史登勇
(六盘水师范学院)
近年来,互联网信息技术快速发展,越来越广泛的应用于人们的日常生活.与此同时,网络安全问题也显得尤为突出,在复杂的网络大环境中,由于网络遭到破坏而产生的损失不计其数,网络安全成为互联网进一步发展的一大阻力.虽然,防火墙技术一直在不断完善,但是信息技术的快速更新换代,让很多问题防不胜防.计算机技术在不断进步,但是非法入侵的手段也是层出不穷,防火墙作为最坚实的一道防线,对其的要求也更为严格.研究防火墙技术发展的每一个阶段及其工作原理,对于提高防火墙技术有着重要的作用.
防火墙是一种存在于内部网络跟外部网络之间的维护网络安全的系统.其实就是,通过软件设备跟硬件设备相互组合形成的,可以存在于内部网络跟外部网络、专用网络和公用网络之间的系统保护程序.计算机硬件跟软件相互结合,在不同网络之间形成一个安全网关,可以避免外部非法用户的入侵,保护内部网络安全.一般的防火墙将都是由“服务访问规则、验证工具、包过滤和应用网关”4个部分构成,所有进出计算机的信息和数据都必须通过这道防火墙检测.
每一次计算机技术的更新换代,也代表着防火墙技术的一次质的飞跃.根据传统防火墙技术的发展过程和技术特点,划分传统防火墙技术发展阶段最常见的方法是将其分为三个阶段:第一个阶段是基于路由器的第一代包过滤防火墙,第二阶段是基于代理技术的第二代防火墙,第三阶段是基于动态包过滤技术的第三代防火墙.对于传统防火墙的划分,还有不同的方法,有的研究者会将传统防火墙的发展分为五个阶段.到底哪种划分更为科学合理,一直都是仁者见仁智者见智.由于,按照阶段划分传统防火墙的方法一直存在分歧,所以人们更倾向于按照功能来进行划分,可以分为四种类型:包过滤、状态检测、电路层网关、应用层网关,其它类型的防火墙也可以参照这些基本类型为研究基础.
通过研究传统防火墙技术,发现不同类型防火墙技术都是根据不同的技术原理,并且在功能上都有自己优点和不足之处,具体如下.
(1)包过滤防火墙.这种类型的防火墙又叫网络级防火墙,它是第一代防火墙,在OSI中的工作层次主要是第三、第四层.这种防火墙技术的工作原理主要是:在相互连接的网络设备中,加载一些特殊的指令,如:允许或者禁止来自某些特定的源地址、目标地址、TCP终端号等,通过相应指令对设备的数据包进行一系列检查,限制有危险性的数据包进出内部网络.这种类型防火墙的优点很明显,可以对用户保持极高的透明的度,并且工作效率极高.但是它也存在很严重的缺点,这种防火墙不能完全控制网络上大量流动的信息,只能进行最初级安全维护,面对技术含量高的攻击毫无抵抗力,并且很难进行维护升级,无法从根本上维护用户的安全.
(2)状态检测防火墙.状态检测防火墙又被称为动态包过滤防火墙,它是传统防火墙技术发展的第三代,在OSI中的工作层次也主要是第三、第四层.它的工作原理与包过滤防护墙完全不同,它是利用状态表对每一个用户的网络会话状态进行追踪,并利用规则表对每一个网络数据包进行检查,研究数据包是否符合会话所处的状态,从而对传输层进行完整的控制.这种防火墙技术的特点是技术性能很高,可以有效地规范网络层及传输层的行为,并且对用户保持较高的透明度;但是这种防火墙技术有一个很大的缺陷,就是它不能确保应用层的安全,导致系统仍然存在很强的安全风险.
(3)电路层网关防火墙.电路层网关是防火墙技术发展的第二代,又叫电路层代理防火墙,主要是作用于OSI中的会话层.这种防火墙技术的工作原理相对于其它技术来说比较复杂,它不允许内部终端跟外部终端通过TCP进行直接连接,必须建立两个独立的TCP连接,一个作用于防火墙跟内部主机之间,而另一个则作用于防火墙跟外部主机.来自外部网络的某个连接一旦被电路层防火墙所认可,此连接的TCP数据段就会被防火墙从外部连接转入内部连接,此时内部连接已经不需要对其中的内容再次进行重复检测.这种防火墙技术的最大特点是比应用层网关更为灵活,工作效率更高;但是这种技术对用户来说不是透明的,并且当用户需要安装比较特别的客户机软件时,用户需要其它接口辅助来完成软件安装或者改变防火墙设置,这种防火墙技术不能有效提高底层协议的安全性.
(4)应用层网关防火墙.应用层网关防火墙又被称为代理防火墙,它是传统防火墙技术发展的第二、第三代,主要是作用于OSI中的应用层.这种防火墙技术曾被普遍运用于网络安全维护,应为它的整个运作过程能够充分满足用户的需要.当代理服务器收到用户的连接讯号之后,它们会快速核实用户请求,然后通过特定的Proxy应用程序对连接请求进行进一步处理,再将处理后的请求传送到真实的服务器上,此时真实的处理器会很快做出应答,对信息进行快速处理后将答复反馈给用户.这种防火墙技术是比较成熟的,它的安全性能够得到保证,可以让一些安全策略有效实行,如身份验证等;再完美的技术也会存在漏洞,应用层网关防火墙技术要求每一个合法的服务都必须在代理服务器上才可以启动相应进程,这样做的后果是服务器的工作量非常大,且效率极低,对用户的透明度也不高,无法满足用户的使用需求.
其次,还有很经典的复合型防火墙,这是一种集合过滤状态检测与应用网关代理技术的防火墙,通过两种技术的结合,可以提高防火墙各方面的性能.通过对传统防火墙技术进行分析,发现传统防火墙技术的核心是包过滤.静态包过滤、动态包过滤、状态检测包过滤属于直接的过滤技术,可以对数据包进行直接过滤;而电路层代理、应用代理等技术属于间接过滤,他们不但会对数据包进行过滤还会对相关协议、内容以及数据等其他元素进行过滤,以维护用户安全.
防火墙作为保护网络安全的大门,防火墙技术已经是互联网技术中最成熟的技术之一,是网络安全管理员维护网络安全的坚实防御工具.但是,一直以来传统的防火墙的技术核心基本上都是包过滤技术.随着这种病毒的出现、黑客技术的提高,内部网络面临的风险日益增加,传统防火墙在这样的环境下可能不堪一击.网络中97%的通信流量都是由“HTTP、FTP、SMTP和DNS”等应用协议流组成,当这些协议被黑客攻击的时候,传统的包过滤防火墙根本无力阻挡.近年来,黑客入侵造成网络危害的事故屡见不鲜,很多黑客在网络上传播蠕虫病毒,蠕虫病毒利用用户系统的漏洞进行传播、侵入系统,给广大网络用户造成无法预计的损失.可以说黑客跟蠕虫病毒的结合,是传统防火墙面临的最巨大的威胁.
虽然人们一直在寻求传统防火墙技术的突破,人们将防火墙、VPN、防病毒网关、防拒绝服务攻击网关、IDS等维护网络安全的产品叠加,希望以此增强防火墙的能力.虽然这种方法在某种程度上能够解决一些问题,但是却会衍生出其他问题:
(1)在这方面的成本会成倍提高;
(2)叠加的产品越多,存在的安全隐患也越多;
(3)多个设备相互合作虽然能够全方面维护网络安全,却会产生网络性能瓶颈.
互联网世界瞬息万变,为了维护网络安全,必须采用新技术来解决目前的问题.互联网世界容不得丝毫懈怠,只有不断创新、不断进步,寻找更加先进的技术,才能将维护网络安全的主动性掌握在自己手中.旧的防火墙技术已然不能满足当下的需要,新的防火墙技术也就应运而生.
新的防火墙技术更加注重数据的安全性,在这样的情况下防火墙不仅仅是维护网络安全,也要保证各种应用能够正常进行.因此,新的防火墙技术较传统的防火墙技术来说,新增代理体系,不但包含过滤网功能,还可以在应用层进行代理.先进的过滤网以及代理体系可以实现从数据链路层到应用层的全方面系统维护,通过TCP/IP协议跟代理体系的相互合作,为用户提供完全公开透明的代理模式,从而减少客户端的安全配置,提高系统的防御能力和运行速度.新的防火墙技术不但具有访问控制功能,还新增了其它的新技术,使得防火墙的安全性进一步提高.
3.1.1 概念
智能防火墙技术是通过统计、储存、概率以及决策的形式对数据进行识别,从而进行访问控制.新技术的运用,不但可以减少匹配检查所需要进行的计算过程,还可以迅速发现网络行为的特征值,达到直接控制访问的目的.因为这种方法最早是适用于人工智能学科,所以被称为智能防火墙.智能防火墙主要是运用AAA技术、防扫描技术、防攻击技术、包擦洗和协议正常化技术、入侵防御技术、防欺骗技术,来实现整个网络安全的维护.
3.1.2 AAA 技术
IP v4版本有一个最大的缺陷,就是不能进行身份认证,为了弥补不足,IP v6版本新增了此功能.但是IP v6版本还没有完全被人们所适应,相当长的时间内还是IP v4版本大行其道.
3.1.3 防扫描技术
智能防火墙新增放扫描技术,可以高效识别黑客的恶意扫描,并进行阻止或者给扫描者造成假象.目前最常用的扫描工具是 ISS、SSS、NMAP等,通过防扫描技术不但可以防止恶性扫描,还可以识别和解决恶意代码的恶性攻击,提高系统的防御性.
3.1.4 防攻击技术
防攻击技术是智能防火墙的主要技术之一,可以快速识别恶意数据,有效地阻断恶性数据攻击.比如“SYN Flooding,LandAttack,UDP Flooding,Fraggle Attack,Ping Flooding,Smurf,Ping of Death,Unreachable Host”等攻击,都可以通过防攻击技术轻易破解.
3.1.5 包擦洗和协议正常化技术
智能防火墙新增包擦洗技术,可以对“IP,TCP,UDP,ICMP”等协议进行擦洗,这种技术对于弥补TCP/IP协议的漏洞以及解决应用协议所带来威胁有着显著作用.通过挖掘协议存在的漏洞和风险,阻止恶性攻击,保证协议的正常运行.3.1.6 入侵防御技术
智能防火墙为了提高准许放行包的可靠性,会对准许放行包数据做入侵检测,并制定一定的入侵防御保护措施.实际上入侵防御技术是利用多种检测技术,通过检测已知的攻击以及未知的攻击,做好提前预防工作,保证系统的正常运行.3.1.7 防欺骗技术
智能防火墙防欺骗技术可以提供以MAC为基础的访问控制机制,可以高效预防MAC欺骗和IP欺骗,同时可以支持MAC过滤以及IP过滤,有效的把防火墙访问控制延伸到OSI的第二层.
智能防火墙可以有效地解决拒绝服务攻击的问题,病毒扩散问题、高级应用入侵问题,这个将是以后防火墙发展的主要方向.另一方面,智能防火墙技术作为新的防火墙技术与传统防火墙技术相比,具有更高的安全性,同时达到特权最小化、系统最小化、内核优化、系统更加稳固、网络性能提高等功能,这是防火墙技术产生质的飞跃的最佳表现.
3.3.1 入侵防御
智能防火墙为了提高准许放行包可靠性,会对准许放行包进行数据检测,并提供一定的入侵防御保护措施,这样做不但可以实现对深层数据包的有效检测,还可以高效的阻断恶性程序对应用层的恶意攻击,维护系统的安全.入侵防御是智能防火墙最广泛的应用领域,并在此领域取得了显著成果.
3.3.2 防黑客攻击领域
智能防火墙可以快速识别来自黑客的恶性攻击,并且快速的阻止恶性扫描者对系统进行恶意扫描,通过扫描工具可以快速发觉恶意讯号,并迅速做出处理,保证系统不被入侵,信息不被泄露,维护系统安全.
3.3.3 防范未知风险
智能防火墙有包擦洗技术,可以为 IP、TCP、UDP、ICMP等协议进行擦洗,发现协议存在的风险,阻断恶意攻击,从而保证协议能够正常运行.
总之,智能防火墙技术与传统防火墙技术相比,在保护网络完全、阻止黑客攻击、防止病毒扩散、监控系统风险等方面有着全面的提高,新的智能防火墙技术现在已经被广泛的应用于维护网络安全,并且取得了显著的成果.
随着网络攻击形式的千变万化,防火墙技术只有不断进步,才能满足维护网络安全的需要.现在的防火墙技术虽然取得了一定进步,但是他还需不断发展,未来的防火墙技术发展的趋势将体现在性能不断提高,技术另辟蹊径,功能增多这三个方面.
随着网络的快速发展,传统的防火墙技术早已无法满足用户需要,以后的防火墙速度会更快,功能更加多样,更加安全.在NP的框架下,防火墙不但可以快速处理数据包,还可以快速的对复杂内容进行分析,这些都需要NP微引擎和内核之间的通信机制相互配合,才可以完成.并且,NP的高速运行可以帮助实现整个网络的路由.所以,以后的防火墙可能会采用NP芯片作为专门的处理器,提高整个防火墙的性能.
现在普遍使用的过滤技术日趋成熟,由数据包到协议,由应用到内容,由内核空间到应用空间,都从简单变得复杂,过滤技术已经涉及到网络的方方面面.但是人们却忽视一点,防火墙的目的是执行访问控制,而不是过滤.过滤技术只是访问控制的一种技术,但不是访问控制技术的所有,现在人们对防火墙的要求不断提高,为了取得进一步突破,需要在技术上另辟蹊径,才能在复杂的网络大环境中取得胜利.
由于传统的防火墙在实际应用中有着很强的局限性,所以必须将不同的网络安全技术跟防火墙技术有机的结合起来,增强防火墙自身的功能.防火墙技术跟防病毒系统相互结合,可以迅速扫描病毒,将病毒扼杀在摇篮里;防火墙系统跟认证系统相互结合,可以提高认证系统的安全性;防火墙跟入侵检测系统的结合,可以随时检测网络动静,维护网络内外的稳定性.以后防火墙的功能会越来越多,从各方面维护系统安全,满足用户所有的需求.
防火墙作为维护网络安全的大门,是实现网络安全稳定的主要手段之一.如果运用合理的防火墙技术,可以在很大程度上增强网络的安全.虽然维护网络安全光靠防火墙技术是远远不够的,还需要其它技术的相互配合,在不同的部分应用不同的技术.但是对于防火墙技术的研究却不能够停止,只有不断进步,才能提高防火墙的防御能力,维护网络安全.
[1]占科.计算机网络防火墙技术浅析[J].企业导报,2011(11).
[2]玄文启.基于Internet的防火墙技术分析[J].中国科技信息,2011(19).
[3]张铁玉.浅谈Internet防火墙技术[J].硅谷,2011(6).