基于網(wǎng)絡(luò)安全的防火墻技術(shù)

張滄洪

0 防火墻的基本概念

防火墻(Firewall)最開(kāi)始用于建筑行業(yè),它是指在構(gòu)建房間時(shí),為了防止火勢(shì)從一個(gè)房間蔓延到另一個(gè)房間所設(shè)計(jì)的一堵墻。伴隨著網(wǎng)絡(luò)的發(fā)展,這一名稱(chēng)被借用過(guò)來(lái)并應(yīng)用到計(jì)算機(jī)網(wǎng)絡(luò)(主要指Internet)安全中,這樣防火墻有了自己新的定義,指在兩個(gè)網(wǎng)絡(luò)之間強(qiáng)制實(shí)施訪問(wèn)控制策略的一個(gè)系統(tǒng)或一組系統(tǒng)。當(dāng)然這個(gè)系統(tǒng)可以由硬件組成,可以由軟件組成,也可以是由它們共同來(lái)完成。它主要有以下特性:所有的從內(nèi)部到外部或從外部到內(nèi)部的通信都必須經(jīng)過(guò)它;只有內(nèi)部訪問(wèn)策略授權(quán)的通信才允許通過(guò);系統(tǒng)本身具有高可靠性。能防止內(nèi)部信息的泄露。通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部重點(diǎn)網(wǎng)段的隔離。

1 防火墻的體系結(jié)構(gòu)

防火墻的體系結(jié)構(gòu)主要有三種:雙重宿主主機(jī)體系結(jié)構(gòu)、屏蔽主機(jī)體系結(jié)構(gòu)和屏蔽子網(wǎng)體系結(jié)構(gòu)。

1.1 雙重宿主主機(jī)體系結(jié)構(gòu)

圍繞具有雙重功能的主機(jī)設(shè)計(jì)的,它能提供高級(jí)別的控制能力。它通過(guò)在主機(jī)中插入兩塊網(wǎng)卡實(shí)現(xiàn)硬件連接,這就好比是在兩個(gè)網(wǎng)絡(luò)中間加上兩個(gè)路由器,但是這兩個(gè)路由器的數(shù)據(jù)交換是單向通信的。

1.2 屏蔽主機(jī)體系結(jié)構(gòu)

屏蔽主機(jī)體系結(jié)構(gòu)是使用一個(gè)單獨(dú)的路由器來(lái)提供內(nèi)部網(wǎng)絡(luò)主機(jī)之間的服務(wù),利用包過(guò)濾和代理功能實(shí)現(xiàn)。在進(jìn)行通信時(shí),內(nèi)部網(wǎng)絡(luò)不直接參與同外部網(wǎng)絡(luò)的通信,而是先和另外一個(gè)網(wǎng)絡(luò)或者設(shè)備通信,這個(gè)設(shè)備再和外部網(wǎng)絡(luò)通信。

1.3 屏蔽子網(wǎng)體系結(jié)構(gòu)

屏蔽子網(wǎng)體系結(jié)構(gòu)在屏蔽主機(jī)體系結(jié)構(gòu)的基礎(chǔ)上添加額外的安全層,通過(guò)添加周邊網(wǎng)絡(luò)把內(nèi)部網(wǎng)絡(luò)更進(jìn)一步地與外部網(wǎng)絡(luò)隔開(kāi)。比較簡(jiǎn)單的形式是設(shè)置兩個(gè)屏蔽路由器,一個(gè)位于周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)之間,另一個(gè)位于周邊網(wǎng)絡(luò)和外部網(wǎng)之間。在這兩個(gè)連接層上設(shè)置不同的安全定義,使得侵襲者必須要攻破兩個(gè)路由器構(gòu)建的防火墻,因此提高了網(wǎng)絡(luò)的安全性。

2 防火墻的類(lèi)型

防火墻的實(shí)現(xiàn)方式多種多樣,根據(jù)防火墻所采用的技術(shù),防火墻主要分為數(shù)據(jù)包過(guò)濾、應(yīng)用代理、復(fù)合型三種。

2.1 包過(guò)濾型防火墻

這種類(lèi)型的防火墻主要針對(duì)的是前面提到的雙宿主主機(jī)體系結(jié)構(gòu)。包過(guò)濾型防火墻處于 TCP/IP 協(xié)議的 IP 層,它根據(jù)定義好的過(guò)濾規(guī)則審查每個(gè)數(shù)據(jù)包并確定數(shù)據(jù)包是否與過(guò)濾規(guī)則匹配,從而決定數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄。過(guò)濾規(guī)則是按順序進(jìn)行檢查的,直到有規(guī)則匹配為止。如果沒(méi)有規(guī)則匹配,則按缺省的規(guī)則執(zhí)行。防火墻的缺省規(guī)則應(yīng)該是禁止。包過(guò)濾型防火墻只能實(shí)現(xiàn)基于 IP地址和端口號(hào)的過(guò)濾功能,它實(shí)際上是控制內(nèi)部網(wǎng)絡(luò)上的主機(jī)直接訪問(wèn)外部網(wǎng)絡(luò),而外部網(wǎng)絡(luò)上的主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)則要受到限制。

2.2 應(yīng)用代理型防火墻

應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn),起著監(jiān)視和隔絕應(yīng)用層通信流的作用。代理服務(wù)是運(yùn)行在防火墻主機(jī)上的專(zhuān)門(mén)的應(yīng)用程序或服務(wù)器程序,這些程序根據(jù)安全策略接受用戶(hù)對(duì)網(wǎng)絡(luò)服務(wù)的請(qǐng)求并將它們轉(zhuǎn)發(fā)到實(shí)際的服務(wù)。代理服務(wù)不允許通信直接經(jīng)過(guò)外部網(wǎng)和內(nèi)部網(wǎng)。代理服務(wù)器不僅僅能夠轉(zhuǎn)送用戶(hù)的請(qǐng)求到真正的網(wǎng)絡(luò)主機(jī),代理服務(wù)器還能夠控制用戶(hù)能做什么,根據(jù)安全策略,請(qǐng)求可以被允許或拒絕。

2.3 混合型防火墻

混合型防火墻是把過(guò)濾和代理服務(wù)等功能結(jié)合起來(lái)形成新的防火墻,所用主機(jī)稱(chēng)為堡壘主機(jī),負(fù)責(zé)代理服務(wù)。當(dāng)前的防火墻產(chǎn)品已不是單一的包過(guò)濾或代理服務(wù)器型防火墻,而是將各種安全技術(shù)結(jié)合起來(lái),形成一個(gè)混合的多級(jí)防火墻,以提高防火墻的靈活性和安全性。這樣系統(tǒng)的安全性能又能得到進(jìn)一步的提升。

3 防火墻的關(guān)鍵技術(shù)

防火墻的幾種關(guān)鍵技術(shù):包過(guò)濾技術(shù)、代理技術(shù)、地址翻譯(NAT)技術(shù)、SOCKS技術(shù)、狀態(tài)檢查技術(shù)(State Specification)、VPN技術(shù)、內(nèi)容檢查技術(shù)。

3.1 包過(guò)濾技術(shù)

包過(guò)濾技術(shù)是防火墻中的一項(xiàng)主要安全技術(shù),通過(guò)對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行控制與操作。系統(tǒng)管理員可以制定一系列規(guī)則,允許指定哪些類(lèi)型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng)絡(luò),哪些類(lèi)型的數(shù)據(jù)包傳輸應(yīng)該被攔截。現(xiàn)在的一些包過(guò)濾防火墻不僅根據(jù)IP數(shù)據(jù)包的地址、方向、協(xié)議、服務(wù)、端口、訪問(wèn)時(shí)間等信息來(lái)進(jìn)行訪問(wèn)控制,同時(shí)還對(duì)任何網(wǎng)絡(luò)連接和當(dāng)前的會(huì)話狀態(tài)進(jìn)行分析和監(jiān)控。

與傳統(tǒng)防火墻對(duì)比,現(xiàn)在的一些包過(guò)濾防火墻采用了基于連接狀態(tài)檢查的包過(guò)濾,將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待,通過(guò)規(guī)則表與連接狀態(tài)表的共同配合,同時(shí)還考慮與它與前面包的關(guān)聯(lián)性,極大地提高了系統(tǒng)的性能和安全性。

對(duì)基于UDP、ICMP協(xié)議的應(yīng)用來(lái)說(shuō),很難用簡(jiǎn)單的包過(guò)濾技術(shù)進(jìn)行處理的。因?yàn)閁DP協(xié)議本身對(duì)于順序錯(cuò)誤或丟失的包,是不做糾錯(cuò)或重傳的。而ICMP與IP位于同一層,它被用來(lái)傳送IP的差錯(cuò)和控制信息。現(xiàn)在的一些包過(guò)濾防火墻在對(duì)基于UDP協(xié)議的連接處理時(shí),會(huì)為UDP建立虛擬的連接,同樣能夠?qū)B接過(guò)程狀態(tài)進(jìn)行監(jiān)控,通過(guò)規(guī)則與連接狀態(tài)的共同配合,達(dá)到包過(guò)濾的高效與安全。

現(xiàn)在包過(guò)濾技術(shù)逐漸由“傻瓜型”向“智能型”發(fā)展,從一種被動(dòng)的規(guī)則檢查方式變?yōu)槎嗉?jí)并行或串行或串并行混合的復(fù)雜檢查方式。采用包過(guò)濾技術(shù)的優(yōu)缺點(diǎn):一般采用包過(guò)濾技術(shù)所用的時(shí)間很少或幾乎不需要什么。另外,應(yīng)用包過(guò)濾技術(shù)對(duì)終端用戶(hù)和應(yīng)用程序是看不見(jiàn)的,不需要專(zhuān)門(mén)的用戶(hù)培訓(xùn)或在每臺(tái)主機(jī)上設(shè)置特別的軟件。然而包過(guò)濾器規(guī)則可能是一項(xiàng)復(fù)雜的工作,因?yàn)榫W(wǎng)管員需要詳細(xì)地了解Internet各種服務(wù)、包頭格式和希望在每個(gè)域查找的特定的值。如果必須支持復(fù)雜的過(guò)濾要求的,則過(guò)濾規(guī)則集會(huì)變得很長(zhǎng)和很復(fù)雜,從而很難管理。同時(shí),吞吐量會(huì)隨過(guò)濾器數(shù)量的增加而減少。如果包過(guò)濾程序?qū)γ總€(gè)包都執(zhí)行所有過(guò)濾規(guī)則的話,這可能消耗CPU的資源,并影響一個(gè)完全飽和的系統(tǒng)性能。

3.2 代理技術(shù)

代理技術(shù)指的是應(yīng)用代理或代理服務(wù)器技術(shù),具體為一個(gè)代理內(nèi)部網(wǎng)絡(luò)用戶(hù)與外部網(wǎng)絡(luò)服務(wù)器進(jìn)行信息交換的程序。它將內(nèi)部用戶(hù)的請(qǐng)求確認(rèn)后送達(dá)外部服務(wù)器,同時(shí)將外部服務(wù)器的響應(yīng)狀態(tài)再返回給用戶(hù)。

代理服務(wù):現(xiàn)在的一些包過(guò)濾防火墻中對(duì)FTP,TELNET,HTTP,SMTP,POP3和DNS等應(yīng)用實(shí)現(xiàn)了代理服務(wù)。這些代理服務(wù)對(duì)用戶(hù)是透明的(Transparent),即用戶(hù)意識(shí)不到防火墻的存在,便可完成內(nèi)外網(wǎng)絡(luò)的通訊。

代理服務(wù)器可以屏蔽內(nèi)部網(wǎng)的細(xì)節(jié),使非法分子無(wú)法探知內(nèi)部結(jié)構(gòu)。能夠屏蔽某些特殊的命令,禁止用戶(hù)使用容易造成攻擊的不安全的命令,從根本上抵御攻擊。同時(shí),還能夠過(guò)濾不安全腳本,如ActiveX,Java Applet,JavaScript以及進(jìn)行郵件過(guò)濾。

連接流量:現(xiàn)在的一些包過(guò)濾防火墻的代理服務(wù)器提供了對(duì)連接流量的控制功能,系統(tǒng)管理員可以根據(jù)內(nèi)部網(wǎng)絡(luò)的需要增大或減少某一代理(FTP,HTTP,TELNET,SMTP,POP3,DNS等)的流量,更有效地利用資源,減輕防火墻的負(fù)荷。而且,現(xiàn)在的一些包過(guò)濾防火墻采用了多線程多連接技術(shù),使系統(tǒng)可以對(duì)出入防火墻的所有應(yīng)用層連接進(jìn)行統(tǒng)一的管理,處理速度快,處理進(jìn)程多,保證了系統(tǒng)的高效性。

3.3 地址翻譯(NAT)技術(shù)

網(wǎng)絡(luò)地址翻譯可以對(duì)外隱藏內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu),外部攻擊者無(wú)法確定內(nèi)部計(jì)算機(jī)的連接狀態(tài)。并且不同的時(shí)候,內(nèi)部計(jì)算機(jī)向外連接使用的地址都是不同的,給外部攻擊造成了困難。同樣NAT能通過(guò)定義各種映像規(guī)則,屏蔽外部的鏈接請(qǐng)求,將鏈接請(qǐng)求映射到不同的計(jì)算機(jī)中。網(wǎng)絡(luò)地址翻譯都和IP數(shù)據(jù)包過(guò)濾一起使用,構(gòu)成了一種更復(fù)雜的包過(guò)濾型的防火墻。僅僅具備包過(guò)濾能力的路由器,其防火墻能力還是比較弱,抵抗外部入侵的能力也較差,而和網(wǎng)絡(luò)地址翻譯技術(shù)相結(jié)合,就能起到更好的安全保證。

3.4 其它防火墻技術(shù)

除了以上的三個(gè)技術(shù)還有加密技術(shù)、安全審計(jì)、安全內(nèi)核、身份認(rèn)證、負(fù)載平衡等等。

4 防火墻的優(yōu)缺點(diǎn)

4.1 防火墻的優(yōu)點(diǎn):

強(qiáng)化安全策略,保護(hù)易受攻擊的服務(wù)。防火墻執(zhí)行網(wǎng)絡(luò)的安全策略,能過(guò)濾那些不安全的服務(wù),拒絕可疑的訪問(wèn)大大降低非法攻擊的風(fēng)險(xiǎn),提高網(wǎng)絡(luò)安全系數(shù)。

監(jiān)視 Internet 的使用。防火墻也是審查和記錄內(nèi)部對(duì) Internet 使用的一個(gè)最佳地方,可以在此對(duì)內(nèi)部訪問(wèn) Internet 的進(jìn)行記錄。

控制對(duì)特殊站點(diǎn)的訪問(wèn)。在內(nèi)部網(wǎng)絡(luò)中,只有郵件服務(wù)器、WWW 服務(wù)器和 FTP 服務(wù)器能被外部網(wǎng)絡(luò)進(jìn)行訪問(wèn)而其它主機(jī)則要被保護(hù)起來(lái),防止不必要的訪問(wèn)。

實(shí)現(xiàn)網(wǎng)段控制,防火墻能夠用來(lái)隔離網(wǎng)絡(luò)中的網(wǎng)段,以避免一個(gè)網(wǎng)段中的問(wèn)題在整個(gè)網(wǎng)絡(luò)中傳播。

4.2 防火墻的缺點(diǎn)

防火墻不能防范內(nèi)部攻擊。防火墻可以很好地防止外部用戶(hù)獲得敏感數(shù)據(jù)。但是它沒(méi)法防止內(nèi)部用戶(hù)偷竊數(shù)據(jù)、拷貝數(shù)據(jù)、破壞硬件和軟件等。

訪問(wèn)限制,很可能屏蔽掉一些需要的服務(wù)。

防火墻不能防范所有的威脅。不能防范已感染病毒的文件,不能有效地防范網(wǎng)絡(luò)中和計(jì)算機(jī)中的所有病毒。沒(méi)有一個(gè)防火墻能夠自動(dòng)有效地防御所有的威脅。防火墻不是解決所有網(wǎng)絡(luò)安全問(wèn)題的“萬(wàn)靈丹”,而只是網(wǎng)絡(luò)安全政策和策略中的一個(gè)組成部分。它的應(yīng)用只是為網(wǎng)絡(luò)通信提供了更可靠的安全保障。

防火墻降低了整個(gè)網(wǎng)絡(luò)的流量,減慢了整個(gè)系統(tǒng)的運(yùn)行。大多數(shù)的防火墻技術(shù)都是增加相應(yīng)的層來(lái)實(shí)現(xiàn),所以會(huì)增加相應(yīng)的響應(yīng)時(shí)間。

5 防火墻將來(lái)的發(fā)展趨勢(shì)

現(xiàn)在網(wǎng)絡(luò)防火墻技術(shù)在不斷地發(fā)展,現(xiàn)在的防火墻已經(jīng)不僅僅是以前傳統(tǒng)的防火墻的含義,己經(jīng)成為一個(gè)網(wǎng)絡(luò)安全技術(shù)集成的代名詞。從目前來(lái)看,防火墻正向以下方向發(fā)展:

5.1 對(duì)網(wǎng)絡(luò)上數(shù)據(jù)傳輸信息的安全,對(duì)IP的加密需求越來(lái)越強(qiáng)。安全協(xié)議的開(kāi)發(fā)成了一個(gè)新的熱點(diǎn)。用防火墻在在Internet上建立VPN成了現(xiàn)在組建企業(yè)內(nèi)部網(wǎng)絡(luò)的一種發(fā)展趨勢(shì)。

5.2 防火墻的過(guò)濾深度和廣度不斷加強(qiáng)。從主要的網(wǎng)絡(luò)層的單層過(guò)濾,以及目前的源和目的地址、網(wǎng)絡(luò)服務(wù)類(lèi)型、路由過(guò)濾,發(fā)展到內(nèi)容過(guò)濾、URL頁(yè)面審查、防病毒和對(duì)存在嚴(yán)重安全缺陷的ActiveX、惡意Java Applet等的過(guò)濾。

5.3 防火墻將從目前只對(duì)被保護(hù)的內(nèi)部網(wǎng)絡(luò)的管理方式向遠(yuǎn)程上網(wǎng)集中管理方式發(fā)展;

5.4 現(xiàn)在的防火墻雖然能對(duì)外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的防護(hù),但對(duì)來(lái)自?xún)?nèi)部網(wǎng)絡(luò)的攻擊卻無(wú)能為力。因此增加對(duì)內(nèi)部網(wǎng)絡(luò)用戶(hù)的防護(hù),加強(qiáng)對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和告警將成為防火墻今后的一項(xiàng)重要任務(wù)。

5.5 安全管理和審計(jì)將不斷完善,特別是可疑活動(dòng)的審計(jì)文件分析工具等開(kāi)發(fā)將成為防火墻產(chǎn)品中的一個(gè)重要部分。沒(méi)有百分之百的網(wǎng)絡(luò)安全解決方案,所以必須加強(qiáng)網(wǎng)絡(luò)安全管理和安全審計(jì)的強(qiáng)度。

5.6 防火墻將從目前被動(dòng)防護(hù)狀態(tài)轉(zhuǎn)變成為一種智能的、能夠動(dòng)態(tài)防護(hù)內(nèi)部網(wǎng)絡(luò)的、井集成日前各種信息安全技術(shù)的網(wǎng)絡(luò)安全產(chǎn)品,它將不再是傳統(tǒng)意義上的防火墻。

參考文獻(xiàn)

[1]高永強(qiáng),郭世澤等.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用大典.北京:人民郵電出版社,2003年,23-37.

[2]徐榮生,吳海燕.網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù).計(jì)算機(jī)世界,2000(18):C7-C9.

[3]魏亮.網(wǎng)絡(luò)安全策略研究.電信網(wǎng)技術(shù).2004(12):18-22.

[4]楊建紅.計(jì)算機(jī)網(wǎng)絡(luò)安全與對(duì)策.長(zhǎng)江鐵道學(xué)院學(xué)報(bào)(社會(huì)科學(xué)版),2005(1):236-237.

[5]張桂香.網(wǎng)絡(luò)信息安全與對(duì)策.內(nèi)蒙古科技與經(jīng)濟(jì),2001(5):78-79.

[6]王國(guó)偉,賈宗璞.基于防火墻的網(wǎng)絡(luò)入侵檢測(cè)研究與設(shè)計(jì).計(jì)算機(jī)與數(shù)字工程,2005(5):127-128.

[7]李濤.網(wǎng)絡(luò)安全概論.北京:電子工業(yè)出版社,2004:3-250.

[8]孫延衡.網(wǎng)絡(luò)信息安全隱患及其防御.情報(bào)雜志,2002(7): 58-59.