浅议新一代防火墙技术的应用与发展
2011-08-15江文
江 文
(无锡商业职业技术学院,江苏 无锡 214153)
新一代防火墙应该加强放行数据的安全性,因为网络安全的真实需求是既要保证安全,也要保证应用的正常进行。新一代防火墙既有包过滤的功能,又能在应用层进行代理。较传统的防火墙来说,具有先进的过滤和代理体系,能从数据链路层到应用层进行全方位安全处理,TCP/IP协议和代理的直接相互配合,提供透明代理模式,减轻客户端的配置工作,使本系统的防欺骗能力和运行的健壮性都大大提高;除了访问控制功能外,新一代防火墙还应集成了其它许多安全技术,如 NAT和VPN、病毒防护等,使防火墙的安全性提升到又一高度。
1 新一代智能防火墙技术
1.1 概念
智能防火墙从技术特征上是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。由于这些方法多是人工智能学科采用的方法,因此被称为智能防火墙。智能防火墙的主要技术包括:
1.1.1 AAA技术
IP v4版本的一大缺陷是缺乏身份认证功能,所以在IP v6版本中增加了该功能。问题是IP v6的推广尚需时日,IP v4在相当长一段时间内,还会继续存在。智能防火墙增加了对IP层的身份认证。基于身份来实现访问控制。
1.1.2 防扫描技术
智能防火墙能智能识别黑客的恶意扫描,并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS、SSS、NMAP等扫描工具,智能防火墙可以防止被扫描。防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。
1.1.3 防攻击技术
智能防火墙能智能识别恶意数据流量,并有效地阻断恶意数据攻击。智能防火墙可以有效地解决 SYN Flooding,Land Attack,UDP Flooding,Fraggle Attack,Ping Flooding,Smurf,Ping of Death,Unreachable Host等攻击。防攻击技术还可以有效的切断恶意病毒或木马的流量攻击。
1.1.4 包擦洗和协议正常化技术
智能防火墙支持包擦洗技术,对 IP,TCP,UDP,ICMP等协议的擦洗,实现协议的正常化,消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁,效果显著。
1.1.5 入侵防御技术
智能防火墙为了解决准许放行包的安全性,对准许放行的数据进行入侵检测,并提供入侵防御保护。入侵防御技术采用了多种检测技术,特征检测可以准确检测已知的攻击,特征库涵盖了目前流行的网络攻击;异常检测基于对监控网络的自学习能力,可以有效地检测新出现的攻击;检测引擎中还集成了针对缓冲区溢出等特定攻击的检测。智能防火墙完成了深层数据包监控,并能阻断应用层攻击。
1.1.6 防欺骗技术
智能防火墙提供基于 MAC的访问控制机制,可以防止MAC欺骗和IP欺骗,支持MAC过滤,支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。
1.2 优点
智能防火墙成功地解决了普遍存在的拒绝服务攻击(DDOS)的问题、病毒传播问题和高级应用入侵问题,代表着防火墙的主流发展方向。新一代智能防火墙自身的安全性较传统的防火墙有很大的提高,在特权最小化、系统最小化、内核安全、系统加固、系统优化和网络性能最大化方面,与传统防火墙相比有质的飞跃。
1.3 应用
其主要应用领域主要包括:
1.3.1 入侵防御
智能防火墙为了解决准许放行包的安全性,对准许放行的数据进行入侵检测,并提供入侵防御保护,这样就完成了深层数据包监控,并能阻断应用层攻击。
1.3.2 防范黑客攻击
智能防火墙能智能识别黑客的恶意扫描,并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS、SSS、NMAP等扫描工具,可以防止被扫描。并可有效地解决恶意代码的恶意扫描攻击。
1.3.3 防范潜在风险
智能防火墙支持包擦洗技术,对 IP、TCP、UDP、ICMP等协议的擦洗,实现协议的正常化,消除潜在的协议风险和攻击。这些方法对消除TCP/IP协议的缺陷和应用协议的漏洞所带来的威胁,效果显著。
1.3.4 防范恶意数据攻击
智能防火墙能智能识别恶意数据流量,并有效地阻断恶意数据攻击,解决SYN Flooding,Land Attack,UDP Flooding,Fraggle Attack,Ping Flooding,Smurf,Ping of Death,Unreachable Host等攻击,有效地切断恶意病毒或木马的流量攻击。
1.3.5 防范MAC欺骗和IP欺骗
智能防火墙提供基于 MAC的访问控制机制,可以防止MAC欺骗和IP欺骗,支持MAC过滤,支持IP过滤。将防火墙的访问控制扩展到OSI的第二层。
总之,与传统防火墙相比,智能防火墙在保护网络和站点免受黑客的攻击、阻断病毒的恶意传播、有效监控和管理内部局域网、保护必需的应用安全、提供强大的身份认证授权和审计管理等方面,有着广泛的应用价值。
2 新一代嵌入式防火墙技术
2.1 概念
嵌入式防火墙就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。用户也可以购买防火墙模块,安装到已有的路由器或交换机中。嵌入式防火墙也被称为阻塞点防火墙。由于互联网使用的协议多种多样,所以不是所有的网络服务都能得到嵌入式防火墙的有效处理。嵌入式防火墙工作于IP层,所以无法保护网络免受病毒、蠕虫和特洛伊木马程序等来自应用层的威胁。就本质而言,嵌入式防火墙常常是无监控状态的,它在传递信息包时并不考虑以前的连接状态。
2.2 优点
它弥补并改善各类安全能力不足的企业边缘防火墙、防病毒程序,基于主机的应用程序、入侵检测告警程序及网络代理程序而设计,确保了企业内部与外部的网络具有以下功能:不论企业局域网的拓扑结构如何变更,防护措施都能延伸到网络边缘为网络提供保护;基于硬件、能够防范入侵的安全特性能独立于主机操作系统与其他安全性程序运行,甚至在安全性较差的宽带链路上都能实现安全移动与远程接入,可管理的执行方式使企业安全性能够被用户策略而非物理设施来进行定义。
2.3 应用
一套嵌入式防火墙安全性解决方案能够为那些需要在家访问公司局域网的远程办公用户提供了保护。帮助企业确保网络最薄弱和未保护领域的安全,如笔记本电脑和远程PC机,实行集中式管理的嵌入式客户机方案,并实现了跨越企业边缘防火墙的可靠网络连接,为企业和政府站点提供天衣无缝的安全性。
3 新一代分布式防火墙技术
3.1 概念
针对传统边界防火墙的缺欠,专家提出“分布式防火墙”的概念。从狭义和与边界防火墙产品对应来讲,分布式防火墙产品是指那些驻留在网络中主机如服务器或桌面机并对主机系统自身提供安全防护的软件产品;从广义来讲,“分布式防火墙”是一种新的防火墙体系结构,它包含以下几种类型:
3.1.1 网络防火墙
用于内部网与外部网之间(即传统的边界防火墙)和内部网子网之间的防护产品,后者区别于前者的一个特征是需支持内部网可能有的IP和非IP协议。
3.1.2 主机防火墙
对于网络中的服务器和桌面机进行防护,这些主机的物理位置可能在内部网中,也可能在内部网外,如托管服务器或移动办公的便携机。
3.1.3 中心管理
边界防火墙只是网络中的单一设备,管理是局部的。对分布式防火墙来说,每个防火墙作为安全监测机制可以根据安全性的不同要求布置在网络中的任何需要的位置上,但总体安全策略又是统一策划和管理的,安全策略的分发及日志的汇总都是中心管理应具备的功能。中心管理是分布式防火墙系统的核心和重要特征之一。
3.2 优点
分布式防火墙克服了传统防火墙的缺陷,它的优势在于:在网络内部增加了另一层安全,有效抵御来自内部的攻击,消除网络边界上的通信瓶颈和单一故障点,支持基于加密和认证的网络应用;与拓扑无关,支持移动计算。
3.3 应用
主要应用在企业的网络和服务器主机,在于堵住内部网的漏洞,解决来自企业内部网的攻击。分布式防火墙实施在企业各个网络端点上,克服了传统防火墙的缺陷,有效保护了主机,适应了新的网络应用的需要。
4 新一代防火墙技术的发展趋势
随着新的网络攻击的出现,新一代防火墙技术也有一些新的发展趋势。这主要可以从防火墙体系结构、包过滤技术和防火墙系统管理3方面来体现。
4.1 防火墙的体系结构发展趋势
随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防火墙制造商开发了基于 ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度来看,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。
与基于ASIC的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更具灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流,比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性,使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。
4.2 防火墙包过滤技术发展趋势
4.2.1 使防火墙具有病毒防护功能
现在通常被称之为“病毒防火墙”,当然目前主要还是在个人防火墙中体现,因为它是纯软件形式,更容易实现。这种防火墙技术可有效地防止病毒在网络中的传播,比等待攻击的发生更积极。拥有病毒防护功能的防火墙可以大大减少企业的损失。
4.2.2 多级过滤技术
所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如 nuke包、圣诞树包等;在应用网关(应用层)一级,能利用 FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。
这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层,从这个概念出发,又有很多内容可以扩展,为将来的防火墙技术发展打下基础。
4.2.3 一些防火墙厂商把在 AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能
这种功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的,包过滤技术的防火墙不具有。用户身份验证功能越强,它的安全级别越高,但它给网络通信带来的负面影响也越大,因为用户身份验证需要时间,特别是加密型的用户身份验证。
4.3 防火墙的系统管理发展趋势
防火墙系统管理的发展趋势主要体现在以下几个方面:
4.3.1 集中式管理,分布式和分层的安全结构是将来的趋势
集中式管理可以降低管理成本,并保证在大型网络中安全策略的一致性。快速响应和快速防御也要求采用集中式管理系统。目前这种分布式防火墙早已在 Cisco(思科)、3Com 等大的网络设备开发商中开发成功,也就是目前所称的“分布式防火墙”和“嵌入式防火墙”。另外“混合型”和“智能型”等新特性的防火墙也随着企业的应用需求而产生。
4.3.2 强大的审计功能和自动日志分析功能
这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。日志功能还可以帮助管理员有效地发现系统中存在的安全漏洞,及时地调整安全策略等各方面管理具有非常大的帮助。不过具有这种功能的防火墙通常较高级,早期的静态包过滤防火墙是不具有的。
4.3.3 网络安全产品的系统化
随着网络安全技术的发展,现有一种提法,叫做“建立以防火墙为核心的网络安全体系”。因为我们在现实中发现,仅现有的防火墙技术难以满足当前网络安全需求。通过建立一个以防火墙为核心的安全体系,就可以为内部网络系统部署多道安全防线,各种安全技术各司其职,从各方面防御外来入侵。
如现在的IDS设备就能很好地与防火墙一起联合。一般情况下,为确保系统的通信性能不受安全设备的影响太大,IDS设备不能像防火墙一样置于网络入口处,只能置于旁路位置。而在实际使用中,IDS的任务往往不仅在于检测,很多时候在IDS发现入侵行为以后,也需要IDS本身对入侵及时遏止。显然,要让处于旁路侦听的IDS完成这个任务太难,同时主链路又不能串接太多类似设备。在这种情况下,如果防火墙能和IDS、病毒检测等相关安全产品联合起来,充分发挥各自的长处,协同配合,共同建立一个有效的安全防范体系,那么系统网络的安全性就能得以明显提升。
1 常晓波、杨剑峰.安全体系结构的设计、部署与操作[M].北京:清华大学出版社,2003
2 张明光.电子商务安全体系的探讨[J].计算机工程与设计,2005(2):394~396
3 黄世权.网络安全及其基本解决方案[J].科技情报开发与经济,2004(12):240~241
4 严波.基于USB KEY的身份鉴别技术研究与应用[J].高性能计算技术,2005(6):36~38
5 杨义先、钮心忻.信息安全新技术[M].北京:北京邮电大学出版社,2002