防火墻技術詳解及技術發展趨勢
傳統的防火墻通常是基于訪問控制列表(ACL)進行包過濾的,位于在內部專用網的入口處,所以也俗稱"邊界防火墻"。隨著防火墻技術的發展,防火墻技術也得到了發展,出現了一些新的防火墻技術,如電路級網關技術、應用網關技術和動態包過濾技術,在實際運用中,這些技術差別非常大,有的工作在OSI參考模式的網絡層,;有的工作在傳輸層,還有的工作在應用層。
在這些已出現的防火墻技術中,靜態包過濾是 差的安全解決方案,其應用存在著一些不可克服的限制, 明顯的表現就是不能檢測出基于用戶身份的地址欺騙型數據包,并且很容易受到諸如DoS(拒絕服務)、IP地址欺詐等黑客攻擊。現在已基本上沒有防火墻廠商單獨使用這種技術。應用層網關和電路級網關是比較好的安全解決方案,它們在應用層檢查數據包。但是,我們不可能對每一個應用都運行這樣一個代理服務器,而且部分應用網關技術還要求客戶端安裝有特殊的軟件。這兩種解決方案在性能上也有很大的不足之處。動態包過濾是基于連接狀態對數據包進行檢查,由于動態包過濾解決了靜態包過濾的安全限制,并且比代理技術在性能上有了很大的改善,因而目前大多數防火墻廠商都采用這種技術。但是隨著主動攻擊的增多,狀態包過濾技術也面臨著巨大的挑戰,更需要其它新技術的輔助。
除了訪問控制功能外,現在大多數的防火墻制造商在自己的設備上還集成了其它的安全技術,如NAT和VPN、病毒防護等。
二、防火墻未來的技術發展趨勢
隨著新的網絡攻擊的出現,防火墻技術也有一些新的發展趨勢。這主要可以從包過濾技術、防火墻體系結構和防火墻系統管理三方面來體現。
1. 防火墻包過濾技術發展趨勢
(1). 一些防火墻廠商把在AAA系統上運用的用戶認證及其服務擴展到防火墻中,使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網絡應用中非常必要。具有用戶身份驗證的防火墻通常是采用應用級網關技術的,包過濾技術的防火墻不具有。用戶身份驗證功能越強,它的安全級別越高,但它給網絡通信帶來的負面影響也越大,因為用戶身份驗證需要時間,特別是加密型的用戶身份驗證。
(2). 多級過濾技術
所謂多級過濾技術,是指防火墻采用多級過濾措施,并輔以鑒別手段。在分組過濾(網絡層)一級,過濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級,遵循過濾規則,過濾掉所有禁止出或/和入的協議和有害數據包如nuke包、圣誕樹包等;在應用網關(應用層)一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產生的一種綜合型過濾技術,它可以彌補以上各種單獨過濾技術的不足。
這種過濾技術在分層上非常清楚,每種過濾技術對應于不同的網絡層,從這個概念出發,又有很多內容可以擴展,為將來的防火墻技術發展打下基礎。
(3). 使防火墻具有病毒防護功能。現在通常被稱之為"病毒防火墻",當然目前主要還是在個人防火墻中體現,因為它是純軟件形式,更容易實現。這種防火墻技術可以有效地防止病毒在網絡中的傳播,比等待攻擊的發生更加積極。擁有病毒防護功能的防火墻可以大大減少公司的損失。
2. 防火墻的體系結構發展趨勢
隨著網絡應用的增加,對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數據。另外,在以后幾年里,多媒體應用將會越來越普遍,它要求數據穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要,一些防火墻制造商開發了基于ASIC的防火墻和基于網絡處理器的防火墻。從執行速度的角度看來,基于網絡處理器的防火墻也是基于軟件的解決方案,它需要在很大程度上依賴于軟件的性能,但是由于這類防火墻中有一些專門用于處理數據層面任務的引擎,從而減輕了CPU的負擔,該類防火墻的性能要比傳統防火墻的性能好許多。
與基于ASIC的純硬件防火墻相比,基于網絡處理器的防火墻具有軟件色彩,因而更加具有靈活性。基于ASIC的防火墻使用專門的硬件處理網絡數據流,比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性,這就使得它缺乏靈活性,從而跟不上防火墻功能的快速發展。理想的解決方案是增加ASIC芯片的可編程性,使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。
首信CF-2000 系列EP-600和CG-600高端千兆防火墻即采用了功能強大的可編程專有ASIC芯片作為專門的安全引擎,很好地兼顧了靈活性和性能的需要。它們可以以線速處理網絡流量,而且其性能不受連接數目、包大小以及采用何種策略的影響。該款防火墻支持QoS,所造成的延遲可以達到微秒量級,可以滿足各種交互式多媒體應用的要求。浙大網新也在杭州正式發布三款基于ASIC芯片的網新易尚千兆系列網關防火墻,據稱,其ES4000防火墻速度達到4Gbps,3DES速度可達600Mbps。易尚系列千兆防火墻還采用了 新的安全網關概念,集成了防火墻、VPN、IDS、防病毒、內容過濾和流量控制等多項功能。
3. 防火墻的系統管理發展趨勢
防火墻的系統管理也有一些發展趨勢,主要體現在以下幾個方面:
(1). 首先是集中式管理,分布式和分層的安全結構是將來的趨勢。集中式管理可以降低管理成本,并保證在大型網絡中安全策略的一致性。快速響應和快速防御也要求采用集中式管理系統。目前這種分布式防火墻早已在Cisco(思科)、3Com等大的網絡設備開發商中開發成功,也就是目前所稱的"分布式防火墻"和"嵌入式防火墻"。關于這一新技術在本篇下面將詳細介紹。
(2). 強大的審計功能和自動日志分析功能。這兩點的應用可以更早地發現潛在的威脅并預防攻擊的發生。日志功能還可以管理員有效地發現系統中存的安全漏洞,及時地調整安全策略等各方面管理具有非常大的幫助。不過具有這種功能的防火墻通常是比較高級的,早期的靜態包過濾防火墻是不具有的。
(3). 網絡安全產品的系統化
隨著網絡安全技術的發展,現在有一種提法,叫做"建立以防火墻為核心的網絡安全體系"。因為我們在現實中發現,僅現有的防火墻技術難以滿足當前網絡安全需求。通過建立一個以防火墻為核心的安全體系,就可以為內部網絡系統部署多道安全防線,各種安全技術各司其職,從各方面防御外來入侵。
如現在的IDS設備就能很好地與防火墻一起聯合。一般情況下,為了確保系統的通信性能不受安全設備的影響太大,IDS設備不能像防火墻一樣置于網絡入口處,只能置于旁路位置。而在實際使用中,IDS的任務往往不僅在于檢測,很多時候在IDS發現入侵行為以后,也需要IDS本身對入侵及時遏止。顯然,要讓處于旁路偵聽的IDS完成這個任務又太難為,同時主鏈路又不能串接太多類似設備。在這種情況下,如果防火墻能和IDS、病毒檢測等相關安全產品聯合起來,充分發揮各自的長處,協同配合,共同建立一個有效的安全防范體系,那么系統網絡的安全性就能得以明顯提升。
目前主要有兩種解決辦法:一種是直接把IDS、病毒檢測部分直接"做"到防火墻中,使防火墻具有IDS和病毒檢測設備的功能;另一種是各個產品分立,通過某種通訊方式形成一個整體,一旦發現安全事件,則立即通知防火墻,由防火墻完成過濾和報告。目前更看重后一種方案,因為它實現方式較前一種容易許多。
三、分布式防火墻技術
在前面已提到一種新的防火墻技術,即分布式防火墻技術已在逐漸興起,并在國外一些大的網絡設備開發商中得到了實現,由于其優越的安全防護體系,符合未來的發展趨勢,所以這一技術一出現便得到許多用戶的認可和接受。下面我們就來介紹一下這種新型的防火墻技術。
1. 分布式防火墻的產生
因為傳統的防火墻設置在網絡邊界,外于內、外部互聯網之間,所以稱為"邊界防火墻(Perimeter Firewall)"。隨著人們對網絡安全防護要求的提高,邊界防火墻明顯感覺到力不從心,因為給網絡帶來安全威脅的不僅是外部網絡,更多的是來自內部網絡。但邊界防火墻無法對內部網絡實現有效地保護,除非對每一臺主機都安裝防火墻,這是不可能的。基于此,一種新型的防火墻技術,分布式防火墻(Distributed Firewalls)技術產生了。它可以很好地解決邊界防火墻以上的不足,當然不是為每對路主機安裝防火墻,而是把防火墻的安全防護系統延伸到網絡中各對臺主機。一方面有效地保證了用戶的投資不會很高,另一方面給網絡所帶來的安全防護是非常全面的。
我們都知道,傳統邊界防火墻用于限制被保護企業內部網絡與外部網絡(通常是互聯網)之間相互進行信息存取、傳遞操作,它所處的位置在內部網絡與外部網絡之間。實際上,所有以前出現的各種不同類型的防火墻,從簡單的包過濾在應用層代理以至自適應代理,都是基于一個共同的假設,那就是防火墻把內部網絡一端的用戶看成是可信任的,而外部網絡一端的用戶則都被作為潛在的攻擊者來對待。而分布式防火墻是一種主機駐留式的安全系統,它是以主機為保護對象,它的設計理念是主機以外的任何用戶訪問都是不可信任的,都需要進行過濾。當然在實際應用中,也不是要求對網絡中每對臺主機都安裝這樣的系統,這樣會嚴重影響網絡的通信性能。它通常用于保護企業網絡中的關鍵結點服務器、數據及工作站免受非法入侵的破壞。
分布式防火墻負責對網絡邊界、各子網和網絡內部各節點之間的安全防護,所以"分布式防火墻"是一個完整的系統,而不是單一的產品。根據其所需完成的功能,新的防火墻體系結構包含如下部分:
·網絡防火墻(Network Firewall):這一部分有的公司采用的是純軟件方式,而有的可以提供相應的硬件支持。它是用于內部網與外部網之間,以及內部網各子網之間的防護。與傳統邊界防火墻相比,它多了一種用于對內部子網之間的安全防護層,這樣整個網絡的安全防護體系就顯得更加全面,更加可靠。不過在功能與傳統的邊界式防火墻類似。
·主機防火墻(Host Firewall):同樣也有純軟件和硬件兩種產品,是用于對網絡中的服務器和桌面機進行防護。這也是傳統邊界式防火墻所不具有的,也算是對傳統邊界式防火墻在安全體系方面的一個完善。它是作用在同一內部子網之間的工作站與服務器之間,以確保內部網絡服務器的安全。這樣防火墻的作用不僅是用于內部與外部網之間的防護,還可應用于內部網各子網之間、同一內部子網工作站與服務器之間。可以說達到了應用層的安全防護,比起網絡層更加徹底。
·中心管理(Central Managerment):這是一個防火墻服務器管理軟件,負責總體安全策略的策劃、管理、分發及日志的匯總。這是新的防火墻的管理功能,也是以前傳統邊界防火墻所不具有的。這樣防火墻就可進行智能管理,提高了防火墻的安全防護靈活性,具備可管理性。
2. 分布式防火墻的主要特點
綜合起來這種新的防火墻技術具有以下幾個主要特點:
(1). 主機駐留
這種分布式防火墻的 主要特點就是采用主機駐留方式,所以稱之為"主機防火墻"(傳統邊界防火墻通常稱之為"網絡防火墻")。它的重要特征是駐留在被保護的主機上,該主機以外的網絡不管是處在網絡內部還是網絡外部都認為是不可信任的,因此可以針對該主機上運行的具體應用和對外提供的服務設定針對性很強的安全策略。主機防火墻對分布式防火墻體系結構的突出貢獻是,使安全策略不僅僅停留在網絡與網絡之間,而是把安全策略推廣延伸到每個網絡末端。
(2). 嵌入操作系統內核
這主要是針對目前的純軟件式分布式防火墻來說的.操作系統自身存在許多安全漏洞目前是眾所周知的,運行在其上的應用軟件無一不受到威,。分布式主機防火墻也運行在主機上,所以其運行機制是主機防火墻的關鍵技術之一。為自身的安全和徹底堵住操作系統的漏洞,主機防火墻的安全監測核心引擎要以嵌入操作系統內核的形態運行,直接接管網卡,在把所有數據包進行檢查后再提交操作系統。為實現這樣的運行機制,除防火墻廠商自身的開發技術外,與操作系統廠商的技術合作也是必要的條件,因為這需要一些操作系統不公開內部技術接口。不能實現這種分布式運行模式的主機防火墻由于受到操作系統安全性的制約,存在著明顯的安全隱患。
(3). 類似于個人防火墻
個人防火墻是一種軟件防火墻產品,它是用來保護單一主機系統的。分布式防火墻與個人防火墻有相似之處,如都是對應個人系統。但它們之間又有著本質上的差別。
首先它們管理方式迥然不同,個人防火墻的安全策略由系統使用者自己設置,全面功能和管理都在本機上實現,它的目標是防止主機以外的任何外部用戶攻擊;而針對桌面應用的主機防火墻的安全策略由整個系統的管理員統一介紹和設置,除了對該桌面機起到保護作用外,也可以對該桌面機的對外訪問加以控制,并且這種安全機制是桌面機的使用者不可見和不可改動的。
其次,不同于個人防火墻是單純的直接面向個人用戶,針對桌面應用的主機防火墻是面向企業級客戶的,它與分布式防火墻其它產品共同構成一個企業級應用方案,形成一個安全策略中心統一管理,所以它在一定程度上也面對整個網絡。它是整個安全防護系統中不可分割的一部分,整個系統的安全檢查機制分散布置在整個分布式防火墻體系中。
(4)適用于服務器托管
互聯網和電子商務的發展促進了互聯網數據中心(IDC)的迅速崛起,其主要業務之一就是服務器托管服務。對服務器托管用戶而言,該服務器邏輯上是其企業網的一部分,只不過物理上不在企業內部。對于這種應用,邊界防火墻解決方案就顯得比較牽強附會。我們在前面介紹了,對于這類用戶,他們通常所采用的防火墻方案是采用虛擬防火墻方案,但這種配置相當復雜,非一般網管人員能勝任。而針對服務器的主機防火墻解決方案則是其一個典型應用。對于純軟件式的分布式防火墻則用戶只需在該服務器上安裝上主機防火墻軟件,并根據該服務器的應用設置安全策略即可,并可以利用中心管理軟件對該服務器進行遠程監控,不需任何額外租用新的空間放置邊界防火墻。對于硬件式的分布式防火墻因其通常采用PCI卡式的,通常兼顧網卡作用,所以可以直接插在服務器機箱里面,也就無需單獨的空間托管費了,對于企業來說更加實惠。
3. 分布式防火墻的主要優勢
在新的安全體系結構下,分布式防火墻代表新一代防火墻技術的潮流,它可以在網絡的任何交界和節點處設置屏障,從而形成了一個多層次、多協議,內外皆防的全方位安全體系。主要優勢如下:
(1)增強的系統安全性:增加了針對主機的入侵檢測和防護功能,加強了對來自內部攻擊防范,可以實施全方位的安全策略。
在傳統邊界式防火墻應用中,企業內部網絡非常容易受到有目的的攻擊,一旦已經接入了企業局域網的某臺計算機,并獲得這臺計算機的控制權,他們便可以利用這臺機器作為入侵其他系統的跳板。而 新的分布式防火墻將防火墻功能分布到網絡的各個子網、桌面系統、筆記本計算機以及服務器PC上。分布于整個公司內的分布式防火墻使用戶可以方便地訪問信息,而不會將網絡的其他部分暴露在潛在非法入侵者面前。憑借這種端到端的安全性能,用戶通過內部網、外聯網、虛擬專用網還是遠程訪問所實現與企業的互聯不再有任何區別。分布式防火墻還可以使企業避免發生由于某一臺端點系統的入侵而導致向整個網絡蔓延的情況發生,同時也使通過公共帳號登錄網絡的用戶無法進入那些限制訪問的計算機系統。針對邊界式防火墻對內部網絡安全性防范的不足,
另外,由于分布式防火墻使用了IP安全協議,能夠很好地識別在各種安全協議下的內部主機之間的端到端網絡通信,使各主機之間的通信得到了很好的保護。所以分布式防火墻有能力防止各種類型的被動和主動攻擊。特別在當我們使用IP安全協議中的密碼憑證來標志內部主機時,基于這些標志的策略對主機來說無疑更具可信性。
(2)提高了系統性能:消除了結構性瓶頸問題,提高了系統性能。
傳統防火墻由于擁有單一的接入控制點,無論對網絡的性能還是對網絡的可靠性都有不利的影響。雖然目前也有這方面的研究并提供了一些相應的解決方案,從網絡性能角度來說,自適應防火墻是一種在性能和安全之間尋求平衡的方案;從網絡可靠性角度來說,采用多個防火墻冗余也是一種可行的方案,但是它們不僅引入了很多復雜性,而且并沒有從根本上解決該問題。分布式防火墻則從根本上去除了單一的接入點,而使這一問題迎刃而解。另一方面分布式防火墻可以針對各個服務器及終端計算機的不同需要,對防火墻進行 佳配置,配置時能夠充分考慮到這些主機上運行的應用,如此便可在保障網絡安全的前提下大大提高網絡運轉效率。
(3)系統的擴展性:分布式防火墻隨系統擴充提供了安全防護無限擴充的能力。
因為分布式防火墻分布在整個企業的網絡或服務器中,所以它具有無限制的擴展能力。隨著網絡的增長,它們的處理負荷也在網絡中進一步分布,因此它們的高性能可以持續保持住。而不會象邊界式防火墻一樣隨著網絡規模的增大而不堪重負。
(4)實施主機策略:對網絡中的各節點可以起到更安全的防護。
現在防火墻大多缺乏對主機意圖的了解,通常只能根據數據包的外在特性來進行過濾控制。雖然代理型防火墻能夠解決該問題,但它需要對每一種協議單獨地編寫代碼,其局限性也顯而易見的。在沒有上下文的情況下,防火墻是很難將攻擊包從合法的數據包中區分出來的,因而也就無法實施過濾。事實上,攻擊者很容易偽裝成合法包發動攻擊,攻擊包除了內容以外的部分可以完全與合法包一樣。分布式防火墻由主機來實施策略控制,毫無疑問主機對自己的意圖有足夠的了解,所以分布式防火墻依賴主機作出合適的決定就能很自然地解決這一問題。
(5)應用更為廣泛,支持VPN通信
其實分布式防火墻 重要的優勢在于,它能夠保護物理拓樸上不屬于內部網絡,但位于邏輯上的"內部"網絡的那些主機,這種需求隨著VPN的發展越來越多。對這個問題的傳統處理方法是將遠程"內部"主機和外部主機的通信依然通過防火墻隔離來控制接入,而遠程"內部"主機和防火墻之間采用"隧道"技術保證安全性,這種方法使原本可以直接通信的雙方必須繞經防火墻,不僅效率低而且增加了防火墻過濾規則設置的難度。與之相反,分布式防火墻的建立本身就是基本邏輯網絡的概念,因此對它而言,遠程"內部"主機與物理上的內部主機沒有任何區別,它從根本上防止了這種情況的發生。
4. 分布式防火墻的主要功能
上面介紹了分布式防火墻的特點和優勢,那么到底這種防火墻具備哪些功能呢?因為采用了軟件形式(有的采用了軟件+硬件形式),所以功能配置更加靈活,具備充分的智能管理能力,總的來說可以體現在以下幾個方面:
(1)Internet訪問控制
依據工作站名稱、設備指紋等屬性,使用"Internet訪問規則",控制該工作站或工作站組在指定的時間段內是否允許/禁止訪問模板或網址列表中所規定的Internet Web服務器,某個用戶可否基于某工作站訪問www服務器,同時當某個工作站/用戶達到規定流量后確定是否斷網。
(2)應用訪問控制
通過對網絡通訊從鏈路層、網絡層、傳輸層、應用層基于源地址、目標地址、端口、協議的逐層包過濾與入侵監測,控制來自局域網/Internet的應用服務請求,如SQL數據庫訪問、IPX協議訪問等。
(3)網絡狀態監控
實時動態報告當前網絡中所有的用戶登陸、Internet訪問、內網訪問、網絡入侵事件等信息。
(4)黑客攻擊的防御
抵御包括Smurf拒絕服務攻擊、ARP欺騙式攻擊、Ping攻擊、Trojan木馬攻擊等在內的近百種來自網絡內部以及來自Internet的黑客攻擊手段。
(5)日志管理
對工作站協議規則日志、用戶登陸事件日志、用戶Internet訪問日志、指紋驗證規則日志、入侵檢測規則日志的記錄與查詢分析。
(6)系統工具
包括系統層參數的設定、規則等配置信息的備份與恢復、流量統計、模板設置、工作站管理等。
百度中找“防火墻技術詳解及技術發展趨勢”的內容
GOOGLE中找“防火墻技術詳解及技術發展趨勢”的內容
|
 |
