防火墙技术的现状与展望 论文文档格式.docx
《防火墙技术的现状与展望 论文文档格式.docx》由会员分享,可在线阅读,更多相关《防火墙技术的现状与展望 论文文档格式.docx(9页珍藏版)》请在冰豆网上搜索。
防火墙就是用来隔离受保护的网络和不受保护的网络(如因特网),通过单一集中的安全检查点,审查并过滤所有从因特网到受保护网络的连接。
防火墙(阻塞类防火墙)可以确保除非通过检查点的审查,否则你从网中将不能直接到达因特网。
二、防火墙的构成及安全功能
为了更好的理解防火墙及其作用模型来加以分析。
网络中继器和集线器是在最底层——物理层工作;
交换机和网桥是在第二层———数据链路层工作;
路由器是在第三层——网络层工作。
防火墙建立在所有这些层上,工作于第六层和第七层———会话层和应用层,这两层分别负责会话的建立、控制和应用。
因此,通过防火墙,我们可以控制会话建立期间的所有信息流,甚至可以决定当前的任何操作是否被允许。
防火墙的基本构成包括:
安全策略、高层认证、包过滤、应用网关。
其中安全策略又分为扩展性策略、服务/访问策略、防火墙设计策略、信息策略、以及拔入与拔出策略。
服务/访问策略是建立防火墙中最重要的组成部分,其余3部分在实现和执行策略中是必要的。
保护网站防火墙的有效性,取决于使用防火墙的实现类型,以及使用正确的程序和服务/访问策略。
防火墙的一个基本目的是保护站点不被黑客攻击,组织未经认证的外部登录,利用防火墙,可以防止站点的任意连结,并能建立跟踪工具,利用日志摘要可以查找连接的起点、服务器提供的服务量,甚至还包括是否有攻击进入等信息。
三、防火墙的设计原则
构建防火墙时,要考虑的问题很多,主要有以下几个原则:
1.防火墙的设计策略应遵循安全防范的基本原则——“除非明确允许,否则禁止”。
这个原则创造了一种比较安全的环境,但其安全性高于用户使用的方便性,对用户进行了约束。
2.“除非明确禁止,否则允许某种服务”的设计原则。
这种原则创造了一种非常灵活的环境,用户可以得到尽可能多的服务。
3.防火墙本身支持安全策略,而不是添加上去的。
4.组织机构的安全策略发生改变,可以加人新的服务。
5.有先进的认证手段或有挂钩程序,可以安装先进的认证方法。
6.可运用过滤技术允许和禁止服务。
7.可以使用FTP和Telnet等服务代理,便于先进的认证手段被安装和运行到防火墙。
8.拥有界面友好、易于编程的IP过滤语言,并可以根据数据包的性质进行包过滤。
数据包的性质在目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。
防火墙自身的安全问题是其维护服务器网络安全的基础。
防火墙自身的安全问题一般包含了防火墙认证的安全问题,防火墙管理权限体系管理,防火墙管理程序易于操作性等。
由于防火墙一般都是通过管理程序进行控制的,因此它们之间的认证方式和安全也是很重要的。
有些防火墙采用密码认证的方式,这种方式安全性较差,一旦密码本身被泄漏,那别人就可以轻松控制防火墙。
企业在构建具体的防火墙时,根据自己的实际情况,以及对安全性和灵活性的要求,制定出自己的设计原则。
四、防火墙的应用现状
4.1.防火墙现状概述
下图是一个防火墙典型应用的示意图。
防火墙的功能主要包含以下几个方面:
访问控制,如应用ACL进行访问控制;
攻击防范,如防止SYNFLOOD等;
NAT;
VPN;
路由;
认证和加密;
日志记录;
支持网管等。
此外为了保证可靠性,支持双机或多机热备份;
为了满足日益增多的语音、视频等需求,对QOS特性的支持和对H.323、SIP等多种应用协议的支持也必不可少。
为了满足多样化的组网需求,方便用户组网,同时也降低用户对其他专用设备的需求,减少用户建网成本,防火墙上也常常把其他网络技术结合进来,例如支持DHCPSERVER、DHCPRELAY;
支持动态路由,如RIP、OSPF等;
支持拨号、PPPOE等特性;
支持广域网口;
支持透明模式(桥模式);
支持内容过滤(如URL过滤)、防病毒和IDS等功能。
防火墙与其他安全设备或安全模块之间进行互动,已经成为新一代防火墙的发展趋势。
但是,目前防火墙应用中的问题也不少。
如目前许多防火墙对内容过滤,防病毒和IDS等的支持,实际的应用效果并不好。
因为在这些功能支持的情况下,过滤会涉及到应用层包分析,对CPU的消耗很大。
这些功能的启动,会导致性能急剧下降,本来100M的处理能力,可能会下降到几兆,导致网络严重阻塞甚至瘫痪,失去了防火墙存在的意义。
4.2.包过滤防火墙和代理
防火墙的发展,经历了从早期的简单包过滤,到今天广泛应用的状态包过滤技术和应用代理。
其中状态包过滤技术因为其安全性较好,速度快,得到最广泛的应用。
应用代理虽然安全性更好,但它需要针对每一种协议开发特定的代理协议,对应用的支持不够好。
从国外公开的防火墙测试报告来看,代理防火墙性能表现比较差,因此在网络带宽迅猛发展的情况下,已经不能完全满足需要。
此外,有的防火墙支持SOCK代理,这种代理屏蔽了协议本身,只要客户端支持SOCK代理,该应用在防火墙上就可以穿越。
这种代理对于部分不公开的协议,如QQ的语音和视频协议,采用其他技术,在NAT情况下很难实现对该协议的支持,但QQ软件本身支持SOCK代理,如果防火墙支持SOCK代理协议,就可以实现对防火墙的穿越。
但对于防火墙而言,不参与协议解码,也意味着防火墙对该协议失去了监测能力。
4.3.状态检测技术
下面,重点描述一下防火墙的状态检测技术。
状态检测技术最早是CheckPoint提出的,也就是要监视每个连接发起到结束的全过程。
对于部分协议,如FTP、H.323等协议,是有状态的协议,防火墙必须对这些协议进行分析,以便知道什么时候,从哪个方向允许特定的连接进入和关闭。
例如FTP,除了开始要建立命令通道外,还要动态协商数据通道。
以PORT方式为例,PORT模式下的工作过程如下:
(1)客户端向服务器21端口发起连接,建立控制命令通道;
(2)客户端向服务器发出命令,要求建立数据连接;
(3)客户端打开一个端口;
(4)客户端通过PORT命令,从控制通道把端口号发给服务器;
(5)服务器向客户端该端口发送一个主动连接。
从上述过程可以看出,客户端打开的端口号是未知的,所以防火墙必须对FTP控制通道的命令进行解码,从而知道协商后的端口号。
然后,防火墙临时打开一个通道,允许服务器连接客户端的这个端口。
对于状态防火墙,只需要通过ACL设置,开放该客户端对服务器的21端口连接。
但对于以前的简单包过滤防火墙,如果想支持PORT模式,还得对外开放所有的端口,这显然是不安全的。
状态防火墙可以对特定的协议进行解码,因此安全性也比较好。
有的防火墙可以对FTP、SMTP等有害命令进行检测和过滤,但因为在应用层解码分析,处理速度比较慢,为此,有的防火墙采用自适应方式,亦即根据当前防火墙繁忙程度做出判断:
如果防火墙忙,则只做基本检测,如FTP,只监测PORT命令,其他有害命令就不检测,因此处理速度很快。
状态防火墙的抗攻击功能,还有一个特色是,当检测到SYNFLOOD攻击时,会启动代理,此时,如果是伪造源IP的会话,因为不能完成三层握手,攻击报文就无法到达服务器,但正常访问的报文仍然可达。
4.4.高保障防火墙
防火墙因为软件复杂,实现的功能较多,必须有操作系统支持,操作系统的安全是防火墙安全的基石。
1998年,在中国一家机构和美国计算机学会ACM共同举办的国际会议上,我首次提出了高保障防火墙的概念,其核心是防火墙与安全操作系统无缝集成,在防火墙上实现类似B级操作系统的机制,如标记、MAC、强实体认证等。
入关具有入关证,出关具有出关证。
建立了防止内部敏感信息泄漏的机制,达到既防外又防内的目标,又实现了传统防火墙的全部功能。
不久前,安胜防火墙应运而生,通过了国家权威机构的测评认证,是我国第一个研制成功的高保障防火墙,目前已经在我国31个省市广泛应用。
五、新型防火墙技术与优点
新型防火墙更应该加强放行数据的安全性,因为网络安全的真实需求是既要保证安全,也必须保证应用的正常进行。
新型防火墙技术主要是综合包过滤和代理技术,克服二者在安全方面的缺陷;
能从数据链路层一直到应用层施加全方位的控制;
TCP/IP协议和代理的直接相互配合,使系统的防欺骗能力和运行的健壮性都大大提高;
并且能够实现TCP/IP协议的微内核,从而在TCP/IP协议层能进行各项安全控制;
基于上述微内核,使速度超过传统的包过滤防火墙;
提供透明代理模式,减轻客户端的配置工作;
支持数据加密、解密(DES和RSA),提供对虚拟网VPN的强大支持;
内部信息完全隐藏等。
新型防火墙技术不仅覆盖了传统包过滤防火墙的全部功能,而且在全面对抗IP欺骗、SYNFlood、ICMP、ARP等攻击手段方面有显著优势,增强代理服务,并使其与包过滤相融合,再加上智能过滤技术,使防火墙的安全性能有很大提高。
5.1分布式防火墙技术
分布式防火墙是指那些驻留在网络中主机如服务器或桌面机并对主机系统自身提供安全防护的软件产品;
从广义来讲,“分布式防火墙”是一种新的防火墙体系结构,它包含如下产品:
①网络防火墙用于内部网与外部网之间(即传统的边界防火墙)和内部网子网之间的防护产品,后者区别于前者的一个特征是需支持内部网.可能有的IP和非IP协议。
②主机防火墙对于网络中的服务器和桌面机进行防护,这些主机的物理位置可能在内部网中,也可能在内部网外,如托管服务器或移动办公的便携机。
③中心管理边界防火墙只是网络中的单一设备,管理是局部的。
对分布式防火墙来说,每个防火墙作为安全监测机制可以根据安全性的不同要求布置在网络中的任何需要的位置上,但总体安全策略又是统一策划和管理的,安全策略的分发及日志的汇总都是中心管理应具备的功能。
中心管理是分布式防火墙系统的核心和重要特征之一。
在新的安全体系结构下,分布式防火墙代表新型防火墙技术的发展潮流,它可以在网络的任何交界和节点处设置屏障,从而形成了一个多层次,多协议,内外皆防的全方位安全体系,它的主要功能如下:
(1)Internet访问控制依据工作站名称、设备指纹等属陛,使用“Internet访问规则”,控制该工作站或工作站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的InternetWeb服务器,某个用户可否基于某工作站访问www服务器,同时当某个工作站/用户达到规定流量后确定是否断网。
(2)应用访问控制通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测,控制来自局域网/Internet的应用服务请求,如SQL数据库访问、IPX协议访问等。
(3)网络状态监控实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息。
(4)黑客攻击的防御抵御包括Smurf拒绝服务攻击、ARP欺骗式攻击、Ping攻击、Trojan木马攻击等在内的近百种来自网络内部以及来自Internet的黑客攻击手段。
(5)日志管理对工作站协议规则日志、用户登陆事件日志、用户Internet访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。
(6)系统工具包括系统层参数的设定、规则等配置信息的备份与恢复、流量统计、模板设置、工作站管理等。
分布式防火墙克服了传统防火墙的缺陷,它的优势在于:
在网络内部增加了另一层安全,有效抵御来自内部的攻击,消除网络边界上的通信瓶颈和单一故障点,支持基于加密和认证的网络应用;
与拓扑无关,支持移动计算。
5.2嵌入式防火墙技术
嵌入式防火墙就是内嵌于路由器或交换机的防火墙。
嵌入式防火墙是某些路由器的标准配置。
嵌入式防火墙也被称为阻塞点防火墙。
由于互联网使用的协议多种多样,所以不是所
有的网络服务都能得到嵌入式防火墙的有效处理。
嵌入式防火墙工作于IP层,所以无法保护
网络免受病毒、蠕虫和特洛伊木马程序等来自应用层的威胁。
就本质而言,嵌入式防火墙常
常是无监控状态的,它在传递信息包时并不考虑以前的连接状态。
嵌入式防火墙能够弥补并改善各类安全能力不足的企业边缘防火墙、防病毒程序、基于主机的应用程序、入侵检测告警程序以及网络代理程序而设计,它确保了企业内部与外部的网络具有以下功能:
不论企业局域网的拓扑结构如何变更,防护措施都能延伸到网络边缘为网络提供保护;
基于硬件、能够防范入侵的安全特性能独立于主机操作系统与其他安全性程序运行,甚至在安全性较差的宽带链路上都能实现安全移动与远程接人,可管理的执行方式使企业安全性能够被用户策略而非物理设施来进行定义。
5.3智能防火墙技术
智能防火墙从技术特征上,是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。
新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。
由于这些方法多是人工智能学科采用的方法,因此被称为智能防火墙。
实现智能防火墙的关键技术有:
(1)防攻击技术智能防火墙能智能识别恶意数据流量,并有效地阻断恶意数据攻击。
智能防火墙可以有效地解决SYNFlooding,LandAttack,UDPFlooding,FraggleAttack,PingFlooding,Smurf,PingofDeath,UnreachableHost等攻击o
(2)防扫描技术智能防火墙能智能识别黑客的恶意扫描,并有效地阻断或欺骗恶意扫描者。
对目前已知的扫描工具如ISS,SSS,NMAP等扫描工具,智能防火墙可以防止被扫描。
防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。
(3)防欺骗技术智能防火墙提供基于MAC的访问控制机制,可以防止MAC欺骗和IP欺骗,支持MAC过滤,支持IP过滤。
将防火墙的访问控制扩展到OSI模型的第二层。
(4)入侵防御技术智能防火墙为了解决准许放行包的安全性,对准许放行的数据进行入侵检测,并提供人侵防御保护。
入侵防御技术采用了多种检测技术,特征检测可以准确检测已知的攻击,特征库涵盖了目前流行的网络攻击;
异常检测基于对监控网络的自学习能力,可以有效地检测新出现的攻击;
检测引擎中还集成了针对缓冲区溢出等特定攻击的检测。
(5)包擦洗和协议正常化技术智能防火墙支持包擦洗技术,对IP,TCP,UDP,ICMP等协议的擦洗,实现协议的正常化,消除潜在的协议风险和攻击。
(6)AAA技术IPv4版本的一大缺陷是缺乏身份认证功能,所以在IPv6版本中增加了该功能。
问题是IPv6的推广尚需时日,IPv4在相当长一段时间内,还会继续存在。
智能防火墙加了对IP层的身份认证。
六、防火墙的不足
6.1不能防御计算机病毒的攻击
计算机病毒攻击的方式多种多样,大多数防火墙都是根据系统存在的漏洞进行攻击,对于这种攻击防火墙经常无能为力。
6.2不能防御不经过防火墙的攻击
这一点是显而易见的,如果防火墙布置在企业网络的边界,对进出企业的信息进行过滤,而企业内部的电脑通过拨号网络直接连到外部网络,则防火墙就起不到作用。
6.3不少防火墙自身存在一定的安全漏洞
不管是硬件防火墙还是软件防火墙,都会存在或多或少的设计漏洞,不法分子可能利用这些设计上的漏洞绕过防火墙对系统进行攻击。
6.4不能防御数据驱动式的攻击
这也是一种很常见的攻击方式,每次通过防火墙的数据都是合乎规则的,但是当这些数据组合之后就会对系统进行破坏。
6.5牺牲了很多有用的服务
通常为了达到信息安全,人们关闭了很多不必要的服务,但是这些服务也有很多是很常用的,关闭了它们之后人们对网络的易用性显然会受到影响。
七、防火墙的发展趋势
可以预知,未来防火墙的发展趋势是朝高速度、多功能化、更安全的方向发展。
从国内外历次测试的结果都可以看出,目前防火墙一个很大的局限性是速度不够。
应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法,其中以采用网络处理器最优,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持IPV6,而采用其它方法就不那么灵活。
实现高速防火墙,算法也是一个关键,因为网络处理器中集成了很多硬件协处理单元,因此比较容易实现高速。
对于采用纯CPU的防火墙,就必须有算法支撑,例如ACL算法。
目前有的应用环境,动辄应用数百乃至数万条规则,没有算法支撑,对于状态防火墙,建立会话的速度会十分缓慢。
受现有技术的限制,目前还没有有效的对应用层进行高速检测的方法,也没有哪款芯片能做到这一点。
因此,防火墙不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外,这些检测对CPU消耗小)。
对于IDS,目前最常用的方式还是把网络上的流量镜像到IDS设备中处理,这样可以避免流量较大时造成网络堵塞。
此外,应用层漏洞很多,攻击特征库需要频繁升级,对于处在网络出口关键位置的防火墙,如此频繁地升级也是不现实的。
多功能也是防火墙的发展方向之一,鉴于目前路由器和防火墙价格都比较高,组网环境也越来越复杂,一般用户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。
例如,防火墙支持广域网口,并不影响安全性,但在某些情况下却可以为用户节省一台路由器;
支持部分路由器协议,如路由、拨号等,可以更好地满足组网需要;
支持IPSECVPN,可以利用因特网组建安全的专用通道,既安全又节省了专线投资。
未来防火墙的操作系统会更安全。
随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。
八、总结
从目前防火墙产品及其功能上,可以看到防火墙的扩展功能将进一步完善,而且随着算法的优化,使对网络流量的影响减低到最少IP。
的加密需求越来越强,安全协议的开发是一大势点。
对网络攻击的检测和告警将成为防火墙的重要功能,将逐步建立和完善入侵检测数据库。
到目前为止,新一代的防火墙采用信息安全技术,使得其功能更强大、安全性更强,可以抵御常见的网络攻击,如IP地址欺骗、特洛伊木马程序、Internet蠕虫、拒绝服务攻击等等。
但是,网络的安全是一种相对的安全,目前还没有一种技术可以百分之百解决网络上的信息安全问题。
防火墙是一个确保网络安全的强大工具,但是现有的防火墙有其局限性。
乐观的是:
越来越多的大学院校和研究机构开始研究计算机与通信安全问题。
我们相信,在不远的将来,肯定会出现全方位的“360度”防火墙,让我们共同努力吧。
[参考文献]
[1](美)MARCUSGONCALVES.防火墙技术指南[M].宋书民,朱智强,徐开勇,等,译.北京:
机械工业出版社,2000.
[2](美)CHRISHAREKARANJITSIYAN.Internet防火墙与网络安全[M].刘成勇,刘明刚,王明举,等,译.
北京:
机械工业出版社,1998.
[3]姚立红谢立.IPSEC与防火墙协同工作设计与实现.小型微型计算机系统2004
(2)183186
[4]张兴东胡华平况晓辉等.防火墙与入侵检测系统联动的研究与实现.计算机工程与科学2004(4)2226
[5]刘更楼丁常福姜建国.基于状态检测的防火墙系统研究.航空计算技术2004
(1)122125
[6]宿洁袁军鹏.防火墙技术及其进展.计算机工程与应用2004(9)147149
[7]王伟曹元大.分布式防火墙下主机防火墙Agent技术.计算机工程2004(8)126127
[8]马淑萍陈岗.防火墙在网络边界中的安全性评估.中国安全科学学报2004
(1)104107
[9]何军.防火墙各功能模块的应用.计算机安全2004(4)79
[10]李俊娥王婷雷公武.UDP状态检测防火墙及实现算法.武汉大学学报(工学版)2004
(2)6973
升级会员 