Internet防火墙技术综述.docx
《Internet防火墙技术综述.docx》由会员分享,可在线阅读,更多相关《Internet防火墙技术综述.docx(9页珍藏版)》请在冰豆网上搜索。
Internet防火墙技术综述
Internet防火墙技术综述
摘要:
随着Internet的迅猛进展,平安性已经成为网络互联技术中最关键的问题。
本文全面介绍了Internet防火墙技术与产品的进展历程;详细剖析了第四代防火墙的功能特色、关键技术、实现方式及抗解决能力;同时简要描述了Internet防火墙技术的进展趋势。
关键词:
Internet网路平安防火墙过滤地址转换
1.引言
防火墙技术是成立在现代通信网络技术和信息平安技术基础上的应用性平安技术,愈来愈多地应用于专用网络与公用网络的互连环境当中,尤以Internet网络为最甚。
Internet的迅猛进展,使得防火墙产品在短短的几年内异军突起,专门快形成了一个产业:
1995年,方才面市的防火墙技术产品市场量还不到1万套;到1996年末,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增加率增加,今年末将达到150万套,市场营业额将从1995年的亿美元上升到今年的亿美元。
为了加倍全面地了解Internet防火墙及其进展进程,专门是第四代防火墙的技术特色,咱们超级有必要从产品和技术角度对防火墙技术的进展演变做一个详细的考察。
防火墙技术简介
防火墙原是指建筑物大厦用来避免火灾蔓延的隔间墙。
从理论上讲,Internet防火墙效劳也属于类似的用来避免外界侵入的。
它能够避免Internet上的各类危险(病毒、资源盗用等)传播到你的网络内部。
而事实上,防火墙并非像现实生活中的防火墙,它有点像古代守护城池用的护城河,效劳于以下多个目的:
1)限定人们从一个特定的操纵点进入;
2)限定人们从一个特定的点离开;
3)避免侵入者接近你的其他防御设施;
4)有效地阻止破坏者对你的运算机系统进行破坏。
在现实生活中,Internet防火墙常常被安装在受爱惜的内部网络上并接入Internet,如图1所示。
图1防火墙在Internet中的位置
防火墙是网络平安策略的有机组成部份,它通过操纵和监测网络之间的信息互换和访问行为来实现对网络平安的有效治理。
从整体上看,防火墙应该具有以下五大大体功能:
●过滤进、出网络的数据;
●治理进、出网络的访问行为;
●封堵某些禁止行为;
●记录通过防火墙的信息内容和活动;
●对网络解决进行检测和告警。
为实现以上功能,在防火墙产品的开发中,人们普遍地应用了网络拓扑、运算机操作系统、路由、加密、访问操纵、平安审计等成熟或先进的技术和手腕。
纵观防火墙最近几年来的进展,能够将其划分为如下四个时期(即四代)。
基于路由器的防火墙
由于多数路由器本身就包括有分组过滤功能,故网络访问操纵可能通过路操纵来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。
第一代防火墙产品的特点是:
1)利用路由器本身对分组的解析,以访问操纵表(AccessList)方式实现对分组的过滤;
2)过滤判定的依据能够是:
地址、端口号、IP旗标及其他网络特点;
3)只有分组过滤的功能,且防火墙与路由器是一体的。
如此,对平安要求低的网络能够采纳路由器附带防火墙功能的方式,而对平安性要求高的网络那么需要单独利用一台路由器作为防火墙。
第一代防火墙产品的不足的地方十分明显,具体表现为:
●路由协议十分灵活,本身具有平安漏洞,外部网络要探访内部网络十分容易。
例如,在利用FTP协议时,外部效劳器容易从20号端口上与内部网相连,即便在路由器上设置了过滤规那么,内部网络的20号端口仍能够由外部探访。
●路由器上分组过滤规那么的设置和配置存在平安隐患。
对路由器中过滤规那么的设置和配置十分复杂,它涉及到规那么的逻辑一致性。
作用端口的有效性和规那么集的正确性,一样的网络系统治理员难于胜任,加上一旦显现新的协议,治理员就得加上更多的规那么去限制,这往往会带来很多错误。
●路由器防火墙的最大隐患是:
解决者能够“冒充”地址。
由于信息在网络上是以明文方式传送的,黑客(Hacker)能够在网络上伪造假的路由信息欺骗防火墙。
●路由器防火墙的本质缺点是:
由于路由器的要紧功能是为网络访问提供动态的、灵活的路由,而防火墙那么要对访问行为实施静态的、固定的操纵,这是一对难以调和的矛盾,防火墙的规那么设置会大大降低路由器的性能。
能够说基于路由器的防火墙技术只是网络平安的一种应急方法,用这种权宜之计去对付黑客的解决是十分危险的。
用户化的防火墙工具套
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来爱惜自己的网络,从而推动了用户防火墙工具套的显现。
作为第二代防火墙产品,用户化的防火墙工具套具有以下特点:
1)将过滤功能从路由器中独立出来,并加上审计和告警功能;
2)针对用户需求,提供模块化的软件包;
3)软件能够通过网络发送,用户能够自己动手构造防火墙;
4)与第一代防火墙相较,平安性提高了,价钱也降低了。
由于是纯软件产品,第二代防火墙产品不管在实现上仍是在保护上都对系统治理员提出了相当复杂的要求,并带来以下问题:
配置和保护进程复杂、费时;
对用户的技术要求高;
全软件实现,利用中显现过失的情形很多。
成立在通用操作系统上的防火墙
基于软件的防火墙在销售、利用和保护上的问题迫使防火墙开发商专门快推出了成立在通用操
作系统上的商用防火墙产品。
最近几年来市场上普遍利用的确实是这一代产品,它们具有如下一些
特点:
1)是批量上市的专用防火墙产品;
2)包括分组过滤或借用路由器的分组过滤功能;
3)装有专用的代理系统,监控所有协议的数据和指令;
4)爱惜用户编程空间和用户可配置内核参数的设置;
5)平安性和速度大大提高。
第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经取得了广大用户的认同
。
但随着平安需求的转变和利历时刻的推延,仍表现出很多问题,比如:
1)作为基础的操作系统及其内核往往不为防火墙治理者所知,由于源码的保密,其平安性
无从保证;
2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商可不能对操作系统的
平安性负责;
3)从本质上看,第三代防火墙既要避免来自外部网络的解决,还要避免来自操作系统厂商
的解决;
4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密辨别功能;
5)透明性好,易于利用。
第四代防火墙产品将网关与平安系统合二为一,具有以下技术功能。
双端口或三端口的结构
新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做IP转化而串接于内部与外部之间,另一个网卡可专用于对效劳器的平安爱惜。
透明的访问方式
以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库途径修改客户机的应用。
第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的平安风险和犯错概率。
灵活的代理系统
代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采纳了两种代理机制:
一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。
前者采纳网络地址转接(NIT)技术来解决,后者采纳非保密的用户定制代理或保密的代理系统技术来解决。
多级过滤技术
为保证系统的平安性和防护水平,第四代防火墙采纳了三级过滤方法,并辅以辨别手腕。
在分组过滤一级,能过滤掉所有的源路由分组和冒充IP地址;在应用级网关一级,能利用FTP、SMTP等各类网关,操纵和监测Internet提供的所有通用效劳;在电路网关一级,实现内部主机与外部站点的透明连接,并对效劳的通行实行严格操纵。
网络地址转换技术
第四代防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时许诺内部网络利用自己编的IP源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每一个分组送往正确的地址。
网关技术
由于是直接串联在网络当中,第四代防火墙必需支持用户在Internet互联的所有效劳,同时还要避免与Internet效劳有关的平安漏洞,故它要能够以多种平安的应用效劳器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。
为确保效劳器的平安性,对所有的文件和命令均要利用“改变根系统挪用(chroot)”做物理上的隔离。
在域名效劳方面,第四代防火墙采纳两种独立的域名效劳器:
一种是内部DNS效劳器,要紧处置内部网络和DNS信息;另一种是外部DNS效劳器,专门用于处置机构内部向Internet提供的部份DNS信息。
在匿名FTP方面,效劳器只提供对有限的受爱惜的部份目录的只读访问。
在WWW效劳器中,只支持静态的网页,而不许诺图形或CGI代码等在防火墙内运行。
在Finger效劳器中,对外部访问,防火墙只提供可由内部用户配置的大体的文本信息,而不提供任何与解决有关的系统信息。
SMTP与POP邮件效劳器要对所有进、出防火墙的邮件做处置,并利用邮件映射与标头剥除的方式隐除内部的邮件环境。
Ident效劳器对用户连接的识别做专门处置,网络新闻效劳那么为接收来自ISP的新闻开设了专门的磁盘空间。
平安效劳器网络(SSN)
为了适应愈来愈多的用户向Internet上提供效劳时对效劳器的需要,第四代防火墙采纳别离爱惜的策略对用户上网的对外效劳器实施爱惜,它利用一张网卡将对外效劳器作为一个独立网络处置,对外效劳器既是内部网络的一部份,又与内部网关完全隔离,这确实是平安效劳器网络(SSN)技术。
而对SSN上的主机既可单独治理,也可设置成通过FTP、Tnlnet等方式从内部网上治理。
SSN方式提供的平安性要比传统的“隔离区(DMZ)”方式好得多,因为SSN与外部网之间有防火墙爱惜,SSN与风部网之间也有防火墙的爱惜,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。
换言之,一旦SSN受破坏,内部网络仍会处于防火墙的爱惜之下,而一旦DMZ受到破坏,内部网络便暴露于解决之下。
用户辨别与加密
为了减低防火墙产品在Tnlnet、FTP等效劳和远程治理上的平安风险,辨别功能必不可少。
第四代防火墙采纳一次性利用的口令系统来作为用户的辨别手腕,并实现了对邮件的加密。
用户定制效劳
为了知足特定用户的特定需求,第四代防火墙在提供众多效劳的同时,还为用户定制提供支持,这种选项有:
通用TCP、出站UDP、FTP、SMTP等,若是某一用户需要成立一个数据库的代理,即能够利用这些支持,方便设置。
审计和告警
第四代防火墙产品采纳的审计和告警功能十分健全,日记文件包括:
一样信息、内核信息、核心信息、接收邮件、邮件途径、发送邮件、已收消息、已发消息、连接需求、已辨别的访问、告警条件、治理日记、进站代理、FTP代理、出站代理、邮件效劳器、名效劳器等。
告警功能会守住每一个TCP或UDP探访,并能以发出邮件、声响等多种方式报警。
另外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色。
5.第四代防火墙技术的实现方式
在第四代防火墙产品的设计与开发中,平安内核、代理系统、多级过滤、平安效劳器、辨别与加密是关键所在。
平安内核的实现
第四代防火墙是成立在平安操作系统之上的,平安操作系统来自对专用操作系统的平安加固和改造,从此刻的诸多产品看,对平安操作系统内核的固化与改造要紧从以下几个方面进行:
1)取消危险的系统挪用;
2)限制命令的执行权限;
3)取消IP的转发功能;
4)检查每一个分组的接口;
5)采纳随机连接序号;
6)驻留分组过滤模块;
7)取消动态路由功能;
8)采纳多个平安内核。
代理系统的成立
防火墙不许诺任何信息直接穿过它,对所有的内外连接均要通过代理系统来实现,为保证整个防火墙的平安,所有的代理都应该采纳改变根目录方式存在一个相对独立的区域以平安隔离。
在所有的连接通过防火墙前,所有的代理要检查已概念的访问规那么,这些规那么操纵代理的效劳依照以下内容处置分组:
1)源地址;
2)目的地址;
3)时刻;
4)同类效劳器的最大数量。
所有外部网络到防火墙内部或SSN的连接由进站代理处置,进站代理要保证内部主性能够了解外部主机的所有信息,而外部主机只能看到防火墙之外或SSN的地址。
所有从内部网络SSN通过防火墙与外部网络成立的连接由出站代理处置,出站代理必需确保完全由它代表内部网络与外部地址相连,避免内部网址与外部网址的直接连接,同时还要处置内部网络SSN的连接。
分组过滤器的设计
作为防火墙的核心部件之一,过滤器的设计要尽可能做到减少对防火墙的访问,过滤器在调历时将被下载到内核中执行,效劳终止时,过滤规那么会从内核中排除,所有的分组过滤功能都在内核中IP堆栈的深层运行,极为平安。
分组过滤器包括以下参数。
1)进站接口;
2)出站接口;
3)许诺的连接;
4)源端口范围;
5)源地址;
6)目的端口的范围等。
对每一种参数的处置都充分表现设计原那么和平安政策。
平安效劳器的设计
平安效劳器的设计有两个要点:
第一,所有SSN的流量都要隔离处置,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,SSN的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。
SSN上的每一个效劳器都隐蔽于Internet,SSN提供的效劳对外部网络而言仿佛防火墙功能,由于地址已是透明的,对各类网络应用没有限制。
实现SSN的关键在于:
1)解决分组过滤器与SSN的连接;
2)支持通过防火墙对SSN的访问;
3)支持代理效劳。
辨别与加密的考虑
辨别与加密是防火墙识别用户、验证访问和爱惜信息的有效手腕,辨别机制除提供平安爱惜之外,还有平安治理功能,目前国外防火墙产品中普遍利用令牌辨别方式,具体方式有两种一种是加密卡(CryptoCard);另一种是SecureID,这两种都是一次性口令的生成工具。
对信息内容的加密与辨别那么涉及加密算法和数字签名技术,除PEM、PGP和Kerberos外,目前国外防火墙产品中尚没有更好的机制显现,由于加密算法涉及国家信息平安和主权,各国有不同的要求。
6.第四代防火墙的抗解决能力
作为一种平安防护设备,防火墙在网络中自然是众多解决者的目标,故抗解决能力也是防火墙的必备功能。
在Internet环境中针对防火墙的解决很多,下面从几种要紧的解决方式来评估第四代防火墙的抗解决能力。
抗IP冒充解决
IP冒充是指一个非法的主机冒充内部的主机地址,骗取效劳器的“信任”,从而达到对网络的解决目的。
由于第四代防火墙已经将网内的实际地址隐蔽起来,外部用户很难明白内部的IP地址,因此难以解决。
抗特洛伊木马解决
特洛伊木马能将病毒或破坏性程序传入运算机网络,且一般是将这些歹意程序隐蔽在正常的程序当中,尤其是热点程序或游戏,一些用户下载并执行这一程序,其中的病毒便会发作。
第四代防火墙是成立在平安的操作系统之上的,其内核中不能执行下载的程序,故而能够避免特洛伊木马的发生。
必需指出的是,防火墙能抗特洛伊木马的解决并非说明其爱惜的某个主机也能避免这种解决。
事实上,内部用户能够通过防火墙下载程序,并执行下载的程序。
抗口令字探访解决
在网络中探访口令的方式很多,最多见的是口令嗅探和口令解密。
嗅探是通过监测网络通信,截获用户传给效劳器的口令字,记录下来,以便利用;解密是指采纳强力解决、猜想或截获含有加密口令的文件,并设法解密。
另外,解决者还常常利用一些经常使用口令字直接登录。
第四代防火墙采纳了一次性口令字和禁止直接登录防火墙方法,能够有效避免对口令字的解决。
抗网络平安性分析
网络平安性分析工具是提供治理人员分析网络平安性之用的,一旦这种工具用作解决网络的手腕,那么能够比较方便地探测到内部网络的平安缺点和弱点所在。
目前,SATA软件能够从网上免费取得,InternetScanner能够从市面上购买,这些分析工具给网络平安组成了直接的要挟。
第四代防火墙采纳了地址转换技术,将内部网络隐蔽起来,使网络平安分析工具无法从外部对内部网络做分析。
抗邮件诈骗解决
邮件诈骗也是愈来愈突出的解决方式,第四代防火墙不接收任何邮件,故难以采纳这种方式对它解决,一样值得一提的是,防火墙不接收邮件,并非表示它不让邮件通过,事实上用户仍可收发邮件,内部用户要防邮件诈骗,最终的解决方法是对邮件加密。
7.防火墙技术展望
伴随着Internet的飞速进展,防火墙技术与产品的更新步伐必然会增强,而要全面展望防火墙技术的进展几乎是不可能的。
可是,从产品及功能上,却又能够看出一些动向和趋势。
下面诸点可能是下一步的走向和选择:
1)防火墙将从目前对子网或内部网治理的方式向远程上网集中治理的方式进展。
2)过滤深度会不断增强,从目前的地址、效劳过滤,进展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤,并慢慢有病毒扫描功能。
3)利用防火墙成立专用网是较长一段时刻用户利用的主流,IP的加密需求愈来愈强,平安协议的开发是一大热点。
4)单向防火墙(又叫做网络二极管)将作为一种产品门类而显现。
5)对网络解决的检测和各类告警将成为防火墙的重要功能。
6)平安治理工具不断完善,专门是能够活动的日记分析工具等将成为防火墙产品中的一部份。
另外值得一提的是,伴随着防火墙技术的不断进展,人们选择防火墙的标准将要紧集中在易于治理、应用透明性、辨别与加密功能、操作环境和硬件要求、VPN的功能与CA的功能、接口的数量、本钱等几个方面。
升级会员 