防火墻技術(shù)及其產(chǎn)品標(biāo)準(zhǔn)化淺析

謝宗曉　官海濱

謝宗曉 博士

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險評估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文80多篇，出版專著近20本。

信息安全管理系列之五十

防火墻是保障網(wǎng)絡(luò)安全（network security）所使用的最流行和最重要的工具之一。在之前的專欄中，我們從如何“使用”的角度討論了入侵檢測/防護(hù)系統(tǒng)（IDS/IPS），在本期中，將按照類似的架構(gòu)，介紹防火墻技術(shù)及其產(chǎn)品的標(biāo)準(zhǔn)化。

謝宗曉（特約編輯）

摘要：重新審視了防火墻的概念，并分析了其應(yīng)用的主要技術(shù)、發(fā)展過程和未來趨勢，最后列出了防火墻相關(guān)的國際/國家標(biāo)準(zhǔn)。

關(guān)鍵詞：信息安全 防火墻 標(biāo)準(zhǔn)化

Analysis of Firewalls Technology and its Product Standardization

Xie Zongxiao （China Financial Certification Authority）

Guan Haibin （Qingdao Technical College）

Abstract： This paper re-examines the concept of firewall， analyzes the main technologies， development process and future trends of its application， and finally lists the international/national standards related to firewalls.

Key words： information security， firewalls， standardization

1 概念

防火墻是網(wǎng)絡(luò)安全的第一道防線，在安全、可控的內(nèi)部網(wǎng)絡(luò)與不可信任的外部網(wǎng)絡(luò)（如互聯(lián)網(wǎng)等）之間建立了一道屏障。大約沒有邏輯比防火墻更清晰的信息安全產(chǎn)品了，防火墻控制著網(wǎng)絡(luò)入口，對數(shù)據(jù)流進(jìn)行過濾。這與物理世界中的控制方式基本是一致的。

對比之前討論過的IDS/IPS（Intrusion Detection/Prevention System）部署方式，一個最大的區(qū)別就是防火墻是禁止旁路的，這毫無疑問會影響整體的網(wǎng)絡(luò)性能，如同高速公路的收費站，因此，對于IDS/IPS而言，提高準(zhǔn)確率是其不變的主題，對于防火墻而言，準(zhǔn)確率重要，效率也同等重要。

一般而言，防火墻至少需要滿足三個目標(biāo)：1）防止旁路，即所有的進(jìn)出數(shù)據(jù)流都得經(jīng)過防火墻;2）只允許經(jīng)過授權(quán)的數(shù)據(jù)流通過防火墻;3）保證防火墻自身的安全，防止其成為最首要的攻擊目標(biāo)。

2 主要技術(shù)及其發(fā)展過程

Firewalls詞匯最早出現(xiàn)于1764年左右[1]，用來指防止火災(zāi)蔓延至相鄰區(qū)域且耐火極限不低于某時段的不燃性墻體。在介紹防火墻歷史非常完整的文獻(xiàn)[1]中，從圍墻開始討論，特別舉例說明了中國的長城。由于防火墻的邏輯非常容易理解，或者說易于與現(xiàn)實世界進(jìn)行類比，因此防火墻幾乎與路由器同時出現(xiàn)。防火墻從建筑學(xué)領(lǐng)域被應(yīng)用至計算機(jī)領(lǐng)域是在20世紀(jì)80年代晚期，隨著網(wǎng)絡(luò)（network）的出現(xiàn)。

第一篇可以查閱的關(guān)于防火墻的論文出現(xiàn)于1988年，數(shù)字設(shè)備公司（Digital Equipment Corporation，DEC）1）首次發(fā)布了關(guān)于數(shù)據(jù)包的過濾系統(tǒng)，這被定義為第一代防火墻，即包過濾防火墻（packet filter firewalls）。1992年，貝爾實驗室（AT&T Bell Labs）2）的Bill Cheswick 與Steve Bellovin3）首次用示例的方式完整地描述了包過濾防火墻的部署架構(gòu)拓?fù)洹o論是靜態(tài)包過濾技術(shù)還是動態(tài)包過濾技術(shù)，第一代防火墻都是工作在網(wǎng)絡(luò)層（OSI第3層），也就是說，主要是依靠檢查包頭，能夠識別訪問源和訪問目標(biāo)，對“數(shù)據(jù)包凈荷”一無所知，因此，難以抵抗IP欺騙攻擊。

第二代防火墻通常被稱為“狀態(tài)防火墻（stateful firewalls）”或“電路級網(wǎng)關(guān)（circuit-level gateways）”，工作在會話層（OSI第5層）。當(dāng)一個IP地址連接到另一個IP地址的某個具體TCP或UDP端口時，防火墻會跟蹤這些會話。包過濾防火墻難于抵御中間人攻擊的主要問題在于，包過濾防火墻是無狀態(tài)的，二代防火墻對會話的跟蹤使得會話有了狀態(tài)（stateful），從而可以解決這個問題。

但是二代防火墻依然不能讀取“數(shù)據(jù)包凈荷”，因此實現(xiàn)的安全是有限的[2]，例如，跨站腳本攻擊和SQL注入等Web威脅就難以識別。第三代防火墻工作在應(yīng)用層（OSI第7層），稱作“應(yīng)用防火墻（application firewall）”，能夠?qū)?yīng)用數(shù)據(jù)進(jìn)行解碼，例如HTTP協(xié)議。以Web應(yīng)用防火墻（WAF）為例，其優(yōu)點解決了某些高層協(xié)議的安全，缺點是只能解決某些協(xié)議，或者說特定服務(wù)的安全。

3 技術(shù)趨勢分析

下一代防火墻（Next Generation Firewall，NGFW）是目前業(yè)內(nèi)廠商的主推產(chǎn)品，NGFW仍然工作在應(yīng)用層，因此很多時候會被認(rèn)為是第三代防火墻的延伸產(chǎn)品。NGFW首先要解決三代防火墻中檢查“廣度”的問題，同時也需要加強(qiáng)檢查的“深度”。

先討論廣度的問題。以WAF為例，WAF實際是代理，每種應(yīng)用都需要設(shè)置，配置復(fù)雜，且性能不高。NGFW應(yīng)該能夠自動識別應(yīng)用，不僅是針對某種或某幾種特定服務(wù)。這需要“集成化”。NGFW也強(qiáng)調(diào)了多功能集成，其中包括了IPS和統(tǒng)一身份認(rèn)證等功能，但強(qiáng)調(diào)不是功能的堆砌。

再討論深度問題。第三代防火墻一般不能識別HTTPS或SSH（Secure Shell）等加密傳輸協(xié)議。應(yīng)用程序可能會通過加密網(wǎng)絡(luò)流量來繞過防火墻，簡單的阻止顯然不符合實際。這時候就需要防火墻做更深度的啟發(fā)式檢查，例如，多數(shù)應(yīng)用程序使用握手協(xié)議來開啟新會話，這通常有一個可識別的模型，或者通過數(shù)據(jù)的頻率、大小和時延等對通信進(jìn)行分析，這種工作模式就形如IDS/IPS類似的專家系統(tǒng)。

特別強(qiáng)調(diào)一下統(tǒng)一威脅管理（Unified Threat Management，UTM），UTM一般將網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)防病毒和網(wǎng)絡(luò)入侵檢測等集成至一個產(chǎn)品，但是這可能會影響效率。對效率的影響不難理解，如上文所述，防火墻是串聯(lián)在網(wǎng)絡(luò)邊界，IDS/IPS則不需要，完全可以旁路部署。一旦諸多功能集成疊加在一起，勢必會影響效率，因此更適合中小企業(yè)。

多功能化不僅是防火墻的發(fā)展趨勢，也是其他諸多安全產(chǎn)品的未來方向。例如，由于部署的位置類似，可以利用防火墻實現(xiàn)加密虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN），再如，由于加密數(shù)據(jù)難以過濾，防火墻和IDS/IPS的功能愈加整合。

4 相關(guān)的國際/國家標(biāo)準(zhǔn)

沿用文獻(xiàn)[3]和[4]的標(biāo)準(zhǔn)分類方法，我們將防火墻相關(guān)標(biāo)準(zhǔn)分為：Ⅰ類，產(chǎn)品相關(guān)標(biāo)準(zhǔn)和Ⅱ類，應(yīng)用場景相關(guān)標(biāo)準(zhǔn)。其中，產(chǎn)品相關(guān)標(biāo)準(zhǔn)關(guān)注的是如何設(shè)計、生產(chǎn)防火墻，應(yīng)用場景相關(guān)標(biāo)準(zhǔn)關(guān)注的是如何選擇、部署防火墻。與之前討論的IDS/IPS不同，在ISO/IEC 27000標(biāo)準(zhǔn)族中，沒有關(guān)于Ⅱ類標(biāo)準(zhǔn)。

值得指出的是，Ⅰ類標(biāo)準(zhǔn)和Ⅱ類標(biāo)準(zhǔn)的最大區(qū)別在于，Ⅰ類標(biāo)準(zhǔn)針對的一般是專業(yè)的廠商，Ⅱ類標(biāo)準(zhǔn)針對的則是一般用戶。因此，Ⅱ類標(biāo)準(zhǔn)的應(yīng)用更普及一些。例如，CC（Common Criteria）屬于Ⅰ類，ISMS（Information Security Management System）則屬于Ⅱ類。顯然，就應(yīng)用范圍而言，ISMS廣泛得多。

國家標(biāo)準(zhǔn)中關(guān)于防火墻的，已經(jīng)發(fā)布了4個CC類的產(chǎn)品標(biāo)準(zhǔn)，分別為：GB/ T 20010—2005《信息安全技術(shù) 包過濾防火墻評估準(zhǔn)則》GB/ T 20281—2015《信息安全技術(shù) 防火墻安全技術(shù)要求和測試評價方法》GB/T 31505—2015《信息安全技術(shù) 主機(jī)型防火墻安全技術(shù)要求和測試評價方法》GB/T 32917—2016《信息安全技術(shù) WEB應(yīng)用防火墻安全技術(shù)要求與測試評價方法》。

5 小結(jié)

防火墻是網(wǎng)絡(luò)安全中最重要、應(yīng)用最廣泛的安防產(chǎn)品之一，雖然原理通俗易懂，但是就數(shù)據(jù)過濾的性能而言，則比較負(fù)責(zé)。本文結(jié)合防火墻的發(fā)展過程，分別介紹了工作在OSI模型3層（網(wǎng)絡(luò)層）、5層（會話層）和7層（應(yīng)用層）的數(shù)據(jù)過濾技術(shù)，并以此分成了三代防火墻，分析了其優(yōu)缺點。在此基礎(chǔ)上，也討論了下一代防火墻（NGFW）。

參考文獻(xiàn)

[1] INGHAM K， FORREST S. A History and Survey?of Network Firewalls [EB/OL].http：//www.cs.unm.edu/～treport/tr02-12/firewall. pdf.? 2002

[2] RHODES-OUSLEY M. 信息安全完全參考手冊（第2版）[M]， 北京：清華大學(xué)出版社， 2014

[3] 謝宗曉，李寬.通用準(zhǔn)則（CC）與信息安全管理體系（ISMS）的比較分析[J].中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報，2018 （7）：28-32.

[4] 李軍，謝宗曉.基于產(chǎn)品和基于流程的信息安全標(biāo)準(zhǔn)及其分析[J].中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報，2017（12）：60-63.