防火墻技術綜述

防火墻技術

防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用于專用網絡與公用網絡的互聯環境之中，尤以Inte.net網絡為最甚。Internet的迅猛發展，使得防火墻產品在短短的幾年內異軍突起，很快形成了一個產業：1995年，剛剛面市的防火墻產品市場量還不到1萬套，到1996年底，就猛增到10萬套，據國際權威商業調查機構的預測，防火墻市場將以173％的復合增長率增長，到2000年將達150萬套，市場營業額將從1995年的1.6億美元上升到2000年的9.8億美元。

防火墻技術綜述

因特網防火墻是這樣的（一組）系統，它能增強機構內部網絡的安全性，因特網防火墻用于加強網絡間的訪問控制，防止外部用戶非法使用內部網的資源，保護內部網絡的設備不被破壞，防止內部網絡的敏感數據被竊取。防火墻系統決定了哪些內部服務可以被外界訪問；外界的哪些人可以訪問內部的哪些可以訪問的服務，以及哪些外部服務可以被內部人員訪問。要使一個防火墻有效，所有來自和去往因特網的信息都必須經過防火墻，接受防火墻的檢查。防火墻必須只允許授權的數據通過，并且防火墻本身也必須能夠免于滲透。防火墻系統一旦被攻擊者突破或迂回，就不能提供任何保護了。

從總體上看，防火墻應具有以下五大基本功能：

①過濾進出網絡的數據包；
②管理進出網絡的訪問行為；
③封堵某些禁止的訪問行為；
④記錄通過防火墻的信息內容和活動；
⑤對網絡攻擊進行檢測和告警。

防火墻是一種綜合性的技術，涉及到計算機網絡技術。密碼技術、安全技術、軟件技術、安全協議、網絡標準化組織（ISO）的安全規范以及安全操作系統等多方面。作為一種解決網絡之間訪問控制的有效方法，國際上在這方面的研究很多。

在國外，近幾年防火墻發展迅速，產品眾多，而且更新換代快，并不斷有新的信息安全技術和軟件技術等被應用在防火墻的開發上。國外技術雖然相對領先（比如包過濾、代理服務器、VPN、狀態監測、加密技術、身份認證等），但總的來講，此方面的技術并不十分成熟完善，標準也不健全，實用效果并不十分理想。從1991年6月ANS公司的第一個防火墻產品ANS Interlock Service防火墻上市以來，到目前為止，世界上至少有幾十家公司和研究所在從事防火墻技術的研究和產品開發。幾乎所有的網絡廠商也都開始了防火墻產品的開發或者OEM別的防火墻廠商的防火墻產品，如Sun Microsystems公司的Sunscreen，Check Point公司的Firewall-1，Milkway公司的Black Hole等。

國內也已經開始了這方面的研究，北京郵電大學信息安全中心研制成功了國內首套PC機防火墻系統。此外，還有北京天融信公司的網絡防火墻系統——talentit防火墻、深圳桑達公司的具有包過濾防火墻功能的SED-O8路由器、北京大學青鳥的內部網保密網關防火墻、電子部3O所的SS-R型安全路由器、東北大學軟件中心的具有信息過濾功能的NetEye防火墻、信息產業部數據所的SJW04防火墻及Proxy98等也都先后開發成功。

防火墻最基本的構件既不是軟件又不是硬件，而是構造防火墻的人的思想。最初的防火墻只是一種概念而不是一種產品，是構造者腦海中的一種想法，即誰和什么能被允許訪問本網絡?！罢l”和“什么”極大地影響了如何對網絡數據設計路由。從這個一以上講，構造一個好的防火墻需要直覺、創造和邏輯的共同作用，一個好的防火墻系統應具有以下五方面的特性：

·所有在內部網絡和外部網絡之間傳輸的數據都必須通過防火墻；
·只有被授權的合法數據，即防火墻系統中安全策略允許的 數據，可以 通過防火墻；
·防火墻本身不受各種攻擊的影響；
·使用目前新的信息安全技術，比如現代密碼技術、一次口令系統、智能卡等；
·人機界面良好，用戶配置使用方便，易管理。系統管理員可以方便地對防火墻進行設置，對Internet的訪問者、被訪問者、訪問協議以及訪問方式進行控制。

防火墻作為內部網與外部網之間的一種訪問控制設備，常常安裝在內部網和外部網交界的點上，因特網防火墻不僅僅是路由器、堡壘主機、或任何提供網絡安全的設備的組合，它更是安全策略的一部分。安全策略建立了全方位的防御體系來保護機構的信息資源；安全策略應告訴用戶應有的責任，公司規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施，以及雇員培訓等。所有能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統，而沒有全面的安全策略，那么防火墻就形同虛設。

防火墻技術的發展

為實現以上功能，在防火墻產品的開發中，人們廣泛應用網絡拓撲技術、計算機操作系統技術、路由技術、加密技術、訪問控制技術、安全審計技術等成熟或先進的手段，縱觀防火墻產品近年內的發展，可將其分為四個階段：

第一階段：基于路由器的防火墻

由于多數路由器中本身就包含有分組過濾的功能，故網絡訪問控制功能可通過路由控制來實現，從而使具有分組過濾功能的路由器成為第一代防火墻產品。

第一代防火墻產品的特點是：

●利用路由器本身對分組的解析，以訪問控制表（aclearcase/" target="_blank" >ccess list）方式實現對分組的過濾；
●過濾判決的依據可以是：地址、端口號、IP旗標及其它網絡特征；
●只有分組過濾的功能，且防火墻與路由器是一體的，對安全要求低的網絡采用路由器附帶防火墻功能的方法，對安全性要求高的網絡則可單獨利用一臺路由器作防火墻。

第一代防火墻產品的不足之處十分明顯：

●路由協議十分靈活，本身具有安全漏洞，外部網絡要探尋內部網絡十分容易。例如：在使用FTP協議時，外部服務器容易從20號端口上與內部網相連，即使在路由器上設置了過濾規則，內部網絡的20端口仍可由外部探尋。
●路由器上的分組過濾規則的設置和配置存在安全隱患。對路由器中過濾規則的設置和配置十分復雜，它涉及到規則的邏輯一致性，作用端口的有效性和規則集的正確性，一般的網絡系統管理員難于勝任，加之一旦出現新的協議，管理員就得加上更多的規則去限制，這往往會帶來很多錯誤。
●路由器防火墻的最大隱患是：攻擊者可以"假冒"地址，由于信息在網絡上是以明文傳送的，黑客可以在網絡上偽造假的路由信息欺騙防火墻。
●路由器防火墻的本質性缺陷是：由于路由器的主要功能是為網絡訪問提供動態的、靈活的路由，而防火墻則要對訪問行為實施靜態的、固定的控制，這是一對難以調和的矛盾，防火墻的規則設置會大大降低路由器的性能。

可以說：基于路由器的防火墻只是網絡安全的一種應急措施，用這種權宜之計去對付黑客的攻擊是十分危險的。

第二階段：用戶化的防火墻工具套

為了彌補路由器防火墻的不足，很多大型用戶紛紛要求以專門開發的防火墻系統來保護自己的網絡，從而推動了用戶化防火墻工具套的出現。

作為第二代防火墻產品，用戶化的防火墻工具套具有以下特征：

●將過濾功能從路由器中獨立出來，并加上審計和告警功能；
●針對用戶需求，提供模塊化的軟件包；
●軟件可通過網絡發送，用戶可自己動手構造防火墻；
●與第一代防火墻相比，安全性提高了，價格降低了。

由于是純軟件產品，第二代防火墻產品無論在實現還是在維護上都對系統管理員提出了相當復雜的要求，并帶來以下問題：

●配置和維護過程復雜、費時；
●對用戶的技術要求高；
●全軟件實現、安全性和處理速度均有局限；
●實踐表明，使用中出現差錯的情況很多。

第三階段：建立在通用操作系統上的防火墻

基于軟件的防火墻在銷售、使用和維護上的問題迫使防火墻開發商很快推出了建立在通用操作系統上的商用防火墻產品，近年來在市場上廣泛可用的就是這一代產品，它具有以下特點：

●是批量上市的專用防火墻產品；
●包括分組過濾或者借用路由器的分組過濾功能；
●裝有專用的代理系統，監控所有協議的數據和指令；
●保護用戶編程空間和用戶可配置內核參數的設置；
●安全性和速度大為提高。

第三代防火墻有以純軟件實現的，也有以硬件方式實現的，已得到廣大用戶的認同。但隨著安全需求的變化和使用時間的推延，仍表現出不少問題，比如：

●作為基礎的操作系統及其內核往往不為防火墻管理者所知，由于原碼的保密，其安全性無從保證。
●由于大多數防火墻廠商并非通用操作系統的廠商，通用操作系統廠商不會對操作系統的安全性負責；
●從本質上看，第三代防火墻既要防止來自外部網絡的攻擊，還要防止來自操作系統廠商的攻擊。
●用戶必須依賴兩方面的安全支持：一是防火墻廠商、一是操作系統廠商。

第四階段：具有安全操作系統的防火墻

防火墻技術和產品隨著網絡攻擊和安全防護手段的發展而演進，到1997年初，具有安全操作系統的防火墻產品面市，使防火墻產品步入了第四個發展階段。
具有安全操作系統的防火墻本身就是一個操作系統，因而在安全性上較之第三代防火墻有質的提高。獲得安全操作系統的辦法有兩種：一種是通過許可證方式獲得操作系統的源碼；另一種是通過固化操作系統內核來提高可靠性，由此建立的防火墻系統具有以下特點：

●防火墻廠商具有操作系統的源代碼，并可實現安全內核；
●對安全內核實現加固處理：即去掉不必要的系統特性，加上內核特性，強化安全保護；
●對每個服務器、子系統都作了安全處理，一旦黑客攻破了一個服務器，它將會被隔離在此服務器內，不會對網絡的其它部份構成威脅；
●在功能上包括了分組過濾、應用網關、電路級網關，且具有加密與鑒別功能；
●透明性好，易于使用。

第四代防火墻的主要技術與功能

第四代防火墻產品將網關與安全系統合二為一，具有以下技術與功能。

●雙端口或三端口的結構
新一代防火墻產品具有兩個或三個獨立的網卡，內外兩個網卡可不作IP轉化而串接于內部網與外部網之間，另一個網卡可專用于對服務器的安全保護。

●透明的訪問方式
以前的防火墻在訪問方式上要么要求用戶作系統登錄，要么需要通過SOCKS等庫路徑修改客戶機的應用。第四代防火墻利用了透明的代理系統技術，從而降低了系統登錄固有的安全風險和出錯概率。

●靈活的代理系統
代理系統是一種將信息從防火墻的一側傳送到另一側的軟件模塊。第四代防火墻采用了兩種代理機制，一種用于代理從內部網絡到外部網絡的連接，另一種用于代理從外部網絡到內部網絡的連接。前者采用網絡地址轉換（NAT）技術來解決，后者采用非保密的用戶定制代理或保密的代理系統技術來解決。

●多級的過濾技術
為保證系統的安全性和防護水平，第四代防火墻采用了三級過濾措施，并輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒的IP源地址；在應用級網關一級，能利用FTP、SMTP等各種網關，控制和監測Internet提供的所用通用服務；在電路網關一級，實現內部主機與外部站點的透明連接，并對服務的通行實行嚴格控制。

●網絡地址轉換技術
第四代防火墻利用NAT技術能透明地對所有內部地址作轉換，使外部網絡無法了解內部網絡的內部結構，同時允許內部網絡使用自己編的IP地址和專用網絡，防火墻能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。

●Internet網關技術
由于是直接串連在網絡之中，第四代防火墻必須支持用戶在Internet互連的所有服務，同時還要防止與Internet服務有關的安全漏洞。故它要能以多種安全的應用服務器（包括FTP、Finger、mail、Ident、News、WWW等）來實現網關功能。為確保服務器的安全性，對所有的文件和命令均要利用“改變根系統調用（chroot）”作物理上的隔離。

在域名服務方面，第四代防火墻采用兩種獨立的域名服務器，一種是內部DNS服務器，主要處理內部網絡的DNS信息，另一種是外部DNS服務器，專門用于處理機構內部向Internet提供的部份DNS信息。

在匿名FTP方面，服務器只提供對有限的受保護的部份目錄的只讀訪問。在WWW服務器中，只支持靜態的網頁，而不允許圖形或CGI代碼等在防火墻內運行，在Finger服務器中，對外部訪問，防火墻只提供可由內部用戶配置的基本的文本信息，而不提供任何與攻擊有關的系統信息。SMTP與POP郵件服務器要對所有進、出防火墻的郵件作處理，并利用郵件映射與標頭剝除的方法隱除內部的郵件環境，Ident服務器對用戶連接的識別作專門處理，網絡新聞服務則為接收來自ISP的新聞開設了專門的磁盤空間。

●用戶鑒別與加密
為了降低防火墻產品在Telnet、FTP等服務和遠程管理上的安全風險，鑒別功能必不可少，第四代防火墻采用一次性使用的口令字系統來作為用戶的鑒別手段，并實現了對郵件的加密。

●用戶定制服務
為滿足特定用戶的特定需求，第四代防火墻在提供眾多服務的同時，還為用戶定制提供支持，這類選項有：通用TCP，出站UDP、FTP、SMTP等類，如果某一用戶需要建立一個數據庫的代理，便可利用這些支持，方便設置。

●審計和告警
第四代防火墻產品的審計和告警功能十分健全，日志文件包括：一般信息、內核信息、核心信息、接收郵件、郵件路徑、發送郵件、已收消息、已發消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站代理、FTP代理、出站代理、郵件服務器、名服務器等。告警功能會守住每一個TCP或UDP探尋，并能以發出郵件、聲響等多種方式報警。

此外第四代防火墻還在網絡診斷，數據備份與保全等方面具有特色。

原文轉自：http://www.kjueaiud.com