1. 引言

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互連環(huán)境之中,尤以Internet網(wǎng)絡(luò)為最甚。Internet的迅猛發(fā)展,使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起,很快形成了一個(gè)產(chǎn)業(yè):1995年,剛剛面市的防火墻技術(shù)產(chǎn)品市場(chǎng)量還不到1萬套；到1996年底,就猛增到10萬套；據(jù)國(guó)際權(quán)威商業(yè)調(diào)查機(jī)構(gòu)的預(yù)測(cè),防火墻市場(chǎng)將以173%的復(fù)合增長(zhǎng)率增長(zhǎng),今年底將達(dá)到150萬套,市場(chǎng)營(yíng)業(yè)額將從1995年的1.6億美元上升到今年的9.8億美元。?

為了更加全面地了解Internet防火墻及其發(fā)展過程,特別是第四代防火墻的技術(shù)特色,我們非常有必要從產(chǎn)品和技術(shù)角度對(duì)防火墻技術(shù)的發(fā)展演變做一個(gè)詳細(xì)的考察。?

2. Internet防火墻技術(shù)簡(jiǎn)介

防火墻原是指建筑物大廈用來防止火災(zāi)蔓延的隔斷墻。從理論上講,Internet防火墻服務(wù)也屬于類似的用來防止外界侵入的。它可以防止Internet上的各種危險(xiǎn)(病毒、資源盜用等)傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實(shí)上,防火墻并不像現(xiàn)實(shí)生活中的防火墻,它有點(diǎn)像古代守護(hù)城池用的護(hù)城河,服務(wù)于以下多個(gè)目的:?

1)限定人們從一個(gè)特定的控制點(diǎn)進(jìn)入；?

2)限定人們從一個(gè)特定的點(diǎn)離開；?

3)防止侵入者接近你的其他防御設(shè)施；?

4)有效地阻止破壞者對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。?

在現(xiàn)實(shí)生活中,Internet防火墻常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)上并接入Internet。

從上圖不難看出,所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。從邏輯上講,防火墻是起分隔、限制、分析的作用,這一點(diǎn)同樣可以從圖1中體會(huì)出來。那么,防火墻究竟是什么呢?實(shí)際上,防火墻是加強(qiáng)Internet(內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。

3. 防火墻技術(shù)與產(chǎn)品發(fā)展的回顧?

防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能:?

●過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；?

●管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；?

●封堵某些禁止行為；?

●記錄通過防火墻的信息內(nèi)容和活動(dòng)；?

●對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。?

為實(shí)現(xiàn)以上功能,在防火墻產(chǎn)品的開發(fā)中,人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓?fù)洹⒂?jì)算機(jī)操作系統(tǒng)、路由、加密、訪問控制、安全審計(jì)等成熟或先進(jìn)的技術(shù)和手段。縱觀防火墻近年來的發(fā)展,可以將其劃分為如下四個(gè)階段(即四代)。?

3.1 基于路由器的防火墻

由于多數(shù)路由器本身就包含有分組過濾功能,故網(wǎng)絡(luò)訪問控制可能通過路控制來實(shí)現(xiàn),從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點(diǎn)是:?

1)利用路由器本身對(duì)分組的解析,以訪問控制表(Access List)方式實(shí)現(xiàn)對(duì)分組的過濾；?

2)過濾判斷的依據(jù)可以是:地址、端口號(hào)、IP旗標(biāo)及其他網(wǎng)絡(luò)特征；?

3)只有分組過濾的功能,且防火墻與路由器是一體的。這樣,對(duì)安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法,而對(duì)安全性要求高的網(wǎng)絡(luò)則需要單獨(dú)利用一臺(tái)路由器作為防火墻。?

第一代防火墻產(chǎn)品的不足之處十分明顯,具體表現(xiàn)為:?

●路由協(xié)議十分靈活,本身具有安全漏洞,外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如,在使用FTP協(xié)議時(shí),外部服務(wù)器容易從20號(hào)端口上與內(nèi)部網(wǎng)相連,即使在路由器上設(shè)置了過濾規(guī)則,內(nèi)部網(wǎng)絡(luò)的20號(hào)端口仍可以由外部探尋。?

●路由器上分組過濾規(guī)則的設(shè)置和配置存在安全隱患。對(duì)路由器中過濾規(guī)則的設(shè)置和配置十分復(fù)雜,它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性,一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任,加之一旦出現(xiàn)新的協(xié)議,管理員就得加上更多的規(guī)則去限制,這往往會(huì)帶來很多錯(cuò)誤。?

●路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的,黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。?

●路由器防火墻的本質(zhì)缺陷是:由于路由器的主要功能是為網(wǎng)絡(luò)訪問提供動(dòng)態(tài)的、靈活的路由,而防火墻則要對(duì)訪問行為實(shí)施靜態(tài)的、固定的控制,這是一對(duì)難以調(diào)和的矛盾,防火墻的規(guī)則設(shè)置會(huì)大大降低路由器的性能。?

可以說基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施,用這種權(quán)宜之計(jì)去對(duì)付黑客的攻擊是十分危險(xiǎn)的。?

3.2 用戶化的防火墻工具套

為了彌補(bǔ)路由器防火墻的不足,很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護(hù)自己的網(wǎng)絡(luò),從而推動(dòng)了用戶防火墻工具套的出現(xiàn)。?

作為第二代防火墻產(chǎn)品,用戶化的防火墻工具套具有以下特征:?

1)將過濾功能從路由器中獨(dú)立出來,并加上審計(jì)和告警功能；?

2)針對(duì)用戶需求,提供模塊化的軟件包；?

3)軟件可以通過網(wǎng)絡(luò)發(fā)送,用戶可以自己動(dòng)手構(gòu)造防火墻；?

4)與第一代防火墻相比,安全性提高了,價(jià)格也降低了。?

由于是純軟件產(chǎn)品,第二代防火墻產(chǎn)品無論在實(shí)現(xiàn)上還是在維護(hù)上都對(duì)系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求,并帶來以下問題:?

配置和維護(hù)過程復(fù)雜、費(fèi)時(shí)；?

對(duì)用戶的技術(shù)要求高；

全軟件實(shí)現(xiàn),使用中出現(xiàn)差錯(cuò)的情況很多。?

3.3 建立在通用操作系統(tǒng)上的防火墻

基于軟件的防火墻在銷售、使用和維護(hù)上的問題迫使防火墻開發(fā)商很快推出了建立在通用操作系統(tǒng)上的商用防火墻產(chǎn)品。近年來市場(chǎng)上廣泛使用的就是這一代產(chǎn)品,它們具有如下一些特點(diǎn):?

1)是批量上市的專用防火墻產(chǎn)品；?

2)包括分組過濾或者借用路由器的分組過濾功能；?

3)裝有專用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；?

4)保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置；?

5)安全性和速度大大提高。?

第三代防火墻有以純軟件實(shí)現(xiàn)的,也有以硬件方式實(shí)現(xiàn)的,它們已經(jīng)得到了廣大用戶的認(rèn)同。但隨著安全需求的變化和使用時(shí)間的推延,仍表現(xiàn)出不少問題,比如:?

1)作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知,由于源碼的保密,其安全性無從保證；?

2)由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商,通用操作系統(tǒng)廠商不會(huì)對(duì)操作系統(tǒng)的安全性負(fù)責(zé)；3)從本質(zhì)上看,第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊,還要防止來自操作系統(tǒng)廠商的攻擊；?

4)在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)且具有加密鑒別功能；?

5)透明性好,易于使用。

4. 第四代防火墻的主要技術(shù)及功能?

第四代防火墻產(chǎn)品將網(wǎng)關(guān)與安全系統(tǒng)合二為一,具有以下技術(shù)功能。?

4.1 雙端口或三端口的結(jié)構(gòu)

新一代防火墻產(chǎn)品具有兩個(gè)或三個(gè)獨(dú)立的網(wǎng)卡,內(nèi)外兩個(gè)網(wǎng)卡可不做IP轉(zhuǎn)化而串接于內(nèi)部與外部之間,另一個(gè)網(wǎng)卡可專用于對(duì)服務(wù)器的安全保護(hù)。?

4.2 透明的訪問方式

以前的防火墻在訪問方式上要么要求用戶做系統(tǒng)登錄,要么需要通過SOCKS等庫(kù)路徑修改客戶機(jī)的應(yīng)用。第四代防火墻利用了透明的代理系統(tǒng)技術(shù),從而降低了系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率。?

4.3 靈活的代理系統(tǒng)

代理系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊,第四代防火墻采用了兩種代理機(jī)制:一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接；另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)接(NIT)技術(shù)來解決,后者采用非保密的用戶定制代理或保密的代理系統(tǒng)技術(shù)來解決。?

4.4 多級(jí)過濾技術(shù)

為保證系統(tǒng)的安全性和防護(hù)水平,第四代防火墻采用了三級(jí)過濾措施,并輔以鑒別手段。在分組過濾一級(jí),能過濾掉所有的源路由分組和假冒IP地址；在應(yīng)用級(jí)網(wǎng)關(guān)一級(jí),能利用FTP、SMTP等各種網(wǎng)關(guān),控制和監(jiān)測(cè)Internet提供的所有通用服務(wù)；在電路網(wǎng)關(guān)一級(jí),實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接,并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。?

4.5 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

第四代防火墻利用NAT技術(shù)能透明地對(duì)所有內(nèi)部地址做轉(zhuǎn)換,使得外部網(wǎng)絡(luò)無法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu),同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP源地址和專用網(wǎng)絡(luò),防火墻能詳盡記錄每一個(gè)主機(jī)的通信,確保每個(gè)分組送往正確的地址。?

4.6 Internet網(wǎng)關(guān)技術(shù)

由于是直接串聯(lián)在網(wǎng)絡(luò)之中,第四代防火墻必須支持用戶在Internet互聯(lián)的所有服務(wù),同時(shí)還要防止與Internet服務(wù)有關(guān)的安全漏洞,故它要能夠以多種安全的應(yīng)用服務(wù)器(包括FTP、Finger、mail、Ident、News、WWW等)來實(shí)現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性,對(duì)所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。?

在域名服務(wù)方面,第四代防火墻采用兩種獨(dú)立的域名服務(wù)器:一種是內(nèi)部DNS服務(wù)器,主要處理內(nèi)部網(wǎng)絡(luò)和DNS信息；另一種是外部DNS服務(wù)器,專門用于處理機(jī)構(gòu)內(nèi)部向Internet提供的部分DNS信息。?

在匿名FTP方面,服務(wù)器只提供對(duì)有限的受保護(hù)的部分目錄的只讀訪問。在WWW服務(wù)器中,只支持靜態(tài)的網(wǎng)頁(yè),而不允許圖形或CGI代碼等在防火墻內(nèi)運(yùn)行。在Finger服務(wù)器中,對(duì)外部訪問,防火墻只提供可由內(nèi)部用戶配置的基本的文本信息,而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務(wù)器要對(duì)所有進(jìn)、出防火墻的郵件做處理,并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境。Ident服務(wù)器對(duì)用戶連接的識(shí)別做專門處理,網(wǎng)絡(luò)新聞服務(wù)則為接收來自ISP的新聞開設(shè)了專門的磁盤空間。?

4.7 安全服務(wù)器網(wǎng)絡(luò)(SSN)

為了適應(yīng)越來越多的用戶向Internet上提供服務(wù)時(shí)對(duì)服務(wù)器的需要,第四代防火墻采用分別保護(hù)的策略對(duì)用戶上網(wǎng)的對(duì)外服務(wù)器實(shí)施保護(hù),它利用一張網(wǎng)卡將對(duì)外服務(wù)器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理,對(duì)外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分,又與內(nèi)部網(wǎng)關(guān)完全隔離,這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)。而對(duì)SSN上的主機(jī)既可單獨(dú)管理,也可設(shè)置成通過FTP、Tnlnet等方式從內(nèi)部網(wǎng)上管理。