防火墙技术及其产品标准化浅析

谢宗晓　官海滨

谢宗晓 博士

“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自2003年起，从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前，已发表论文80多篇，出版专著近20本。

信息安全管理系列之五十

防火墙是保障网络安全（network security）所使用的最流行和最重要的工具之一。在之前的专栏中，我们从如何“使用”的角度讨论了入侵检测/防护系统（IDS/IPS），在本期中，将按照类似的架构，介绍防火墙技术及其产品的标准化。

谢宗晓（特约编辑）

摘要：重新审视了防火墙的概念，并分析了其应用的主要技术、发展过程和未来趋势，最后列出了防火墙相关的国际/国家标准。

关键词：信息安全 防火墙 标准化

Analysis of Firewalls Technology and its Product Standardization

Xie Zongxiao （China Financial Certification Authority）

Guan Haibin （Qingdao Technical College）

Abstract： This paper re-examines the concept of firewall， analyzes the main technologies， development process and future trends of its application， and finally lists the international/national standards related to firewalls.

Key words： information security， firewalls， standardization

1 概念

防火墙是网络安全的第一道防线，在安全、可控的内部网络与不可信任的外部网络（如互联网等）之间建立了一道屏障。大约没有逻辑比防火墙更清晰的信息安全产品了，防火墙控制着网络入口，对数据流进行过滤。这与物理世界中的控制方式基本是一致的。

对比之前讨论过的IDS/IPS（Intrusion Detection/Prevention System）部署方式，一个最大的区别就是防火墙是禁止旁路的，这毫无疑问会影响整体的网络性能，如同高速公路的收费站，因此，对于IDS/IPS而言，提高准确率是其不变的主题，对于防火墙而言，准确率重要，效率也同等重要。

一般而言，防火墙至少需要满足三个目标：1）防止旁路，即所有的进出数据流都得经过防火墙;2）只允许经过授权的数据流通过防火墙;3）保证防火墙自身的安全，防止其成为最首要的攻击目标。

2 主要技术及其发展过程

Firewalls词汇最早出现于1764年左右[1]，用来指防止火灾蔓延至相邻区域且耐火极限不低于某时段的不燃性墙体。在介绍防火墙历史非常完整的文献[1]中，从围墙开始讨论，特别举例说明了中国的长城。由于防火墙的逻辑非常容易理解，或者说易于与现实世界进行类比，因此防火墙几乎与路由器同时出现。防火墙从建筑学领域被应用至计算机领域是在20世纪80年代晚期，随着网络（network）的出现。

第一篇可以查阅的关于防火墙的论文出现于1988年，数字设备公司（Digital Equipment Corporation，DEC）1）首次发布了关于数据包的过滤系统，这被定义为第一代防火墙，即包过滤防火墙（packet filter firewalls）。1992年，贝尔实验室（AT&T Bell Labs）2）的Bill Cheswick 與Steve Bellovin3）首次用示例的方式完整地描述了包过滤防火墙的部署架构拓扑。无论是静态包过滤技术还是动态包过滤技术，第一代防火墙都是工作在网络层（OSI第3层），也就是说，主要是依靠检查包头，能够识别访问源和访问目标，对“数据包净荷”一无所知，因此，难以抵抗IP欺骗攻击。

第二代防火墙通常被称为“状态防火墙（stateful firewalls）”或“电路级网关（circuit-level gateways）”，工作在会话层（OSI第5层）。当一个IP地址连接到另一个IP地址的某个具体TCP或UDP端口时，防火墙会跟踪这些会话。包过滤防火墙难于抵御中间人攻击的主要问题在于，包过滤防火墙是无状态的，二代防火墙对会话的跟踪使得会话有了状态（stateful），从而可以解决这个问题。

但是二代防火墙依然不能读取“数据包净荷”，因此实现的安全是有限的[2]，例如，跨站脚本攻击和SQL注入等Web威胁就难以识别。第三代防火墙工作在应用层（OSI第7层），称作“应用防火墙（application firewall）”，能够对应用数据进行解码，例如HTTP协议。以Web应用防火墙（WAF）为例，其优点解决了某些高层协议的安全，缺点是只能解决某些协议，或者说特定服务的安全。

3 技术趋势分析

下一代防火墙（Next Generation Firewall，NGFW）是目前业内厂商的主推产品，NGFW仍然工作在应用层，因此很多时候会被认为是第三代防火墙的延伸产品。NGFW首先要解决三代防火墙中检查“广度”的问题，同时也需要加强检查的“深度”。

先讨论广度的问题。以WAF为例，WAF实际是代理，每种应用都需要设置，配置复杂，且性能不高。NGFW应该能够自动识别应用，不仅是针对某种或某几种特定服务。这需要“集成化”。NGFW也强调了多功能集成，其中包括了IPS和统一身份认证等功能，但强调不是功能的堆砌。

再讨论深度问题。第三代防火墙一般不能识别HTTPS或SSH（Secure Shell）等加密传输协议。应用程序可能会通过加密网络流量来绕过防火墙，简单的阻止显然不符合实际。这时候就需要防火墙做更深度的启发式检查，例如，多数应用程序使用握手协议来开启新会话，这通常有一个可识别的模型，或者通过数据的频率、大小和时延等对通信进行分析，这种工作模式就形如IDS/IPS类似的专家系统。

特别强调一下统一威胁管理（Unified Threat Management，UTM），UTM一般将网络防火墙、网络防病毒和网络入侵检测等集成至一个产品，但是这可能会影响效率。对效率的影响不难理解，如上文所述，防火墙是串联在网络边界，IDS/IPS则不需要，完全可以旁路部署。一旦诸多功能集成叠加在一起，势必会影响效率，因此更适合中小企业。

多功能化不仅是防火墙的发展趋势，也是其他诸多安全产品的未来方向。例如，由于部署的位置类似，可以利用防火墙实现加密虚拟专用网络（Virtual Private Network，VPN），再如，由于加密数据难以过滤，防火墙和IDS/IPS的功能愈加整合。

4 相关的国际/国家标准

沿用文献[3]和[4]的标准分类方法，我们将防火墙相关标准分为：Ⅰ类，产品相关标准和Ⅱ类，应用场景相关标准。其中，产品相关标准关注的是如何设计、生产防火墙，应用场景相关标准关注的是如何选择、部署防火墙。与之前讨论的IDS/IPS不同，在ISO/IEC 27000标准族中，没有关于Ⅱ类标准。

值得指出的是，Ⅰ类标准和Ⅱ类标准的最大区别在于，Ⅰ类标准针对的一般是专业的厂商，Ⅱ类标准针对的则是一般用户。因此，Ⅱ类标准的应用更普及一些。例如，CC（Common Criteria）属于Ⅰ类，ISMS（Information Security Management System）则属于Ⅱ类。显然，就应用范围而言，ISMS广泛得多。

国家标准中关于防火墙的，已经发布了4个CC类的产品标准，分别为：GB/ T 20010—2005《信息安全技术 包过滤防火墙评估准则》GB/ T 20281—2015《信息安全技术 防火墙安全技术要求和测试评价方法》GB/T 31505—2015《信息安全技术 主机型防火墙安全技术要求和测试评价方法》GB/T 32917—2016《信息安全技术 WEB应用防火墙安全技术要求与测试评价方法》。

5 小结

防火墙是网络安全中最重要、应用最广泛的安防产品之一，虽然原理通俗易懂，但是就数据过滤的性能而言，则比较负责。本文结合防火墙的发展过程，分别介绍了工作在OSI模型3层（网络层）、5层（会话层）和7层（应用层）的数据过滤技术，并以此分成了三代防火墙，分析了其优缺点。在此基础上，也讨论了下一代防火墙（NGFW）。

参考文献

[1] INGHAM K， FORREST S. A History and Survey of Network Firewalls [EB/OL].http：//www.cs.unm.edu/～treport/tr02-12/firewall. pdf.  2002

[2] RHODES-OUSLEY M. 信息安全完全參考手册（第2版）[M]， 北京：清华大学出版社， 2014

[3] 谢宗晓，李宽.通用准则（CC）与信息安全管理体系（ISMS）的比较分析[J].中国质量与标准导报，2018 （7）：28-32.

[4] 李军，谢宗晓.基于产品和基于流程的信息安全标准及其分析[J].中国质量与标准导报，2017（12）：60-63.