5.2 防火墙技术
防火墙技术的概念是什么?
5.2.1 防火墙的概念
防火墙英文名称为FireWall,是应用最为广泛的一种安全手段,指的是一个由软件和硬件设备组合而成的、在内部网和外部网之间、专用网和公共网之间的界面上构造的保护屏障。防火墙能有效地控制内部网络与外部网络之间的访问及数据传送,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。通俗地说,防火墙是在Internet和Intranet之间构筑的一道屏障,通过防火墙,来决定哪些内部服务可以被外界访问,以及哪些外部服务可以被内部人员访问。下面是两个防火墙示意图,如图5-1、图5-2所示。
图5-1 防火墙示意图
防火墙通常是运行在一台计算机上的一个计算机软件,主要保护内部网络的重要信息不被非授权访问、非法窃取或破坏,并记录了内部网络和外部网络进行通信的有关安全日志信息,如通信发生的时间、允许通过数据包和被过滤掉的数据包信息等。将局域网络放置于防火墙之后,可以有效阻止来自外界的攻击。例如一台WWW代理服务器防火墙,它不直接处理请求,而验证请求发出者的身份、请求的目的地和请求的内容,如果一切符合要求的话,这个请求会被批准送到真正的WWW服务器上。当真正的WWW服务器处理完这个请求后并不会直接把结果发送给请求者,它会把结果送到代理服务器,代理服务器会按照事先的规则检查这个结果是否违反了安全策略,当一切都验证通过后,返回结果才会真正地送到请求者的手里。
图5-2 防火墙示意图
大部分防火墙软件都可以与防病毒软件搭配实现扫毒功能,有的防火墙则直接集成了扫毒功能。对于个人计算机可以用防病毒软件建立病毒防火墙。
5.2.2 防火墙的特点
企业的电子商务系统包括Internet,它最大的好处是方便了企业内部以及与外部的信息交流,提高了工作效率。然而,与Internet这样一个世界范围的开放网络连接,在获得利益的同时也要付出安全代价。一旦企业内部网连入Internet,就意味着Internet上的每个用户都有可能访问企业网。如果没有一个安全性保护措施,黑客们可能在毫不察觉的情况下进入企业网,非法访问企业的资源。Internet的安全性主要包括以下两个方面的含义:一是保护企业内部资源,防止外部人入侵,控制和监督外部用户对企业内部网的访问;二是控制、监督和管理企业内部对外部Internet的访问。保护企业内部网安全性的有效方法就是防火墙。
防火墙具有以下特点:
(1)把安全网络连接到不安全网络上;
(2)保护安全网络最大限度地访问不安全网络;
(3)将不安全网络转变为安全网络;
(4)所有风险可集中到防火墙系统上,安全管理者可针对网络的某个方面进行管理,而采取的安全措施对网络中的其他区域并不会有多大影响;
(5)检测与控制装置仅需安装在防火墙系统中;
(6)内部网与外部网的一切联系都必须通过防火墙系统进行。
5.2.3 防火墙的分类
根据防火墙使用的技术和系统设备配置,可以分为以下两种类型:
(一)数据包过滤(Packet Filter)防火墙
它对通过防火墙的数据流中的每一个数据包在网络的适当位置进行分析、过滤,根据其IP数据包源地址,IP数据包目的地址,封装协议类型,TCP/IP源端口号,TCP/IP目的端口号等,按照一定的安全策略,对进出内部网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。当一个数据包满足过滤规则,则允许此数据包通过,否则拒绝此包通过。
采用这种技术的防火墙优点在于速度快,实现方便,价格较低,易于维护,对网络性能的影响很小,因而世界上80%的网络防火墙属于这种类型。但它的弊端也十分明显,它没有用户的使用记录,因而无法发现黑客的攻击记录,容易遭受黑客的攻击,安全性能相对较差。而且,由于不同操作系统环境下应用的服务协议类型有所不同,故兼容性差。
数据包过滤防火墙可以按照IP地址来禁止未经授权者的访问。但是它不适合公司用来控制内部人员访问外界的网络。对于这样的企业来说,应用级防火墙是更好的选择。
(二)应用级网关(Application Level Gateway)防火墙
应用级网关防火墙也叫代理防火墙,是建立在网络应用层上的协议过滤和转发技术,针对特别的网络应用协议指定数据过滤逻辑,并可以将数据包分析结果和采取措施进行登记和统计。
它由两部分组成:代理服务器和筛选路由器。筛选路由器负责网络的互联,进行严格的数据选择,代理服务器则提供应用层服务的控制,起到了外部网络向内部网络申请服务时中间转接作用,使内部网络与外部网络之间没有直接联系。内部网络只接受代理服务器提出的服务请求,拒绝外部网络其他节点的直接请求。当外部网络向内部网络的某个节点申请某种服务时,由代理服务器根据其域名范围、时间等因素,决定是否接受此项服务。如果接受,就由代理服务器向内部网络转发这项请示并把结果反馈给申请者,否则就拒绝。根据其处理协议的功能可分为FTP网关型防火墙、Telnet网关型防火墙、WWW网关型防火墙、Wais网关型防火墙等。
应用级网关防火墙的安全性能相对较高,但也有不足之处:首先,它会降低访问速度,因为它不允许用户直接访问网络;其次,应用级网关需要针对每一个特定的Internet安装相应的代理服务器软件,这使得用户不得不花时间等待新服务软件的安装。
两类防火墙的技术对比见表5-1。
表5-1 两类防火墙的技术对比
防火墙技术从其功能上来分,又可分为FTP防火墙、Telnet防火墙,E-mail防火墙、病毒防火墙等各种专用防火墙。通常几种防火墙技术被一起使用来弥补各自的缺陷,增加系统的安全性能。
另外防火墙还可以分为硬件防火墙和软件防火墙。硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。硬件防火墙一般都有WAN、LAN和DMZ三个端口,还具有各种安全功能,价格比较高,企业以及大型网络使用得比较多。软件防火墙其实就是安全防护软件,比如天网防火墙、金山网镖、蓝盾防火墙等等。
5.2.4 防火墙的“防火”范围及其局限性
(一)防火墙的防火范围
(1)防火墙只在内部网和外部网之间相互沟通时起作用,如果内部网络用户对其内部资源进行攻击,防火墙则不起作用。这时只能通过内部系统的认证和接入控制机构来解决。
(2)防火墙检测不到不经过防火墙而直接进入内部网络的数据流。
(3)一般的防火墙无法防范外部病毒的侵犯,如果想实现这种保护,防火墙中应设置检测病毒的逻辑。
(4)防火墙无法防范数据驱动型的攻击。这种攻击从表面上看是无害的数据被邮寄或拷贝到因特网主机上。但一旦执行就形成攻击,导致主机修改与安全相关的文件,使得入侵者容易获得对系统的访问权。
(二)防火墙的局限性
防火墙并不是万能的,它只能抵御经由防火墙的攻击,不能防范不经由防火墙的攻击。如果内部网用户直接从Internet服务提供商那里购买直接的SLIP或PPP连接,则绕过了防火墙系统所提供的安全保护,从而造成了一个潜在的后门攻击渠道。
防火墙不能防止受病毒感染的软件或文件的传输。由于操作系统、病毒、二进制文件类型(加密、压缩)的种类太多且更新很快,所以防火墙无法逐个扫描每个文件以查找病毒。
防火墙不能防范人为因素的攻击,不能防止由公司内部人员恶意攻击或用户误操作造成的威胁,以及由于口令泄漏而受到的攻击。
防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。例如,一种数据驱动式的攻击可以使主机修改与系统安全有关的配置文件,从而使入侵者下一次更容易攻击该系统。
5.2.5 防火墙技术的发展趋势
随着新的网络攻击的出现,防火墙技术也有一些新的发展趋势。这主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。
(一)防火墙包过滤技术的发展趋势
(1)一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的,包过滤技术的防火墙则不具有。用户身份验证功能越强,它的安全级别越高,但它给网络通信带来的负面影响也越大,因为用户身份验证需要时间,特别是加密型的用户身份验证。
(2)多级过滤技术。所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出(或/和)入的协议和有害数据包如nuke包、圣诞树包等;在应用网关(应用层)一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。
这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层。从这个概念出发,又有很多内容可以扩展,为将来的防火墙技术发展打下基础。
(3)使防火墙具有病毒防护功能。现在通常被称为“病毒防火墙”,当然目前主要还是在个人防火墙中体现,因为它是纯软件形式,更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。
(二)防火墙体系结构的发展趋势
随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。
与基于ASIC的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流,比前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性,使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。
首信CF-2000系列EP-600和CG-600高端千兆防火墙即采用了功能强大的可编程的专有ASIC芯片作为专门的安全引擎,很好地兼顾了灵活性和性能的需要。它们可以以线速处理网络流量,而且其性能不受连接数目、包大小以及采用何种策略的影响。该款防火墙支持QoS,所造成的延迟可以达到微秒量级,可以满足各种交互式多媒体应用的要求。浙大网新也在杭州正式发布三款基于ASIC芯片的网新易尚千兆系列网关防火墙,据称,其ES4000防火墙速度达到4Gbps,3DES速度可达600Mbps。易尚系列千兆防火墙还采用了最新的安全网关概念,集成了防火墙、VPN、IDS、防病毒、内容过滤和流量控制等多项功能。
案例5-2 应用防火墙
网络面临的许多安全问题单靠防火墙是无法解决的,必须通过一种全新设计的高性能安全代理专用设备来配合防火墙。具体来说,利用防火墙阻挡外面的端口扫描攻击,利用应用安全防护技术,深层管理和控制由用户访问外部资源而引起的应用层攻击,解决针对应用的、具有破坏性的复杂攻击。
目前的应用防火墙实现了对网络应用的保护,是传统安全技术的有效补充。应用防火墙可以阻止针对Web应用的攻击,而不仅仅是验证Http协议。这些攻击包括利用特殊字符或通配符修改数据的数据攻击,设法得到命令串或逻辑语句的逻辑内容攻击,以及以账户、文件或主机为主要目标的目标攻击。应用防火墙可以有效地阻止下列的应用攻击:
业界标准的应用防火墙一般采用主动安全技术实现对应用的保护。主动安全技术是指建立正面规则集,也就是说明哪些行为和访问是合法的规则描述。对于接收到的应用数据(从网络协议还原出来的应用数据,不是数据报文头),判断是否符合合法规则。因为只允许通过已知的正常数据,这种方式可以防御所有的未知攻击。
应用防火墙技术是现有网络安全架构的一个重要的补充,并不是取代传统防火墙和入侵检测等安全设备。传统安全设备阻挡攻击者从正面入侵,着重进行网络层的攻击防护;而应用防火墙着重进行应用层的内容检查和安全防御,与传统安全设备共同构成全面、有效的安全防护体系。
资料来源:http://www.secnumen.com。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。