浅谈分布式防火墙技术的应用与发展趋势
来源:硅谷动力 更新时间:2012-04-13

传统的防火墙分为包过滤型和代理型,他们都有各自的缺点与局限性。随着计算机安全技术的发展和用户对防火墙功能要求的提高,目前出现一种新型防火墙,那就是"分布式防火墙",英文名为"Distributed Firewalls"。它是在目前传统的边界式防火墙基础上开发的。但目前主要是以软件形式出现的,也有一些国际著名网络设备开发商开发生产了:集成分布式防火墙技术的硬件分布式防火墙,做成嵌入式防火墙PCI卡或PCMCIA卡的形式,但负责集中管理的还是一个服务器软件。因为是将分布式防火墙技术集成在硬件上,所以通常称之为"嵌入式防火墙",其实其核心技术就是"分布式防火墙"技术。

  1.分布式防火墙的产生

  1.1 传统防火墙的缺陷

  传统防火墙根据所采用的技术,可以分为包过滤型和代理型。下面重点介绍包过滤型防火墙和应用网关防火墙的原理及其缺点。

  包过滤防火墙的工作原理:包过滤技术包括两种基本类型:无状态检查的包过滤和有状态检查的包过滤,其区别在于后者通过记住防火墙的所有通信状态,并根据状态信息来过滤整个通信流,而不仅仅是包。包过滤是在IP层实现的,因此,它可以只用路由器完成。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等报头信息来判断是否允许包通过。过滤用户定义的内容,如IP地址。其工作原理是系统在网络层检查数据包,与应用层无关,包过滤器的应用非常广泛,因为CPU用来处理包过滤的时间可以忽略不计。而且这种防护措施透明,合法用户在进出网络时,根本感觉不到它的存在,使用起来很方便。这样系统就具有很好的传输性能,易扩展。但是这种防火墙不太安全,因为系统对应用层信息无感知――也就是说,它们不理解通信的内容,不能在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以很轻易地通过包过滤器,这样更容易被黑客攻破。 基于这种工作机制,包过滤防火墙有以下缺陷:

  (1)特洛伊木马使包过滤器失效;

  (2)第0个分段中便过滤TCP;

  (3)只能访问部分数据包的头信息;

  (4)不能保存来自于通信和应用的状态信息;

  (5)处理信息的能力有限。

  (6)允许1024以上的端口通过;

  应用代理服务器(Application Gateway Proxy)包括回路级代理服务器、代管服务器、IP通道(IP Tunnels)、网络地址转换器(NAT Network Address Translate)、 隔离域名服务器(Split Domain Name Server )和邮件技术(Mail Forwarding)。

  图(一)


  其工作原理由图(一)所示。

  代理服务器通过检查网络内部客户的服务请求,验证其合法性,作为一台客户机一样向真正的服务器发出请求并取回所需信息,最后再转发给客户。

  由于他们打破了传统的客户机与服务器模式(CS模式),且每一个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器,因此可伸缩性差。

传统的防火墙分为包过滤型和代理型,他们都有各自的缺点与局限性。随着计算机安全技术的发展和用户对防火墙功能要求的提高,目前出现一种新型防火墙,那就是"分布式防火墙",英文名为"Distributed Firewalls"。它是在目前传统的边界式防火墙基础上开发的。但目前主要是以软件形式出现的,也有一些国际著名网络设备开发商开发生产了:集成分布式防火墙技术的硬件分布式防火墙,做成嵌入式防火墙PCI卡或PCMCIA卡的形式,但负责集中管理的还是一个服务器软件。因为是将分布式防火墙技术集成在硬件上,所以通常称之为"嵌入式防火墙",其实其核心技术就是"分布式防火墙"技术。

  1.分布式防火墙的产生

  1.1 传统防火墙的缺陷

  传统防火墙根据所采用的技术,可以分为包过滤型和代理型。下面重点介绍包过滤型防火墙和应用网关防火墙的原理及其缺点。

  包过滤防火墙的工作原理:包过滤技术包括两种基本类型:无状态检查的包过滤和有状态检查的包过滤,其区别在于后者通过记住防火墙的所有通信状态,并根据状态信息来过滤整个通信流,而不仅仅是包。包过滤是在IP层实现的,因此,它可以只用路由器完成。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等报头信息来判断是否允许包通过。过滤用户定义的内容,如IP地址。其工作原理是系统在网络层检查数据包,与应用层无关,包过滤器的应用非常广泛,因为CPU用来处理包过滤的时间可以忽略不计。而且这种防护措施透明,合法用户在进出网络时,根本感觉不到它的存在,使用起来很方便。这样系统就具有很好的传输性能,易扩展。但是这种防火墙不太安全,因为系统对应用层信息无感知――也就是说,它们不理解通信的内容,不能在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以很轻易地通过包过滤器,这样更容易被黑客攻破。 基于这种工作机制,包过滤防火墙有以下缺陷:

  (1)特洛伊木马使包过滤器失效;

  (2)第0个分段中便过滤TCP;

  (3)只能访问部分数据包的头信息;

  (4)不能保存来自于通信和应用的状态信息;

  (5)处理信息的能力有限。

  (6)允许1024以上的端口通过;

  应用代理服务器(Application Gateway Proxy)包括回路级代理服务器、代管服务器、IP通道(IP Tunnels)、网络地址转换器(NAT Network Address Translate)、 隔离域名服务器(Split Domain Name Server )和邮件技术(Mail Forwarding)。

  图(一)


  其工作原理由图(一)所示。

  代理服务器通过检查网络内部客户的服务请求,验证其合法性,作为一台客户机一样向真正的服务器发出请求并取回所需信息,最后再转发给客户。

  由于他们打破了传统的客户机与服务器模式(CS模式),且每一个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器,因此可伸缩性差。

防火墙按结构可分为简单的双目主机结构和复合的屏蔽主机和屏蔽子网结构。双目主机结构防火墙系统内部系统与外部系统不能直接通信,必须通过双目主机进行。如下图(三)所示:

  图(三)


  而屏蔽主机结构通过壁垒主机进行代理服务,其风险性高于双目结构主机,如下图(四)所示:

  图(四)


  由于壁垒主机的脆弱性,出现了屏蔽子网结构防火墙,它的两个屏蔽路由器都与边界网络相连,降低了壁垒主机的地位,从而提高了整个系统的安全性,如下图(五)所示:

  图(五)


  广义分布式防火墙是一种全新的防火墙体系结构,包括网络防火墙、主机防火墙和中心管理三部分:

  (1)网络防火墙(Network Firewall):用于内部网与外部网之间(即传统的边界防火墙)和内部网与子网之间的防护产品,后者区别于前者的一个特征是需要支持内部网可能有的IP和非IP协议。

  (2)主机防火墙(Host Firewall):有纯软件和硬件两种产品,是用于对网络的服务器和桌面机进行防护。它是作用在同一内部子网之间的工作站与服务器之间,以确保内部网络服务器的安全。它达到了应用层的安全防护,比起网络层更加彻底。

  (3)中心管理(Central Management):这是一个防火墙服务器管理软件,负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能,也是以前传统边界防火墙所不具有的。

2.狭义分布式防火墙

  狭义分布式防火墙是指驻留在网络主机(如服务器或桌面机)并对主机系统提供安全防护的软件产品,驻留主机是这类防火墙的重要特征。这类防火墙将该驻留主机以外的其他网络都认作是不可信任的,并对驻留主机运行的应用和对外提供的服务设定针对性很强的安全策略。

  2.分布式防火墙的特点

  综合起来分布式防火墙技术具有以下几个主要特点:

  1.保护全面性

  分布式防火墙把Internet和内部网络均视为"不友好的"。它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web服务器来说,分布式防火墙进行配置后能够阻止一些非必要的协议,如HTTP 和 HTTPS之外的协议通过,从而阻止了非法入侵的发生,同时还具有入侵检测及防护功能。

  2.主机驻留性

  分布式防火墙是一种主机驻留式的安全系统。主机防火墙对分布式防火墙体系结构的突出贡献是,使安全策略不仅仅停留在网络与网络之间,而是把安全策略推广延伸到每个网络末端。

  3.嵌入操作系统内核

  主要是针对目前的纯软件式分布式防火墙。操作系统自身存在许多安全漏洞,运行在其上的应用软件无一不受到威胁。分布式主机防火墙也运行在主机上,所以其运行机制是主机防火墙的关键技术之一。为自身的安全和彻底堵住操作系统的漏洞,主机防火墙的安全监测核心引擎要以嵌入操作系统内核的形态运行,直接接管网卡,在把所有数据包进行检查后再提交操作系统。为实现这样的运行机制,除防火墙厂商自身的开发技术外,与操作系统厂商的技术合作也是必要的条件,因为这需要一些操作系统不公开内部技术接口。

  4.类似个人防火墙

  针对桌面应用的狭义分布式防火墙与个人防火墙有相似之处,如都对应个人系统,但两者的差别又是本质的。首先,它们的管理方式不同,个人防火墙的安全策略由系统使用者自己设置,目标是防止外部攻击; 而针对桌面应用的狭义防火墙的安全策略是由管理员统一设置,除了对该桌面系统起到保护作用外,还对该桌面系统的对外访问加以控制,并且这种安全机制是使用者不能改动的。其次,个人防火墙面向个人用户,而针对桌面应用的狭义防火墙面向的是企业级用户,是企业级安全解决方案的组成部分。

  5.适用于服务器托管

  不同的托管用户都有不同数量的服务器在数据中心托管,服务器上也有不同的应用。对于安装了中心管理系统的管理终端,数据中心安全服务部门的技术人员可以对所有在数据中心委托安全服务的服务器的安全状况进行监控,并提供有关的安全日志记录。

 3.分布式防火墙的优点

  综合起来这种新的防火墙技术具有以下几个主要优点:

  1.分布式体系结构保护内网安全

  分布式的系统构架能够满足不同形态和规模的网络,能够适应网络结构和规模的变化,系统的灵活性得到充分的体现。[5]分布式的安全思路是在保证每个节点安全的前提上,达到整个网络的安全,某个节点的脆弱环节不会导致整个网络的安全遭到破坏。因此,创新的分布式的体系架构对于内网和移动办公的防黑和防木马、防病毒都起到很好的防护作用。

  2.集中管理

  独特的集中管理方式,对所有节点的管理可以通过统一的安全策略管理服务器来完成。中央策略管理服务器是一个集成的管理环境,负责给各个节点分发安全策略,记录客户端的工作状态,记录客户端强制复制的日志,记录服务器日志,并可以生成,指派,扫描和检查所有的客户端安全策略。通过集中管理控制中心,统一制定和分发安全策略,真正做到多主机统一管理,最终用户"零"负担。同时,通过不同的集中管理控制策略的制定,还可以对最终用户的上网行为进行控制。

  3.中央控制策略动态更新

  管理员在管理服务器更新安全策略之后,会在很短的时间内动态分发到各个客户端节点,只要客户端的机器空闲,客户端就会自动从统一策略服务器更新策略,用户也可以手动启动安全策略更新程序。客户端将会自动加载这些新的安全策略。安全策略在网络传输的过程中是以加密的形式完成的,不会被黑客窃听安全策略的具体内容。同时客户端所自行采用的安全策略只能比统一分发的中央控制策略的安全级别更高,不可以低于统一分发的中央控制策略的安全级别。

  4.系统扩展性增强

  分布式防火墙随系统扩充提供了安全防护无限扩充的能力。因为分布式防火墙分布在整个企业的网络或服务器中,所以它具有无限制的扩展能力。随着网络的增长,它们的处理负荷也在网络中进一步分布,因此它们的高性能可以持续保持住。而不会像边界式防火墙一样随着网络规模的增大而不堪重负。

  4.分布式防火墙的主要功能

  综合起来分布式防火墙技术具有以下几个主要功能:

  1.控制网络连接(包过滤、基于状态的过滤)

  2.应用访问控制

  3.网络状态监控

  4.入侵检测

  5.防御黑客攻击

  6.脚本过滤(对常见的各种脚本,如JavaScript、VBScript等ActiveX脚本进行分析检查)

  7.日志管理

  8.客户端定制的安全策略

  9.对安全策略、日志和数据库的备份

  10.统一的安全策略管理服务器

 5.分布式防火墙技术的发展

  随着分布式防火墙技术的不断发展,未来分布式防火墙技术将主要向两个方向发展:分布式主动型防火墙技术和分布式智能型防火墙技术。

  1.分布式主动型防火墙

  随着分布式防火墙技术的不断发展,未来分布式防火墙技术将向分布式主动型防火墙技术发展。不是被动地防止攻击,而是将内部的攻击拒绝在攻击者处。有效防止来自内部的拒绝服务攻击,使服务器能正常提供服务,从而克服分布式防火墙在防止拒绝服务攻击上的不足。

  2.分布式智能型防火墙

  分布式智能型防火墙是未来分布式防火墙发展的另一个方向。它具有以下几个特点:

  (1)透明流量分担技术

  保证了防火墙能够加大带宽,同时又起到双机设备的作用,显著提高防火墙的可用性。其巨大的吞吐能力,保证了客户网络巨大数据流的来往,并且不会影响网络速度和性能。

  (2)内核集成IPS模块

  分布式智能型防火墙将IPS作为一个模块集成到里面,直接在主干上直接监测并且阻断供给,更高效更安全。并且,如果单独放置IPS,那么这些DOS攻击以及防扫描的工作就被提到了应用空间去完成,显然没有集成之后的IPS直接在防火墙的内核处理的效率和稳定性高。

  (3)预置防IP欺骗策略

  智能型分布式防火墙的"防黒客"功能,能够对IP欺骗,碎片攻击,源路由攻击,DOS攻击等各种黑客攻击进行有效的抵抗和防御。

  结论:

  纵观防火墙技术的发展历史,分布式防火墙技术无疑是一座里程碑。它不但弥补了传统边界式防火墙的不足,而且把防火墙的安全防护系统延伸到网络中各台主机,一方面有效地保证了用户的投资不会很高,另一方面给网络带来全面的安全防护。分布式防火墙分布在整个企业的网络或服务器中,具有无限制的扩展能力,随着网络的增长,它们的处理负荷也在网络中进一步分布,进而持续保持高性能。然而当前黑客入侵系统技术的不断进步以及网络病毒朝智能化和多样化发展,对分布式防火墙技术提出了更高的要求。分布式防火墙技术只有不断向主动型和智能型等方向发展,才能满足人们对防火墙技术日益增长的需求。