◆刘丽娜
防火墙防护应用技术及产品现状分析
◆刘丽娜
(济南职业学院 山东 250014)
本文阐述了防火墙技术的原理和功能特点,分析了国内产品的市场现状,并总结了防火墙技术产品的未来的发展趋势。
防火墙;网络安全;边界防护
防火墙是一种依据网络拓扑、应用种类、安全等级不同而采取逻辑隔离以加强网络安全程度的防护技术,其保护对象是有明确边界的一个或几个区域,即所谓“安全域”;防护对象则是位于既定安全域之外、对网络安全构成潜在威胁的风险。防火墙采用软件或硬件设备组合而成,限制不同安全区域之间的尤其是低安全等级区域向高安全等级区域的访问操作,作为一种经典的被动安全技术,防火墙假定安全边界的存在,非常适合于边界清晰的网络环境使用[1]。
防火墙的发展几乎是伴随着Internet而同期出现的,所经历的技术阶段主要包括:简单包过滤,应用级代理,状态检测包过滤等。
其中状态包过滤技术因为其防护程度较高、处理速度快,得到最广泛的应用。应用代理虽然安全性更好,但它需要针对每一种协议开发特定的代理协议,对应用的支持不够好,而且更关键的是,它的性能比较差。状态检测技术要监视每个连接发起到结束的全过程,对于部分协议,如FTP、 H.323 等协议,是有状态的协议,防火墙必须对这些协议进行分析,以便知道什么时候,从哪个方向允许特定的连接进入和关闭。状态检测防火墙可以对特定的协议进行解码,因此安全性也比较好,但因为在应用层解码分析,处理速度比较慢。
现阶段业内主流防火墙系统基本都从属于状态检测包过滤类型,并以此为基础合理吸收应用级防护的优点,逐步发展为访问控制、特定应用协议的指令/URL控制、VPN加密、典型攻击行为防护以及NAT、动态路由、链路均衡等功能的网关产品。尤其是在最近几年,防火墙产品在传统访问控制功能之外,又充分结合了防病毒网关、入侵检测等多种特点而派生出IPS、UTM等复合型防护系统。
为了满足多样化的组网需求,降低用户对其它专用设备的需求,减少用户建网成本,防火墙上也常常把其它网络技术结合进来,例如支持 DHCP SERVER、DHCP RELAY、支持动态路由(如RIP,OSPF等)、支持拨号/PPPOE、支持透明模式(桥模式)、支持内容过滤(如URL过滤)、防病毒和IDS等功能。
3.1目前用户的应用现状
目前,市场对于防火墙的分类主要依据性能指标而定,包括:百兆防火墙,千兆防火墙,万兆防火墙。
百兆防火墙由于其性能远远落后于网络部署环境的链路带宽,其应用场景已基本萎缩在SOHO领域,几近退出市场。千兆防火墙是目前市场中的主流产品,而万兆防火墙则在运营商、企业网核心骨干等高带宽环境中得到青睐。
此外,为了适应数据大集中、多业务复合模式的潮流,一种可虚拟化运行的防火墙技术应运而生。传统防火墙是一个物理的实体,而虚拟防火墙是在这个物理实体里面可以划分多个虚拟的防火墙。虚拟防火墙的某些功能甚至比传统防火墙做的还要好,可以监控部署在虚拟系统中的各个应用系统之间的流量,实施访问控制。
虚拟防火墙可以部署在核心交换机和主要服务器群的边界位置,也可部署在物理网络和虚拟网络之间,甚至能够部署在两个虚拟网络之间。
虚拟防火墙可以将一台传统防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。由于防火墙资源分别独立分配给各个虚拟的系统,彼此之间互不干扰,因此当一个虚拟系统因抵御黑客攻击耗费大量资源的时候,另一个虚拟系统的资源却不受任何影响,从而有效保证网络其他应用的正常运行。
可以说,随着虚拟化技术的成熟,虚拟防火墙的功能也在逐步完善。在虚拟防火墙中集成了防病毒,反垃圾邮件,URL过滤,IPS和VPN等高级功能,虚拟防火墙逐渐发展为虚拟UTM。
虚拟防火墙可以部署在核心交换设备和主要服务器的边界位置,也可以部署在不同安全级别的边界位置。在虚拟防火墙上通过配置虚拟接口和虚拟网络提高网络适应能力,可以设计实现更为灵活的安全解决方案。
3.2民族产业现状
2009年,防火墙/VPN市场同比增长预计为9.3%,市场规模将达到2.41亿美元,并在2013年将进一步扩大到3.53亿美元。在国家相关部门大力扶持民族产业的政策推动下,国内涌现出许多优秀的信息安全厂商,在构筑国家信息安全长城、提高民族品牌竞争力等方面做出了杰出贡献。
表1 民族产品同国外产品的对比
与国外知名品牌相比,国内防火墙/VPN起步较晚,而且由于主要专注于国内市场,因此所经历的市场环境也相对简单。上述因素反映到产品特点层面上,就形成了国内防火墙/VPN产品与国外同类产品的相对特点。
未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。从近期各大行业多次入围测试的结果都可以看出,目前防火墙一个很大的局限性是速度不够。应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法,但是算法也是一个关键,如果硬件平台能够集成多个硬件协处理单元,那么将比较容易实现高速。对于采用纯CPU的防火墙,就必须有算法支撑,例如ACL算法。目前有的应用环境,动辄应用数百乃至数万条规则,没有算法支撑,对于状态防火墙,建立会话的速度会十分缓慢。
受现有技术的限制,目前还没有有效的对应用层进行高速检测的方法,也没有哪款芯片能做到这一点。因此,高速防火墙目前还不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外,这些检测对CPU消耗小)。对于IDS,目前最常用的方式还是把网络上的流量镜像到IDS设备中处理,这样可以避免流量较大时造成网络堵塞。此外,应用层漏洞很多,攻击特征库需要频繁升级,对于处在网络出口关键位置的防火墙,如此频繁地升级也是不现实的。
根据国家有关标准和要求,防火墙日志要求记录的内容相当多。随着网络流量越来越大,庞大的日志对日志服务器提出了很高的要求。目前,业界应用较多的 SYSLOG 日志,采用的是文本方式,每一个字符都需要一个字节,对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量,也方便数据库的存储、加密和事后分析。所以,支持二进制格式和日志数据库,是未来防火墙日志和日志服务器软件的一个基本要求。
多功能也是防火墙的发展方向之一,鉴于目前路由器和防火墙价格都比较高,组网环境也越来越复杂,一般用户总希望防火墙可以支持更多的功能,满足组网和节省投资的需要。例如,防火墙支持广域网口,并不影响安全性,但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议,如路由、拨号等,可以更好地满足组网需要;支持 IP SEC VPN,可以利用因特网组建安全的专用通道,既安全又节省了专线投资。
未来防火墙的操作系统会更安全。随着算法和芯片技术的发展,防火墙会更多地参与应用层分析,为应用提供更安全的保障。
本文阐述了防火墙技术的原理和功能特点,分析了国内产品的市场现状,并总结了防火墙技术产品的未来的发展趋势。
[1]杜文才.计算机网络安全技术[M].清华大学出版社,2016.
[2]杨浩森.网络安全协议综合实验教程[M].清华大学出版社,2016.