王非
【摘 要】随着计算机技术和通讯技术的迅速发展,特别是Internet的出现,使网络的重要性和社会的影响越来越大,网络安全问题也变得越来越重要。 防火墙在网络信息安全中的重要作用不容忽视。
【关键词】防火墙;网络安全
1.防火墙技术的概述
防火墙是防范网络攻击最常用的方法,从技术理论上看,如今的防火墙经过了多年的不断改进,已经成为一种先进和复杂的基于应用层的网关,不仅能完成传统防火墙的过滤任务,同时也能够针对各种网络应用提供相应的安全服务。防火墙技术的基本思想是限制网络访问,它把网络分为两个部分:外部网络和受保护网络(内部网络)。相比企业而言,外部网络一般指的是Internet,而受保护网络一般指企业自己建立的Internet 防火墙,放在受保护网络和外部网络之间, 防火墙(阻塞类防火墙)可以确保除非通过检查点的审查,否则你从网中将不能直接到达因特网。
2.防火墙的应用现状
2.1 包过滤防火墙和代理
防火墙的发展,经历了从早期的简单包过滤,到今天广泛应用的状态包过滤技术和应用代理。其中状态包过滤技术因为其安全性较好,速度快,得到最广泛的应用。应用代理虽然安全性更好,但它需要针对每一种协议开发特定的代理协议,对应用的支持不够好。从国外公开的防火墙测试报告来看,代理防火墙性能表现比较差,因此在网络带宽迅猛发展的情况下,已经不能完全满足需要。
此外,有的防火墙支持SOCK代理,这种代理屏蔽了协议本身,只要客户端支持SOCK代理,该应用在防火墙上就可以穿越。这种代理对于部分不公开的协议,如QQ的语音和视频协议,采用其他技术,在NAT情况下很难实现对该协议的支持,但QQ软件本身支持SOCK代理,如果防火墙支持SOCK代理协议,就可以实现对防火墙的穿越。但对于防火墙而言,不参与协议解码,也意味着防火墙对该协议失去了监测能力。
2.2 状态检测技术
下面,重点描述一下防火墙的状态检测技术。状态检测技术最早是CheckPoint提出的,也就是要监视每个连接发起到结束的全过程。对于部分协议,如FTP、H.323 等协议,是有状态的协议,防火墙必须对这些协议进行分析,以便知道什么时候,从哪个方向允许特定的连接进入和关闭。例如FTP,除了开始要建立命令通道外,还要动态协商数据通道。以PORT方式为例,PORT模式下的工作过程如下:
(1) 客户端向服务器21端口发起连接,建立控制命令通道;
(2) 客户端向服务器发出命令,要求建立数据连接;
(3) 客户端打开一个端口;
(4) 客户端通过PORT命令,从控制通道把端口号发给服务器;
(5) 服务器向客户端该端口发送一个主动连接。
从上述过程可以看出,客户端打开的端口号是未知的,所以防火墙必须对FTP控制通道的命令进行解码,从而知道协商后的端口号。然后,防火墙临时打开一个通道,允许服务器连接客户端的这个端口。对于状态防火墙,只需要通过ACL设置,开放该客户端对服务器的21端口连接。但对于以前的简单包过滤防火墙,如果想支持PORT模式,还得对外开放所有的端口,这显然是不安全的。
2.3 高保障防火墙
防火墙因为软件复杂,实现的功能较多,必须有操作系统支持,操作系统的安全是防火墙安全的基石。1998年,在中国一家机构和美国计算机学会ACM共同举办的国际会议上,我国首次提出了高保障防火墙的概念,其核心是防火墙与安全操作系统无缝集成,在防火墙上实现类似B级操作系统的机制,如标记、MAC、强实体认证等。建立了防止内部敏感信息泄漏的机制,达到既防外又防内的目标,又实现了传统防火墙的全部功能。
3.新型防火墙技术与优点
新型防火墙更应该加强放行数据的安全性,因为网络安全的真实需求是既要保证安全,也必须保证应用的正常进行。新型防火墙技术主要是综合包过滤和代理技术,克服二者在安全方面的缺陷;能从数据链路层一直到应用层施加全方位的控制;TCP/IP协议和代理的直接相互配合,使系统的防欺骗能力和运行的健壮性都大大提高;并且能够实现TCP/IP协议的微内核,从而在TCP/IP协议层能进行各项安全控制;基于上述微内核,使速度超过传统的包过滤防火墙;提供透明代理模式,减轻客户端的配置工作;支持数据加密、解密(DES和RSA),提供对虚拟网VPN的强大支持;内部信息完全隐藏等。新型防火墙技术不仅覆盖了传统包过滤防火墙的全部功能,而且在全面对抗IP欺骗、SYNFlood、ICMP、ARP等攻击手段方面有显著优势,增强代理服务,并使其与包过滤相融合,再加上智能过滤技术,使防火墙的安全性能有很大提高。
3.1 分布式防火墙技术
在新的安全体系结构下,分布式防火墙代表新型防火墙技术的发展潮流,它可以在网络的任何交界和节点处设置屏障,从而形成了一个多层次,多协议,内外皆防的全方位安全体系,它的主要功能如下:
(1)Internet访问控制依据工作站名称、设备指纹等属陛,使用“Internet访问规则”,控制该工作站或工作站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的Internet Web服务器,某个用户可否基于某工作站访问www服务器,同时当某个工作站/用户达到规定流量后确定是否断网。
(2)应用访问控制通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测,控制来自局域网/Internet的应用服务请求,如SQL数据库访问、IPX协议访问等。
(3)网络状态监控实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息。
(4)黑客攻击的防御抵御包括Smurf拒绝服务攻击、ARP欺骗式攻击、Ping攻击、Trojan木马攻击等在内的近百种来自网络内部以及来自Internet的黑客攻击手段。
(5)日志管理对工作站协议规则日志、用户登陆事件日志、用户Internet访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。
(6)系统工具包括系统层参数的设定、规则等配置信息的备份与恢复、流量统计、模板设置、工作站管理等。
分布式防火墙克服了传统防火墙的缺陷,它的优势在于:在网络内部增加了另一层安全,有效抵御来自内部的攻击,消除网络边界上的通信瓶颈和单一故障点,支持基于加密和认证的网络应用;与拓扑无关,支持移动计算。
3.2 嵌入式防火墙技术
嵌入式防火墙就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。嵌入式防火墙也被称为阻塞点防火墙。由于互联网使用的协议多种多样,所以不是所
有的网络服务都能得到嵌入式防火墙的有效处理。嵌入式防火墙工作于IP层,所以无法保护网络免受病毒、蠕虫和特洛伊木马程序等来自应用层的威胁。就本质而言,嵌入式防火墙
常是无监控状态的,它在传递信息包时并不考虑以前的连接状态。
3.3 智能防火墙技术
智能防火墙从技术特征上,是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。新的数学方法,消除了匹配检查所需要的海量计算,高效发现网络行为的特征值,直接进行访问控制。由于这些方法多是人工智能学科采用的方法,因此被称为智能防火墙。
4.总结
从目前防火墙产品及其功能上,可以看到防火墙的扩展功能将进一步完善,而且随着算法的优化,使对网络流量的影响减低到最少IP。的加密需求越来越强,安全协议的开发是一大势点。对网络攻击的检测和告警将成为防火墙的重要功能,将逐步建立和完善入侵检测数据库。