淺議新一代防火墻技術(shù)的應(yīng)用與發(fā)展

江 文

（無錫商業(yè)職業(yè)技術(shù)學(xué)院，江蘇 無錫 214153）

新一代防火墻應(yīng)該加強(qiáng)放行數(shù)據(jù)的安全性，因?yàn)榫W(wǎng)絡(luò)安全的真實(shí)需求是既要保證安全，也要保證應(yīng)用的正常進(jìn)行。新一代防火墻既有包過濾的功能，又能在應(yīng)用層進(jìn)行代理。較傳統(tǒng)的防火墻來說，具有先進(jìn)的過濾和代理體系，能從數(shù)據(jù)鏈路層到應(yīng)用層進(jìn)行全方位安全處理，TCP/IP協(xié)議和代理的直接相互配合，提供透明代理模式，減輕客戶端的配置工作，使本系統(tǒng)的防欺騙能力和運(yùn)行的健壯性都大大提高；除了訪問控制功能外，新一代防火墻還應(yīng)集成了其它許多安全技術(shù)，如 NAT和VPN、病毒防護(hù)等，使防火墻的安全性提升到又一高度。

1 新一代智能防火墻技術(shù)

1.1 概念

智能防火墻從技術(shù)特征上是利用統(tǒng)計(jì)、記憶、概率和決策的智能方法來對數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問控制的目的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進(jìn)行訪問控制。由于這些方法多是人工智能學(xué)科采用的方法，因此被稱為智能防火墻。智能防火墻的主要技術(shù)包括：

1.1.1 AAA技術(shù)

IP v4版本的一大缺陷是缺乏身份認(rèn)證功能，所以在IP v6版本中增加了該功能。問題是IP v6的推廣尚需時(shí)日，IP v4在相當(dāng)長一段時(shí)間內(nèi)，還會(huì)繼續(xù)存在。智能防火墻增加了對IP層的身份認(rèn)證。基于身份來實(shí)現(xiàn)訪問控制。

1.1.2 防掃描技術(shù)

智能防火墻能智能識(shí)別黑客的惡意掃描，并有效地阻斷或欺騙惡意掃描者。對目前已知的掃描工具如ISS、SSS、NMAP等掃描工具，智能防火墻可以防止被掃描。防掃描技術(shù)還可以有效地解決代表或惡意代碼的惡意掃描攻擊。

1.1.3 防攻擊技術(shù)

智能防火墻能智能識(shí)別惡意數(shù)據(jù)流量，并有效地阻斷惡意數(shù)據(jù)攻擊。智能防火墻可以有效地解決 SYN Flooding，Land Attack，UDP Flooding，F(xiàn)raggle Attack，Ping Flooding，Smurf，Ping of Death，Unreachable Host等攻擊。防攻擊技術(shù)還可以有效的切斷惡意病毒或木馬的流量攻擊。

1.1.4 包擦洗和協(xié)議正常化技術(shù)

智能防火墻支持包擦洗技術(shù)，對 IP，TCP，UDP，ICMP等協(xié)議的擦洗，實(shí)現(xiàn)協(xié)議的正常化，消除潛在的協(xié)議風(fēng)險(xiǎn)和攻擊。這些方法對消除TCP/IP協(xié)議的缺陷和應(yīng)用協(xié)議的漏洞所帶來的威脅，效果顯著。

1.1.5 入侵防御技術(shù)

智能防火墻為了解決準(zhǔn)許放行包的安全性，對準(zhǔn)許放行的數(shù)據(jù)進(jìn)行入侵檢測，并提供入侵防御保護(hù)。入侵防御技術(shù)采用了多種檢測技術(shù)，特征檢測可以準(zhǔn)確檢測已知的攻擊，特征庫涵蓋了目前流行的網(wǎng)絡(luò)攻擊；異常檢測基于對監(jiān)控網(wǎng)絡(luò)的自學(xué)習(xí)能力，可以有效地檢測新出現(xiàn)的攻擊；檢測引擎中還集成了針對緩沖區(qū)溢出等特定攻擊的檢測。智能防火墻完成了深層數(shù)據(jù)包監(jiān)控，并能阻斷應(yīng)用層攻擊。

1.1.6 防欺騙技術(shù)

智能防火墻提供基于 MAC的訪問控制機(jī)制，可以防止MAC欺騙和IP欺騙，支持MAC過濾，支持IP過濾。將防火墻的訪問控制擴(kuò)展到OSI的第二層。

1.2 優(yōu)點(diǎn)

智能防火墻成功地解決了普遍存在的拒絕服務(wù)攻擊（DDOS）的問題、病毒傳播問題和高級(jí)應(yīng)用入侵問題，代表著防火墻的主流發(fā)展方向。新一代智能防火墻自身的安全性較傳統(tǒng)的防火墻有很大的提高，在特權(quán)最小化、系統(tǒng)最小化、內(nèi)核安全、系統(tǒng)加固、系統(tǒng)優(yōu)化和網(wǎng)絡(luò)性能最大化方面，與傳統(tǒng)防火墻相比有質(zhì)的飛躍。

1.3 應(yīng)用

其主要應(yīng)用領(lǐng)域主要包括：

1.3.1 入侵防御

智能防火墻為了解決準(zhǔn)許放行包的安全性，對準(zhǔn)許放行的數(shù)據(jù)進(jìn)行入侵檢測，并提供入侵防御保護(hù)，這樣就完成了深層數(shù)據(jù)包監(jiān)控，并能阻斷應(yīng)用層攻擊。

1.3.2 防范黑客攻擊

智能防火墻能智能識(shí)別黑客的惡意掃描，并有效地阻斷或欺騙惡意掃描者。對目前已知的掃描工具如ISS、SSS、NMAP等掃描工具，可以防止被掃描。并可有效地解決惡意代碼的惡意掃描攻擊。

1.3.3 防范潛在風(fēng)險(xiǎn)

智能防火墻支持包擦洗技術(shù)，對 IP、TCP、UDP、ICMP等協(xié)議的擦洗，實(shí)現(xiàn)協(xié)議的正常化，消除潛在的協(xié)議風(fēng)險(xiǎn)和攻擊。這些方法對消除TCP/IP協(xié)議的缺陷和應(yīng)用協(xié)議的漏洞所帶來的威脅，效果顯著。

1.3.4 防范惡意數(shù)據(jù)攻擊

智能防火墻能智能識(shí)別惡意數(shù)據(jù)流量，并有效地阻斷惡意數(shù)據(jù)攻擊，解決SYN Flooding，Land Attack，UDP Flooding，F(xiàn)raggle Attack，Ping Flooding，Smurf，Ping of Death，Unreachable Host等攻擊，有效地切斷惡意病毒或木馬的流量攻擊。

1.3.5 防范MAC欺騙和IP欺騙

智能防火墻提供基于 MAC的訪問控制機(jī)制，可以防止MAC欺騙和IP欺騙，支持MAC過濾，支持IP過濾。將防火墻的訪問控制擴(kuò)展到OSI的第二層。

總之，與傳統(tǒng)防火墻相比，智能防火墻在保護(hù)網(wǎng)絡(luò)和站點(diǎn)免受黑客的攻擊、阻斷病毒的惡意傳播、有效監(jiān)控和管理內(nèi)部局域網(wǎng)、保護(hù)必需的應(yīng)用安全、提供強(qiáng)大的身份認(rèn)證授權(quán)和審計(jì)管理等方面，有著廣泛的應(yīng)用價(jià)值。

2 新一代嵌入式防火墻技術(shù)

2.1 概念

嵌入式防火墻就是內(nèi)嵌于路由器或交換機(jī)的防火墻。嵌入式防火墻是某些路由器的標(biāo)準(zhǔn)配置。用戶也可以購買防火墻模塊，安裝到已有的路由器或交換機(jī)中。嵌入式防火墻也被稱為阻塞點(diǎn)防火墻。由于互聯(lián)網(wǎng)使用的協(xié)議多種多樣，所以不是所有的網(wǎng)絡(luò)服務(wù)都能得到嵌入式防火墻的有效處理。嵌入式防火墻工作于IP層，所以無法保護(hù)網(wǎng)絡(luò)免受病毒、蠕蟲和特洛伊木馬程序等來自應(yīng)用層的威脅。就本質(zhì)而言，嵌入式防火墻常常是無監(jiān)控狀態(tài)的，它在傳遞信息包時(shí)并不考慮以前的連接狀態(tài)。

2.2 優(yōu)點(diǎn)

它彌補(bǔ)并改善各類安全能力不足的企業(yè)邊緣防火墻、防病毒程序，基于主機(jī)的應(yīng)用程序、入侵檢測告警程序及網(wǎng)絡(luò)代理程序而設(shè)計(jì)，確保了企業(yè)內(nèi)部與外部的網(wǎng)絡(luò)具有以下功能：不論企業(yè)局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)如何變更，防護(hù)措施都能延伸到網(wǎng)絡(luò)邊緣為網(wǎng)絡(luò)提供保護(hù)；基于硬件、能夠防范入侵的安全特性能獨(dú)立于主機(jī)操作系統(tǒng)與其他安全性程序運(yùn)行，甚至在安全性較差的寬帶鏈路上都能實(shí)現(xiàn)安全移動(dòng)與遠(yuǎn)程接入，可管理的執(zhí)行方式使企業(yè)安全性能夠被用戶策略而非物理設(shè)施來進(jìn)行定義。

2.3 應(yīng)用

一套嵌入式防火墻安全性解決方案能夠?yàn)槟切┬枰诩以L問公司局域網(wǎng)的遠(yuǎn)程辦公用戶提供了保護(hù)。幫助企業(yè)確保網(wǎng)絡(luò)最薄弱和未保護(hù)領(lǐng)域的安全，如筆記本電腦和遠(yuǎn)程PC機(jī)，實(shí)行集中式管理的嵌入式客戶機(jī)方案，并實(shí)現(xiàn)了跨越企業(yè)邊緣防火墻的可靠網(wǎng)絡(luò)連接，為企業(yè)和政府站點(diǎn)提供天衣無縫的安全性。

3 新一代分布式防火墻技術(shù)

3.1 概念

針對傳統(tǒng)邊界防火墻的缺欠，專家提出“分布式防火墻”的概念。從狹義和與邊界防火墻產(chǎn)品對應(yīng)來講，分布式防火墻產(chǎn)品是指那些駐留在網(wǎng)絡(luò)中主機(jī)如服務(wù)器或桌面機(jī)并對主機(jī)系統(tǒng)自身提供安全防護(hù)的軟件產(chǎn)品；從廣義來講，“分布式防火墻”是一種新的防火墻體系結(jié)構(gòu)，它包含以下幾種類型：

3.1.1 網(wǎng)絡(luò)防火墻

用于內(nèi)部網(wǎng)與外部網(wǎng)之間（即傳統(tǒng)的邊界防火墻）和內(nèi)部網(wǎng)子網(wǎng)之間的防護(hù)產(chǎn)品，后者區(qū)別于前者的一個(gè)特征是需支持內(nèi)部網(wǎng)可能有的IP和非IP協(xié)議。

3.1.2 主機(jī)防火墻

對于網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)進(jìn)行防護(hù)，這些主機(jī)的物理位置可能在內(nèi)部網(wǎng)中，也可能在內(nèi)部網(wǎng)外，如托管服務(wù)器或移動(dòng)辦公的便攜機(jī)。

3.1.3 中心管理

邊界防火墻只是網(wǎng)絡(luò)中的單一設(shè)備，管理是局部的。對分布式防火墻來說，每個(gè)防火墻作為安全監(jiān)測機(jī)制可以根據(jù)安全性的不同要求布置在網(wǎng)絡(luò)中的任何需要的位置上，但總體安全策略又是統(tǒng)一策劃和管理的，安全策略的分發(fā)及日志的匯總都是中心管理應(yīng)具備的功能。中心管理是分布式防火墻系統(tǒng)的核心和重要特征之一。

3.2 優(yōu)點(diǎn)

分布式防火墻克服了傳統(tǒng)防火墻的缺陷，它的優(yōu)勢在于：在網(wǎng)絡(luò)內(nèi)部增加了另一層安全，有效抵御來自內(nèi)部的攻擊，消除網(wǎng)絡(luò)邊界上的通信瓶頸和單一故障點(diǎn)，支持基于加密和認(rèn)證的網(wǎng)絡(luò)應(yīng)用；與拓?fù)錈o關(guān)，支持移動(dòng)計(jì)算。

3.3 應(yīng)用

主要應(yīng)用在企業(yè)的網(wǎng)絡(luò)和服務(wù)器主機(jī)，在于堵住內(nèi)部網(wǎng)的漏洞，解決來自企業(yè)內(nèi)部網(wǎng)的攻擊。分布式防火墻實(shí)施在企業(yè)各個(gè)網(wǎng)絡(luò)端點(diǎn)上，克服了傳統(tǒng)防火墻的缺陷，有效保護(hù)了主機(jī)，適應(yīng)了新的網(wǎng)絡(luò)應(yīng)用的需要。

4 新一代防火墻技術(shù)的發(fā)展趨勢

隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，新一代防火墻技術(shù)也有一些新的發(fā)展趨勢。這主要可以從防火墻體系結(jié)構(gòu)、包過濾技術(shù)和防火墻系統(tǒng)管理3方面來體現(xiàn)。

4.1 防火墻的體系結(jié)構(gòu)發(fā)展趨勢

隨著網(wǎng)絡(luò)應(yīng)用的增加，對網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會(huì)越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于 ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度來看，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負(fù)擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更具靈活性。基于ASIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時(shí)滿足來自靈活性和運(yùn)行性能的要求。

4.2 防火墻包過濾技術(shù)發(fā)展趨勢

4.2.1 使防火墻具有病毒防護(hù)功能

現(xiàn)在通常被稱之為“病毒防火墻”，當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn)，因?yàn)樗羌冘浖问剑菀讓?shí)現(xiàn)。這種防火墻技術(shù)可有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更積極。擁有病毒防護(hù)功能的防火墻可以大大減少企業(yè)的損失。

4.2.2 多級(jí)過濾技術(shù)

所謂多級(jí)過濾技術(shù)，是指防火墻采用多級(jí)過濾措施，并輔以鑒別手段。在分組過濾（網(wǎng)絡(luò)層）一級(jí)，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級(jí)，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如 nuke包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)（應(yīng)用層）一級(jí)，能利用 FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所用通用服務(wù)。這是針對以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補(bǔ)以上各種單獨(dú)過濾技術(shù)的不足。

這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層，從這個(gè)概念出發(fā)，又有很多內(nèi)容可以擴(kuò)展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。

4.2.3 一些防火墻廠商把在 AAA系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能

這種功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的，包過濾技術(shù)的防火墻不具有。用戶身份驗(yàn)證功能越強(qiáng)，它的安全級(jí)別越高，但它給網(wǎng)絡(luò)通信帶來的負(fù)面影響也越大，因?yàn)橛脩羯矸蒡?yàn)證需要時(shí)間，特別是加密型的用戶身份驗(yàn)證。

4.3 防火墻的系統(tǒng)管理發(fā)展趨勢

防火墻系統(tǒng)管理的發(fā)展趨勢主要體現(xiàn)在以下幾個(gè)方面：

4.3.1 集中式管理，分布式和分層的安全結(jié)構(gòu)是將來的趨勢

集中式管理可以降低管理成本，并保證在大型網(wǎng)絡(luò)中安全策略的一致性。快速響應(yīng)和快速防御也要求采用集中式管理系統(tǒng)。目前這種分布式防火墻早已在 Cisco（思科）、3Com 等大的網(wǎng)絡(luò)設(shè)備開發(fā)商中開發(fā)成功，也就是目前所稱的“分布式防火墻”和“嵌入式防火墻”。另外“混合型”和“智能型”等新特性的防火墻也隨著企業(yè)的應(yīng)用需求而產(chǎn)生。

4.3.2 強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能

這兩點(diǎn)的應(yīng)用可以更早地發(fā)現(xiàn)潛在的威脅并預(yù)防攻擊的發(fā)生。日志功能還可以幫助管理員有效地發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞，及時(shí)地調(diào)整安全策略等各方面管理具有非常大的幫助。不過具有這種功能的防火墻通常較高級(jí)，早期的靜態(tài)包過濾防火墻是不具有的。

4.3.3 網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化

隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，現(xiàn)有一種提法，叫做“建立以防火墻為核心的網(wǎng)絡(luò)安全體系”。因?yàn)槲覀冊诂F(xiàn)實(shí)中發(fā)現(xiàn)，僅現(xiàn)有的防火墻技術(shù)難以滿足當(dāng)前網(wǎng)絡(luò)安全需求。通過建立一個(gè)以防火墻為核心的安全體系，就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線，各種安全技術(shù)各司其職，從各方面防御外來入侵。

如現(xiàn)在的IDS設(shè)備就能很好地與防火墻一起聯(lián)合。一般情況下，為確保系統(tǒng)的通信性能不受安全設(shè)備的影響太大，IDS設(shè)備不能像防火墻一樣置于網(wǎng)絡(luò)入口處，只能置于旁路位置。而在實(shí)際使用中，IDS的任務(wù)往往不僅在于檢測，很多時(shí)候在IDS發(fā)現(xiàn)入侵行為以后，也需要IDS本身對入侵及時(shí)遏止。顯然，要讓處于旁路偵聽的IDS完成這個(gè)任務(wù)太難，同時(shí)主鏈路又不能串接太多類似設(shè)備。在這種情況下，如果防火墻能和IDS、病毒檢測等相關(guān)安全產(chǎn)品聯(lián)合起來，充分發(fā)揮各自的長處，協(xié)同配合，共同建立一個(gè)有效的安全防范體系，那么系統(tǒng)網(wǎng)絡(luò)的安全性就能得以明顯提升。

1 常曉波、楊劍峰.安全體系結(jié)構(gòu)的設(shè)計(jì)、部署與操作［M］.北京：清華大學(xué)出版社，2003

2 張明光.電子商務(wù)安全體系的探討［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2005（2）：394～396

3 黃世權(quán).網(wǎng)絡(luò)安全及其基本解決方案［J］.科技情報(bào)開發(fā)與經(jīng)濟(jì)，2004（12）：240～241

4 嚴(yán)波.基于USB KEY的身份鑒別技術(shù)研究與應(yīng)用［J］.高性能計(jì)算技術(shù)，2005（6）：36～38

5 楊義先、鈕心忻.信息安全新技術(shù)［M］.北京：北京郵電大學(xué)出版社，2002