传统的防火墙通常是基于访问控制列表(ACL)进行包过滤的,位于在内部专用网的入口处,所以也俗称"边界防火墙"。随着防火墙技术的发展,防火墙技术也得到了发展,出现了一些新的防火墙技术,如电路级网关技术、应用网关技术和动态包过滤技术,在实际运用中,这些技术差别非常大,有的工作在OSI参考模式的网络层,;有的工作在传输层,还有的工作在应用层。
在这些已出现的防火墙技术中,静态包过滤是最差的安全解决方案,其应用存在着一些不可克服的限制,最明显的表现就是不能检测出基于用户身份的地址欺骗型数据包,并且很容易受到诸如DoS(拒绝服务)、IP地址欺诈等黑客攻击。现在已基本上没有防火墙厂商单独使用这种技术。应用层网关和电路级网关是比较好的安全解决方案,它们在应用层检查数据包。但是,我们不可能对每一个应用都运行这样一个代理服务器,而且部分应用网关技术还要求客户端安装有特殊的软件。这两种解决方案在性能上也有很大的不足之处。动态包过滤是基于连接状态对数据包进行检查,由于动态包过滤解决了静态包过滤的安全限制,并且比代理技术在性能上有了很大的改善,因而目前大多数防火墙厂商都采用这种技术。但是随着主动攻击的增多,状态包过滤技术也面临着巨大的挑战,更需要其它新技术的辅助。
除了访问控制功能外,现在大多数的防火墙制造商在自己的设备上还集成了其它的安全技术,如NAT和VPN、病毒防护等。
防火墙未来的技术发展趋势
随着新的网络攻击的出现,防火墙技术也有一些新的发展趋势。这主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。
1. 防火墙包过滤技术发展趋势
(1)一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的,包过滤技术的防火墙不具有。用户身份验证功能越强,它的安全级别越高,但它给网络通信带来的负面影响也越大,因为用户身份验证需要时间,特别是加密型的用户身份验证。
(2)多级过滤技术
所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等;在应用网关(应用层)一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。
这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层,从这个概念出发,又有很多内容可以扩展,为将来的防火墙技术发展打下基础。
(3)使防火墙具有病毒防护功能。现在通常被称之为"病毒防火墙",当然目前主要还是在个人防火墙中体现,因为它是纯软件形式,更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。
2. 防火墙的体系结构发展趋势
随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。
与基于ASIC的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流,比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性,使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。
首信CF-2000 系列EP-600和CG-600高端千兆防火墙即采用了功能强大的可编程专有ASIC芯片作为专门的安全引擎,很好地兼顾了灵活性和性能的需要。它们可以以线速处理网络流量,而且其性能不受连接数目、包大小以及采用何种策略的影响。该款防火墙支持QoS,所造成的延迟可以达到微秒量级,可以满足各种交互式多媒体应用的要求。浙大网新也在杭州正式发布三款基于ASIC芯片的网新易尚千兆系列网关防火墙,据称,其ES4000防火墙速度达到4Gbps,3DES速度可达600Mbps。易尚系列千兆防火墙还采用了最新的安全网关概念,集成了防火墙、VPN、IDS、防病毒、内容过滤和流量控制等多项功能,
3. 防火墙的系统管理发展趋势
防火墙的系统管理也有一些发展趋势,主要体现在以下几个方面:
(1)首先是集中式管理,分布式和分层的安全结构是将来的趋势。集中式管理可以降低管理成本,并保证在大型网络中安全策略的一致性。快速响应和快速防御也要求采用集中式管理系统。目前这种分布式防火墙早已在Cisco(思科)、3Com等大的网络设备开发商中开发成功,也就是目前所称的"分布式防火墙"和"嵌入式防火墙"。关于这一新技术在本篇下面将详细介绍。
(2)强大的审计功能和自动日志分析功能。这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。日志功能还可以管理员有效地发现系统中存的安全漏洞,及时地调整安全策略等各方面管理具有非常大的帮助。不过具有这种功能的防火墙通常是比较高级的,早期的静态包过滤防火墙是不具有的。
(3)网络安全产品的系统化
随着网络安全技术的发展,现在有一种提法,叫做"建立以防火墙为核心的网络安全体系"。因为我们在现实中发现,仅现有的防火墙技术难以满足当前网络安全需求。通过建立一个以防火墙为核心的安全体系,就可以为内部网络系统部署多道安全防线,各种安全技术各司其职,从各方面防御外来入侵。
如现在的IDS设备就能很好地与防火墙一起联合。一般情况下,为了确保系统的通信性能不受安全设备的影响太大,IDS设备不能像防火墙一样置于网络入口处,只能置于旁路位置。而在实际使用中,IDS的任务往往不仅在于检测,很多时候在IDS发现入侵行为以后,也需要IDS本身对入侵及时遏止。显然,要让处于旁路侦听的IDS完成这个任务又太难为,同时主链路又不能串接太多类似设备。在这种情况下,如果防火墙能和IDS、病毒检测等相关安全产品联合起来,充分发挥各自的长处,协同配合,共同建立一个有效的安全防范体系,那么系统网络的安全性就能得以明显提升。
目前主要有两种解决办法:一种是直接把IDS、病毒检测部分直接"做"到防火墙中,使防火墙具有IDS和病毒检测设备的功能;另一种是各个产品分立,通过某种通讯方式形成一个整体,一旦发现安全事件,则立即通知防火墙,由防火墙完成过滤和报告。目前更看重后一种方案,因为它实现方式较前一种容易许多。
分布式防火墙技术
在前面已提到一种新的防火墙技术,即分布式防火墙技术已在逐渐兴起,并在国外一些大的网络设备开发商中得到了实现,由于其优越的安全防护体系,符合未来的发展趋势,所以这一技术一出现便得到许多用户的认可和接受。下面我们就来介绍一下这种新型的防火墙技术。
1.分布式防火墙的产生
因为传统的防火墙设置在网络边界,外于内、外部互联网之间,所以称为"边界防火墙(Perimeter Firewall)"。随着人们对网络安全防护要求的提高,边界防火墙明显感觉到力不从心,因为给网络带来安全威胁的不仅是外部网络,更多的是来自内部网络。但边界防火墙无法对内部网络实现有效地保护,除非对每一台主机都安装防火墙,这是不可能的。基于此,一种新型的防火墙技术,分布式防火墙(Distributed Firewalls)技术产生了。它可以很好地解决边界防火墙以上的不足,当然不是为每对路主机安装防火墙,而是把防火墙的安全防护系统延伸到网络中各对台主机。一方面有效地保证了用户的投资不会很高,另一方面给网络所带来的安全防护是非常全面的。
我们都知道,传统边界防火墙用于限制被保护企业内部网络与外部网络(通常是互联网)之间相互进行信息存取、传递操作,它所处的位置在内部网络与外部网络之间。实际上,所有以前出现的各种不同类型的防火墙,从简单的包过滤在应用层代理以至自适应代理,都是基于一个共同的假设,那就是防火墙把内部网络一端的用户看成是可信任的,而外部网络一端的用户则都被作为潜在的攻击者来对待。而分布式防火墙是一种主机驻留式的安全系统,它是以主机为保护对象,它的设计理念是主机以外的任何用户访问都是不可信任的,都需要进行过滤。当然在实际应用中,也不是要求对网络中每对台主机都安装这样的系统,这样会严重影响网络的通信性能。它通常用于保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。
分布式防火墙负责对网络边界、各子网和网络内部各节点之间的安全防护,所以"分布式防火墙"是一个完整的系统,而不是单一的产品。根据其所需完成的功能,新的防火墙体系结构包含如下部分:
·网络防火墙(Network Firewall):这一部分有的公司采用的是纯软件方式,而有的可以提供相应的硬件支持。它是用于内部网与外部网之间,以及内部网各子网之间的防护。与传统边界防火墙相比,它多了一种用于对内部子网之间的安全防护层,这样整个网络的安全防护体系就显得更加全面,更加可靠。不过在功能与传统的边界式防火墙类似。
·主机防火墙(Host Firewall):同样也有纯软件和硬件两种产品,是用于对网络中的服务器和桌面机进行防护。这也是传统边界式防火墙所不具有的,也算是对传统边界式防火墙在安全体系方面的一个完善。它是作用在同一内部子网之间的工作站与服务器之间,以确保内部网络服务器的安全。这样防火墙的作用不仅是用于内部与外部网之间的防护,还可应用于内部网各子网之间、同一内部子网工作站与服务器之间。可以说达到了应用层的安全防护,比起网络层更加彻底。
·中心管理(Central Managerment):这是一个防火墙服务器管理软件,负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能,也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理,提高了防火墙的安全防护灵活性,具备可管理性。
2. 分布式防火墙的主要特点
综合起来这种新的防火墙技术具有以下几个主要特点:
(1) 主机驻留
这种分布式防火墙的最主要特点就是采用主机驻留方式,所以称之为"主机防火墙"(传统边界防火墙通常称之为"网络防火墙")。它的重要特征是驻留在被保护的主机上,该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的,因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是,使安全策略不仅仅停留在网络与网络之间,而是把安全策略推广延伸到每个网络末端。
(2) 嵌入操作系统内核
这主要是针对目前的纯软件式分布式防火墙来说的.操作系统自身存在许多安全漏洞目前是众所周知的,运行在其上的应用软件无一不受到威,。分布式主机防火墙也运行在主机上,所以其运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行,直接接管网卡,在把所有数据包进行检查后再提交操作系统。为实现这样的运行机制,除防火墙厂商自身的开发技术外,与操作系统厂商的技术合作也是必要的条件,因为这需要一些操作系统不公开内部技术接口。不能实现这种分布式运行模式的主机防火墙由于受到操作系统安全性的制约,存在着明显的安全隐患。
(3)类似于个人防火墙
个人防火墙是一种软件防火墙产品,它是用来保护单一主机系统的。分布式防火墙与个人防火墙有相似之处,如都是对应个人系统。但它们之间又有着本质上的差别。
首先它们管理方式迥然不同,个人防火墙的安全策略由系统使用者自己设置,全面功能和管理都在本机上实现,它的目标是防止主机以外的任何外部用户攻击;而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和设置,除了对该桌面机起到保护作用外,也可以对该桌面机的对外访问加以控制,并且这种安全机制是桌面机的使用者不可见和不可改动的。
其次,不同于个人防火墙是单纯的直接面向个人用户,针对桌面应用的主机防火墙是面向企业级客户的,它与分布式防火墙其它产品共同构成一个企业级应用方案,形成一个安全策略中心统一管理,所以它在一定程度上也面对整个网络。它是整个安全防护系统中不可分割的一部分,整个系统的安全检查机制分散布置在整个分布式防火墙体系中。
(4)适用于服务器托管
互联网和电子商务的发展促进了互联网数据中心(IDC)的迅速崛起,其主要业务之一就是服务器托管服务。对服务器托管用户而言,该服务器逻辑上是其企业网的一部分,只不过物理上不在企业内部。对于这种应用,边界防火墙解决方案就显得比较牵强附会。我们在前面介绍了,对于这类用户,他们通常所采用的防火墙方案是采用虚拟防火墙方案,但这种配置相当复杂,非一般网管人员能胜任。而针对服务器的主机防火墙解决方案则是其一个典型应用。对于纯软件式的分布式防火墙则用户只需在该服务器上安装上主机防火墙软件,并根据该服务器的应用设置安全策略即可,并可以利用中心管理软件对该服务器进行远程监控,不需任何额外租用新的空间放置边界防火墙。对于硬件式的分布式防火墙因其通常采用PCI卡式的,通常兼顾网卡作用,所以可以直接插在服务器机箱里面,也就无需单独的空间托管费了,对于企业来说更加实惠。
3. 分布式防火墙的主要优势
在新的安全体系结构下,分布式防火墙代表新一代防火墙技术的潮流,它可以在网络的任何交界和节点处设置屏障,从而形成了一个多层次、多协议,内外皆防的全方位安全体系。主要优势如下:
(1)增强的系统安全性:增加了针对主机的入侵检测和防护功能,加强了对来自内部攻击防范,可以实施全方位的安全策略。
在传统边界式防火墙应用中,企业内部网络非常容易受到有目的的攻击,一旦已经接入了企业局域网的某台计算机,并获得这台计算机的控制权,他们便可以利用这台机器作为入侵其他系统的跳板。而最新的分布式防火墙将防火墙功能分布到网络的各个子网、桌面系统、笔记本计算机以及服务器PC上。分布于整个公司内的分布式防火墙使用户可以方便地访问信息,而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种端到端的安全性能,用户通过内部网、外联网、虚拟专用网还是远程访问所实现与企业的互联不再有任何区别。分布式防火墙还可以使企业避免发生由于某一台端点系统的入侵而导致向整个网络蔓延的情况发生,同时也使通过公共帐号登录网络的用户无法进入那些限制访问的计算机系统。针对边界式防火墙对内部网络安全性防范的不足,
另外,由于分布式防火墙使用了IP安全协议,能够很好地识别在各种安全协议下的内部主机之间的端到端网络通信,使各主机之间的通信得到了很好的保护。所以分布式防火墙有能力防止各种类型的被动和主动攻击。特别在当我们使用IP安全协议中的密码凭证来标志内部主机时,基于这些标志的策略对主机来说无疑更具可信性。
(2)提高了系统性能:消除了结构性瓶颈问题,提高了系统性能。
传统防火墙由于拥有单一的接入控制点,无论对网络的性能还是对网络的可靠性都有不利的影响。虽然目前也有这方面的研究并提供了一些相应的解决方案,从网络性能角度来说,自适应防火墙是一种在性能和安全之间寻求平衡的方案;从网络可靠性角度来说,采用多个防火墙冗余也是一种可行的方案,但是它们不仅引入了很多复杂性,而且并没有从根本上解决该问题。分布式防火墙则从根本上去除了单一的接入点,而使这一问题迎刃而解。另一方面分布式防火墙可以针对各个服务器及终端计算机的不同需要,对防火墙进行最佳配置,配置时能够充分考虑到这些主机上运行的应用,如此便可在保障网络安全的前提下大大提高网络运转效率。
(3)系统的扩展性:分布式防火墙随系统扩充提供了安全防护无限扩充的能力。
因为分布式防火墙分布在整个企业的网络或服务器中,所以它具有无限制的扩展能力。随着网络的增长,它们的处理负荷也在网络中进一步分布,因此它们的高性能可以持续保持住。而不会象边界式防火墙一样随着网络规模的增大而不堪重负。
(4)实施主机策略:对网络中的各节点可以起到更安全的防护。
现在防火墙大多缺乏对主机意图的了解,通常只能根据数据包的外在特性来进行过滤控制。虽然代理型防火墙能够解决该问题,但它需要对每一种协议单独地编写代码,其局限性也显而易见的。在没有上下文的情况下,防火墙是很难将攻击包从合法的数据包中区分出来的,因而也就无法实施过滤。事实上,攻击者很容易伪装成合法包发动攻击,攻击包除了内容以外的部分可以完全与合法包一样。分布式防火墙由主机来实施策略控制,毫无疑问主机对自己的意图有足够的了解,所以分布式防火墙依赖主机作出合适的决定就能很自然地解决这一问题。
(5)应用更为广泛,支持VPN通信
其实分布式防火墙最重要的优势在于,它能够保护物理拓朴上不属于内部网络,但位于逻辑上的"内部"网络的那些主机,这种需求随着VPN的发展越来越多。对这个问题的传统处理方法是将远程"内部"主机和外部主机的通信依然通过防火墙隔离来控制接入,而远程"内部"主机和防火墙之间采用"隧道"技术保证安全性,这种方法使原本可以直接通信的双方必须绕经防火墙,不仅效率低而且增加了防火墙过滤规则设置的难度。与之相反,分布式防火墙的建立本身就是基本逻辑网络的概念,因此对它而言,远程"内部"主机与物理上的内部主机没有任何区别,它从根本上防止了这种情况的发生。
4. 分布式防火墙的主要功能
上面介绍了分布式防火墙的特点和优势,那么到底这种防火墙具备哪些功能呢?因为采用了软件形式(有的采用了软件+硬件形式),所以功能配置更加灵活,具备充分的智能管理能力,总的来说可以体现在以下几个方面:
(1)Internet访问控制
依据工作站名称、设备指纹等属性,使用"Internet访问规则",控制该工作站或工作站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的Internet Web服务器,某个用户可否基于某工作站访问www服务器,同时当某个工作站/用户达到规定流量后确定是否断网。
(2)应用访问控制
通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测,控制来自局域网/Internet的应用服务请求,如SQL数据库访问、IPX协议访问等。
(3)网络状态监控
实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息。
(4)黑客攻击的防御
抵御包括Smurf拒绝服务攻击、ARP欺骗式攻击、Ping攻击、Trojan木马攻击等在内的近百种来自网络内部以及来自Internet的黑客攻击手段。
(5)日志管理
对工作站协议规则日志、用户登陆事件日志、用户Internet访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。
(6)系统工具
包括系统层参数的设定、规则等配置信息的备份与恢复、流量统计、模板设置、工作站管理等。