//包過濾的防火墻最簡單,妳可以指定讓某個IP或某個端口或某個網段的數據包通過[或不通過],它不支持應用層的過濾,不支持數據包內容的過濾。
//狀態防火墻更復雜壹點,按照TCP基於狀態的特點,在防火墻上記錄各個連接的狀態,這可以彌補包過濾防火墻的缺點,比如妳允許了ip為1.1.1.1的數據包通過防火墻,但是惡意的人偽造ip的話,沒有通過tcp的三次握手也可以闖過包過濾防火墻。
//應用代理網關防火墻徹底隔斷內網與外網的直接通信,內網用戶對外網的訪問變成防火墻對外網的訪問,然後再由防火墻轉發給內網用戶。所有通信都必須經應用層代理軟件轉發,訪問者任何時候都不能與服務器建立直接的 TCP 連接,應用層的協議會話過程必須符合代理的安全策略要求。
應用代理網關的優點是可以檢查應用層、傳輸層和網絡層的協議特征,對數據包的檢測能力比較強。
//
壹、當前防火墻技術分類
防火墻技術經歷了包過濾、應用代理網關、再到狀態檢測三個階段。
1.1 包過濾技術
包過濾防火墻工作在網絡層,對數據包的源及目地 IP 具有識別和控制作用,對於傳輸層,也只能識別數據包是 TCP 還是 UDP 及所用的端口信息,如下圖所示。現在的路由器、 Switch Router 以及某些操作系統已經具有用 Packet Filter 控制的能力。
由於只對數據包的 IP 地址、 TCP/UDP 協議和端口進行分析,包過濾防火墻的處理速度較快,並且易於配置。
包過濾防火墻具有根本的缺陷:
1 .不能防範黑客攻擊。包過濾防火墻的工作基於壹個前提,就是網管知道哪些 IP 是可信網絡,哪些是不可信網絡的 IP 地址。但是隨著遠程辦公等新應用的出現,網管不可能區分出可信網絡與不可信網絡的界限,對於黑客來說,只需將源 IP 包改成合法 IP 即可輕松通過包過濾防火墻,進入內網,而任何壹個初級水平的黑客都能進行 IP 地址欺騙。
2 .不支持應用層協議。假如內網用戶提出這樣壹個需求,只允許內網員工訪問外網的網頁(使用 HTTP 協議),不允許去外網下載電影(壹般使用 FTP 協議)。包過濾防火墻無能為力,因為它不認識數據包中的應用層協議,訪問控制粒度太粗糙。
3 .不能處理新的安全威脅。它不能跟蹤 TCP 狀態,所以對 TCP 層的控制有漏洞。如當它配置了僅允許從內到外的 TCP 訪問時,壹些以 TCP 應答包的形式從外部對內網進行的攻擊仍可以穿透防火墻。
綜上可見,包過濾防火墻技術面太過初級,就好比壹位保安只能根據訪客來自哪個省市來判斷是否允許他(她)進入壹樣,難以履行保護內網安全的職責。
1.2 應用代理網關技術
應用代理網關防火墻徹底隔斷內網與外網的直接通信,內網用戶對外網的訪問變成防火墻對外網的訪問,然後再由防火墻轉發給內網用戶。所有通信都必須經應用層代理軟件轉發,訪問者任何時候都不能與服務器建立直接的 TCP 連接,應用層的協議會話過程必須符合代理的安全策略要求。
應用代理網關的優點是可以檢查應用層、傳輸層和網絡層的協議特征,對數據包的檢測能力比較強。
缺點也非常突出,主要有:
· 難於配置。由於每個應用都要求單獨的代理進程,這就要求網管能理解每項應用協議的弱點,並能合理的配置安全策略,由於配置繁瑣,難於理解,容易出現配置失誤,最終影響內網的安全防範能力。
· 處理速度非常慢。斷掉所有的連接,由防火墻重新建立連接,理論上可以使應用代理防火墻具有極高的安全性。但是實際應用中並不可行,因為對於內網的每個 Web 訪問請求,應用代理都需要開壹個單獨的代理進程,它要保護內網的 Web 服務器、數據庫服務器、文件服務器、郵件服務器,及業務程序等,就需要建立壹個個的服務代理,以處理客戶端的訪問請求。這樣,應用代理的處理延遲會很大,內網用戶的正常 Web 訪問不能及時得到響應。
總之,應用代理防火墻不能支持大規模的並發連接,在對速度敏感的行業使用這類防火墻時簡直是災難。另外,防火墻核心要求預先內置壹些已知應用程序的代理,使得壹些新出現的應用在代理防火墻內被無情地阻斷,不能很好地支持新應用。
在 IT 領域中,新應用、新技術、新協議層出不窮,代理防火墻很難適應這種局面。因此,在壹些重要的領域和行業的核心業務應用中,代理防火墻正被逐漸疏遠。
但是,自適應代理技術的出現讓應用代理防火墻技術出現了新的轉機,它結合了代理防火墻的安全性和包過濾防火墻的高速度等優點,在不損失安全性的基礎上將代理防火墻的性能提高了 10 倍。
1.3 狀態檢測技術
我們知道, Internet 上傳輸的數據都必須遵循 TCP/IP 協議,根據 TCP 協議,每個可靠連接的建立需要經過 “ 客戶端同步請求 ” 、 “ 服務器應答 ” 、 “ 客戶端再應答 ” 三個階段,我們最常用到的 Web 瀏覽、文件下載、收發郵件等都要經過這三個階段。這反映出數據包並不是獨立的,而是前後之間有著密切的狀態聯系,基於這種狀態變化,引出了狀態檢測技術。
狀態檢測防火墻摒棄了包過濾防火墻僅考查數據包的 IP 地址等幾個參數,而不關心數據包連接狀態變化的缺點,在防火墻的核心部分建立狀態連接表,並將進出網絡的數據當成壹個個的會話,利用狀態表跟蹤每壹個會話狀態。狀態監測對每壹個包的檢查不僅根據規則表,更考慮了數據包是否符合會話所處的狀態,因此提供了完整的對傳輸層的控制能力。
網關防火墻的壹個挑戰就是能處理的流量,狀態檢測技術在大為提高安全防範能力的同時也改進了流量處理速度。狀態監測技術采用了壹系列優化技術,使防火墻性能大幅度提升,能應用在各類網絡環境中,尤其是在壹些規則復雜的大型網絡上。
任何壹款高性能的防火墻,都會采用狀態檢測技術。
從 2000 年開始,國內的著名防火墻公司,如北京天融信等公司,都開始采用這壹最新的體系架構,並在此基礎上,天融信 NGFW4000 創新推出了核檢測技術,在操作系統內核模擬出典型的應用層協議,在內核實現對應用層協議的過濾,在實現安全目標的同時可以得到極高的性能。目前支持的協議有 HTTP/1.0/1.1 、 FTP 、 SMTP 、 POP3 、 MMS 、 H.232 等最新和最常用的應用協議。
二、防火墻發展的新技術趨勢
2.1 新需求引發的技術走向
防火墻技術的發展離不開社會需求的變化,著眼未來,我們註意到以下幾個新的需求。
· 遠程辦公的增長。這次全國主要城市先後受到 SARS 病毒的侵襲,直接促成大量的企事業在家辦公,這就要求防火墻既能抵抗外部攻擊,又能允許合法的遠程訪問,做到更細粒度的訪問控制。現在壹些廠商推出的 VPN (虛擬專用網)技術就是很好的解決方式。只有以指定方式加密的數據包才能通過防火墻,這樣可以確保信息的保密性,又能成為識別入侵行為的手段。
· 內部網絡 “ 包廂化 ” ( compartmentalizing )。人們通常認為處在防火墻保護下的內網是可信的,只有 Internet 是不可信的。由於黑客攻擊技術和工具在 Internet 上隨手可及,使得內部網絡的潛在威脅大大增加,這種威脅既可以是外網的人員,也可能是內網用戶,不再存在壹個可信網絡環境。
由於無線網絡的快速應用以及傳統撥號方式的繼續存在,內網受到了前所未有的威脅。企業之前的合作將合作夥伴納入了企業網絡裏,全國各地的分支機構***享壹個論壇,都使可信網絡的概念變得模糊起來。應對的辦法就是將內部網細分成壹間間的 “ 包廂 ” ,對每個 “ 包廂 ” 實施獨立的安全策略。
2.2 黑客攻擊引發的技術走向
防火墻作為內網的貼身保鏢,黑客攻擊的特點也決定了防火墻的技術走向。
80 端口的關閉。從受攻擊的協議和端口來看,排在第壹位的就是 HTTP 協議( 80 端口)。根據 SANS 的調查顯示,提供 HTTP 服務的 IIS 和 Apache 是最易受到攻擊,這說明 80 端口所引發的威脅最多。
因此,無論是未來的防火墻技術還是現在應用的防火墻產品,都應盡可能將 80 端口關閉。
· 數據包的深度檢測。 IT 業界權威機構 Gartner 認為代理不是阻止未來黑客攻擊的關鍵,但是防火墻應能分辨並阻止數據包的惡意行為,包檢測的技術方案需要增加簽名檢測 (signature inspection) 等新的功能,以查找已經的攻擊,並分辨出哪些是正常的數據流,哪些是異常數據流。
· 協同性。從黑客攻擊事件分析,對外提供 Web 等應用的服務器是防護的重點。單單依靠防火墻難以防範所有的攻擊行為,這就需要將防火墻技術、入侵檢測技術、病毒檢測技術有效協同,***同完成保護網絡安全的任務。早在 2000 年,北京天融信公司就已經認識到了協同的必要性和緊迫性,推出了 TOPSEC 協議,與 IDS 等其他安全設備聯動,與其他安全設備配合組成壹個有機的可擴展的安全體系平臺。目前主要支持和 IDS 的聯動和認證服務器進行聯動。如支持國內十幾家知名的 IDS 、安全管理系統、安全審計、其他認證系統等等組成完整的 TOPSEC 解決方案。 2002 年 9 月,北電、思科和 Check Point 壹道宣布***同推出安全產品,也體現了廠商之間優勢互補、互通有無的趨勢。