在所有安全产品中,防火墙无疑占据的市场份额最大。之所以防火墙用的比较广泛,是因为防火墙是内部网和外部网之间的第一道闸门,防火墙在网关的位置过滤各种进出网络数据,以保护内部网主机。因此,防火墙被寄予了很高的期望,希望防火墙能对数据包进行过滤,能抗击各种入侵行为,能对病毒进行过滤,能记录各种异常的访问行为,能进行带宽分配,能过滤恶意代码和数据内容等等。人们甚至希望,有了防火墙之后,就能解决所有安全问题。从现有很多防火墙的功能来看,防火墙似乎无所不能。上面提到的这些功能,在不同防火墙中都有实现。
本文将对防火墙的技术演变进行介绍,同时根据目前的现状分析防火墙的最新发展趋势。
1. 新形势下,防火墙所面临的挑战
防火墙的市场份额最大,人们似乎有理由认为,防火墙是最成熟的安全产品。其实不然,防火墙在新形势下面临的挑战更加严峻。
人们发现,当一个Slammer蠕虫病毒爆发的时候,在短短10多分钟内,全球的近十万台电脑被感染。一个冲击波病毒和震荡波病毒,可以造成全球范围内的恐慌。为什么人们在安装了各种防火墙产品、甚至还有多层其它安全检测产品和过滤产品之后,仍然不能阻止一个小小的蠕虫病毒的蔓延?
防火墙是用来保护内部网的,但是防火墙在面临大量新的DDOS攻击数据包的时候,首先是经常自身难保。其次,本来希望防火墙能保护对外开放的服务器,但是这些服务器面临每秒数十万次并发连接的时候,防火墙却无法对合法的连接与非法连接加以区分,造成服务器崩溃。也即,防火墙似乎在各种DDOS攻击行为面前,无能为力。
在应用层数据的过滤方面,防火墙的表现更不尽人意。目前,一个比较严重的问题是垃圾邮件泛滥。垃圾邮件占据了大部分网络带宽,严重影响了正常的网络访问,但是目前的防火墙难于对垃圾邮件进行有效过滤。当我们访问带有恶意代码网站的时候,防火墙不能有效对恶意代码进行过滤。当稍有经验的管理员打开WEB服务器的日志,马上就能判断其中的一些访问行为就是攻击行为,但是,防火墙却没能作出正确的判断。
但是,人们对防火墙功能的期望值是非常高的,作为互联网与内部网之间的一个中心遏制点,人们希望防火墙能主动防御住各种攻击行为。因此防火墙将面临艰巨的挑战。
2. 包过滤类防火墙的演变
防火墙的发展历程上经历了两种不同技术类型(包过滤和代理)的演变。下面分别介绍两种不同类型技术演变历程。
包过滤技术类防火墙发展历程中,经历了四个发展阶段。
(1)第一代包过滤防火墙
第一代包过滤防火墙与路由器同时出现,实现了根据数据包头信息的静态包过滤。静态包过滤防火墙对所接收的每个数据包做允许拒绝的决定。防火墙审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包过滤主要检查包头中的下列内容:IP源地址、IP目标地址、协议类型(TCP包、UDP包和ICMP包)、TCP或UDP包的目的端口、TCP或UDP包的源端口、ICMP消息类型、TCP包头的ACK位等。
静态包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用,网络性能高,对用户透明。但是缺点是:维护比较困难;不能有效防止黑客的欺骗攻击;不支持应用层的过滤,不能防范数据驱动型攻击;无法对网络上流动的信息提供全面的控制。因此,静态包过滤的安全性较低。
(2)第二代动态包过滤(Dynamic Packet Filter)防火墙
这种类型的防火墙采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。。动态包过滤只有在用户的请求下才打开端口,并且在服务完毕之后关闭端口,这样可以降低受到与开放端口相关的攻击的可能性。防火墙可以动态的决定哪些数据包可以通过内部网络的链路和应用程序层服务。可以配置相应的访问策略,只有在允许范围之内才自动打开端口,当通信结束时关闭端口。
这种方法在两个方向上都最小化了暴露端口的数量,给网络提供更高的安全性。对于许多应用程序协议而言,例如媒体流,动态IP包过滤提供了处理动态分配端口的最安全方法。
(3)第三代全状态检测(Stateful Inspection)防火墙
第三代包过滤类防火墙是采用了状态检测技术的防火墙。状态检测防火墙在包过滤的同时,检查数据包之间的关联性,检查数据包中动态变化的状态码。它有一个监测引擎,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。
状态检测防火墙保留状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。
网关型包过滤防火墙的一个挑战是效率与安全性成反比,状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。状态检测技术采用了一系列优化技术,使防火墙性能大幅度提升,能应用在各类网络环境中,尤其是在一些规则复杂的大型网络上。
目前市场上的主流防火墙,一般都是状态检测防火墙。
(4)第四代深度包检测(Deep Packet Inspection)防火墙
状态检测的防火墙的安全性得到一定程度的提高,但是在对付DDoS攻击、实现应用层内容过滤,病毒过滤方面的表现也不尽人意。因此代表未来发展方向的最新一代防火墙是深度包检测防火墙。
面对新形势下的蠕虫病毒、DDoS攻击、垃圾邮件泛滥等严重威胁,最新一代包过滤类防火墙采用了深度包检测(Deep Packet Inspection)技术。
深度包检测技术融合入侵检测和攻击防范的功能,它能深入检查信息包流,查出恶意行为,可以根据特征检测和内容过滤,来寻找已知的攻击。并理解什么是“正常的”通信,同时阻止异常的访问。深度包检测引擎以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术来决定如何处理数据包。深度包检测防火墙能阻止DDoS攻击、病毒传播问题和高级应用入侵问题。
3 、代理类防火墙的演变
代理技术类防火墙也经历了应用层代理(Proxy)、电路层代理到自适应代理防火墙的演变。
(1) 应用层代理
应用层代理防火墙也被称为应用层网关,这种防火墙的工作方式同包过滤防火墙的工作方式具有本质区别。
代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。应用层代理为一特定应用服务提供代理,它对应用协议进行解析并解释应用协议的命令。
应用层代理防火墙的优点是能解释应用协议,支持用户认证,从而能对应用层的数据进行更细粒度的控制。缺点是效率低,不能支持大规模的并发连接,只适用于单一协议。
(2)电路层代理(Circuit Proxy)
另一种类型的代理技术称为电路层网关(Circuit Gateway)。在电路层网关中,包被提交到用户应用层处理。电路层网关用来在两个通信的终点之间转换包。
电路层网关是一个建立应用层网关更加灵活的方法。虽然它们包含支持某些特定TCP/IP应用程序的代码,但通常要受到限制。如果支持应用程序,那也很可能是TCP/IP应用程序。
在电路层网关中,可能要安装特殊的客户机软件,用户需要一个可变用户接口来相互作用或改变他们的工作习惯。
(3)自适应代理(Adaptive Proxy)
应用层代理的主要问题是速度慢,支持的并发连接数有限。因此,NAI公司在1998年又推出了具有“自适应代理”特性的防火墙。自适应代理不仅能维护系统安全,还能够动态“适应”传送中的分组流量。自适应代理防火墙允许用户根据具体需求,定义防火墙策略,而不会牺牲速度或安全性。如果对安全要求较高,那么最初的安全检查仍在应用层进行,保证实现传统代理防火墙的最大安全性。而一旦代理明确了会话的所有细节,其后的数据包就可以直接经过速度更快的网络层。
自适应代理可以和安全脆弱性扫描器、病毒安全扫描器和入侵检测系统之间实现更加灵活的集成。作为自适应安全计划的一部分,自适应代理将允许经过正确验证的设备在安全传感器和扫描仪发现重要的网络威胁时,根据防火墙管理员事先确定的安全策略,自动“适应”防火墙级别。
总之,代理技术类防火墙在对应用层的数据过滤方面能力优于包过滤类防火墙,但是在性能方面的表现就会大大逊色。
从防火墙技术的演变历程可以看出,防火墙总是在适应不断变化的安全需求。所以,虽然防火墙的应用非常广泛,因该是比较成熟的安全产品,但是我们应该看到,防火墙技术不是静止不变的,它在不断适应新形势的变化。
4. 防火墙技术的发展趋势
总体来说,传统的防火墙已经无法满足人们的安全需求,其功能不足以应付众多的安全威胁。
首先,在功能方面,防火墙的发展趋势是融合越来越多的安全技术,使得防火墙在向IPS(入侵防御系统)的产品转化,其融合的主要安全技术包括:
与VPN技术融合。防火墙融合VPN技术,实现过滤和加密的紧密地配合,使得网络配置简单;
与入侵检测技术和攻击防御技术的融合。很多防火墙能识别越来越多的入侵行为,并能抵抗部分攻击行为。但是目前的防火墙的入侵检测只是识别一些已知的攻击行为,将来的防火墙应能具备更多的智能,主动识别和防御未知的攻击行为和入侵;
提供对应用层攻击行为的检测和对应用层内容的过滤功能。笔者认为,要防火墙能防止各种应用层攻击行为,势必带来性能的下降,突破应用层安全与效率之间的矛盾,是防火墙面临的最大挑战。在实现对应用层的内容智能过滤与检测方面,防火墙还有很长的路要走。
提供防病毒的功能。已经有多种防火墙集成了防病毒功能。但是笔者认为,病毒作为应用层的内容,其变化非常快,差异也较大。最有效的病毒查杀还是应该在桌面进行。据笔者了解,目前提供了防病毒功能的防火墙,其性能下降都非常快。一般吞吐率只能在20Mbps之内。这样的性能只能满足中小型企业网的需要。笔者认为,在高端防火墙上提供防病毒功能是不太现实的,集成了防病毒功能的防火墙将多是低端防火墙。
其次,防火墙的另一个发展趋势是与多个安全产品实现集成化管理和联动。笔者认为,单靠一个安全产品是不能解决所有安全问题的,防火墙注定不可能是万能的,必须将多个安全产品配合起来使用,才能达到立体的防御效果。
在防火墙体系结构方面,对分布式防火墙将会有一定的需求。传统的防火墙通常都设置在网络的边界位置,这种结构下,防火墙主要用来防外,而不是用来防内。这种设计的最大问题是,恶意攻击的发起不仅仅来自于外网,内网同样存在着大量攻击行为,而对于这种问题,边界式防火墙处理起来是比较困难的,所以现在越来越多的防火墙产品也开始体现出一种分布式结构。
在防火墙的硬件化方面,防火墙逐步由通用平台防火墙,向ASIC芯片防火墙和基于网络处理芯片的防火墙方向发展。
在其它功能方面,防火墙在模块化、智能化、高性能、多端口等方面的趋势也十分明显。
综上所述,不论从功能还是从性能来讲,为了满足日益增长的安全需求,防火墙的技术革新永远不会停止。随着各种应用层安全需求的变化,防火墙由原来纯粹网络层的安全设备,逐步会适应多个层面的安全需求。 |
