基于网络安全的防火墙技术

张沧洪

0 防火墙的基本概念

防火墙(Firewall)最开始用于建筑行业,它是指在构建房间时,为了防止火势从一个房间蔓延到另一个房间所设计的一堵墙。伴随着网络的发展,这一名称被借用过来并应用到计算机网络(主要指Internet)安全中,这样防火墙有了自己新的定义,指在两个网络之间强制实施访问控制策略的一个系统或一组系统。当然这个系统可以由硬件组成,可以由软件组成,也可以是由它们共同来完成。它主要有以下特性:所有的从内部到外部或从外部到内部的通信都必须经过它;只有内部访问策略授权的通信才允许通过;系统本身具有高可靠性。能防止内部信息的泄露。通过利用防火墙对内部网络的划分,可实现内部重点网段的隔离。

1 防火墙的体系结构

防火墙的体系结构主要有三种:双重宿主主机体系结构、屏蔽主机体系结构和屏蔽子网体系结构。

1.1 双重宿主主机体系结构

围绕具有双重功能的主机设计的,它能提供高级别的控制能力。它通过在主机中插入两块网卡实现硬件连接,这就好比是在两个网络中间加上两个路由器,但是这两个路由器的数据交换是单向通信的。

1.2 屏蔽主机体系结构

屏蔽主机体系结构是使用一个单独的路由器来提供内部网络主机之间的服务,利用包过滤和代理功能实现。在进行通信时,内部网络不直接参与同外部网络的通信,而是先和另外一个网络或者设备通信,这个设备再和外部网络通信。

1.3 屏蔽子网体系结构

屏蔽子网体系结构在屏蔽主机体系结构的基础上添加额外的安全层,通过添加周边网络把内部网络更进一步地与外部网络隔开。比较简单的形式是设置两个屏蔽路由器,一个位于周边网络和内部网之间,另一个位于周边网络和外部网之间。在这两个连接层上设置不同的安全定义,使得侵袭者必须要攻破两个路由器构建的防火墙,因此提高了网络的安全性。

2 防火墙的类型

防火墙的实现方式多种多样,根据防火墙所采用的技术,防火墙主要分为数据包过滤、应用代理、复合型三种。

2.1 包过滤型防火墙

这种类型的防火墙主要针对的是前面提到的双宿主主机体系结构。包过滤型防火墙处于 TCP/IP 协议的 IP 层,它根据定义好的过滤规则审查每个数据包并确定数据包是否与过滤规则匹配,从而决定数据包的转发或丢弃。过滤规则是按顺序进行检查的,直到有规则匹配为止。如果没有规则匹配,则按缺省的规则执行。防火墙的缺省规则应该是禁止。包过滤型防火墙只能实现基于 IP地址和端口号的过滤功能,它实际上是控制内部网络上的主机直接访问外部网络,而外部网络上的主机对内部网络的访问则要受到限制。

2.2 应用代理型防火墙

应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。代理服务是运行在防火墙主机上的专门的应用程序或服务器程序,这些程序根据安全策略接受用户对网络服务的请求并将它们转发到实际的服务。代理服务不允许通信直接经过外部网和内部网。代理服务器不仅仅能够转送用户的请求到真正的网络主机,代理服务器还能够控制用户能做什么,根据安全策略,请求可以被允许或拒绝。

2.3 混合型防火墙

混合型防火墙是把过滤和代理服务等功能结合起来形成新的防火墙,所用主机称为堡垒主机,负责代理服务。当前的防火墙产品已不是单一的包过滤或代理服务器型防火墙,而是将各种安全技术结合起来,形成一个混合的多级防火墙,以提高防火墙的灵活性和安全性。这样系统的安全性能又能得到进一步的提升。

3 防火墙的关键技术

防火墙的几种关键技术:包过滤技术、代理技术、地址翻译(NAT)技术、SOCKS技术、状态检查技术(State Specification)、VPN技术、内容检查技术。

3.1 包过滤技术

包过滤技术是防火墙中的一项主要安全技术,通过对进出网络的数据流进行控制与操作。系统管理员可以制定一系列规则,允许指定哪些类型的数据包可以流入或流出内部网络,哪些类型的数据包传输应该被拦截。现在的一些包过滤防火墙不仅根据IP数据包的地址、方向、协议、服务、端口、访问时间等信息来进行访问控制,同时还对任何网络连接和当前的会话状态进行分析和监控。

与传统防火墙对比,现在的一些包过滤防火墙采用了基于连接状态检查的包过滤,将属于同一连接的所有包作为一个整体的数据流看待,通过规则表与连接状态表的共同配合,同时还考虑与它与前面包的关联性,极大地提高了系统的性能和安全性。

对基于UDP、ICMP协议的应用来说,很难用简单的包过滤技术进行处理的。因为UDP协议本身对于顺序错误或丢失的包,是不做纠错或重传的。而ICMP与IP位于同一层,它被用来传送IP的差错和控制信息。现在的一些包过滤防火墙在对基于UDP协议的连接处理时,会为UDP建立虚拟的连接,同样能够对连接过程状态进行监控,通过规则与连接状态的共同配合,达到包过滤的高效与安全。

现在包过滤技术逐渐由“傻瓜型”向“智能型”发展,从一种被动的规则检查方式变为多级并行或串行或串并行混合的复杂检查方式。采用包过滤技术的优缺点:一般采用包过滤技术所用的时间很少或几乎不需要什么。另外,应用包过滤技术对终端用户和应用程序是看不见的,不需要专门的用户培训或在每台主机上设置特别的软件。然而包过滤器规则可能是一项复杂的工作,因为网管员需要详细地了解Internet各种服务、包头格式和希望在每个域查找的特定的值。如果必须支持复杂的过滤要求的,则过滤规则集会变得很长和很复杂,从而很难管理。同时,吞吐量会随过滤器数量的增加而减少。如果包过滤程序对每个包都执行所有过滤规则的话,这可能消耗CPU的资源,并影响一个完全饱和的系统性能。

3.2 代理技术

代理技术指的是应用代理或代理服务器技术,具体为一个代理内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求确认后送达外部服务器,同时将外部服务器的响应状态再返回给用户。

代理服务:现在的一些包过滤防火墙中对FTP,TELNET,HTTP,SMTP,POP3和DNS等应用实现了代理服务。这些代理服务对用户是透明的(Transparent),即用户意识不到防火墙的存在,便可完成内外网络的通讯。

代理服务器可以屏蔽内部网的细节,使非法分子无法探知内部结构。能够屏蔽某些特殊的命令,禁止用户使用容易造成攻击的不安全的命令,从根本上抵御攻击。同时,还能够过滤不安全脚本,如ActiveX,Java Applet,JavaScript以及进行邮件过滤。

连接流量:现在的一些包过滤防火墙的代理服务器提供了对连接流量的控制功能,系统管理员可以根据内部网络的需要增大或减少某一代理(FTP,HTTP,TELNET,SMTP,POP3,DNS等)的流量,更有效地利用资源,减轻防火墙的负荷。而且,现在的一些包过滤防火墙采用了多线程多连接技术,使系统可以对出入防火墙的所有应用层连接进行统一的管理,处理速度快,处理进程多,保证了系统的高效性。

3.3 地址翻译(NAT)技术

网络地址翻译可以对外隐藏内部的网络结构,外部攻击者无法确定内部计算机的连接状态。并且不同的时候,内部计算机向外连接使用的地址都是不同的,给外部攻击造成了困难。同样NAT能通过定义各种映像规则,屏蔽外部的链接请求,将链接请求映射到不同的计算机中。网络地址翻译都和IP数据包过滤一起使用,构成了一种更复杂的包过滤型的防火墙。仅仅具备包过滤能力的路由器,其防火墙能力还是比较弱,抵抗外部入侵的能力也较差,而和网络地址翻译技术相结合,就能起到更好的安全保证。

3.4 其它防火墙技术

除了以上的三个技术还有加密技术、安全审计、安全内核、身份认证、负载平衡等等。

4 防火墙的优缺点

4.1 防火墙的优点:

强化安全策略,保护易受攻击的服务。防火墙执行网络的安全策略,能过滤那些不安全的服务,拒绝可疑的访问大大降低非法攻击的风险,提高网络安全系数。

监视 Internet 的使用。防火墙也是审查和记录内部对 Internet 使用的一个最佳地方,可以在此对内部访问 Internet 的进行记录。

控制对特殊站点的访问。在内部网络中,只有邮件服务器、WWW 服务器和 FTP 服务器能被外部网络进行访问而其它主机则要被保护起来,防止不必要的访问。

实现网段控制,防火墙能够用来隔离网络中的网段,以避免一个网段中的问题在整个网络中传播。

4.2 防火墙的缺点

防火墙不能防范内部攻击。防火墙可以很好地防止外部用户获得敏感数据。但是它没法防止内部用户偷窃数据、拷贝数据、破坏硬件和软件等。

访问限制,很可能屏蔽掉一些需要的服务。

防火墙不能防范所有的威胁。不能防范已感染病毒的文件,不能有效地防范网络中和计算机中的所有病毒。没有一个防火墙能够自动有效地防御所有的威胁。防火墙不是解决所有网络安全问题的“万灵丹”,而只是网络安全政策和策略中的一个组成部分。它的应用只是为网络通信提供了更可靠的安全保障。

防火墙降低了整个网络的流量,减慢了整个系统的运行。大多数的防火墙技术都是增加相应的层来实现,所以会增加相应的响应时间。

5 防火墙将来的发展趋势

现在网络防火墙技术在不断地发展,现在的防火墙已经不仅仅是以前传统的防火墙的含义,己经成为一个网络安全技术集成的代名词。从目前来看,防火墙正向以下方向发展:

5.1 对网络上数据传输信息的安全,对IP的加密需求越来越强。安全协议的开发成了一个新的热点。用防火墙在在Internet上建立VPN成了现在组建企业内部网络的一种发展趋势。

5.2 防火墙的过滤深度和广度不断加强。从主要的网络层的单层过滤,以及目前的源和目的地址、网络服务类型、路由过滤,发展到内容过滤、URL页面审查、防病毒和对存在严重安全缺陷的ActiveX、恶意Java Applet等的过滤。

5.3 防火墙将从目前只对被保护的内部网络的管理方式向远程上网集中管理方式发展;

5.4 现在的防火墙虽然能对外部网络的攻击进行有效的防护,但对来自内部网络的攻击却无能为力。因此增加对内部网络用户的防护,加强对网络攻击的检测和告警将成为防火墙今后的一项重要任务。

5.5 安全管理和审计将不断完善,特别是可疑活动的审计文件分析工具等开发将成为防火墙产品中的一个重要部分。没有百分之百的网络安全解决方案,所以必须加强网络安全管理和安全审计的强度。

5.6 防火墙将从目前被动防护状态转变成为一种智能的、能够动态防护内部网络的、井集成日前各种信息安全技术的网络安全产品,它将不再是传统意义上的防火墙。

参考文献

[1]高永强,郭世泽等.网络安全技术与应用大典.北京:人民邮电出版社,2003年,23-37.

[2]徐荣生,吴海燕.网络信息安全的关键技术.计算机世界,2000(18):C7-C9.

[3]魏亮.网络安全策略研究.电信网技术.2004(12):18-22.

[4]杨建红.计算机网络安全与对策.长江铁道学院学报(社会科学版),2005(1):236-237.

[5]张桂香.网络信息安全与对策.内蒙古科技与经济,2001(5):78-79.

[6]王国伟,贾宗璞.基于防火墙的网络入侵检测研究与设计.计算机与数字工程,2005(5):127-128.

[7]李涛.网络安全概论.北京:电子工业出版社,2004:3-250.

[8]孙延衡.网络信息安全隐患及其防御.情报杂志,2002(7): 58-59.