为保障网络安全加一道防火墙
来源:中国IT实验室 更新时间:2009-12-21

   1993年,中国第一条64K专线接通了国际互联网,弹指10年间,网络时代给我们的工作、生活带来了巨大的变化。这10年,网络以几何级数式的膨胀增长,网络传输的信息量空前增加,传统数据加上语音、视频、多媒体等大量的信息流,对于网络的带宽不断地提出了新的需求。另一方面,网络安全越来越成为一个不容忽视的课题。据IDC于2002年调查显示,在过去的5年中,每天都有因受到黑客攻击而造成严重损失的事件。安全产品和网络攻击如同矛和盾的较量,每一天都在演绎着网络安全新的传说。从1996年底到2002年初,国内安全市场经历了“军阀混战”的时期,安全厂商经受了一次大的洗礼。自2002年下半年至今,国内网络安全市场中,安全厂商优胜劣汰,形成了以几家大专业厂商为主导的局面。现在,就网络安全产品中的防火墙产品,在新时期,防火墙选型需要注意的几个问题作以说明。

  防火墙:一道安全屏障

  防火墙是一种控制隔离技术,采用综合的网络技术设置在被保护网络和外部网络之间的一道屏障,用以分隔被保护网络与外部网络系统,防止发生不可预测、潜在的破坏性侵入。防火墙设备像在两个网络之间设置了一道关卡,能根据用户的安全策略控制出入网络的信息流,防止非法信息流入被保护的网络内,且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。所以,在选用防火墙的时候,一定要从性能指标、安全性、复杂环境适应性、安全审计、配置管理方便性等方面去考虑。

  性能指标要满足网络应用和发展要求

  网络发展到如今,网络的流量呈现了迅速增长的趋势,那么所选择的防火墙能否满足网络的大数据流量要求呢?防火墙的性能指标,体现了防火墙能否胜任指定环境的处理能力需求,是否具备较好的可用性。通常遵从RFC2544、RFC1242和RFC2647标准,主要包括吞吐量、丢包率、延迟、背靠背包、最大并发连接数、每秒新建立连接数六项指标。

  吞吐量是防火墙在各种帧长的满负载(100M或1000M)双向(Bidirectional Traffic)UDP数据包情况下的稳定性表现,是其它指标的基础。它反映的是防火墙的数据包转发能力。其中, 64字节帧长小包的处理能力,对于反映防火墙数据包的转发能力尤其重要,现已引起国内外厂商和用户的关注。在这方面,有些国内企业,如东方龙马的龙马卫士防火墙64字节帧长的双向处理能力超过了60%。防火墙丢包率这项测试,是用来确定防火墙在不同传输速率下丢失数据包的百分数,目的在于测试防火墙在超负载情况下的性能。延迟这项测试通常是指测试从测试数据帧的最后一个比特进入被测设备端口开始,至测试数据包的第一个比特从被测设备另一端口离开的时间间隔。背靠背包是指以最小帧间隔发送最多数据包而不引起丢包时的数据包数量。最后两项分别测试防火墙的每秒所能建立起的TCP/HTTP连接数及防火墙所能保持的最大TCP/HTTP连接数。了解这些之后,我们会明白,采用具有优异性能的防火墙,是我们保护投资的一种有效方式。

  复杂环境适应性

  防火墙工作模式常见有三种:路由模式、透明模式和混合模式。所谓混合模式是指将一台防火墙当作两台来用,这样的防火墙存在着路由和透明两种工作模式。防火墙只支持前两种工作模式已经不能适应复杂网络的安全需求,往往这时候的解决方案就是用两台防火墙来完成,一台工作在路由模式,另一台工作在透明模式。但是这样会使用户成倍地增加防火墙的投入费用,同时增加管理成本。

  在防火墙基本功能和安全性满足要求的时候,我们还要考虑对于复杂网络的适应性。国内有相当多数的网络没有考虑安全性的问题,网络先运行,一段时间之后,才考虑增加安全设备。所以存在很多这样的现象:先建网络,后增加防火墙。这势必给防火墙提出了一个要求—让防火墙去适应各种各样的网络环境。举一个例子,在用户已经运行的网络中,对外开放的服务器采用C/S结构,将与之通信的外网IP地址做到应用程序中,这个时候,我们要求防火墙支持透明模式。进一步的一个例子,这台服务器处于DMZ(非军事化)区域,同时,单位局域网用户又有上网需求,同时隐藏IP。这时,内网和外网采用路由模式,而DMZ区服务器和外网采用透明模式。整个防火墙工作是既有路由,又有透明的混合工作模式。这本来需要两个防火墙完成的工作,由一台防火墙很好地满足了需求。

  另一方面,对于一个大的网络,防火墙能否通过简单的配置,实现复杂网络的安全需求。对于用户、IP、服务都可以定义相应的组,简化安全规则数目。

  AAA&日志

  随着网络安全的发展,用户对网络安全认识的不断深入,AAA(认证、授权、记账)已经不可避免地融入防火墙。现在用户对AAA的要求越来越高,已经远远地超越了简单的用户名/口令认证的阶段,逐步走向全面、标准的AAA。从目前校园网和某些科研机构的应用来看,防火墙必须在框架设计阶段就考虑到AAA才能满足用户的需求,而且必须提供相应的工具,使防火墙的AAA系统与用户原有的认证系统平滑过渡。

  日志作为防火墙重要的一环已经是毋庸置疑的了,但是如何有效地使用和管理防火墙日志,是许多国内厂商没有解决的问题。经过这几年的发展,人们逐渐意识到产品标准化、国际化是大势所趋。目前,多数国内防火墙厂商使用Oracle、SQL Server等商业数据库进行日志管理,出现了两头不靠的尴尬局面。一方面对于中小型用户,商业数据库提高了总体成本和管理难度,有牛刀杀鸡之嫌;另一方面对于真正的大型企业用户,一般防火墙厂商提供的日志分析管理软件,又达不到企业级应用的要求。目前,现实的做法是向第三方工业标准靠齐,比如Webtrends的WELF,提供给用户简单快捷、行之有效的解决问题办法,并且使大型企业用户可以使用专业的第三方防火墙日志分析软件。现在,国外许多厂商,例如netscreen、checkpoint都宣布对这个格式支持,国内有些厂商也已经实现对这个格式的支持,如龙马卫士防火墙的日志就是完全采用WELF格式实现的。

  配置管理的方便性

  网络的发展方向是网络会越来越大。作为防火墙产品,是否支持集中管理,管理信息是否是加密传输,是否支持多种管理方式,例如命令行、图形化界面等,是摆在防火墙开发商面前的新课题。

  安全是个永远的话题。安全技术在不断发展进步,需要我们提高警惕,增加防范能力。