基础知识 Internet防火墙技术综述 (1)
作者:Hacker 来源:赛迪网安全社区 发布时间:2006.11.16
http://big5.ccidnet.com:89/gate/big5/security.c...0061115/950865_1.html随着Internet的迅猛发展,安全性已经成为网路互联技术中最关键的问题。本文全面介绍了Internet防火墙技术与产品的发展历程;详细剖析了第四代防火墙的功能特色、关键技术、实现方法及抗攻击能力;同时简要描述了Internet防火墙技术的发展趋势。
1. 引言
防火墙技术是建立在现代通信网路技术和资讯安全技术基础上的应用性安全技术,越来越多地应用于专用网路与公用网路的互连环境之中,尤以Internet网路为最甚。Internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的1.6亿美元上升到今年的9.8亿美元。
为了更加全面地了解Internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。
2. Internet防火墙技术简介
防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网路内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:
1)限定人们从一个特定的控制点进入;
2)限定人们从一个特定的点离开;
3)防止侵入者接近你的其他防御设施;
4)有效地阻止破坏者对你的电脑系统进行破坏。
在现实生活中,Internet防火墙常常被安装在受保护的内部网路上并接入Internet。
从上图不难看出,所有来自Internet的传输资讯或你发出的资讯都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行资讯交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强Internet(内部网)之间安全防御的一个或一组系统,它由一组硬体设备(包括路由器、伺服器)及相应软体构成。
3. 防火墙技术与产品发展的回顾
防火墙是网路安全策略的有机组成部分,它通过控制和监测网路之间的资讯交换和访问行为来实现对网路安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:
●过滤进、出网路的数据;
●管理进、出网路的访问行为;
●封堵某些禁止行为;
●记录通过防火墙的资讯内容和活动;
●对网路攻击进行检测和告警。
为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网路拓扑、电脑作业系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。
3.1 基于路由器的防火墙
由于多数路由器本身就包含有分组过滤功能,故网路访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:
1)利用路由器本身对分组的解析,以访问控制表(Access List)方式实现对分组的过滤;
2)过滤判断的依据可以是:地址、端口号、IP旗标及其他网路特征;
3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网路可以采用路由器附带防火墙功能的方法,而对安全性要求高的网路则需要单独利用一台路由器作为防火墙。
第一代防火墙产品的不足之处十分明显,具体表现为:
●路由协议十分灵活,本身具有安全漏洞,外部网路要探寻内部网路十分容易。例如,在使用FTP协议时,外部伺服器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网路的20号端口仍可以由外部探寻。
●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网路系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。
●路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于资讯在网路上是以明文方式传送的,骇客(Hacker)可以在网路上伪造假的路由资讯欺骗防火墙。
●路由器防火墙的本质缺陷是:由于路由器的主要功能是为网路访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固定的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。
可以说基于路由器的防火墙技术只是网路安全的一种应急措施,用这种权宜之计去对付骇客的攻击是十分危险的。
3.2 用户化的防火墙工具套
为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网路,从而推动了用户防火墙工具套的出现。
作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:
1)将过滤功能从路由器中独立出来,并加上审计和告警功能;
2)针对用户需求,提供模组化的套装软体;
3)软体可以通过网路发送,用户可以自己动手构造防火墙;
4)与第一代防火墙相比,安全性提高了,价格也降低了。
由于是纯软体产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:
配置和维护过程复杂、费时;
对用户的技术要求高;
全软体实现,使用中出现差错的情况很多。
3.3 建立在通用作业系统上的防火墙
基于软体的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用作业系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些特点:
1)是批量上市的专用防火墙产品;
2)包括分组过滤或者借用路由器的分组过滤功能;
3)装有专用的代理系统,监控所有协议的数据和指令;
4)保护用户编程空间和用户可配置内核参数的设置;
5)安全性和速度大大提高。
第三代防火墙有以纯软体实现的,也有以硬体方式实现的,它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:
1)作为基础的作业系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性无从保证;
2)由于大多数防火墙厂商并非通用作业系统的厂商,通用作业系统厂商不会对作业系统的安全性负责;3)从本质上看,第三代防火墙既要防止来自外部网路的攻击,还要防止来自作业系统厂商的攻击;
4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;
5)透明性好,易于使用。
4. 第四代防火墙的主要技术及功能
第四代防火墙产品将网关与安全系统合二为一,具有以下技术功能。
4.1 双端口或三端口的结构
新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做IP转化而串接于内部与外部之间,另一个网卡可专用于对伺服器的安全保护。
4.2 透明的访问方式
以前的防火墙在访问方式上要么要求用户做系统登录,要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。
4.3 灵活的代理系统
代理系统是一种将资讯从防火墙的一侧传送到另一侧的软体模组,第四代防火墙采用了两种代理机制:一种用于代理从内部网路到外部网路的连接;另一种用于代理从外部网路到内部网路的连接。前者采用网路地址转接(NIT)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。
4.4 多级过滤技术
为保证系统的安全性和防护水准,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒IP地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。
4.5 网路地址转换技术
第四代防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网路无法了解内部网路的内部结构,同时允许内部网路使用自己编的IP源地址和专用网路,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。
4.6 Internet网关技术
由于是直接串联在网路之中,第四代防火墙必须支援用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要能够以多种安全的应用伺服器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保伺服器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。
在域名服务方面,第四代防火墙采用两种独立的域名伺服器:一种是内部DNS伺服器,主要处理内部网路和DNS资讯;另一种是外部DNS伺服器,专门用于处理机构内部向Internet提供的部分DNS资讯。
在匿名FTP方面,伺服器只提供对有限的受保护的部分目录的只读访问。在WWW伺服器中,只支援静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger伺服器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本资讯,而不提供任何与攻击有关的系统资讯。SMTP与POP邮件伺服器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident伺服器对用户连接的识别做专门处理,网路新闻服务则为接收来自ISP的新闻开设了专门的磁片空间。
4.7 安全伺服器网路(SSN)
为了适应越来越多的用户向Internet上提供服务时对伺服器的需要,第四代防火墙采用分别保护的策略对用户上网的对外伺服器实施保护,它利用一张网卡将对外伺服器作为一个独立网路处理,对外伺服器既是内部网路的一部分,又与内部网关完全隔离,这就是安全伺服器网路(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Tnlnet等方式从内部网上管理。
