端和服務器建立了三次握手，形成一個中間人[4]。

2.2 HTTP代理

2.2.1 公共代理資源

網(wǎng)絡上具有很多開放的HTTP代理資源，本節(jié)以HTTP為例，使用公網(wǎng)資源對網(wǎng)絡代理進行簡單的分析。在使用這些資源之前一般需要對客戶端瀏覽器進行設置，對于IE11瀏覽器，在Internet選項-連接-局域網(wǎng)設置-代理服務器菜單的窗口中填入公共的代理資源（IP地址）。在訪問HTTP服務器時，即可使用該代理服務器進行服務訪問。目前還可以通過安裝瀏覽器插件的方式來實現(xiàn)代理功能，插件能夠自動和動態(tài)的設置代理，與手動設置的原理一致。

在公共代理資源中選取一個代理服務器，本節(jié)中選擇了61.160.250.25的IP地址，嘗試訪問URL為www.mctc.org.cn的網(wǎng)站，該網(wǎng)站IP地址解析結(jié)果為202.127.0.113；在使用代理服務器前后，分別對該網(wǎng)站進行訪問，并在客戶端使用網(wǎng)絡協(xié)議分析工具進行數(shù)據(jù)包分析，圖1顯示了使用代理前的訪問結(jié)果，圖2顯示了使用代理后的訪問結(jié)果，可以清楚的看到在設置代理服務器之前，客戶端使用本機地址直接訪問網(wǎng)站，而設置了代理服務器之后，客戶端與代理服務器之間建立了通信連接，由代理服務器（IP：61.160.250.25）返回服務器的應答。

由于本節(jié)中均使用的是公網(wǎng)資源，無法獲知代理服務器與HTTP服務器之間的交互信息，因此在下一節(jié)中通過自己搭建的代理服務器對HTTP服務器進行訪問，分別查看客戶端、代理服務器和HTTP服務器三者之間的信息交互。

2.2.2 簡易代理服務器

使用代理服務器軟件搭建一個代理服務器，拓撲如圖3所示，代理服務器的IP地址為192.168.20.80，端口號設為8080。與上一節(jié)相同，在不采用代理服務時，客戶端訪問HTTP服務器，通過網(wǎng)絡協(xié)議分析工具進行數(shù)據(jù)包分析，結(jié)果如圖4所示。在采用代理服務時，客戶端訪問HTTP服務器，通過網(wǎng)絡協(xié)議分析工具分別在客戶端和服務器端進行數(shù)據(jù)包分析，結(jié)果如圖5和圖6所示。

通過測試，不使用代理時，客戶端PC（IP：192.168.20.50）直接訪問HTTP服務器（IP：192.168.20.41），并且訪問的目的端口為服務器上開放的HTTP標準80端口。設置代理后，客戶端PC（IP：192.168.20.50）則訪問了代理服務器（IP：192.168.20.80），并且訪問的目的端口是代理服務器開放的8080端口，而在服務器端則是由代理服務器（IP：192.168.20.80）對HTTP服務器發(fā)起的訪問，結(jié)果與上一節(jié)一致，且反應了HTTP代理服務器的全部工作過程。

3 防火墻的透明代理

3.1 透明模式和透明代理

3.1.1 透明模式

目前大多數(shù)的防火墻均具有代理的功能，可以在網(wǎng)絡中作為代理服務器，完成深度內(nèi)容檢測、應用層控制等功能，在對防火墻的代理功能進行測試之前，本章對防火墻的代理實現(xiàn)機制進行研究。上文對代理進行了簡要介紹，由于需要在客戶端配置代理服務器，因此針對客戶端用戶而言，這種代理方式并不是透明的。但是在部署防火墻時，代理一般使用透明方式部署，即客戶端并不知道代理服務器的存在[5-8]。

工作在透明模式下的防火墻就如同一臺二層設備，內(nèi)外網(wǎng)口無需配置IP地址直接接入網(wǎng)絡中，同時解析所有通過它的數(shù)據(jù)包，用戶并不知道防火墻的存在。透明模式防火墻常用的工作方式有ARP代理和網(wǎng)橋方式[9-11]，通過如圖7所示的拓撲圖對以上兩種方式進行介紹。

（1）ARP代理工作方式

在ARP代理工作方式下，主機A要訪問主機C時，主機A先發(fā)送ARP廣播請求，詢問路由器R相關的MAC地址信息，但由于路由器被防火墻隔斷，因此防火墻F從eth0口收到該ARP請求，并替代路由器R回應，這個包中防火墻F告知主機A路由器R的IP所對應的MAC地址（實際是eth0的MAC地址）。主機A收到防火墻F回應的報文后，將MAC地址寫入ARP緩存，然后發(fā)往路由器R的IP報文就封裝在已eth0的MAC地址為目的的數(shù)據(jù)幀中發(fā)出去；防火墻收到報文后，根據(jù)內(nèi)部的路由配置將該數(shù)據(jù)報文從eth1口發(fā)送給路由器R，此時防火墻還不知道路由器R的MAC地址，防火墻會從eth1發(fā)送ARP廣播報文找到路由器R的MAC地址，從而正確的將主機A的請求發(fā)送至主機C；主機C回復的信息通過同樣的方式將數(shù)據(jù)穿過防火墻F返回給主機A。

（2）網(wǎng)橋工作方式

在網(wǎng)橋的工作方式下，主機A要訪問主機C時，同樣先發(fā)送ARP廣播請求，防火墻F的橋接口得知，從eth0口可以到達A的MAC對應的網(wǎng)絡接口，從而更新自己的橋接器接口表，并把這個ARP請求從eth1口發(fā)送出去，主機A的ARP請求被發(fā)送至路由器R，路由器將應答報文返回給防火墻F的eth1口，從而更新自己的橋接器接口表，即eth1口可以到達路由器R的MAC對應的網(wǎng)絡接口；根據(jù)防火墻F的橋接口信息，主機A可以穿透防火墻訪問主機C。

以上是防火墻透明模式比較常用的兩種工作機制，當防火墻處在透明模式的情況下，測試防火墻是否采用透明代理方法較為簡單：首先防火墻并沒有在網(wǎng)絡接口上配置IP地址；其次在防火墻上先配置一些訪問控制規(guī)則，如果通過防火墻的數(shù)據(jù)報文能夠命中訪問控制列表中的規(guī)則，說明防火墻工作在透明模式下；最后通過分析在防火墻內(nèi)外網(wǎng)口獲取的網(wǎng)絡數(shù)據(jù)報文的IP地址和MAC的方式進一步還可以確定防火墻透明模式的實現(xiàn)機制。

3.1.2 透明代理

上一小節(jié)對防火墻的透明模式進行了介紹和測試方法說明，本節(jié)對防火墻路由模式下透明代理進行介紹。

防火墻在路由模式下除了能夠?qū)崿F(xiàn)包過濾等功能，還具有路由功能，內(nèi)外網(wǎng)口分別配置了IP地址，且在客戶端訪問服務器的時候并不改變網(wǎng)絡數(shù)據(jù)報的源、目的IP地址，因此無法通過內(nèi)外網(wǎng)口是否配置了IP地址和內(nèi)外網(wǎng)口的網(wǎng)絡數(shù)據(jù)報文的IP地址和MAC來判斷產(chǎn)品是否開啟了代理功能[12，13]。

3.2 透明代理的測試方法

3.2.1 測試工具和環(huán)境

本文開始已經(jīng)說明，代理的特點是替代客戶端向服務器發(fā)起訪問，因此本節(jié)通過檢查防火墻是否將客戶端的一個訪問會話分割成兩個來對防火墻的透明代理功能進行測試。測試過程中的網(wǎng)絡環(huán)境如圖8所示。

在圖8中，防火墻F配置為路由模式，內(nèi)部網(wǎng)絡接口eth0的IP地址設為10.10.10.1，外部網(wǎng)絡接口eth1的IP地址設為10.74.82.1，同時防火墻F開啟SNAT（原地址轉(zhuǎn)換）策略，將內(nèi)部網(wǎng)絡地址在訪問外部網(wǎng)絡服務時轉(zhuǎn)換為外部網(wǎng)絡IP地址10.74.82.153。被訪問的外部主機B的IP地址為173.37.147.230。在內(nèi)部網(wǎng)絡和外部網(wǎng)絡區(qū)分別使用網(wǎng)絡協(xié)議分析工具對防火墻內(nèi)外網(wǎng)口的網(wǎng)絡報文進行偵聽。

3.2.2 測試過程和結(jié)果

針對上一節(jié)的網(wǎng)絡拓撲和配置，測試過程分幾步。

步驟一：分別在內(nèi)部網(wǎng)絡和外部網(wǎng)絡的主機C和主機D上開啟Wireshark網(wǎng)絡協(xié)議分析工具。

步驟二：不啟用防火墻F的透明代理功能時，發(fā)起主機A對主機B的TCP訪問（發(fā)起郵件服務器的SMTP連接）。

步驟三：停止主機C和主機D上的網(wǎng)絡協(xié)議分析工具的網(wǎng)絡數(shù)據(jù)報偵聽，在主機C和主機D上獲取的網(wǎng)絡報文分別如圖9和圖10所示。

步驟四：重復步驟一。

步驟五：啟用防火墻F的透明代理，發(fā)起主機A對主機B與步驟二中同樣的TCP訪問。

步驟六：在主機C和主機D上獲取的網(wǎng)絡報文分別如圖11和圖12所示。

根據(jù)圖9的結(jié)果，可以看出路由模式下主機A直接與主機B建立了三次握手的TCP連接，其第一個syn包中的Sequence number為1702199690。根據(jù)圖10的結(jié)果可以看到，主機A使用SNAT轉(zhuǎn)換后的IP地址與主機B建立了TCP連接，其第一個syn包中的Sequence number值同樣為1702199690。說明未使用透明代理的防火墻，雖然開啟了SNAT功能，其內(nèi)外網(wǎng)絡使用的是同一個連接，這與預期結(jié)果一致。

根據(jù)圖11的結(jié)果，可以看出路由模式下并開啟了透明代理的防火墻主機A仍然可以與主機B建立TCP連接，其第一個syn包中的Sequence number為3633652248。根據(jù)圖12的結(jié)果可以看到，主機A使用SNAT轉(zhuǎn)換后的IP地址與主機B建立了TCP連接，其第一個syn包中的Sequence number值為190980376。說明防火墻F使用了透明代理后，其內(nèi)外網(wǎng)絡使用的并不是同一個連接，而是由于代理的存在將會話分成了2個。通過這個實驗可以證明，一般情況下，如果內(nèi)外網(wǎng)通信數(shù)據(jù)的Sequence Number值不一致，被分割為2個會話，則防火墻開啟了透明代理功能。

4 結(jié)束語

無論防火墻是工作在透明模式還是路由模式下啟用透明代理功能，對于客戶端的用戶來說，代理功能都是透明的，但是兩種方式均改變了網(wǎng)絡的原始結(jié)構(gòu)。透明模式下，由于防火墻對其他網(wǎng)絡設備不可見，因此造成ARP解析不正常，需要通過ARP代理、網(wǎng)橋或者其他方法使網(wǎng)絡數(shù)據(jù)報文能夠正常通過防火墻。工作在透明模式下的防火墻因其不需要設置網(wǎng)絡接口的IP地址，且通過其內(nèi)外網(wǎng)數(shù)據(jù)報文的特點和自身的規(guī)則，透明代理的測試并不復雜。透明代理下，因防火墻本身具有路由功能，從內(nèi)外網(wǎng)的IP和MAC地址無法判斷防火墻是否啟用了透明代理，但是通過內(nèi)外網(wǎng)數(shù)據(jù)報文的Sequence Number值可以確定防火墻是否將會話進行了隔斷，如果會話被防火墻進行了隔斷，則可以判斷啟用的透明代理。

參考文獻

[1] 伍衛(wèi)民，吳和生，蔡圣聞，等.一種高效的透明代理[J].計算機應用， 2002，22 （10），26-28.

[2] 黃菊.包過濾防火墻和代理防火墻的比較[J].鄭州航空工業(yè)管理學院學報， 2003，21（4），118-120.

[3] 劉軍，鄭傳波，張凱.基于數(shù)據(jù)包過濾和透明代理相結(jié)合的防網(wǎng)絡攻擊[J].計算機工程與設計， 2005，26（5），1290-1293.

[4] 楊永群，章翔凌，黃勤龍，肖志恒.基于代理的Web應用安全管控系統(tǒng)設計與實現(xiàn)[J].網(wǎng)絡空間安全，2017，（Z4），50-53.

[5] 朱樹人，李偉琴.代理防火墻的設計與應用[J].計算機工程與科學， 2001，23（1），16-18.

[6] 陳國偉，伍小明.透明網(wǎng)關與透明代理結(jié)合的防火墻的設計與實現(xiàn)[J].計算機應用研究， 2003， （5），138-142.

[7] 袁士虎.Linux防火墻中FTP透明代理的設計和實現(xiàn)[J].計算機工程， 2004，30 （23），106-107.

[8] 朱萍.基于透明代理的Linux防火墻的設計與實現(xiàn)[J].合肥工業(yè)大學學報， 2007，30（5），576-578.

[9] 黃延學，戴冠中，朱志祥.H.323通信穿透防火墻的一種實現(xiàn)[J].微電子學與計算機， 2001， （6）： 39-42.

[10] 劉瑩瑩，淺析瀏覽器網(wǎng)頁安全問題[J].網(wǎng)絡空間安全，2016，（6），60-63.

[11] 張永輝，吳小紅，李俊.Linux下防火墻透明模式的原理及實現(xiàn)[J].微電子學與計算機， 2004，21（10），100-104.

[12] 楊晉生，金志剛，胡琳，姚偉棟.基于LINUX的代理型防火墻開發(fā)與應用[J]. 計算機工程， 2000，26（增刊），190-193.

[13] 蔡聞怡，陳一民.基于代理的SIP穿越NAT和防火墻方案[J].計算機工程， 2007，33 （22），148-150.