郭連城

摘 要：防火墻技術(shù)在網(wǎng)絡(luò)安全防御中具有重要地位。文章首先闡述了防火墻的概念，然后對防火墻的概念、作用以及主要技術(shù)進(jìn)行了分析與探討，最后總結(jié)了下一代防火墻技術(shù)的發(fā)展趨勢。

關(guān)鍵詞：防火墻；包過濾；應(yīng)用代理；狀態(tài)檢測；屏蔽主機(jī)；屏蔽子網(wǎng)

1 防火墻概述

1.1 防火墻的概念

防火墻的主要功能是隔離內(nèi)部與外部網(wǎng)絡(luò)，保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的惡意入侵，其主要方法是掃描與分析進(jìn)入內(nèi)部網(wǎng)絡(luò)的流量數(shù)據(jù)包，對其中的惡意、非授權(quán)訪問進(jìn)行過濾，從而提升內(nèi)部網(wǎng)絡(luò)的安全性。

1.2 防火墻的功能

防火墻的主要功能有以下幾項(xiàng)：對出、入內(nèi)網(wǎng)的數(shù)據(jù)按照預(yù)設(shè)的安全策略進(jìn)行過濾處理；對出、入網(wǎng)絡(luò)的操作與行為實(shí)行安全管控；對通過防火墻的數(shù)據(jù)與操作進(jìn)行記錄；對不安全的網(wǎng)絡(luò)服務(wù)進(jìn)行屏蔽處理；對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。除上述功能外，防火墻也有諸如身份認(rèn)證、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT和虛擬專用網(wǎng)VPN、流量分析與日志審計等高級功能。

1.3 防火墻的安全策略

防火墻安全策略的主要作用是防止網(wǎng)絡(luò)重要敏感資源的非法訪問。防火墻的整體安全策略主要包括用戶賬號策略、用戶權(quán)限策略、信任關(guān)系策略、包過濾策略、認(rèn)證簽名與數(shù)字加密策略、密鑰分配策略、審計策略等內(nèi)容。研制與開發(fā)防火墻的第一步工作就是設(shè)計完善的防火墻安全策略。

2 防火墻的主要技術(shù)

2.1 包過濾技術(shù)

包過濾技術(shù)是最常用的防火墻技術(shù)。包過濾防火墻的工作原理是根據(jù)網(wǎng)絡(luò)實(shí)際需要設(shè)置防火墻的過濾準(zhǔn)則，對出、入網(wǎng)絡(luò)的數(shù)據(jù)包實(shí)施有選擇的通過，只有滿足預(yù)設(shè)準(zhǔn)則的數(shù)據(jù)才能由網(wǎng)絡(luò)出口路由器轉(zhuǎn)發(fā)，不滿足準(zhǔn)則的數(shù)據(jù)包則被防火墻自動過濾。包過濾技術(shù)的關(guān)鍵模塊是數(shù)據(jù)包檢查模塊。數(shù)據(jù)包檢查模塊應(yīng)與操作系統(tǒng)的核心密切相關(guān)，這樣才能使攔截數(shù)據(jù)包的操作發(fā)生在操作系統(tǒng)或路由器轉(zhuǎn)發(fā)數(shù)據(jù)包之前。數(shù)據(jù)包檢查模塊的檢測對象主要包括IP頭和TCP頭。

包過濾技術(shù)的實(shí)現(xiàn)較為簡單，并且成本也比較低，適應(yīng)用網(wǎng)絡(luò)環(huán)境較為簡單的情況。包過濾技術(shù)能夠以較小的代價保證內(nèi)部網(wǎng)絡(luò)的安全，并且具備較強(qiáng)的傳輸性能，擴(kuò)展性也比較好。由于包過濾防火墻只對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行檢測，因此與發(fā)送數(shù)據(jù)包的具體應(yīng)用程序無關(guān)，所以對客戶端程序無須做任何改動就可以實(shí)現(xiàn)對用戶的透明性。包過濾技術(shù)雖然簡單實(shí)用，但也存在較大的局限性，它只能在IP層和TCP層對數(shù)據(jù)包的端口號、源地址與目標(biāo)地址、協(xié)議類型等信息進(jìn)行檢測和過濾，對于應(yīng)用層的數(shù)據(jù)則無法過濾。此外，包過濾技術(shù)只能識別外部IP偽裝成內(nèi)部IP，而對外部IP偽裝其它合法的外部IP則無能為力，所以比較容易遭受IP欺騙攻擊。

2.2 應(yīng)用代理技術(shù)

應(yīng)用代理技術(shù)的工作層次比包過濾技術(shù)高，工作機(jī)理也完全不同。包過濾技術(shù)主要是攔截IP層的信息流，而應(yīng)用代理技術(shù)是針對應(yīng)用層實(shí)現(xiàn)防火墻的功能。簡而言之，應(yīng)用代理技術(shù)對每一個具體、特定的應(yīng)用都建立一個特殊的服務(wù)程序，這個服務(wù)程序就是所說的代理。代理具有狀態(tài)性，它能提供一些有傳輸相關(guān)的狀態(tài)，本質(zhì)上代理就是一個應(yīng)用層上的網(wǎng)關(guān)，要維護(hù)客戶端與服務(wù)器的連接。

應(yīng)用代理技術(shù)能夠有效檢測出針對應(yīng)用層的病毒和入侵，它使得網(wǎng)絡(luò)管理員能夠?qū)崿F(xiàn)比包過濾防火墻更嚴(yán)格的安全策略，對網(wǎng)絡(luò)服務(wù)進(jìn)行全面的控制，因而應(yīng)用代理防火墻的安全性較高。但應(yīng)用代理技術(shù)也有一些不足，首先應(yīng)用代理技術(shù)影響了網(wǎng)絡(luò)傳輸?shù)恼w性能，其次由于必須針對客戶機(jī)上的所有應(yīng)用類型都要建立一個代理程序，使得系統(tǒng)的復(fù)雜性大增，因?yàn)槿绻撤N應(yīng)用程序沒有對應(yīng)的代理服務(wù)，那么該應(yīng)用所發(fā)過的數(shù)據(jù)包就不能通過防火墻來轉(zhuǎn)發(fā)。

2.3 狀態(tài)檢測技術(shù)

狀態(tài)檢測技術(shù)也可以看成一種動態(tài)的包過濾技術(shù)，它的主要功能模塊就是狀態(tài)檢測模塊，該模塊采用抽取相關(guān)數(shù)據(jù)的方法來檢測正在通信的網(wǎng)絡(luò)的各個層次，這里所說的部分信息就是狀態(tài)信息，狀態(tài)信息被動態(tài)的記錄下來作為制定安全策略的參考。狀態(tài)檢測技術(shù)從實(shí)質(zhì)上講是利用一種狀態(tài)檢測機(jī)制，這種機(jī)制是基于連接的，并對每個會話進(jìn)行檢測，檢測的數(shù)據(jù)流是包含了屬于同一連接的所有數(shù)據(jù)包，并以此建立連接狀態(tài)表。在對表中的各個連接因素加以識別時，需要配合使用事先預(yù)制的規(guī)則表，并且表中的記錄排列順序可以隨意排列以提高系統(tǒng)的傳輸效率。狀態(tài)檢測的機(jī)制是在用戶訪問到達(dá)邊界網(wǎng)關(guān)的操作系統(tǒng)之前就要對所抽取的狀態(tài)信息進(jìn)行采集與分析，并且結(jié)合當(dāng)前網(wǎng)絡(luò)的安全策略做出決定，包括接納、拒絕、鑒定等操作，如果該用戶訪問不符合網(wǎng)絡(luò)安全策略的規(guī)定，內(nèi)置的安全報警模塊就會拒絕該訪問并記錄下來，同時向系統(tǒng)管理器回報當(dāng)前網(wǎng)絡(luò)狀態(tài)。

3 防火墻的體系結(jié)構(gòu)

3.1 多重宿主主機(jī)結(jié)構(gòu)

多重宿主主機(jī)結(jié)構(gòu)的主要思想一臺主機(jī)、多個接口，多個接口就是兩個或更多的網(wǎng)絡(luò)接口，用以連接內(nèi)部網(wǎng)絡(luò)和多個外部網(wǎng)絡(luò)，一臺主機(jī)是指裝有多個網(wǎng)絡(luò)接口的計算機(jī)充當(dāng)內(nèi)部網(wǎng)絡(luò)和多個外部網(wǎng)絡(luò)之間的轉(zhuǎn)發(fā)路由器，使得數(shù)據(jù)包可以從一個網(wǎng)絡(luò)傳輸?shù)狡渌W(wǎng)絡(luò)。多重宿主主機(jī)結(jié)構(gòu)并不是簡單的轉(zhuǎn)發(fā)，可以通過設(shè)置相應(yīng)的安全策略禁止數(shù)據(jù)包由外部網(wǎng)絡(luò)直接發(fā)送至內(nèi)部網(wǎng)絡(luò)，必須由多重宿主主機(jī)進(jìn)行過濾和控制，以確保內(nèi)部網(wǎng)絡(luò)的安全性。

3.2 屏蔽主機(jī)結(jié)構(gòu)

屏蔽主機(jī)結(jié)構(gòu)的主要思想是路由器與堡壘主機(jī)的聯(lián)合使用，在這種體系結(jié)構(gòu)中，路由器主要是防止外部訪問直接繞過代理服務(wù)器與內(nèi)部網(wǎng)絡(luò)相連，并且對出、入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行過濾以提供安全。屏蔽主機(jī)結(jié)構(gòu)中的關(guān)鍵是堡壘主機(jī)，該主機(jī)只與內(nèi)部網(wǎng)絡(luò)相連，外部網(wǎng)絡(luò)只有通過該堡壘主機(jī)才能與內(nèi)部網(wǎng)絡(luò)相連，這樣就保證了內(nèi)部網(wǎng)絡(luò)的獨(dú)立與安全性。由于堡壘主機(jī)是內(nèi)、外網(wǎng)絡(luò)連接的關(guān)鍵節(jié)點(diǎn)，因此它的安全等級必須要高，否則無法確保內(nèi)部網(wǎng)絡(luò)的安全。

3.3 屏蔽子網(wǎng)結(jié)構(gòu)

屏蔽子網(wǎng)結(jié)構(gòu)是屏蔽主機(jī)結(jié)構(gòu)的升級，主要是要屏蔽主機(jī)結(jié)構(gòu)中增加額外的安全層，即通過增加附加周邊網(wǎng)來進(jìn)一步的隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，這種結(jié)構(gòu)最簡單的體系結(jié)構(gòu)如下：采用兩個屏蔽路由器，都連接到所附加的周邊網(wǎng)上，其中一個路由器用于連接周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)，另一個路由器用于連接周邊網(wǎng)和外部網(wǎng)絡(luò)，這樣周邊網(wǎng)就成了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一個隔離帶，也稱之為非軍事化區(qū)DMZ。可以根據(jù)實(shí)際需要在這種結(jié)構(gòu)中安裝堡壘主機(jī)，為外網(wǎng)和內(nèi)網(wǎng)之間的連接提供代理。一般來說，如WWW、FTP、EMAIL等因特網(wǎng)服務(wù)器也可以安裝在屏蔽子網(wǎng)內(nèi)，這樣可以方便內(nèi)、外網(wǎng)用戶的訪問，而對外網(wǎng)的入侵者來說，入侵則必須經(jīng)過兩個路由器和堡壘主機(jī)，困難很大。采用這種結(jié)構(gòu)的防火墻系統(tǒng)的安全性能較高，抗攻擊的能力也比較強(qiáng)，目前已經(jīng)成為主流的防火墻體系結(jié)構(gòu)，不過它需要的設(shè)備較多，并且成本不低，適用于密級較高的內(nèi)部網(wǎng)絡(luò)使用。

4 下一代防火墻技術(shù)的發(fā)展趨勢

4.1 多核并行處理

傳統(tǒng)的串行掃描，數(shù)據(jù)流量大時造成網(wǎng)絡(luò)時延增大、擁堵、丟包，利用多核并行處理技術(shù)可實(shí)現(xiàn)對安全業(yè)務(wù)的無鎖并行處理，在大幅提升防火墻性能的同時，又能夠適應(yīng)應(yīng)用層業(yè)務(wù)多變的特點(diǎn)。

4.2 面向應(yīng)用

目前超過90%的網(wǎng)絡(luò)應(yīng)用運(yùn)行于HTTP協(xié)議的80和443端口，大量應(yīng)用軟件可以進(jìn)行端口復(fù)用和IP地址修改。傳統(tǒng)防火墻賴以生存的IP地址和端口檢測對此難以防范，因此要大力發(fā)展面向應(yīng)用的檢測技術(shù)，以便根據(jù)應(yīng)用的行為和特征實(shí)現(xiàn)對應(yīng)用的識別和控制，而不僅僅依賴于端口或協(xié)議。

4.3 智能防御

對于一些應(yīng)用層的攻擊和病毒，例如拒絕服務(wù)攻擊、蠕蟲病毒傳播、垃圾電子郵件等問題，傳統(tǒng)防火墻技術(shù)是無能為力的，這就需要發(fā)展智能防御。智能防御是指應(yīng)用人工智能學(xué)科的方法，如利用統(tǒng)計、記憶、智能決策等算法識別應(yīng)用層數(shù)據(jù)，發(fā)現(xiàn)非法行為的特征值，從而實(shí)現(xiàn)訪問控制。

參考文獻(xiàn)

[1]斯特拉斯伯格.防火墻技術(shù)大全[M].機(jī)械工業(yè)出版社，2006.

[2]謝琳.防火墻策略與VPN配置[M].中國水利水電出版社，2008.

[3]卡拉西克.享姆.防火墻核心技術(shù)精解[M].中國水利水電出版社，2005.

[4]陳麒帆，防火墻基礎(chǔ)[M].人民郵電出版社，2007.endprint