网络安全与对未来防火墙技术的展望

网络安全与对未来防火墙技术的展望



摘要：虽然防火墙是目前保护网络安全的有效手段,但也有明显不足。该文通过对现有防火墙技术的弱点和局限性分析,提出了未来防火墙技术的发展趋势。

关键词：网络安全、防火墙、包过滤



1 前言



随着计算机网络技术的突飞猛进,网络安全问题已经日益突出地摆在各类用户的面前。网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障 ,是最先受到人们重视的网络安全技术。但随着网络技术在社会各个领域的广泛应用 ,人们进入网络的多样化 ,信息网络安全的内涵发生了根本的改变,现有的防火墙技术在网络安全保障方面已经明显不足 , 一种新的防火墙技术的发展思路迫在眉睫 。



1. 1 防火墙的概念及作用



防火墙技术是保护计算机网络安全最成熟、最早产品化的技术措施 。是在两个网络 (内网和外网)之间执行控制策略的系统。防火墙可以是纯硬件的 ,也可以是纯软件的 , 还可以是软、硬件兼而有之的 。防火墙在内网和外网之间构成了一道屏障 ,它监测、限制和更改通过它的数据流, 对外屏蔽内部网的信息、结构和运行状况,以防止发生网络入侵和攻击,实现对内部网的安全保护。防火墙实质上就是一种隔离控制技术,从逻辑上看它既是一个分析器又是一个限制器。它要求所有进出的网络数据流都应该经过它,并且所有穿过它的数据流都必须有安全策略和计划的确认和授权。其工作原理是：按照事先规定好的配置和规则 ,监测并过滤所有通向外网或外部网络传来的信息,只允许授权的数据通过。防火墙还应该能够记录有关连接的信息、服务器的通信量以及试图闯入者的任何企图事件,以方便管理员的检测和跟踪。防火墙本身应该具备较高的抗攻击性。



虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足：无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。



2 防火墙的分类和各自的优缺点



根据防火墙所采用的技术不同,我们可以将它分为四种基本类型：包过滤型、网络地址转换-NAT、代理服务器和状态监测器。



2. 1 包过滤型(IP Filting Firewall)



包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包 ,每一个数据包中都会包含一些特定信息,如数据的源地址、

目标地址、TCP /UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷和局限性也是明显的,主要表现在以下3个方面：

(1)在机器中配置包过滤规则比较困难。

(2)对包过滤规则设置的测试也很麻烦。

(3)许多产品的包过滤功能都有这样或那样的局限性,找到一种比较完整的包过滤产品很难。

包过滤系统本身就存在某些缺陷,这对系统安全性的影响要大大超过代理服务对系统安全性的影响。代理服务只会使数据无法传送,而包过滤则会使得平常应该拒绝的包也能进入网络,这对系统的安全性是一个巨大的威胁。

2. 2 网络地址转换-NAT

NAT英文全称是“Network Address Translation”, 中文意思是“网络地址转换”,它是一个IETF (Internet Engineering Task Force,Internet工程任务组)标准 ,允许一个整体机构以一个公用IP(Internet Protocol)地址出现在 Internet上。顾名思义 ,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。所有内部的IP地址对外面的人来说是隐蔽的。因为这个原因,网络之外没有人可以通过指定IP地址的方式直接对网络内的任何一台特定的计算机发起攻击。如果因为某种原因公共IP地址资源比较短缺的话,NAT可以使整个内部网络共享一个IP地址。可以启用基本的包过滤防火墙安全机制,因为所有传入的包如果没有专门指定配置到NAT,那么就会被丢弃。内部网络的计算机就不可能直接访问外部网络。NAT的缺点和包过滤防火墙的缺点是一样的。虽然可 以保障内部网络的安全,但它也有一些类似的局限。而且内网可以利用现在流传比较广泛的木马程序通过NAT做外部连接,就像它可以穿过包过滤防火墙一样的容易。



2. 3 代理服务器(Proxy Server)



代理服务器通常也称作应用级防火墙。包过滤防火墙可以按照IP地址来禁止未授权者的访问。但是它不适合单位用来控制内部人员访问外界的网络 ,对于这样的企业来说应用级防火墙是更好的选择。所谓代理服务, 即防火墙内外的计 算机系统应用层的链接是在两个终止于代理服务的链接来实现的,这样便成功地实现了防火墙内外计算机系统的隔离。代理服务是设置在Internet防火墙网关上的应用,是在网管员允许下或拒绝的特定的应用程序或者特定服务,同时,还可应用于实施较强的数据流监控、过滤、记录和报告等功能。一般情况下可应用于特

定的互联网服务,如超文本传输(HTTP)、远程文件传输(FTP)等。代理服务器通常拥有高速缓存,缓存中存有用户经常访问站点的内容,在下一个用户要访问同样的站点时,服务器就用不着重复地去找同样的内容,既节约了时间也节约了网络资源。

代理服务器像真的墙一样挡在内部用户和外界之间 ,特别是从外面来的访问者只能看到代理服务器而看不见到任何内部资源,诸如用户的IP等。而内部客户根本感觉不到它的存在,可以自由访问外部站点。代理可以提供极好的访问控

制、登录能力以及地址转换功能,对进出防火墙的信息进行记录,便于管理员监视和管理系统。但代理服务器同时也存在一些不足,特别是它会使网络的访问速度变慢,因为它不允许用户直接访问网络,而代理又要处理入和出的通信量,因此每

增加一种新的媒体应用,都必须对代理进行设置。



2. 4 状态监视器(Stateful Inspection)



状态监视器作为防火墙技术其安全特性最佳,它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充。与其他安全方案不同,当用户访问到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定,安全报警器就会拒绝该访问,并作下记录向系统管理器报告网络状态。状态监视器的另一个优点就是可以监测Remote Procedure Call(远程过程调用)和 User Datagram Protocol(用户数据协议)类的端口信息。其缺点是状态监视器的配置非常复杂,而且会降低网络的速度。



3 防火墙发展展望



3. 1 高性能的防火墙需求



高性能防火墙是未来发展的趋势,突破高性能的极限就是对防火墙硬件结构的调整。而对于高端防火墙的技术实现,现今主要分为三种方式:基于通用处理器的工控机架构、基于NP技术、基于ASIC芯片技术。工控机架构最大的优点是其灵活性,但在大数据流量的网络环境中处理效率会受影响,所以在面对高性能这一方面,将面临淘汰和走进低端产品市场的趋势。NP技术是近年来的一个技术突破点,其优势在于网络底层数据的转发和处理,但如果要实现安全策略的控制和 审核,特别是对于应用层的深度控制方面还需要大量的研发工作,相对于接口方面的开发难度,已经局限了它更深层次的发展。ASIC技术虽然开

发难度大,但却能够保障系统的效率并很好地集成防火墙的功能,在今后网络安全防护的路途上,防火墙采用ASIC芯片技术将要成为主导地位。



经过初步发展 ,从目前的防火墙市场来看,国内外防火墙厂商基本上都可以很好地支持防火墙的基本功能,包括访问控制、网络地址转换、代理、认证、日志审计等。但是, 如上所述, 随着网络攻击的增加,以及用户对网络安全的要求日益提高,防火墙必须有进一步的发展。结合目前的研发经验和成果,从应用和技术发展趋势来看,如何增强防火墙的安全性,提高防火墙的性能,丰富防火墙的功能,将成为防火墙厂商下一步所必需面对和解决的问题。



3. 2 防火墙安全三元素



在网络安全问题上,首先需要明确的一点就是,成功的网络安全解决方案必须是由一系列技术、方案组成的立体架构,这要求安全厂商必须建立广泛的合作。从目前来看,为了提高网络安全性,已经涌现出了IDS、反病毒、内容过滤、反垃圾邮件等众多安全技术。将这些技术都集成到防火墙中,做一个大而全的安全防火墙是不现实的,其结果是极大的牺牲防火墙的性能。因此, 安全厂商必须一起制定更加开放的联动协议, 从而构建起完整的安全体系,这将成为防火墙厂商以及所有其他安全设备厂商将来的目标与责任。

从安全技术来看,审计是极为重要的一环,其功能设计有待加强。对于防火墙而言, 其审计功能可以认为是防火墙主系统与审计子系统的联动,而不只是简单的日志。日志是对网络中发生的事件进行记录,是进行审计的素材。在日志的基础上,防火墙的审计系统不但能够追踪过去网络中发生的事件,按照审计策略得到审计结果,而且能使用户实时监控网络中的各种事件,得到实时的报警信息, 在第一时间进行响应。目前大多数防火墙的审计功能只是指简单的日志,因而实现更加全面和有效的审计功能,也将成为是防火墙厂商今后的目标。

另外一个需要重视的问题是防火墙系统自身的安全性。因为防火墙本身就是网络安全的重要组成部分,它建立在不断地同破坏网络安全的行为斗争的基础上,其安全性是动态的,需要便捷的补丁、升级能力,具备一定的自我修复能力。因而 提高防火墙系统自身的安全性,使其具备方便的升级与加载功能,也是防火墙厂商应该解决的问题。



3. 3 丰富功能设计



纵观多种防火墙产品,用户在选择时,对于产品功能丰富与否都会非常重视。在中低端防火墙市场,提供更多的增值功能是未来的重要趋势。例如,支持广域网口、路由协议的防火墙可能会替代部分防火墙加路由器的传统组合；在防火墙中支持IPSEC协议族,

可以实现虚拟专用网,有效保护数据的安全性、完整性；使防火墙支持PKI客户端，可以实现动态的密钥管理,构建有序的网络体系。高端防火墙虽然对功能的要求相对简单,但是为了满足运营商的租赁防火墙的需求和对可靠性的要求,解决基于多个转发的虚拟防火墙技术和支持Session 转移的双机设备将成为高端防火墙发展的目标。



3. 4 不懈追求高性能



多功能、高安全性的防火墙可以让用户网络更加无忧,但前提是要确保网络的运行效率,因此在防火墙发展过程中,必须始终将高性能放在主要位置。目前来看,解决高速转发问题主要有三种方案：

首先,提高防火墙性能的最简单的方法是使用更高性能的硬件平台,比如可以采用多个CPU和SMP软件结构,加大DRAM容量来强行提升转发性能,但这种防火墙并不能从根本上提升性能,同时也会带来成本过高的问题。

第二种方案是通过专用的ASIC芯片来实现高速转发,其优点在于可以达到最优的性能,难度在于ASIC芯片的设计上。ASIC开发的周期很长,开发投入很大。

第三种方案是通过选用合适的网络处理器或者网络处理芯片的组合以达到线速转发的性能要求。这种方案的优点在于网络处理器功能比较灵活,可以针对用户需求快速推出各种新功能。由于难度较小,同时也可以达到较高的性能,这种方案将在未来一段时间内成为防火墙实现高性能的主要解决方案。

目前防火墙在安全性、效率和功能方面的矛盾还比较突出。防火墙的技术结构,往往是安全性高就会效率低,效率高就会以牺牲安全为代价。未来的防火墙要求是高安全性和高效率。重新设计防火墙的技术架构是未来防火墙的方向之一。 主要有以下几个方向：

(1)在包过滤中引入鉴别授权机制。防火墙的安全机理是可控性,主要的实现方式是访问控制。可控性就是能够控制信息的流向和使用者的行为方式。包过滤防火墙对包的流向方面有很好的控制办法,但对使用者的行为方式的控制是间

接来完成的。它假设每一个IP地址对应一个假如使用静态IP地址的用户,或一组地址对应一组假如使用动态IP地址的用户。这个假设经常会失效,因为会出现使用别人的IP地址或伪造IP地址,因此会出现很多的安全漏洞和攻击。尽管可

以使用IP地址和MAC地址绑定,但这不能从根本上解决问题。对用户行为方式的控制的最有效的办法就是执行鉴别授权机制。

(2)复变包过滤技术。复变包过滤技术,是指防火墙采用多级并行或串行或串并行混合的复杂结构方式,根据状态和条件确定下一级转发去向,在每一级都有一个子包过滤的复杂结构的防火墙。这种结构方式颇类似于滤

波器的结构方式。如果说目前的防火墙是一个被动的规则检查的“傻瓜”防火墙的话,那么复变包过滤防火墙则是智能化的防火墙,因为复变包过滤技术具有根据安全需要确定下一级去向的功能,是一个策略根据条件不断变化的动态的智能防火墙。已经有一些类似的概念,例如入侵检测(IDS)与防火墙互动,目前已经有很多厂商包括 Check Poin提出的开放平台的概念等,都是一种简单的复变过滤技术,在不同产品之间简单实现一个或两个这样的特性,是一种努力,但存在很多问题。比如说, IDS和防火墙搭配,如果防火墙在IDS给出反馈之前没有防住,IDS系统就面临攻击的可能,IDS如果被攻击,这种努力就失败了。在内核一级实现,并且是比较系统地实现,在技术上才是一个大的突破。

(3)虚拟专用防火墙(VPF)。很多人了解虚拟专用网(VPN), VPN的一个特点是对用户来讲, 整个网络好像是给个人专用的。防火墙是一个内部网络公用的,那么虚拟专用防火墙就好像是给个人专用的。因为给个人专用,那么很安全。VPF 针对具体的用户给出特有的安全规则集。当用户要求使用防火墙时,防火墙首先确认用户身份,对用户进行鉴别,然后动态地创建一个虚拟的接口给用户,调查用户的安全规则集,加载在该虚拟接口上,其他用户看不到该接口,由于采用状态记忆技术,只有该用户才可以使用该接口,用户不使用时,该虚拟接口自动消失。VPF像VPN一样,具有极大的安全性,而且是透明的,基本上接近线速,是高安全性、高性能、应用透明的下一代防火墙。

(4)多级防火墙。这种防火墙对传统防火墙的假设提出了挑战。所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分

组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址；在传输层一级,遵循过滤规则,过滤掉所有禁止出或入的协议和有害数据包如nuke包、圣诞树包等；在应用网关(应用层)一级,能利用FTP、SMTP等各种网关,控制和监测

Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层,从这个概念出发,又有很多内容可以扩展,为将来的防火墙技术发展打下基础。



4 结束语



目前防火墙已经在Internet上得到了广泛的应用，而且由于防火墙不限于TCP/IP协议的特点，也使其逐步在Internet之外更具生命力。客观的讲，防火墙并不是解决网络安全问题的万能药方，而只是网络安全政策和策略中的一个组成部分，但了解防火墙技术并学会在实际操作中应用防火墙技

术，相信会在新世纪的网络生活中让每一个人都受益菲浅。

随着计算机功能的日益强大及传输带宽的不断加宽,计算机系统将进入一个全新的时代。它不仅具有强大的计算能力, 而且还具有强有力的认证与加密机制,每个系统将具有自己的防火墙。未来防火墙将是基于高速带宽网络的更加智能化

的,并具有更加强大的安全性的防火墙系统。然而,入侵与反入侵始终伴随着计算机网络技术的发展,在人们全力研究推出新一代高性能智能化防火墙系统的同时, 基于智能化专家系统的入侵者也会出现。所以,绝对的网络安全并不存在。在我们利用防火墙来构件网络安全机制的同时,还必须从思想上提高我们自身的安全防范意识。

随着网络的广泛应用和普及，网络入侵行为、病毒破坏、垃圾邮件的处理和普遍存在的安全话题也成了人们日趋关注的焦点，做为网络边界的第一道防线，由最初的路由器设备配置访问策略进行安全防护，到形成专业独立的防火墙产品,已经充斥了整个网络世界。做为保护网络边界的安全产品，防火墙技术也已经逐步趋于成熟，并为广大用户所认可。但是防火墙所暴露的问题也慢慢的凸现出来，面对未来高端防火墙的发展趋势，无论是从用户还是产品供应商，都不可避免的推向了一种对新型防火墙技术需求的角度。

随着网络处理器和ASIC芯片技术的不断革新，高性能、多端口、高粒度控制、减缓病毒和垃圾邮件传播速度、对入侵行为智能切断、以及增强抗DoS攻击能力的防火墙，将是未来防火墙发展的趋势。