防火墙技术综述
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤以Internet网络为最甚。Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙产品市场量还不到1万套,到1996年底,就猛增到10万套,据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,到2000年将达150万套,市场营业额将从1995年的1.6亿美元上升到2000年的9.8亿美元。
防火墙技术综述
因特网防火墙是这样的(一组)系统,它能增强机构内部网络的安全性,因特网防火墙用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的哪些可以访问的服务,以及哪些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往因特网的信息都必须经过防火墙,接受防火墙的检查。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。防火墙系统一旦被攻击者突破或迂回,就不能提供任何保护了。
从总体上看,防火墙应具有以下五大基本功能:
①过滤进出网络的数据包;
②管理进出网络的访问行为;
③封堵某些禁止的访问行为;
④记录通过防火墙的信息内容和活动;
⑤对网络攻击进行检测和告警。
防火墙是一种综合性的技术,涉及到计算机网络技术。密码技术、安全技术、软件技术、安全协议、网络标准化组织(ISO)的安全规范以及安全操作系统等多方面。作为一种解决网络之间访问控制的有效方法,国际上在这方面的研究很多。
在国外,近几年防火墙发展迅速,产品众多,而且更新换代快,并不断有新的信息安全技术和软件技术等被应用在防火墙的开发上。国外技术虽然相对领先(比如包过滤、代理服务器、VPN、状态监测、加密技术、身份认证等),但总的来讲,此方面的技术并不十分成熟完善,标准也不健全,实用效果并不十分理想。从1991年6月ANS公司的第一个防火墙产品ANS Interlock Service防火墙上市以来,到目前为止,世界上至少有几十家公司和研究所在从事防火墙技术的研究和产品开发。几乎所有的网络厂商也都开始了防火墙产品的开发或者OEM别的防火墙厂商的防火墙产品,如Sun Microsystems公司的Sunscreen,Check Point公司的Firewall-1,Milkway公司的Black Hole等。
国内也已经开始了这方面的研究,北京邮电大学信息安全中心研制成功了国内首套PC机防火墙系统。此外,还有北京天融信公司的网络防火墙系统——talentit防火墙、深圳桑达公司的具有包过滤防火墙功能的SED-O8路由器、北京大学青鸟的内部网保密网关防火墙、电子部3O所的SS-R型安全路由器、东北大学软件中心的具有信息过滤功能的NetEye防火墙、信息产业部数据所的SJW04防火墙及Proxy98等也都先后开发成功。
防火墙最基本的构件既不是软件又不是硬件,而是构造防火墙的人的思想。最初的防火墙只是一种概念而不是一种产品,是构造者脑海中的一种想法,即谁和什么能被允许访问本网络。“谁”和“什么”极大地影响了如何对网络数据设计路由。从这个一以上讲,构造一个好的防火墙需要直觉、创造和逻辑的共同作用,一个好的防火墙系统应具有以下五方面的特性:
·所有在内部网络和外部网络之间传输的数据都必须通过防火墙;
·只有被授权的合法数据,即防火墙系统中安全策略允许的 数据,可以 通过防火墙;
·防火墙本身不受各种攻击的影响;
·使用目前新的信息安全技术,比如现代密码技术、一次口令系统、智能卡等;
·人机界面良好,用户配置使用方便,易管理。系统管理员可以方便地对防火墙进行设置,对Internet的访问者、被访问者、访问协议以及访问方式进行控制。
防火墙作为内部网与外部网之间的一种访问控制设备,常常安装在内部网和外部网交界的点上,因特网防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合,它更是安全策略的一部分。安全策略建立了全方位的防御体系来保护机构的信息资源;安全策略应告诉用户应有的责任,公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等。所有能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
防火墙技术的发展
为实现以上功能,在防火墙产品的开发中,人们广泛应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、访问控制技术、安全审计技术等成熟或先进的手段,纵观防火墙产品近年内的发展,可将其分为四个阶段:
第一阶段:基于路由器的防火墙
由于多数路由器中本身就包含有分组过滤的功能,故网络访问控制功能可通过路由控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。
第一代防火墙产品的特点是:
●利用路由器本身对分组的解析,以访问控制表(access list)方式实现对分组的过滤;
●过滤判决的依据可以是:地址、端口号、IP旗标及其它网络特征;
●只有分组过滤的功能,且防火墙与路由器是一体的,对安全要求低的网络采用路由器附带防火墙功能的方法,对安全性要求高的网络则可单独利用一台路由器作防火墙。
第一代防火墙产品的不足之处十分明显:
●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如:在使用FTP协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20端口仍可由外部探寻。
●路由器上的分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性,作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。
●路由器防火墙的最大隐患是:攻击者可以"假冒"地址,由于信息在网络上是以明文传送的,黑客可以在网络上伪造假的路由信息欺骗防火墙。
●路由器防火墙的本质性缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
可以说:基于路由器的防火墙只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。
第二阶段:用户化的防火墙工具套
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户化防火墙工具套的出现。
作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:
●将过滤功能从路由器中独立出来,并加上审计和告警功能;
●针对用户需求,提供模块化的软件包;
●软件可通过网络发送,用户可自己动手构造防火墙;
●与第一代防火墙相比,安全性提高了,价格降低了。
由于是纯软件产品,第二代防火墙产品无论在实现还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:
●配置和维护过程复杂、费时;
●对用户的技术要求高;
●全软件实现、安全性和处理速度均有局限;
●实践表明,使用中出现差错的情况很多。
第三阶段:建立在通用操作系统上的防火墙
基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品,近年来在市场上广泛可用的就是这一代产品,它具有以下特点:
●是批量上市的专用防火墙产品;
●包括分组过滤或者借用路由器的分组过滤功能;
●装有专用的代理系统,监控所有协议的数据和指令;
●保护用户编程空间和用户可配置内核参数的设置;
●安全性和速度大为提高。
第三代防火墙有以纯软件实现的,也有以硬件方式实现的,已得到广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:
●作为基础的操作系统及其内核往往不为防火墙管理者所知,由于原码的保密,其安全性无从保证。
●由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;
●从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击。
●用户必须依赖两方面的安全支持:一是防火墙厂商、一是操作系统厂商。
第四阶段:具有安全操作系统的防火墙
防火墙技术和产品随着网络攻击和安全防护手段的发展而演进,到1997年初,具有安全操作系统的防火墙产品面市,使防火墙产品步入了第四个发展阶段。
具有安全操作系统的防火墙本身就是一个操作系统,因而在安全性上较之第三代防火墙有质的提高。获得安全操作系统的办法有两种:一种是通过许可证方式获得操作系统的源码;另一种是通过固化操作系统内核来提高可靠性,由此建立的防火墙系统具有以下特点:
●防火墙厂商具有操作系统的源代码,并可实现安全内核;
●对安全内核实现加固处理:即去掉不必要的系统特性,加上内核特性,强化安全保护;
●对每个服务器、子系统都作了安全处理,一旦黑客攻破了一个服务器,它将会被隔离在此服务器内,不会对网络的其它部份构成威胁;
●在功能上包括了分组过滤、应用网关、电路级网关,且具有加密与鉴别功能;
●透明性好,易于使用。
第四代防火墙的主要技术与功能
第四代防火墙产品将网关与安全系统合二为一,具有以下技术与功能。
●双端口或三端口的结构
新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不作IP转化而串接于内部网与外部网之间,另一个网卡可专用于对服务器的安全保护。
●透明的访问方式
以前的防火墙在访问方式上要么要求用户作系统登录,要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。
●灵活的代理系统
代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。第四代防火墙采用了两种代理机制,一种用于代理从内部网络到外部网络的连接,另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转换(NAT)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。
●多级的过滤技术
为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒的IP源地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。
●网络地址转换技术
第四代防火墙利用NAT技术能透明地对所有内部地址作转换,使外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的IP地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
●Internet网关技术
由于是直接串连在网络之中,第四代防火墙必须支持用户在Internet互连的所有服务,同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”作物理上的隔离。
在域名服务方面,第四代防火墙采用两种独立的域名服务器,一种是内部DNS服务器,主要处理内部网络的DNS信息,另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部份DNS信息。
在匿名FTP方面,服务器只提供对有限的受保护的部份目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行,在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件作处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境,Ident服务器对用户连接的识别作专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。
●用户鉴别与加密
为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少,第四代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段,并实现了对邮件的加密。
●用户定制服务
为满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP,出站UDP、FTP、SMTP等类,如果某一用户需要建立一个数据库的代理,便可利用这些支持,方便设置。
●审计和告警
第四代防火墙产品的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个TCP或UDP探寻,并能以发出邮件、声响等多种方式报警。
此外第四代防火墙还在网络诊断,数据备份与保全等方面具有特色。
发布人:netbull 来自:LinuxAid