防火墙技术分析
一、概述 随着INTERNET的发展, 网络已经走进千家万户。因而, 网络安全成为了人们最为关注的问题。而且由于网络的开放性, 网络安全防护的方式发生了根本变化, 使得安全问题更为突出。在此情形下, 防火墙技术应运而生。防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型, 但总体来讲可分为以下几类。第一代防火墙, 又称包过滤防火墙, 主要通过对数据包源地址、目的地址、端口号等参数来决定是否允许该数据包通过, 对其进行转发, 但这种防火墙很难抵御地址欺骗等攻击, 而且审计功能很差。第二代防火墙, 也称代理服务器,它用来提供网络服务级的控制, 起到外部网络向被保护的内部网络申请服务时中间转接作用, 这种方法可以有效地防止对内部网络的直接攻击, 安全性较高。第三代防火墙有效地提高了防火墙的安全性, 称为状态监控功能防火墙, 它可以对每一层的数据包进行检测和监控。随着网络攻击手段和信息安全技术的发展, 新一代的功能更强大、安全性更强的防火墙已经问世,这个阶段的防火墙已超出了原来传统意义上防火墙的范畴, 已经演变成一个全方位的安全技术集成系统, 我们称之为第四代防火墙, 它可以抵御目前常见的网络攻击手段, 如地址欺骗、特洛伊木马攻击、玩蠕虫、口令探寻攻击、邮件攻击等等。第五代防火墙,主要指的是复合型防火墙,指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。
二、防火墙的定义 “ 防火墙” 这个术语参考来自应用在建筑结构里的安全技术。在楼宇里用来起分隔作用的墙, 用来隔离不同的公司或房间, 尽可能的起防火作用。一旦某个单元起火这种方法保护了其它的居住者。然而, 多数防火墙里都有一个重要的门, 允许人们进人或离开大楼。因此, 虽然防火墙保护了人们的安全, 但这个门在提供增强安全性的同时允许必要的访问。
在计算机网络中, 一个网络防火墙扮演着防备潜的作用。在简单来说, 今天防火墙的主要概念就是多个组件的应用。到现在你要准备实施你的防火墙, 需要知道你的公司需要什么样的服务并且什么样的服务对于内部用户和外部用户都是有效的。
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
三、防火墙的发展史 下面展示了防火墙技术的简单发展历史。
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。
第二、三代防火墙。1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。
第四代防火墙。1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。
第五代防火墙。1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
一体化安全网关UTM(Unified Threat Management)。UTM即是统一威胁管理,主要包含入侵防御、VPN、防火墙、网络和电子邮件的过滤等。随着万兆UTM的出现,UTM代替防火墙的趋势不可避免。在国际上,Juniper,飞塔公司高性能的UTM占据了一定的市场份额,国内,启明星辰的高性能UTM则一直领跑国内市场。
三、防火墙技术 防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。
包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。包过滤的最大优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。
状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。
四、防火墙工作原理 1、 包过滤防火墙 包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。
(包过滤防火墙工作原理图) 2、 应用网关防火墙 应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点。
(应用网关防火墙工作原理图) 3、 状态检测防火墙 状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。
(状态检测防火墙工作原理图)
4、 复合型防火墙 复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施OSI七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。复合型防火墙实现了防火墙、入侵检测、安全评估、虚拟专用网4大功能模块。以防火墙功能为基础平台,以其他的安全模块为多层次应用环境,构筑了一套完整的立体的网络安全解决方案。
(复合型防火墙工作原理图) (2)新型复合型防火墙的设计 ①合并内外路由器:如果路由器有足够的功能和灵活性时,可将内、外路由的功能由一台路由器来完成。优点是:凡符合路由器规则的数据包可在内、外部网间互传;缺点:仍需要参数网络,需要一台各端口可以分别设置输入/输出的路由器。如下图:
②合并堡垒主机和外部路由器:采用让双宿主主机同时充当堡垒主机(堡垒主机是一种被强化的可以防御进攻的计算机,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的)和外部路由器的机构。优点:是内部网络的性能增强。缺点:使系统效能(信息交换)变差,灵活性低,由于堡垒主机对外更暴露,保护更加困难。如下图:
③多内部路由器:用多台路由器链接参数网络和内部网的各个部分。优点:内部处理数据的速度增快。缺点:使包过滤系统的设置更加复杂,有时会导致站点间不能建立连接。如下图:
五、四类防火墙的对比 包过滤防火墙:包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。
应用网关防火墙:不检查IP、TCP报头,不建立连接状态表,网络层保护比较弱。
状态检测防火墙:不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。
复合型防火墙:可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。
六、防火墙的优缺性 1、反防火墙的优点 (1)防火墙能强化安全策略。
(2)防火墙能有效地记录Internet上的活动。
(3)防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。
(4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
2、防火墙的脆弱性 防火墙只能提供网络的安全性,不能保证网络的绝对安全,它也难以防范网络内部的攻击和病毒的侵犯。并不要指望防火墙靠自身就能够给予计算机安全。防火墙保护你免受一类攻击的威胁,但是却不能防止从LAN 内部的攻击,若是内部的人和外部的人联合起来,即使防火墙再强,也是没有优势的。它甚至不能保护你免受所有那些它能检测到的攻击。随着技术的发展,还有一些破解的方法也使得防火墙造成一定隐患。
七、防火墙的未来发展趋势 未来的防火墙的发展趋势是向高速、多功能化、更安全的方向发展。
目前防火墙一个很大的局限性是速度不够。要实现高速防火墙, 算法是一个关键, 因为网络处理器中集成了很多硬件协处理单元, 因此比较容易实现高速, 对于采用纯CPU的防火墙, 就必须有算法支撑, 例如ACL算法。
多功能也是防火墙的发展方向之一, 鉴于目前路由器和防火器价格都比较高, 组网环境也越来越复杂, 一般用户总希望防火墙可以支持更多的功能, 满足组网和节省投资的需要。
未来防火墙的操作系统会更安全。随着算法和芯片技术的发展, 防火墙会更多地参与应用层分析, 为应用提供更安全的保障。
