朱丽群



多层防火墙的组成与整合技术

朱丽群*

(湖南文理学院 计算机科学与技术学院, 湖南 常德, 415000)

网络安全技术的快速发展, 使目前流行的单层防火墙产品不能从根本上满足实际应用的需求. 多层防火墙系统结合不同防火墙的技术和安全策略, 包括包过滤技术、应用级网关技术、电路级网关技术、状态检测技术和地址翻译技术等, 并用不同的方法和技术将它们整合在一起, 创建一个比单一防护更有效的综合防护系统, 达到安全防护的目的.

多层防火墙; 组成; 整合

信息安全问题的日益突出, 防火墙技术的应用越来越显得重要. 目前使用较多的单层防火墙由于功能有限, 大多是针对防火墙的病毒入侵, 不能防范不经过防火墙的攻击, 这样就造成了一个潜在的后门攻击渠道. 单层防火墙即不能阻止已受到病毒感染的软件或数据的传输, 也不能防止数据驱动式的攻击, 当有些表面看来无害的数据通过文件的传输或拷贝进入系统并被执行时, 就会导致系统受到破坏[1].

单层防火墙存在的不足使得开发多层防火墙以提高网络系统的安全防范能力越来越有必要. 多层防火墙是应用和实施一个基于多层次安全系统的全面信息安全策略, 将各种单层防火墙有机的整合在一起, 在各个层次上部署相关的网络安全产品, 既有硬件方面的, 也有软件方面的, 以增加病毒攻击入侵时所花费的时间、成本和资源, 从而有效地降低被攻击的危险, 达到安全防护的目的[2].

1 多层防火墙的组成与功能

多层防火墙的防护策略就是通过设置多层防护屏障使其安全性得以提高, 这些防护屏障由包过滤技术、状态检测技术、代理服务器技术、电路级网关技术和地址翻译技术等组成[3].

1.1 包过滤技术

包过滤技术作为第一层防护屏障是一种内置于Linux内核路由功能之上的防火墙类型, 是利用过滤路由器监视并过滤网络进、出的IP数据包, 根据匹配和规则决定是否前行或被舍弃, 以达到拒绝发送可疑数据包的目的而起到防护作用(图1).

图1 包过滤型OSI工作流程

包过滤技术的优点是高效、快速、透明, 即: 过滤路由器在价格上一般比代理服务器便宜. 对于一个小型的不太复杂的站点, 运用过滤路由器实现包过滤比较容易, 比代理服务器高效得多. 过滤路由器为用户提供的是一种透明的服务, 而且对用户的要求不高, 因此过滤路由器有时也被称为包过滤网关或透明网关.

包过滤技术的缺点是定义复杂，消耗CPU资源，不能彻底防止地址欺骗，涵盖应用协议不全，无法执行特殊的安全策略，并且不提供日志等. 这种防火墙的规则表大而复杂, 很难测试, 故出现漏洞的可能性也就大. 包过滤技术依赖的是一个单一过滤路由器来保护系统, 这个单一过滤路由器往往可能出现了问题, 这种情况下网络的防护作用就会消失, 甚至网络遭受攻击时用户也不知情, 后果就会很严重. 此外, 一些包过滤网关不支持有效的用户认证, 这给用户的使用带来了困难[4].

1.2 状态检测技术

状态检测防火墙作为第2层防护屏障采用了状态检测包过滤技术, 作为传统包过滤技术的功能扩展, 能对网络通信的各层实行检测, 能够比较准确并及时地发现防护漏洞, 消除隐患[5].

状态检测技术的优点是性能强、安全性好、扩展性好、配置方便、应用范围广, 是多级防火墙的重要防护组成. 其缺点是只能检测数据包的第3层信息, 无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序, 仍难以彻底保证网络不受攻击, 存在危险.

1.3 代理服务器技术

所谓代理服务器就是应用级网关, 是作为第3层防护屏障使用的应用网关技术.

代理服务器技术优点体现在: ①能够检查进出的数据包, 然后将安全的数据信息通过网关进行传递, 以此隔断受信任C/S系统与不受信任C/S系统之间的直接联系; ②应用级网关能够通过理解应用层上的协议, 进行较复杂的访问控制和精细的注册与稽核, 以增强系统的安全性[6].

代理服务器技术也存在缺点, 即每一种协议要有相应的代理软件, 使用过程中不仅工作量大, 而且效率也不如网络级防火墙. 此外也不是所有的互联网应用软件都可以使用代理服务器, 这限制了代理服务器技术的使用(图2).

图2 代理服务器型OSI工作原理

1.4 电路级网关技术

第4层防护屏障就是电路级网关技术. 电路级网关能够通过在网路中建立起一个回路, 对数据包进行转发. 这个过程只依靠TCP连接, 而不进行任何附加的包处理或过滤, 网关只用来在2个通信终点之间转接数据包, 而且只限于简单的字节拷贝, 数据包提交给用户应用层处理, 但由于电路级网关的连接起源于防火墙, 因此隐藏了受保护网络的有关信息, 从而提高了网络的安全性[7].

电路级网关技术的突出特点是可以对不同的协议提供代理服务, 不过这种代理服务需要改进客户程序, 它对外像一个代理, 对内就是一个过滤路由器(图3).

图3 电路级网关工作原理

1.5 地址翻译技术

第5道防护屏障是地址翻译. 所谓地址翻译技术是将一个IP地址用另一个IP地址代替. 尽管最初设计地址翻译的目的是为了增加在专用网络中可使用的IP地址数, 但它有一个隐蔽的安全特性, 如内部主机隐蔽等, 从而保证了网络的安全. 地址翻译主要用在2种情况下: ①网络管理员出于安全考虑, 希望隐藏内部网络的IP地址, 这样就使得Internet上的主机无法判断内部网络的情况, 从而起到用户信息不至于泄露的作用; ②考虑到IP地址资源有限而不够用, 内部网络的IP地址是无效的IP地址, 这种情况下就需要翻译IP地址[8].

在以上2种情况下, 内部网对外面因不可见而带有封闭性, 故内部网可以拒绝Internet的访问, 只允许内部网主机之间的相互访问, 这使内部网的使用受到限制. 虽然应用网关防火墙通过隐藏内部IP可以部分解决这个问题, 一个内部用户可以远程登录到网关, 然后通过网关上的代理联接到Internet, 但应用层网关不能为基于TCP以外的应用提供代理, 这就需要地址翻译提供一种透明且完善的解决方案[7—8]. 这样, 网络管理员根据地址翻译提供的方案就可以决定需要隐藏的内部IP地址, 以及需要映射成为对Internet可见的IP地址. 这个过程中, 地址翻译起到了内部网间单向路由的作用, 但不作为从Internet到内部网或主机的路由, 这样就提高了用户信息的安全性.

2 多层防火墙的整合

由于单一防火墙系统安全性能不高, 又各有其优缺点, 所以就有必要将它们整合在一起, 扬长避短, 组成多层防火墙，对信息系统进行全方位保护. 即使黑客闯过一层防火墙可能获取一部分数据, 在多层防火墙的保护下, 其他的数据仍然能被安全地保护在内部防火墙之后. 多层防火墙就是通过整合不同防火墙安全策略和技术所形成的一个全新系统. 它的具体整合技术包括4个方面.

2.1 采用多级过滤措施

所谓多级过滤就是将包过滤、状态检测等整合在一起, 并辅以鉴别手段, 让过滤器之间不存在依赖关系, 允许多层过滤器组成一个过滤器链同时作用于页面或系统, 按一定的规则先后执行相应的过滤. 通过网络层过滤, 能够将所有的源路由分组和假冒的IP源地址过滤掉; 通过传输层过滤规则, 能够将所有禁止出或入的协议和有害数据包如圣诞树包一级nuke包等过滤掉; 通过应用层过滤, Internet提供的通用服务都能够利用FTP、SMTP等各种网关实现控制和监测. 多级过滤作为一种综合型过滤技术主要针对传统防火墙技术的不足, 用以解决各种单级过滤技术的缺陷所采取的措施综合补救. 它在分层上比较明确, 每种过滤技术针对不同的网络层, 并且从需要出发, 又可以扩展很多内容, 使多级过滤技术能够针对随时可能出现的安全隐患采取相应的过滤措施.

2.2 提高防火墙对计算机病毒的防与治能力

防火墙的病毒防护功能, 以纯软件形式在个人防火墙中体现. 防火墙的作用是防止病毒入侵用户服务器, 不过由于TCP／IP协议套件具有脆弱性, 使得Internet在拒绝服务攻击时有可能产生漏洞. 攻击者试图使用户Internet服务器饱和或使与它连接的系统崩溃, 达到用户无法使用Internet的目的[9].

提高防火墙对计算机病毒的防治能力实际上就是建立一个“病毒实时检测和清除系统”, 把病毒特征监控程序驻留在内存, 随时查看系统在运行中是否有病毒攻击, 一旦发现有病毒就马上激活杀毒处理机制(这种机制可以是软件的也可以是硬件的), 先禁止带病毒的文件打开运行, 然后马上杀毒. 由于许多病毒都是通过网络传播的, 病毒防火墙和网络防火墙可以交叉应用, 这样可以大大提高对病毒的防护能力, 由此来保障用户系统处于一个“无毒”的环境[10].

2.3 从防火墙的体系结构上整合

目前防火墙的体系结构主要有2种: 双宿网关和屏蔽主机. 随着网络应用和多媒体应用的普及, 它要求数据穿过防火墙所带来的延迟要足够小. 这意味着防火墙要能够以非常高的速率处理数据. 为了满足这种需要, 多级防火墙采用混合型体系结构, 这种结果将内部防火墙和外部防火墙相结合、堡垒主机和基站主机相结合, 在内、外部防火墙和内、外部网络之间构成一个安全子网(屏蔽子网), 以此提高防火墙对系统的防护能力.

提高网络数据传输速度是信息时代对互联网的要求, 这也要求防火墙能够以更高的速率处理数据, 数据穿过防火墙所引起的延迟越小就越能体现防火墙的优越性能. 从这种需要出发, 一种基于ASIC的防火墙和基于网络处理器的防火墙的体系结构应运而生. 这种防火墙使用专门硬件处理网络数据流, 处理数据流的速度明显快于传统防火墙. 不过由于纯硬件的ASIC防火墙缺乏可编程性, 其灵活性就受到了限制. 解决这一不足的措施是增加ASIC芯片, 以提高可编程性, 使其与软件更好地配合, 提高防火墙的灵活性和性能, 从而满足数据处理速率的要求.

2.4 从防火墙系统管理上整合

①集中式管理. 分布式、主机驻留的体系结构, 是当前防火墙技术的新潮流, 目前已经由Cisco(思科)、3Com等大的网络设备开发商开发成功, 也称分布式防火墙和嵌入式防火墙. 这种体系可以在网络边界、网络内部、服务器和客户端等任何网络结合处设置屏障, 并监测多种网络通信协议, 实现集中式管理, 形成一个多层次、多措施、内外统一防范的安全系统. 集中式管理的另一优势是能够降低管理成本, 同时保证与大型网络安全策略的一致性[11].

②自动日志和审计功能. 这种管理方式可以让管理员尽早发现潜在的威胁和系统中存在的安全漏洞, 及时调整安全策略. 这可以将防火墙的监控日志通过使用远程的审计服务器来存放, 因为黑客对远程日志审计服务器的位置并不透明, 在防火墙上设置大量的地址, 黑客就无法在短时间内从防火墙上分析出日志服务器的网络位置, 于是防火墙的远程日志服务器就可以记录黑客的攻击行为, 为下一步跟踪和发现黑客提供有力的数据支持.

③网络安全产品的系统化. 所谓网络安全产品系统化就是建立以防火墙为核心的网络安全体系. 由于单层防火墙难以满足当前网络安全的多种需求, 如果通过建立一个以防火墙为核心的安全体系, 就能够有针对地为网络系统部署相应的安全防线, 网络系统的安全性就可以大大提高[12—13].

④图形用户界面. 从安装上讲, 多级防火墙的图形用户界面易于配置, 这也是NT防火墙具有较大市场发展潜力的原因之一. 提供这种易于安装和易于管理基础的是Windows NT. 但基于NT的防火墙通常落后于基于Unix的防火墙, 特别是Linux系统. Linux是一种自由和开放源码的类Unix操作系统, 是一种嵌入式系统，有多种版本. 它们都使用了Linux内核, 可安装在各种计算机硬件设备中，如: 手机、平板电脑、路由器、视频游戏控制平台、台式计算机、大型机等.

3 结语

多层防火墙的整合技术面临许多挑战, 比如: 防火墙的深度过滤是提高防护功能的关键, 但不支持用户认证; 应用级网关技术的用户身份验证功能虽强, 但对网络通信有着负面影响. 怎样解决这些矛盾, 这成为多级防火墙技术需要解决的新课题.

[1] 亨宁·曼凯.防火墙[M]. 珠海: 珠海出版社, 2004: 67.

[2] W R 切斯维克, S M 贝洛维. 防火墙与因特网的安全[M]. 北京:机械工业出版社, 2004:107.

[3] 李之棠, 李伟明, 陈琳. 防火墙原理与实施[M]. 北京: 电子工业出版社出版, 2001: 95.

[4] 侯整风, 庞有祥. 多核防火墙分层内容过滤的时延分析[J]. 计算机工程与应用, 2011: 47(12): 93—96.

[5] 杨志贤, 冯超敏, 陈靓. 状态检测防火墙构建[J]. 网络管理员世界, 2005(1): 71—73.

[6] 刘刚. 基于网络处理器的千兆防火墙设计与实现[D]. 东华大学, 2004.

[7] 张庭. 电子政务外网网络结构与安全管理[D]. 京邮电大学, 2012.

[8] 周宏. 业网中主机防火墙技术的研究[D]. 华北电力大学(北京), 2003.

[9] 王子房, 李毅, 段云. 所代理型防火墙的原理与应用[J]. 网络安全技术与应用, 2002(3): 12—15.

[10] 朱辉雁. Windows防火墙与因特网特色截获技术[M]. 北京: 北京电子工业出版社, 2002: 78.

[11] 唐乾林. 基于嵌入式防火墙的改进研究[J]. 制造业自动化, 2011: 33(6): 79—81.

[12] 周东浩, 王勇军. 防火墙扩展match模块匹配算法优化[J]. 计算机工程与设计, 2011: 32(3): 766—769.

[13] 李毕祥. 分布式防火墙策略异常检测与分析[J]. 计算机与数字工程, 2011(11): 114—117.

The composition of multi-layer firewall technology and integration

ZHU LiQun

(School of Computer Science and Technology, Hunan University of Arts and Science, Changde 415000, China)

With the fast development of network security technology, current single level firewall products can not satisfy the real application requirement. Combining different firewall security strategies and technologies, such as packet filtering, application level gateway, circuit level gateway, state detection and address translation, multi-level firewall systems create a more effective comprehensive defense system than single level ones.

multi-level firewall; composition; integration

10.3969/j.issn.1672-6146.2014.03.019

TP 309.5

1672-6146(2014)03-0083-04

email: 786149219@qq.com.

2014-04-10

(责任编校:刘刚毅)