1、防火墙技术的现状与展望防火墙技术的现状与展望 考号:115309195407 姓名:谷乐乐内容提要随着计算机技术和通讯技术的迅速发展,特别是Internet的出现,使网络的重要性和社会的影响越来越大,网络安全问题也变得越来越重要。防火墙技术作为一种隔离内部安全网络与外部不信任网络的防御技术,已经成为计算机网络安全体系结构中的一个重要组成部分。本文简要介绍了防火墙在网络信息安全中的重要作用,描述了防火墙的原理及分类,分析了构建防火墙时对防火墙的选择与设置,说明了防火墙的主要规则设置方法。接着,描述了防火墙技术的应用现状。最后提出了面对网络安全问题应用防火墙所面临的挑战,论述了防火墙在网络安全中起
2、的重要作用以及应用需求,并对该技术的未来发展进行了展望。关键词 防火墙网络安全网关 包过滤一、防火墙技术的概述 防火墙是防范网络攻击最常用的方法,从技术理论上看,如今的防火墙经过了多年的不断改进,已经成为一种先进和复杂的基于应用层的网关,不仅能完成传统防火墙的过滤任务,同时也能够针对各种网络应用提供相应的安全服务。防火墙技术的基本思想是限制网络访问,它把网络分为两个部分:外部网络和受保护网络(内部网络)。 相比企业而言,外部网络一般指的是Internet ,而受保护网络一般指企业自己建立的Internet 防火墙,放在受保护网络和外部网络之间,如图1 所示 图1 防火墙示意图防火墙一方面限制外
3、部网络访问受保护网络,对外屏蔽受保护网络的实现细节,保证数据的安全,另一方面限制受保护网络对外部网络的访问,防止不良信息的获取部分,减少信息的泄露。防火墙就是用来隔离受保护的网络和不受保护的网络(如因特网),通过单一集中的安全检查点,审查并过滤所有从因特网到受保护网络的连接。防火墙(阻塞类防火墙)可以确保除非通过检查点的审查,否则你从网中将不能直接到达因特网。二、 防火墙的构成及安全功能为了更好的理解防火墙及其作用模型来加以分析。网络中继器和集线器是在最底层物理层工作;交换机和网桥是在第二层数据链路层工作;路由器是在第三层网络层工作。防火墙建立在所有这些层上,工作于第六层和第七层会话层和应用层
4、,这两层分别负责会话的建立、控制和应用。因此,通过防火墙,我们可以控制会话建立期间的所有信息流,甚至可以决定当前的任何操作是否被允许。防火墙的基本构成包括:安全策略、高层认证、包过滤、应用网关。其中安全策略又分为扩展性策略、服务/访问策略、防火墙设计策略、信息策略、以及拔入与拔出策略。服务/访问策略是建立防火墙中最重要的组成部分,其余3部分在实现和执行策略中是必要的。保护网站防火墙的有效性,取决于使用防火墙的实现类型,以及使用正确的程序和服务/访问策略。防火墙的一个基本目的是保护站点不被黑客攻击,组织未经认证的外部登录,利用防火墙,可以防止站点的任意连结,并能建立跟踪工具,利用日志摘要可以查找
5、连接的起点、服务器提供的服务量,甚至还包括是否有攻击进入等信息。三、防火墙的设计原则构建防火墙时,要考虑的问题很多,主要有以下几个原则:1. 防火墙的设计策略应遵循安全防范的基本原则“除非明确允许,否则禁止”。这个原则创造了一种比较安全的环境,但其安全性高于用户使用的方便性,对用户进行了约束。2.“除非明确禁止,否则允许某种服务”的设计原则。这种原则创造了一种非常灵活的环境,用户可以得到尽可能多的服务。3. 防火墙本身支持安全策略,而不是添加上去的。4. 组织机构的安全策略发生改变,可以加人新的服务。5. 有先进的认证手段或有挂钩程序,可以安装先进的认证方法。6. 可运用过滤技术允许和禁止服务
6、。7. 可以使用FTP和Telnet等服务代理,便于先进的认证手段被安装和运行到防火墙。8. 拥有界面友好、易于编程的IP过滤语言,并可以根据数据包的性质进行包过滤。数据包的性质在目标和源IP地址、协议类型、源和目的TCP端口、TCP包的ACK位、出站和入站网络接口等。防火墙自身的安全问题是其维护服务器网络安全的基础。防火墙自身的安全问题一般包含了防火墙认证的安全问题,防火墙管理权限体系管理,防火墙管理程序易于操作性等。由于防火墙一般都是通过管理程序进行控制的,因此它们之间的认证方式和安全也是很重要的。有些防火墙采用密码认证的方式,这种方式安全性较差,一旦密码本身被泄漏,那别人就可以轻松控制防
7、火墙。企业在构建具体的防火墙时,根据自己的实际情况,以及对安全性和灵活性的要求,制定出自己的设计原则。四、防火墙的应用现状4.1. 防火墙现状概说附图是一个防火墙典型应用的示意图。 防火墙的功能主要包含以下几个方面:访问控制,如应用ACL进行访问控制;攻击防范,如防止SYN FLOOD等;NAT;VPN;路由;认证和加密; 日志记录; 支持网管等。此外为了保证可靠性,支持双机或多机热备份;为了满足日益增多的语音、视频等需求,对QOS特性的支持和对H.323、SIP 等多种应用协议的支持也必不可少。 为了满足多样化的组网需求,方便用户组网,同时也降低用户对其他专用设备的需求,减少用户建网成本,防
8、火墙上也常常把其他网络技术结合进来,例如支持DHCP SERVER、DHCP RELAY;支持动态路由,如RIP 、OSPF等;支持拨号、PPPOE等特性;支持广域网口; 支持透明模式(桥模式); 支持内容过滤(如URL过滤)、防病毒和IDS等功能。防火墙与其他安全设备或安全模块之间进行互动,已经成为新一代防火墙的发展趋势。 但是,目前防火墙应用中的问题也不少。如目前许多防火墙对内容过滤,防病毒和IDS等的支持,实际的应用效果并不好。因为在这些功能支持的情况下,过滤会涉及到应用层包分析,对CPU的消耗很大。这些功能的启动,会导致性能急剧下降,本来100M的处理能力,可能会下降到几兆,导致网络严
9、重阻塞甚至瘫痪,失去了防火墙存在的意义。4.2. 包过滤防火墙和代理 防火墙的发展,经历了从早期的简单包过滤,到今天广泛应用的状态包过滤技术和应用代理。其中状态包过滤技术因为其安全性较好,速度快,得到最广泛的应用。应用代理虽然安全性更好,但它需要针对每一种协议开发特定的代理协议,对应用的支持不够好。从国外公开的防火墙测试报告来看,代理防火墙性能表现比较差,因此在网络带宽迅猛发展的情况下,已经不能完全满足需要。 此外,有的防火墙支持SOCK代理,这种代理屏蔽了协议本身,只要客户端支持SOCK代理,该应用在防火墙上就可以穿越。这种代理对于部分不公开的协议,如QQ的语音和视频协议,采用其他技术,在N
10、AT情况下很难实现对该协议的支持,但QQ软件本身支持SOCK代理,如果防火墙支持SOCK代理协议,就可以实现对防火墙的穿越。但对于防火墙而言,不参与协议解码,也意味着防火墙对该协议失去了监测能力。 4.3. 状态检测技术 下面,重点描述一下防火墙的状态检测技术。状态检测技术最早是CheckPoint提出的,也就是要监视每个连接发起到结束的全过程。对于部分协议,如FTP、H.323 等协议,是有状态的协议,防火墙必须对这些协议进行分析,以便知道什么时候,从哪个方向允许特定的连接进入和关闭。例如FTP,除了开始要建立命令通道外,还要动态协商数据通道。以PORT方式为例,PORT模式下的工作过程如下
11、: (1) 客户端向服务器21端口发起连接,建立控制命令通道; (2) 客户端向服务器发出命令,要求建立数据连接; (3) 客户端打开一个端口; (4) 客户端通过PORT命令,从控制通道把端口号发给服务器; (5) 服务器向客户端该端口发送一个主动连接。 从上述过程可以看出,客户端打开的端口号是未知的,所以防火墙必须对FTP控制通道的命令进行解码,从而知道协商后的端口号。然后,防火墙临时打开一个通道,允许服务器连接客户端的这个端口。对于状态防火墙,只需要通过ACL设置,开放该客户端对服务器的21端口连接。但对于以前的简单包过滤防火墙,如果想支持PORT模式,还得对外开放所有的端口,这显然是不
12、安全的。 状态防火墙可以对特定的协议进行解码,因此安全性也比较好。有的防火墙可以对FTP、SMTP 等有害命令进行检测和过滤,但因为在应用层解码分析,处理速度比较慢,为此,有的防火墙采用自适应方式,亦即根据当前防火墙繁忙程度做出判断:如果防火墙忙,则只做基本检测,如FTP,只监测PORT命令,其他有害命令就不检测,因此处理速度很快。 状态防火墙的抗攻击功能,还有一个特色是,当检测到SYN FLOOD攻击时,会启动代理,此时,如果是伪造源IP的会话,因为不能完成三层握手,攻击报文就无法到达服务器,但正常访问的报文仍然可达。 4.4. 高保障防火墙 防火墙因为软件复杂,实现的功能较多,必须有操作系
13、统支持,操作系统的安全是防火墙安全的基石。1998年,在中国一家机构和美国计算机学会ACM共同举办的国际会议上,我首次提出了高保障防火墙的概念,其核心是防火墙与安全操作系统无缝集成,在防火墙上实现类似B级操作系统的机制,如标记、MAC、 强实体认证等。入关具有入关证,出关具有出关证。建立了防止内部敏感信息泄漏的机制,达到既防外又防内的目标,又实现了传统防火墙的全部功能。不久前,安胜防火墙应运而生,通过了国家权威机构的测评认证,是我国第一个研制成功的高保障防火墙,目前已经在我国31个省市广泛应用。 五、新型防火墙技术与优点新型防火墙更应该加强放行数据的安全性,因为网络安全的真实需求是既要保证安全
14、,也必须保证应用的正常进行。新型防火墙技术主要是综合包过滤和代理技术,克服二者在安全方面的缺陷;能从数据链路层一直到应用层施加全方位的控制;TCPIP协议和代理的直接相互配合,使系统的防欺骗能力和运行的健壮性都大大提高;并且能够实现TCPIP协议的微内核,从而在TCPIP协议层能进行各项安全控制;基于上述微内核,使速度超过传统的包过滤防火墙;提供透明代理模式,减轻客户端的配置工作;支持数据加密、解密(DES和RSA),提供对虚拟网VPN的强大支持;内部信息完全隐藏等。新型防火墙技术不仅覆盖了传统包过滤防火墙的全部功能,而且在全面对抗IP欺骗、SYNFlood、ICMP、ARP等攻击手段方面有显
15、著优势,增强代理服务,并使其与包过滤相融合,再加上智能过滤技术,使防火墙的安全性能有很大提高。5.1 分布式防火墙技术分布式防火墙是指那些驻留在网络中主机如服务器或桌面机并对主机系统自身提供安全防护的软件产品;从广义来讲,“分布式防火墙”是一种新的防火墙体系结构,它包含如下产品:网络防火墙用于内部网与外部网之间(即传统的边界防火墙)和内部网子网之间的防护产品,后者区别于前者的一个特征是需支持内部网可能有的IP和非IP协议。主机防火墙对于网络中的服务器和桌面机进行防护,这些主机的物理位置可能在内部网中,也可能在内部网外,如托管服务器或移动办公的便携机。中心管理边界防火墙只是网络中的单一设备,管理
16、是局部的。对分布式防火墙来说,每个防火墙作为安全监测机制可以根据安全性的不同要求布置在网络中的任何需要的位置上,但总体安全策略又是统一策划和管理的,安全策略的分发及日志的汇总都是中心管理应具备的功能。中心管理是分布式防火墙系统的核心和重要特征之一。在新的安全体系结构下,分布式防火墙代表新型防火墙技术的发展潮流,它可以在网络的任何交界和节点处设置屏障,从而形成了一个多层次,多协议,内外皆防的全方位安全体系,它的主要功能如下:(1)Internet访问控制 依据工作站名称、设备指纹等属陛,使用“Internet访问规则”,控制该工作站或工作站组在指定的时间段内是否允许禁止访问模板或网址列表中所规定
17、的Internet Web服务器,某个用户可否基于某工作站访问www服务器,同时当某个工作站用户达到规定流量后确定是否断网。(2)应用访问控制 通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测,控制来自局域网Internet的应用服务请求,如SQL数据库访问、IPX协议访问等。(3)网络状态监控 实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息。(4)黑客攻击的防御抵御 包括Smurf拒绝服务攻击、ARP欺骗式攻击、Ping攻击、Trojan木马攻击等在内的近百种来自网络内部以及来自Internet的黑
18、客攻击手段。(5)日志管理 对工作站协议规则日志、用户登陆事件日志、用户Internet访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。(6)系统工具 包括系统层参数的设定、规则等配置信息的备份与恢复、流量统计、模板设置、工作站管理等。分布式防火墙克服了传统防火墙的缺陷,它的优势在于:在网络内部增加了另一层安全,有效抵御来自内部的攻击,消除网络边界上的通信瓶颈和单一故障点,支持基于加密和认证的网络应用;与拓扑无关,支持移动计算。5.2 嵌入式防火墙技术嵌入式防火墙就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。嵌入式防火墙也被称为阻塞点防火墙。由于互联网使用
19、的协议多种多样,所以不是所有的网络服务都能得到嵌入式防火墙的有效处理。嵌入式防火墙工作于IP层,所以无法保护网络免受病毒、蠕虫和特洛伊木马程序等来自应用层的威胁。就本质而言,嵌入式防火墙常常是无监控状态的,它在传递信息包时并不考虑以前的连接状态。嵌入式防火墙能够弥补并改善各类安全能力不足的企业边缘防火墙、防病毒程序、基于主机的应用程序、入侵检测告警程序以及网络代理程序而设计,它确保了企业内部与外部的网络具有以下功能:不论企业局域网的拓扑结构如何变更,防护措施都能延伸到网络边缘为网络提供保护;基于硬件、能够防范入侵的安全特性能独立于主机操作系统与其他安全性程序运行,甚至在安全性较差的宽带链路上都
20、能实现安全移动与远程接人,可管理的执行方式使企业安全性能够被用户策略而非物理设施来进行定义。5.3 智能防火墙技术智能防火墙从技术特征上,是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。由于这些方法多是人工智能学科采用的方法,因此被称为智能防火墙。实现智能防火墙的关键技术有:(1)防攻击技术 智能防火墙能智能识别恶意数据流量,并有效地阻断恶意数据攻击。智能防火墙可以有效地解决SYN Flooding,Land Attack,UDP Flooding,Fraggle Attac
21、k,Ping Flooding,Smurf,Ping of Death,Unreachable Host等攻击o(2)防扫描技术 智能防火墙能智能识别黑客的恶意扫描,并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS,SSS,NMAP等扫描工具,智能防火墙可以防止被扫描。防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。(3)防欺骗技术 智能防火墙提供基于MAC的访问控制机制,可以防止MAC欺骗和IP欺骗,支持MAC过滤,支持IP过滤。将防火墙的访问控制扩展到OSI模型的第二层。(4)入侵防御技术 智能防火墙为了解决准许放行包的安全性,对准许放行的数据进行入侵检测,并提供人侵防御
22、保护。入侵防御技术采用了多种检测技术,特征检测可以准确检测已知的攻击,特征库涵盖了目前流行的网络攻击;异常检测基于对监控网络的自学习能力,可以有效地检测新出现的攻击;检测引擎中还集成了针对缓冲区溢出等特定攻击的检测。(5)包擦洗和协议正常化技术 智能防火墙支持包擦洗技术,对IP,TCP,UDP,ICMP等协议的擦洗,实现协议的正常化,消除潜在的协议风险和攻击。(6)AAA技术 IP v4版本的一大缺陷是缺乏身份认证功能,所以在IP v6版本中增加了该功能。问题是IP v6的推广尚需时日,IP v4在相当长一段时间内,还会继续存在。智能防火墙加了对IP层的身份认证。六、防火墙的不足6.1不能防御
23、计算机病毒的攻击计算机病毒攻击的方式多种多样,大多数防火墙都是根据系统存在的漏洞进行攻击,对于这种攻击防火墙经常无能为力。6.2 不能防御不经过防火墙的攻击这一点是显而易见的,如果防火墙布置在企业网络的边界,对进出企业的信息进行过滤,而企业内部的电脑通过拨号网络直接连到外部网络,则防火墙就起不到作用。6.3 不少防火墙自身存在一定的安全漏洞不管是硬件防火墙还是软件防火墙,都会存在或多或少的设计漏洞,不法分子可能利用这些设计上的漏洞绕过防火墙对系统进行攻击。6.4 不能防御数据驱动式的攻击这也是一种很常见的攻击方式,每次通过防火墙的数据都是合乎规则的,但是当这些数据组合之后就会对系统进行破坏。6
24、.5 牺牲了很多有用的服务通常为了达到信息安全,人们关闭了很多不必要的服务,但是这些服务也有很多是很常用的,关闭了它们之后人们对网络的易用性显然会受到影响。七、防火墙的发展趋势可以预知,未来防火墙的发展趋势是朝高速度、多功能化、更安全的方向发展。从国内外历次测试的结果都可以看出,目前防火墙一个很大的局限性是速度不够。应用 ASIC 、 FPGA 和网络处理器是实现高速防火墙的主要方法,其中以采用网络处理器最优,因为网络处理器采用微码编程,可以根据需要随时升级,甚至可以支持 IPV6 ,而采用其它方法就不那么灵活。实现高速防火墙,算法也是一个关键,因为网络处理器中集成了很多硬件协处理单元,因此比
25、较容易实现高速。对于采用纯 CPU 的防火墙,就必须有算法支撑,例如 ACL 算法。目前有的应用环境,动辄应用数百乃至数万条规则,没有算法支撑,对于状态防火墙,建立会话的速度会十分缓慢。受现有技术的限制,目前还没有有效的对应用层进行高速检测的方法,也没有哪款芯片能做到这一点。因此,防火墙不适宜于集成内容过滤、防病毒和 IDS 功能 ( 传输层以下的 IDS 除外,这些检测对 CPU 消耗小 ) 。对于IDS ,目前最常用的方式还是把网络上的流量镜像到 IDS 设备中处理,这样可以避免流量较大时造成网络堵塞。此外,应用层漏洞很多,攻击特征库需要频繁升级,对于处在网络出口关键位置的防火墙,如此频繁
26、地升级也是不现实的。多功能也是防火墙的发展方向之一,鉴于目前路由器和防火墙价格都比较高,组网环境也越来越复杂,一般用户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。例如,防火墙支持广域网口,并不影响安全性,但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议,如路由、拨号等,可以更好地满足组网需要;支持 IPSEC VPN ,可以利用因特网组建安全的专用通道,既安全又节省了专线投资。 未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。八、总结 从目前防火墙产品及其功能上,可以看到防火墙的扩展功能将进一步完善,而且随
27、着算法的优化,使对网络流量的影响减低到最少IP。的加密需求越来越强,安全协议的开发是一大势点。对网络攻击的检测和告警将成为防火墙的重要功能,将逐步建立和完善入侵检测数据库。到目前为止,新一代的防火墙采用信息安全技术,使得其功能更强大、安全性更强,可以抵御常见的网络攻击,如IP地址欺骗、特洛伊木马程序、Internet蠕虫、拒绝服务攻击等等。但是,网络的安全是一种相对的安全,目前还没有一种技术可以百分之百解决网络上的信息安全问题。防火墙是一个确保网络安全的强大工具,但是现有的防火墙有其局限性。乐观的是:越来越多的大学院校和研究机构开始研究计算机与通信安全问题。我们相信,在不远的将来,肯定会出现全
28、方位的“360度”防火墙,让我们共同努力吧。参考文献1(美)MARCUS GONCALVES.防火墙技术指南M.宋书民,朱智强,徐开勇,等,译. 北京:机械工业出版社,2000.2(美)CHRIS HARE KARANJIT SIYAN. Internet防火墙与网络安全 M.刘成勇,刘明刚,王明举,等,译.北京:机械工业出版社,1998.3 姚立红谢立.IPSEC与防火墙协同工作设计与实现.小型微型计算机系统2004 (2) 183 1864 张兴东胡华平况晓辉等.防火墙与入侵检测系统联动的研究与实现.计算机工程与科学2004 (4) 22 265 刘更楼丁常福姜建国.基于状态检测的防火墙系统研究.航空计算技术2004 (1) 122 1256 宿洁袁军鹏.防火墙技术及其进展.计算机工程与应用2004 (9) 147 1497 王伟曹元大.分布式防火墙下主机防火墙Agent 技术.计算机工程2004 (8) 126 1278 马淑萍陈岗.防火墙在网络边界中的安全性评估.中国安全科学学报2004 (1) 104 1079 何军.防火墙各功能模块的应用.计算机安全2004(4) 7 910 李俊娥王婷雷公武.UDP 状态检测防火墙及实现算法.武汉大学学报(工学版) 2004 (2) 69 73
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1