李增雷

摘要：隨著全球網(wǎng)絡(luò)化進(jìn)程的不斷加深，互聯(lián)網(wǎng)安全成為了網(wǎng)絡(luò)發(fā)展的瓶頸。針對于此，該文主要介紹傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備——防火墻，在目前網(wǎng)絡(luò)安全防護(hù)當(dāng)中的缺陷與不足，并針對網(wǎng)絡(luò)防護(hù)的發(fā)展局勢，介紹下一代防火墻這種新技術(shù)的體系結(jié)構(gòu)特征,突出它在功能和性能上的優(yōu)勢。

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；下一代防火墻；IPS；DPI

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2012)18-4348-02

近年來，隨著計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，計(jì)算機(jī)處理業(yè)務(wù)已由單機(jī)處理功能發(fā)展到面向內(nèi)部局域網(wǎng)、全球互聯(lián)網(wǎng)的全球范圍內(nèi)的信息共享和業(yè)務(wù)處理功能。網(wǎng)絡(luò)信息已經(jīng)成為社會發(fā)展的重要組成部分，同時(shí)滲透到各個(gè)行業(yè)當(dāng)中，涉及政府、軍事、金融、教育等諸多領(lǐng)域。其中存貯、傳輸和處理的信息有許多是重要的政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行業(yè)務(wù)、股票證券、能源數(shù)據(jù)、科研數(shù)據(jù)等重要信息。有很多是敏感信息，甚至是國家機(jī)密。由于因特網(wǎng)組成形式多樣性、終端分布廣和網(wǎng)絡(luò)的開放性、互聯(lián)性等特征，致使這些網(wǎng)絡(luò)信息容易受到來自全球各地的各種人為攻擊（例如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計(jì)算機(jī)病毒等）。要保護(hù)這些信息就需要有一套完善的網(wǎng)絡(luò)安全保護(hù)機(jī)制。在這種需求之下，防火墻在傳統(tǒng)路由器的基礎(chǔ)上，獨(dú)立發(fā)展起來成為一款專業(yè)的安全防護(hù)產(chǎn)品。

1防火墻

1.1什么是防火墻

防火墻（Firewall）簡單的講就是一個(gè)軟件和硬件組成的一款安全設(shè)備。它的目的就是將內(nèi)部網(wǎng)絡(luò)和Internet網(wǎng)絡(luò)進(jìn)行一個(gè)邏輯的隔離，以保障內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的私有性和安全性。它通過對數(shù)據(jù)包五元組以及狀態(tài)信息等信息檢測，從根本上控制了非法數(shù)據(jù)流的流入或者流出，通過對內(nèi)網(wǎng)和外網(wǎng)的監(jiān)管和限制，有效地保障內(nèi)外網(wǎng)的網(wǎng)絡(luò)安全，從根本上制止了不可預(yù)測的破壞和入侵行為。

1.2防火墻技術(shù)

防火墻技術(shù)當(dāng)中最主要的技術(shù)有兩種，一種是包過濾技術(shù)，一種是狀態(tài)監(jiān)測技術(shù)。本部分會主要分析一下包過濾技術(shù)和狀態(tài)技術(shù)的實(shí)現(xiàn)原理。

什么是包過濾技術(shù)呢？其實(shí)包過濾技術(shù)的實(shí)現(xiàn)原理合適比較簡單的。在IP網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)通訊，必須確定的是五元組（源IP地址、目的IP地址，源端口、目的端口以及協(xié)議），而包過濾技術(shù)也正是建立在五元組的基礎(chǔ)上，主要針對于TCP/IP協(xié)議棧的三層和四層。我們可以設(shè)定一系列的包過濾規(guī)則，當(dāng)一個(gè)數(shù)據(jù)包進(jìn)來的時(shí)候，包過濾機(jī)制首先回去檢查它的IP報(bào)頭中的五元組信息，一旦匹配了某個(gè)包過濾策略，那么就會執(zhí)行相應(yīng)的動(dòng)作（通過、丟棄或者記錄日志）。包過濾對用戶來說是透明的，而且它是目前為止一種簡單有效的安全控制手段。由于包過濾技術(shù)主要是針對TCP/IP協(xié)議的三、四層，因此針對一些更高層面的入侵或者攻擊行為就顯的有些力不從心了。

狀態(tài)檢測技術(shù)主要針對的是TCP協(xié)議，因?yàn)門CP在通信的過程中是需要三次握手建立連接的。當(dāng)防火墻收到一個(gè)初始化的SYN請求報(bào)文，防火墻會依照規(guī)則策略對此報(bào)文進(jìn)行檢查，如果沒有匹配規(guī)則，則發(fā)送一個(gè)RST置位的報(bào)文。當(dāng)該報(bào)文匹配了規(guī)則，本次回話的記錄就會存在于狀態(tài)檢測表里面，當(dāng)下次接收到一個(gè)數(shù)據(jù)包的時(shí)候，就回去查找是否有相應(yīng)的回話，而不是直接查找規(guī)則，因此使得防火墻的處理性能大大提高。

2防火墻的不足之處

在企業(yè)網(wǎng)的部署當(dāng)中，防火墻一般都會作為網(wǎng)絡(luò)的出口設(shè)備，抵御來自外部的攻擊。但是，隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，黑客的攻擊技術(shù)也達(dá)到了前所未有的高度。他們可以通過攻擊一些開放端口，或者偽裝攻擊報(bào)文等技術(shù)，輕而易舉的繞過傳統(tǒng)防火墻的檢測。據(jù)不完全統(tǒng)計(jì)，目前大多數(shù)的網(wǎng)絡(luò)攻擊事件都是針對應(yīng)用層的，如常見的DDoS僵尸網(wǎng)絡(luò)攻擊，這些攻擊報(bào)文和正常的訪問流量沒有什么區(qū)別。由此我們可以得出，傳統(tǒng)防火墻已經(jīng)沒法應(yīng)對當(dāng)下強(qiáng)度大、危害深的網(wǎng)絡(luò)攻擊。其不足主要表現(xiàn)在以下五個(gè)方面：

1）面向服務(wù)的架構(gòu)及Web2.0的廣泛應(yīng)用，大量應(yīng)用建立在HTTP等基礎(chǔ)協(xié)議之上，而基于端口及IP的處理機(jī)制傳統(tǒng)防火墻，無法有效識別和管理這些應(yīng)用，更無法檢查應(yīng)用中附帶的威脅代碼。

2）傳統(tǒng)防火墻，無法檢測出加密流量。比如防火墻無法迅速截獲SSL數(shù)據(jù)流并對其解密，無法阻止應(yīng)用程序的攻擊，有些防火墻，根本就不提供數(shù)據(jù)解密的功能。不僅如此，對于程序加密的數(shù)據(jù)流，防火墻也無法識別

3）越來越多的新型安全威脅如社交網(wǎng)絡(luò)蠕蟲、僵尸網(wǎng)絡(luò)等傳播渠道變得越來越隱蔽，安全威脅也越來越智能化，傳統(tǒng)防火墻無法有效發(fā)現(xiàn)和阻止這些威脅。

4）在網(wǎng)絡(luò)中，傳統(tǒng)防火墻主要是基于三層包過濾和四層狀態(tài)監(jiān)測等防護(hù)技術(shù)，無對應(yīng)用進(jìn)行有效地監(jiān)控和管理，如P2P軟件、視頻、炒股、游戲等軟件。因此，諸多應(yīng)用成了網(wǎng)絡(luò)安全當(dāng)中難以監(jiān)控的區(qū)域。

5）隨著網(wǎng)絡(luò)帶寬的迅速增長，主流網(wǎng)絡(luò)帶寬已經(jīng)從千兆時(shí)代進(jìn)入到萬兆甚至十萬兆時(shí)代，傳統(tǒng)防火墻無法提供足夠的性能和擴(kuò)展性來應(yīng)對這種變化。

3下一代防火墻

面對如此多的網(wǎng)絡(luò)安全的防護(hù)死角，防火墻必須改進(jìn)，才能更主動(dòng)的阻止新的威脅（如僵尸網(wǎng)絡(luò)和定位攻擊）。隨著攻擊變得越來越復(fù)雜，必須更新防火墻和入侵防御系統(tǒng)（IPS）來保護(hù)業(yè)務(wù)系統(tǒng)。

3.1什么是下一代防火墻

下一代防火墻（NGDW）應(yīng)運(yùn)而生，它是執(zhí)行傳輸流深度檢測和阻止攻擊的線速集成平臺。那么到底什么是下一代防火墻呢？也許目前很難給出下一代防火墻一個(gè)完整的定義，但是我們可以通過對傳統(tǒng)防火墻的缺陷與不足的理解，和我們對下一代防火墻在一些功能點(diǎn)上的突破的綜合考慮，可以簡單的理解下一代防火墻就是一個(gè)集傳統(tǒng)防火墻、入侵防護(hù)系統(tǒng)和深度包檢測技術(shù)為一體的高性能網(wǎng)絡(luò)安全設(shè)備，它主要具備以下功能：

1）線速的處理能力：下一代防火墻應(yīng)不影響網(wǎng)絡(luò)正常運(yùn)行的情況下進(jìn)行嵌入式配置。換言之，下一代防火墻需要具備線速的網(wǎng)絡(luò)處理性能，從而可以實(shí)現(xiàn)無縫的部署于現(xiàn)有的用戶網(wǎng)絡(luò)中。

2）傳統(tǒng)防火墻的功能：要替代傳統(tǒng)的防火墻產(chǎn)品，下一代防火墻就應(yīng)當(dāng)具備傳統(tǒng)狀態(tài)監(jiān)測防火墻所應(yīng)當(dāng)具備的全部功能，其中包括包過濾，NAT，狀態(tài)監(jiān)測，VPN等功能。

3）高度融合的IPS能力：所謂高度融合IPS能力，并不是簡單的將IPS功能模塊加入到下一代防火墻產(chǎn)品中去，而是要通過一體化引擎，一體化安全策略框架等技術(shù)實(shí)現(xiàn)IPS策略與傳統(tǒng)安全策略的融合，從而最大化的保證系統(tǒng)運(yùn)行效率。

4）應(yīng)用可視和身份鑒別能力：下一代防火墻要具備極強(qiáng)的應(yīng)用可視能力，用戶身份鑒別能力，以及將應(yīng)用識別及身份鑒別與安全策略整合的能力，這樣才真正做到辨別“誰在什么地方訪問了什么應(yīng)用。

3.2入侵防御系統(tǒng)

入侵防御系統(tǒng)（IPS，Intrusion Prevention System）是在防火墻和入侵檢測系統(tǒng)（IDS，Intrusion Detection Systems）的基礎(chǔ)上發(fā)展起來的。入侵防御系統(tǒng)區(qū)別與入侵檢測系統(tǒng)最大之處就是，如果一旦有數(shù)據(jù)流匹配了入侵防御系統(tǒng)的規(guī)則，就認(rèn)定該數(shù)據(jù)流有入侵企圖，它會立即產(chǎn)生告警信息，同時(shí)執(zhí)行動(dòng)態(tài)的阻斷以及防護(hù)等策略，它不會讓攻擊報(bào)文流進(jìn)企業(yè)內(nèi)網(wǎng)，而不僅僅是產(chǎn)生告警信息。在以前，入侵檢測系統(tǒng)導(dǎo)致的結(jié)果往往是網(wǎng)絡(luò)管理員明知道自己的網(wǎng)絡(luò)遭受到入侵或者攻擊，卻無能力。雖然，IPS的出現(xiàn)，為網(wǎng)絡(luò)的安全防護(hù)帶來希望，但是其發(fā)展仍存在缺陷，主要有三點(diǎn)：

1）誤報(bào)率偏大。IPS繼承了IDS采用規(guī)則匹配的技術(shù)，來對威脅進(jìn)行識別。但是傳統(tǒng)的IDS也存在著一些缺陷，比如經(jīng)常會產(chǎn)生一些誤報(bào)，但是隨著從IDS到IPS的發(fā)展當(dāng)中，這個(gè)致命的問題依舊沒有被完全解決。而且誤報(bào)對于IPS來說更加的可怕，它會把正常用戶的訪問流量拒絕掉，從而成為IPS最大的缺陷。

2）應(yīng)用效果不明顯。IPS之所以能都識別威脅，有效地防范攻擊，主要是依據(jù)特征庫，它需要及時(shí)的搜集攻擊特征，并為IPS升級特征庫。但由于特征收集的難度大，從而導(dǎo)致了特征庫版本低，對于新型攻擊往往沒有效果。再者，目前頻發(fā)的DDoS攻擊事件中，黑客攻擊時(shí)所發(fā)送的數(shù)據(jù)報(bào)文和正常報(bào)文沒有差別，IPS沒法準(zhǔn)備識別這種攻擊意圖，從而成為其發(fā)展的另一大瓶頸。

3）性能消耗嚴(yán)重。IPS一般都是串聯(lián)在網(wǎng)絡(luò)當(dāng)中，基本上所有的數(shù)據(jù)報(bào)文都要穿越IPS，如果防護(hù)的應(yīng)用變多，IPS設(shè)備的CPU和內(nèi)存的使用率會急速上升。可也導(dǎo)致了IPS空有一身本領(lǐng)卻受限于自身性能，成為IPS發(fā)展的又一大缺陷。

3.3深度包檢測

傳統(tǒng)防火墻對于數(shù)據(jù)包的檢測主要是通過五元組和狀態(tài)檢測，隨著網(wǎng)絡(luò)的不斷發(fā)展，該檢測已無法滿足人們對于能夠識別的要求。深度包檢測（DPI，Deep Packet Inspection）技術(shù)很好的解決了這個(gè)問題，深度包檢測可以針對網(wǎng)絡(luò)數(shù)據(jù)流提供精準(zhǔn)識別，從而完成對應(yīng)用的控制，因此保障網(wǎng)絡(luò)資源的安全性和可用性。

深度包檢測技術(shù)對數(shù)據(jù)包頭或有效載荷所封裝的內(nèi)容進(jìn)行分析，從而引導(dǎo)、過濾和記錄基于IP的應(yīng)用程序和Web服務(wù)通信流量，其工作并不受協(xié)議種類和應(yīng)用程序類型的限制。深度包檢測技術(shù)能夠深入分析IP、TCP和UDP通信流量的內(nèi)容，當(dāng)數(shù)據(jù)流經(jīng)過管理設(shè)備時(shí)，將其重新組合，從而得到整個(gè)應(yīng)用程序的內(nèi)容，然后按照定義的策略進(jìn)行阻斷或者放行的操作。

深度包檢測引擎以基于指紋匹配、啟發(fā)式技術(shù)、異常檢測和統(tǒng)計(jì)學(xué)分析等技術(shù)的規(guī)則集，決定如何處理數(shù)據(jù)包。例如，檢測引擎將數(shù)據(jù)包載荷中的數(shù)據(jù)與預(yù)先定義的攻擊指紋進(jìn)行對比，以判定數(shù)據(jù)傳輸中是否含有惡意攻擊行為，同時(shí)引擎利用已有的統(tǒng)計(jì)學(xué)數(shù)據(jù)執(zhí)行模式匹配，輔助這種判斷的執(zhí)行。利用深度包檢測技術(shù)可以更有效的辨識和防護(hù)緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊、各種欺騙性技術(shù)以及木馬、蠕蟲病毒等。

4下一代防火墻的發(fā)展趨勢

隨著云計(jì)算技術(shù)的發(fā)展以及它與虛擬化技術(shù)已經(jīng)由理論研究逐步走向?qū)嵺`，云計(jì)算和虛擬化技術(shù)會得到更廣泛的應(yīng)用，網(wǎng)絡(luò)也將面臨前所未有的復(fù)雜性挑戰(zhàn)。對于下一代防火墻將會面臨更多新的安全需求，主要體現(xiàn)在：

1）安全技術(shù)如何與虛擬化技術(shù)融合。

數(shù)據(jù)中心逐漸向虛擬化的發(fā)展，必然要求下一代防火墻需要具備虛擬化防護(hù)的能力，比如如何讓防火墻能夠與服務(wù)器虛擬層溝通，進(jìn)而能夠針對每一臺虛擬機(jī)器的流量做掃描與阻擋等。

2)新型攻擊的出現(xiàn)給防御帶來了挑戰(zhàn)。

面對不斷出現(xiàn)的新的攻擊方式及漏洞情況，下一代防火墻需要持續(xù)且快速得更新其攻擊特征庫及不斷改進(jìn)對攻擊的防范能力。

3)基于云安全模式的Web信譽(yù)評級將會成為新的需求熱點(diǎn)。隨著云計(jì)算應(yīng)用的發(fā)展普及，下一代防火墻需要對互聯(lián)網(wǎng)資源（域名、IP地址、URL等）進(jìn)行威脅分析和信譽(yù)評級，將含有惡意代碼的網(wǎng)站列入Web信譽(yù)庫，以阻止對掛馬網(wǎng)站的訪問請求，實(shí)現(xiàn)對終端用戶的安全訪問保護(hù)。

4）大量數(shù)據(jù)中心的新建及擴(kuò)容將會帶來巨大的成本壓力。在數(shù)據(jù)中心當(dāng)中，用下一代防火墻替換傳統(tǒng)防火墻，勢必帶來了巨大的成本。因此，下一代防火墻需要更加彈性的軟硬件架構(gòu)來降低用戶的采購及升級換代成本。

5結(jié)束語

當(dāng)下，面對傳統(tǒng)防火墻的不足，IT行業(yè)在尋求新的解決之道，來應(yīng)對日漸復(fù)雜、攻擊變化多端、病毒木馬橫行的互聯(lián)網(wǎng)環(huán)境。下一代防火墻的出現(xiàn)是大勢所趨，它可以解決傳統(tǒng)防火墻所不能解決的問題。但與此同時(shí)，也會面對一些瓶頸。比如，下一代防火墻是單臺設(shè)備的一站式部署，將會替代傳統(tǒng)防火墻、流量控制設(shè)備、IPS等分布式部署的方式，這樣將會面對“效率和性能”的問題。很多防火墻廠商在設(shè)計(jì)防火墻的時(shí)候，既要滿足用戶對安全功能的需求，也要滿足高性能的要求，一時(shí)無法找到這種平衡關(guān)系，從而出現(xiàn)了“性能與效率”之爭。因此，從傳統(tǒng)防火墻到下一代防火墻的轉(zhuǎn)換，還要有很多的路要走?？偸?，我深信下一代防火墻的推出順應(yīng)了大勢所趨，必然會在未來大顯身手，為用戶提供更好的網(wǎng)絡(luò)安全體驗(yàn)。

參考文獻(xiàn)：

[1]袁占亭,馮濤,楊鵬.分布式入侵檢測系統(tǒng)和防火墻技術(shù)結(jié)合的研究與實(shí)現(xiàn)[J].蘭州理工大學(xué)學(xué)報(bào),2005(1).

[2]呂娟.防火墻技術(shù)的研究[J].電腦知識與技術(shù),2009(24).

[3]劉喆,王蔚然.分布式防火墻的網(wǎng)絡(luò)安全系統(tǒng)研究[J].電子科技大學(xué)學(xué)報(bào),2005(3).