CORBA中防火墙机制地研究.pdfVIP

第十一届中目计算机学会网络与数据通信学术会议论文 CORBA中防火墙机制的研究 f●l，--●_-●_-，t|F．1{ 易建超谢俊清汪芸颐冠群 (东南大学计算机科学与工程系网络教研室，南京，210096) j立b碰f醵至亘三：堕迸 fj西金∞翌墅墨衄皿l【融§坌丛：垒血：盟 并要 本文在论述互不信任的0髓系统间建立防火墙的必要性的基础之上．讨论了在0船系统之间建立防火墙 的特殊闩置，详细阐述了在c疆班强系统中的解决方案，对1评防火墙，soacs防火墙，G10P代理防火墙螅运行机制 和字越算法进行了分析，并对0瞒防火墙中的两个重要不足进行了讨论． 0髓G10P 关t诃00船A 110P防火墙安全性穿越算法代理对象 l引言 由于Inte皿et已经演变成为包含诸多个人和商业信息的全球性的信息盗源，当夸的企业日益依齄它们的计 算机信息系统来支持它们的商业活动，丢失信息、信息不准确或是任何敏感信息落入竞争对手手中都会给企业造 成巨大损失．因此网络防火墙通过保护嬲络的入口来阻止非授权的访问和攻击． 在现在的企业的分布式计算环境中，分布对象计算(胁tr，曲括d啦衄}蝴￡埘，简称为D∞)的要 ，}}i；jPI 求越来越大，其技术和标准的研究和制定成为了但前的一个热点．0啉组织制定的O哝队(凸_∞∞加} 品自归簖f皿妇删魄扎胂-公共对象请求代理件系接口)规范且前戚为分布是对象计算技术的一个重要标 准，它与毗crosoft的瑚‘以删标准，Sun公司的J_协眦／Ja鸭Be呲s一起形成了这一领域的主流．目前， O嘲规范已得到了船O多家厂商和机构的支持． ， 计算机信息系统的安全问题一直是一十研究的热点．而分布式系统由于有更多的可能存在的安全漏嗣，比 常规的计算机系统更容易招致攻击．因此，在本文中论述了如何提供—个标准的防火墙机制来标识和控制在分布 式的c0髓^系统中的110P流． 2 coRBA中的防火墙机制 在删B的伽昭^／Pire-all security革寨申，提出了曲cl删e的概蕾巨lencl“ve就是被一个防火墙保护 tl，l；；；。；，，；^l 的—组对象，相当于域的概念，在同一个encl8ve内的对象之问的通信和交互不需要防火墙的保护和控制，当 x} 不同朗c1删e之问的对象要交互时必须符台相应的安全簧略．防火墙的保护分为入站保护和出站保护，入站保 押j来控制外部对内部资嚣的访问．出站保护用来限制内部可访问的外部资源．encla僧可以进—步分解形成 e雠l盯e的层次结梅．为了弼另外一个0髓中的对象建立连接，需要知道两方面的信息．首先是需要知道穿越 的出站防火墙的信息．然后是需要穿越的服务蛸的入站防火墙的信息．叩发出请求的cn曲t必须能冠过本地的 出站防火墙．翻选semr必须能通过server方的入站防火墙．当前的技术可以缓解在客户蛸的一些困难，如允 许客户壤进程穿越本地的防火墙直接与服务端的防火墙建立连接：如果客户峭使用广为所知的用作110P传输的 TcP墙口(或者是该靖口可以让防火墙管理员提前所知)．那么标准的TcP层的防火墙机制可用来允许向外的II∞ 蠢的通过：如果该蜻口不能预先得知，酃么s0Ⅱ(s代理技术可以用来将向外的连接首先连接到一个soas代理上． 然后再转发到指定的站点．在服务端的困难在于需要配置防火墙来在所有的埔口上诊听110P连接并把它们转发 刊内部的主机，为了解决这一困难．在I隙中包含能与serv盯所在城的防火墙直接相连的信息，比如口地址和 端口号．这样防火墙配置更加苘单和易于管理．在理解c0髓A防火墙的不同类型时，一个c0蛐A请求的层次模型 是很有帮助的。如圈l所示． 166 —1r■—]陌 T评’StM8■ Socket TcP_f阳xy，S∞岱 IP IP珏eader