張滄洪

0 防火墻的基本概念

防火墻(Firewall)最開始用于建筑行業(yè),它是指在構(gòu)建房間時,為了防止火勢從一個房間蔓延到另一個房間所設(shè)計的一堵墻。伴隨著網(wǎng)絡(luò)的發(fā)展,這一名稱被借用過來并應(yīng)用到計算機網(wǎng)絡(luò)(主要指Internet)安全中,這樣防火墻有了自己新的定義,指在兩個網(wǎng)絡(luò)之間強制實施訪問控制策略的一個系統(tǒng)或一組系統(tǒng)。當(dāng)然這個系統(tǒng)可以由硬件組成,可以由軟件組成,也可以是由它們共同來完成。它主要有以下特性:所有的從內(nèi)部到外部或從外部到內(nèi)部的通信都必須經(jīng)過它;只有內(nèi)部訪問策略授權(quán)的通信才允許通過;系統(tǒng)本身具有高可靠性。能防止內(nèi)部信息的泄露。通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實現(xiàn)內(nèi)部重點網(wǎng)段的隔離。

1 防火墻的體系結(jié)構(gòu)

防火墻的體系結(jié)構(gòu)主要有三種:雙重宿主主機體系結(jié)構(gòu)、屏蔽主機體系結(jié)構(gòu)和屏蔽子網(wǎng)體系結(jié)構(gòu)。

1.1 雙重宿主主機體系結(jié)構(gòu)

圍繞具有雙重功能的主機設(shè)計的,它能提供高級別的控制能力。它通過在主機中插入兩塊網(wǎng)卡實現(xiàn)硬件連接,這就好比是在兩個網(wǎng)絡(luò)中間加上兩個路由器,但是這兩個路由器的數(shù)據(jù)交換是單向通信的。

1.2 屏蔽主機體系結(jié)構(gòu)

屏蔽主機體系結(jié)構(gòu)是使用一個單獨的路由器來提供內(nèi)部網(wǎng)絡(luò)主機之間的服務(wù),利用包過濾和代理功能實現(xiàn)。在進行通信時,內(nèi)部網(wǎng)絡(luò)不直接參與同外部網(wǎng)絡(luò)的通信,而是先和另外一個網(wǎng)絡(luò)或者設(shè)備通信,這個設(shè)備再和外部網(wǎng)絡(luò)通信。

1.3 屏蔽子網(wǎng)體系結(jié)構(gòu)

屏蔽子網(wǎng)體系結(jié)構(gòu)在屏蔽主機體系結(jié)構(gòu)的基礎(chǔ)上添加額外的安全層,通過添加周邊網(wǎng)絡(luò)把內(nèi)部網(wǎng)絡(luò)更進一步地與外部網(wǎng)絡(luò)隔開。比較簡單的形式是設(shè)置兩個屏蔽路由器,一個位于周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)之間,另一個位于周邊網(wǎng)絡(luò)和外部網(wǎng)之間。在這兩個連接層上設(shè)置不同的安全定義,使得侵襲者必須要攻破兩個路由器構(gòu)建的防火墻,因此提高了網(wǎng)絡(luò)的安全性。

2 防火墻的類型

防火墻的實現(xiàn)方式多種多樣,根據(jù)防火墻所采用的技術(shù),防火墻主要分為數(shù)據(jù)包過濾、應(yīng)用代理、復(fù)合型三種。

2.1 包過濾型防火墻

這種類型的防火墻主要針對的是前面提到的雙宿主主機體系結(jié)構(gòu)。包過濾型防火墻處于 TCP/IP 協(xié)議的 IP 層,它根據(jù)定義好的過濾規(guī)則審查每個數(shù)據(jù)包并確定數(shù)據(jù)包是否與過濾規(guī)則匹配,從而決定數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄。過濾規(guī)則是按順序進行檢查的,直到有規(guī)則匹配為止。如果沒有規(guī)則匹配,則按缺省的規(guī)則執(zhí)行。防火墻的缺省規(guī)則應(yīng)該是禁止。包過濾型防火墻只能實現(xiàn)基于 IP地址和端口號的過濾功能,它實際上是控制內(nèi)部網(wǎng)絡(luò)上的主機直接訪問外部網(wǎng)絡(luò),而外部網(wǎng)絡(luò)上的主機對內(nèi)部網(wǎng)絡(luò)的訪問則要受到限制。

2.2 應(yīng)用代理型防火墻

應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點,起著監(jiān)視和隔絕應(yīng)用層通信流的作用。代理服務(wù)是運行在防火墻主機上的專門的應(yīng)用程序或服務(wù)器程序,這些程序根據(jù)安全策略接受用戶對網(wǎng)絡(luò)服務(wù)的請求并將它們轉(zhuǎn)發(fā)到實際的服務(wù)。代理服務(wù)不允許通信直接經(jīng)過外部網(wǎng)和內(nèi)部網(wǎng)。代理服務(wù)器不僅僅能夠轉(zhuǎn)送用戶的請求到真正的網(wǎng)絡(luò)主機,代理服務(wù)器還能夠控制用戶能做什么,根據(jù)安全策略,請求可以被允許或拒絕。

2.3 混合型防火墻

混合型防火墻是把過濾和代理服務(wù)等功能結(jié)合起來形成新的防火墻,所用主機稱為堡壘主機,負責(zé)代理服務(wù)。當(dāng)前的防火墻產(chǎn)品已不是單一的包過濾或代理服務(wù)器型防火墻,而是將各種安全技術(shù)結(jié)合起來,形成一個混合的多級防火墻,以提高防火墻的靈活性和安全性。這樣系統(tǒng)的安全性能又能得到進一步的提升。

3 防火墻的關(guān)鍵技術(shù)

防火墻的幾種關(guān)鍵技術(shù):包過濾技術(shù)、代理技術(shù)、地址翻譯(NAT)技術(shù)、SOCKS技術(shù)、狀態(tài)檢查技術(shù)(State Specification)、VPN技術(shù)、內(nèi)容檢查技術(shù)。

3.1 包過濾技術(shù)

包過濾技術(shù)是防火墻中的一項主要安全技術(shù),通過對進出網(wǎng)絡(luò)的數(shù)據(jù)流進行控制與操作。系統(tǒng)管理員可以制定一系列規(guī)則,允許指定哪些類型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng)絡(luò),哪些類型的數(shù)據(jù)包傳輸應(yīng)該被攔截?，F(xiàn)在的一些包過濾防火墻不僅根據(jù)IP數(shù)據(jù)包的地址、方向、協(xié)議、服務(wù)、端口、訪問時間等信息來進行訪問控制,同時還對任何網(wǎng)絡(luò)連接和當(dāng)前的會話狀態(tài)進行分析和監(jiān)控。

與傳統(tǒng)防火墻對比,現(xiàn)在的一些包過濾防火墻采用了基于連接狀態(tài)檢查的包過濾,將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待,通過規(guī)則表與連接狀態(tài)表的共同配合,同時還考慮與它與前面包的關(guān)聯(lián)性,極大地提高了系統(tǒng)的性能和安全性。

對基于UDP、ICMP協(xié)議的應(yīng)用來說,很難用簡單的包過濾技術(shù)進行處理的。因為UDP協(xié)議本身對于順序錯誤或丟失的包,是不做糾錯或重傳的。而ICMP與IP位于同一層,它被用來傳送IP的差錯和控制信息。現(xiàn)在的一些包過濾防火墻在對基于UDP協(xié)議的連接處理時,會為UDP建立虛擬的連接,同樣能夠?qū)B接過程狀態(tài)進行監(jiān)控,通過規(guī)則與連接狀態(tài)的共同配合,達到包過濾的高效與安全。

現(xiàn)在包過濾技術(shù)逐漸由“傻瓜型”向“智能型”發(fā)展,從一種被動的規(guī)則檢查方式變?yōu)槎嗉壊⑿谢虼谢虼⑿谢旌系膹?fù)雜檢查方式。采用包過濾技術(shù)的優(yōu)缺點:一般采用包過濾技術(shù)所用的時間很少或幾乎不需要什么。另外,應(yīng)用包過濾技術(shù)對終端用戶和應(yīng)用程序是看不見的,不需要專門的用戶培訓(xùn)或在每臺主機上設(shè)置特別的軟件。然而包過濾器規(guī)則可能是一項復(fù)雜的工作,因為網(wǎng)管員需要詳細地了解Internet各種服務(wù)、包頭格式和希望在每個域查找的特定的值。如果必須支持復(fù)雜的過濾要求的,則過濾規(guī)則集會變得很長和很復(fù)雜,從而很難管理。同時,吞吐量會隨過濾器數(shù)量的增加而減少。如果包過濾程序?qū)γ總€包都執(zhí)行所有過濾規(guī)則的話,這可能消耗CPU的資源,并影響一個完全飽和的系統(tǒng)性能。

3.2 代理技術(shù)

代理技術(shù)指的是應(yīng)用代理或代理服務(wù)器技術(shù),具體為一個代理內(nèi)部網(wǎng)絡(luò)用戶與外部網(wǎng)絡(luò)服務(wù)器進行信息交換的程序。它將內(nèi)部用戶的請求確認后送達外部服務(wù)器,同時將外部服務(wù)器的響應(yīng)狀態(tài)再返回給用戶。

代理服務(wù):現(xiàn)在的一些包過濾防火墻中對FTP,TELNET,HTTP,SMTP,POP3和DNS等應(yīng)用實現(xiàn)了代理服務(wù)。這些代理服務(wù)對用戶是透明的(Transparent),即用戶意識不到防火墻的存在,便可完成內(nèi)外網(wǎng)絡(luò)的通訊。

代理服務(wù)器可以屏蔽內(nèi)部網(wǎng)的細節(jié),使非法分子無法探知內(nèi)部結(jié)構(gòu)。能夠屏蔽某些特殊的命令,禁止用戶使用容易造成攻擊的不安全的命令,從根本上抵御攻擊。同時,還能夠過濾不安全腳本,如ActiveX,Java Applet,JavaScript以及進行郵件過濾。

連接流量:現(xiàn)在的一些包過濾防火墻的代理服務(wù)器提供了對連接流量的控制功能,系統(tǒng)管理員可以根據(jù)內(nèi)部網(wǎng)絡(luò)的需要增大或減少某一代理(FTP,HTTP,TELNET,SMTP,POP3,DNS等)的流量,更有效地利用資源,減輕防火墻的負荷。而且,現(xiàn)在的一些包過濾防火墻采用了多線程多連接技術(shù),使系統(tǒng)可以對出入防火墻的所有應(yīng)用層連接進行統(tǒng)一的管理,處理速度快,處理進程多,保證了系統(tǒng)的高效性。

3.3 地址翻譯(NAT)技術(shù)

網(wǎng)絡(luò)地址翻譯可以對外隱藏內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu),外部攻擊者無法確定內(nèi)部計算機的連接狀態(tài)。并且不同的時候,內(nèi)部計算機向外連接使用的地址都是不同的,給外部攻擊造成了困難。同樣NAT能通過定義各種映像規(guī)則,屏蔽外部的鏈接請求,將鏈接請求映射到不同的計算機中。網(wǎng)絡(luò)地址翻譯都和IP數(shù)據(jù)包過濾一起使用,構(gòu)成了一種更復(fù)雜的包過濾型的防火墻。僅僅具備包過濾能力的路由器,其防火墻能力還是比較弱,抵抗外部入侵的能力也較差,而和網(wǎng)絡(luò)地址翻譯技術(shù)相結(jié)合,就能起到更好的安全保證。

3.4 其它防火墻技術(shù)

除了以上的三個技術(shù)還有加密技術(shù)、安全審計、安全內(nèi)核、身份認證、負載平衡等等。

4 防火墻的優(yōu)缺點

4.1 防火墻的優(yōu)點:

強化安全策略,保護易受攻擊的服務(wù)。防火墻執(zhí)行網(wǎng)絡(luò)的安全策略,能過濾那些不安全的服務(wù),拒絕可疑的訪問大大降低非法攻擊的風(fēng)險,提高網(wǎng)絡(luò)安全系數(shù)。

監(jiān)視 Internet 的使用。防火墻也是審查和記錄內(nèi)部對 Internet 使用的一個最佳地方,可以在此對內(nèi)部訪問 Internet 的進行記錄。

控制對特殊站點的訪問。在內(nèi)部網(wǎng)絡(luò)中,只有郵件服務(wù)器、WWW 服務(wù)器和 FTP 服務(wù)器能被外部網(wǎng)絡(luò)進行訪問而其它主機則要被保護起來,防止不必要的訪問。

實現(xiàn)網(wǎng)段控制,防火墻能夠用來隔離網(wǎng)絡(luò)中的網(wǎng)段,以避免一個網(wǎng)段中的問題在整個網(wǎng)絡(luò)中傳播。

4.2 防火墻的缺點

防火墻不能防范內(nèi)部攻擊。防火墻可以很好地防止外部用戶獲得敏感數(shù)據(jù)。但是它沒法防止內(nèi)部用戶偷竊數(shù)據(jù)、拷貝數(shù)據(jù)、破壞硬件和軟件等。

訪問限制,很可能屏蔽掉一些需要的服務(wù)。

防火墻不能防范所有的威脅。不能防范已感染病毒的文件,不能有效地防范網(wǎng)絡(luò)中和計算機中的所有病毒。沒有一個防火墻能夠自動有效地防御所有的威脅。防火墻不是解決所有網(wǎng)絡(luò)安全問題的“萬靈丹”,而只是網(wǎng)絡(luò)安全政策和策略中的一個組成部分。它的應(yīng)用只是為網(wǎng)絡(luò)通信提供了更可靠的安全保障。

防火墻降低了整個網(wǎng)絡(luò)的流量,減慢了整個系統(tǒng)的運行。大多數(shù)的防火墻技術(shù)都是增加相應(yīng)的層來實現(xiàn),所以會增加相應(yīng)的響應(yīng)時間。

5 防火墻將來的發(fā)展趨勢

現(xiàn)在網(wǎng)絡(luò)防火墻技術(shù)在不斷地發(fā)展,現(xiàn)在的防火墻已經(jīng)不僅僅是以前傳統(tǒng)的防火墻的含義,己經(jīng)成為一個網(wǎng)絡(luò)安全技術(shù)集成的代名詞。從目前來看,防火墻正向以下方向發(fā)展:

5.1 對網(wǎng)絡(luò)上數(shù)據(jù)傳輸信息的安全,對IP的加密需求越來越強。安全協(xié)議的開發(fā)成了一個新的熱點。用防火墻在在Internet上建立VPN成了現(xiàn)在組建企業(yè)內(nèi)部網(wǎng)絡(luò)的一種發(fā)展趨勢。

5.2 防火墻的過濾深度和廣度不斷加強。從主要的網(wǎng)絡(luò)層的單層過濾,以及目前的源和目的地址、網(wǎng)絡(luò)服務(wù)類型、路由過濾,發(fā)展到內(nèi)容過濾、URL頁面審查、防病毒和對存在嚴重安全缺陷的ActiveX、惡意Java Applet等的過濾。

5.3 防火墻將從目前只對被保護的內(nèi)部網(wǎng)絡(luò)的管理方式向遠程上網(wǎng)集中管理方式發(fā)展;

5.4 現(xiàn)在的防火墻雖然能對外部網(wǎng)絡(luò)的攻擊進行有效的防護,但對來自內(nèi)部網(wǎng)絡(luò)的攻擊卻無能為力。因此增加對內(nèi)部網(wǎng)絡(luò)用戶的防護,加強對網(wǎng)絡(luò)攻擊的檢測和告警將成為防火墻今后的一項重要任務(wù)。

5.5 安全管理和審計將不斷完善,特別是可疑活動的審計文件分析工具等開發(fā)將成為防火墻產(chǎn)品中的一個重要部分。沒有百分之百的網(wǎng)絡(luò)安全解決方案,所以必須加強網(wǎng)絡(luò)安全管理和安全審計的強度。

5.6 防火墻將從目前被動防護狀態(tài)轉(zhuǎn)變成為一種智能的、能夠動態(tài)防護內(nèi)部網(wǎng)絡(luò)的、井集成日前各種信息安全技術(shù)的網(wǎng)絡(luò)安全產(chǎn)品,它將不再是傳統(tǒng)意義上的防火墻。

參考文獻

[1]高永強,郭世澤等.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典.北京:人民郵電出版社,2003年,23-37.

[2]徐榮生,吳海燕.網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù).計算機世界,2000(18):C7-C9.

[3]魏亮.網(wǎng)絡(luò)安全策略研究.電信網(wǎng)技術(shù).2004(12):18-22.

[4]楊建紅.計算機網(wǎng)絡(luò)安全與對策.長江鐵道學(xué)院學(xué)報(社會科學(xué)版),2005(1):236-237.

[5]張桂香.網(wǎng)絡(luò)信息安全與對策.內(nèi)蒙古科技與經(jīng)濟,2001(5):78-79.

[6]王國偉,賈宗璞.基于防火墻的網(wǎng)絡(luò)入侵檢測研究與設(shè)計.計算機與數(shù)字工程,2005(5):127-128.

[7]李濤.網(wǎng)絡(luò)安全概論.北京:電子工業(yè)出版社,2004:3-250.

[8]孫延衡.網(wǎng)絡(luò)信息安全隱患及其防御.情報雜志,2002(7): 58-59.