防火墻防護應用技術及產品現狀分析

◆劉麗娜

?

防火墻防護應用技術及產品現狀分析

◆劉麗娜

(濟南職業學院 山東 250014)

本文闡述了防火墻技術的原理和功能特點，分析了國內產品的市場現狀，并總結了防火墻技術產品的未來的發展趨勢。

防火墻；網絡安全；邊界防護

0 前言

防火墻是一種依據網絡拓撲、應用種類、安全等級不同而采取邏輯隔離以加強網絡安全程度的防護技術，其保護對象是有明確邊界的一個或幾個區域，即所謂“安全域”；防護對象則是位于既定安全域之外、對網絡安全構成潛在威脅的風險。防火墻采用軟件或硬件設備組合而成，限制不同安全區域之間的尤其是低安全等級區域向高安全等級區域的訪問操作，作為一種經典的被動安全技術，防火墻假定安全邊界的存在，非常適合于邊界清晰的網絡環境使用[1]。

1 防火墻

防火墻的發展幾乎是伴隨著Internet而同期出現的，所經歷的技術階段主要包括：簡單包過濾，應用級代理，狀態檢測包過濾等。

其中狀態包過濾技術因為其防護程度較高、處理速度快，得到最廣泛的應用。應用代理雖然安全性更好，但它需要針對每一種協議開發特定的代理協議，對應用的支持不夠好，而且更關鍵的是，它的性能比較差。狀態檢測技術要監視每個連接發起到結束的全過程，對于部分協議，如FTP、 H.323 等協議，是有狀態的協議，防火墻必須對這些協議進行分析，以便知道什么時候，從哪個方向允許特定的連接進入和關閉。狀態檢測防火墻可以對特定的協議進行解碼，因此安全性也比較好，但因為在應用層解碼分析，處理速度比較慢。

2 防火墻的技術特點

現階段業內主流防火墻系統基本都從屬于狀態檢測包過濾類型，并以此為基礎合理吸收應用級防護的優點，逐步發展為訪問控制、特定應用協議的指令/URL控制、VPN加密、典型攻擊行為防護以及NAT、動態路由、鏈路均衡等功能的網關產品。尤其是在最近幾年，防火墻產品在傳統訪問控制功能之外，又充分結合了防病毒網關、入侵檢測等多種特點而派生出IPS、UTM等復合型防護系統。

為了滿足多樣化的組網需求，降低用戶對其它專用設備的需求，減少用戶建網成本，防火墻上也常常把其它網絡技術結合進來，例如支持 DHCP SERVER、DHCP RELAY、支持動態路由(如RIP，OSPF等)、支持撥號/PPPOE、支持透明模式(橋模式)、支持內容過濾(如URL過濾)、防病毒和IDS等功能。

3 市場現狀分析

3.1目前用戶的應用現狀

目前，市場對于防火墻的分類主要依據性能指標而定，包括：百兆防火墻，千兆防火墻，萬兆防火墻。

百兆防火墻由于其性能遠遠落后于網絡部署環境的鏈路帶寬，其應用場景已基本萎縮在SOHO領域，幾近退出市場。千兆防火墻是目前市場中的主流產品，而萬兆防火墻則在運營商、企業網核心骨干等高帶寬環境中得到青睞。

此外，為了適應數據大集中、多業務復合模式的潮流，一種可虛擬化運行的防火墻技術應運而生。傳統防火墻是一個物理的實體，而虛擬防火墻是在這個物理實體里面可以劃分多個虛擬的防火墻。虛擬防火墻的某些功能甚至比傳統防火墻做的還要好，可以監控部署在虛擬系統中的各個應用系統之間的流量，實施訪問控制。

虛擬防火墻可以部署在核心交換機和主要服務器群的邊界位置，也可部署在物理網絡和虛擬網絡之間，甚至能夠部署在兩個虛擬網絡之間。

虛擬防火墻可以將一臺傳統防火墻在邏輯上劃分成多臺虛擬的防火墻，每個虛擬防火墻系統都可以被看成是一臺完全獨立的防火墻設備，可擁有獨立的系統資源、管理員、安全策略、用戶認證數據庫等。由于防火墻資源分別獨立分配給各個虛擬的系統，彼此之間互不干擾，因此當一個虛擬系統因抵御黑客攻擊耗費大量資源的時候，另一個虛擬系統的資源卻不受任何影響，從而有效保證網絡其他應用的正常運行。

可以說，隨著虛擬化技術的成熟，虛擬防火墻的功能也在逐步完善。在虛擬防火墻中集成了防病毒，反垃圾郵件，URL過濾，IPS和VPN等高級功能，虛擬防火墻逐漸發展為虛擬UTM。

虛擬防火墻可以部署在核心交換設備和主要服務器的邊界位置，也可以部署在不同安全級別的邊界位置。在虛擬防火墻上通過配置虛擬接口和虛擬網絡提高網絡適應能力，可以設計實現更為靈活的安全解決方案。

3.2民族產業現狀

2009年，防火墻/VPN市場同比增長預計為9.3%，市場規模將達到2.41億美元，并在2013年將進一步擴大到3.53億美元。在國家相關部門大力扶持民族產業的政策推動下，國內涌現出許多優秀的信息安全廠商，在構筑國家信息安全長城、提高民族品牌競爭力等方面做出了杰出貢獻。

表1 民族產品同國外產品的對比

與國外知名品牌相比，國內防火墻/VPN起步較晚，而且由于主要專注于國內市場，因此所經歷的市場環境也相對簡單。上述因素反映到產品特點層面上，就形成了國內防火墻/VPN產品與國外同類產品的相對特點。

4 產品發展趨勢

未來防火墻的發展趨勢是朝高速、多功能化、更安全的方向發展。從近期各大行業多次入圍測試的結果都可以看出，目前防火墻一個很大的局限性是速度不夠。應用ASIC、FPGA和網絡處理器是實現高速防火墻的主要方法，但是算法也是一個關鍵，如果硬件平臺能夠集成多個硬件協處理單元，那么將比較容易實現高速。對于采用純CPU的防火墻，就必須有算法支撐，例如ACL算法。目前有的應用環境，動輒應用數百乃至數萬條規則，沒有算法支撐，對于狀態防火墻，建立會話的速度會十分緩慢。

受現有技術的限制，目前還沒有有效的對應用層進行高速檢測的方法，也沒有哪款芯片能做到這一點。因此，高速防火墻目前還不適宜于集成內容過濾、防病毒和IDS功能(傳輸層以下的IDS除外，這些檢測對CPU消耗小)。對于IDS，目前最常用的方式還是把網絡上的流量鏡像到IDS設備中處理，這樣可以避免流量較大時造成網絡堵塞。此外，應用層漏洞很多，攻擊特征庫需要頻繁升級，對于處在網絡出口關鍵位置的防火墻，如此頻繁地升級也是不現實的。

根據國家有關標準和要求，防火墻日志要求記錄的內容相當多。隨著網絡流量越來越大，龐大的日志對日志服務器提出了很高的要求。目前，業界應用較多的 SYSLOG 日志，采用的是文本方式，每一個字符都需要一個字節，對防火墻的帶寬也是一個很大的消耗。二進制日志可以大大減小數據傳送量，也方便數據庫的存儲、加密和事后分析。所以，支持二進制格式和日志數據庫，是未來防火墻日志和日志服務器軟件的一個基本要求。

多功能也是防火墻的發展方向之一，鑒于目前路由器和防火墻價格都比較高，組網環境也越來越復雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網和節省投資的需要。例如，防火墻支持廣域網口，并不影響安全性，但在某些情況下卻可以為用戶節省一臺路由器；支持部分路由器協議，如路由、撥號等，可以更好地滿足組網需要；支持 IP SEC VPN，可以利用因特網組建安全的專用通道，既安全又節省了專線投資。

未來防火墻的操作系統會更安全。隨著算法和芯片技術的發展，防火墻會更多地參與應用層分析，為應用提供更安全的保障。

5 結語

本文闡述了防火墻技術的原理和功能特點，分析了國內產品的市場現狀，并總結了防火墻技術產品的未來的發展趨勢。

[1]杜文才.計算機網絡安全技術[M].清華大學出版社，2016.

[2]楊浩森.網絡安全協議綜合實驗教程[M].清華大學出版社，2016.