㈠ 簡述個人防火牆的主要功能及應用特點
一、防火牆能夠作到些什麼?
1.包過濾
具備包過濾的就是防火牆?對,沒錯!根據對防火牆的定義,凡是能有效阻止網路非法連接的方式,都算防火牆。早期的防火牆一般就是利用設置的條件,監測通過的包的特徵來決定放行或者阻止的,包過濾是很重要的一種特性。雖然防火牆技術發展到現在有了很多新的理念提出,但是包過濾依然是非常重要的一環,如同四層交換機首要的仍是要具備包的快速轉發這樣一個交換機的基本功能一樣。通過包過濾,防火牆可以實現阻擋攻擊,禁止外部/內部訪問某些站點,限制每個ip的流量和連接數。
2.包的透明轉發
事實上,由於防火牆一般架設在提供某些服務的伺服器前。如果用示意圖來表示就是 Server—FireWall—Guest 。用戶對伺服器的訪問的請求與伺服器反饋給用戶的信息,都需要經過防火牆的轉發,因此,很多防火牆具備網關的能力。
3.阻擋外部攻擊
如果用戶發送的信息是防火牆設置所不允許的,防火牆會立即將其阻斷,避免其進入防火牆之後的伺服器中。
4.記錄攻擊
如果有必要,其實防火牆是完全可以將攻擊行為都記錄下來的,但是由於出於效率上的考慮,目前一般記錄攻擊的事情都交給IDS來完成了,我們在後面會提到。
以上是所有防火牆都具備的基本特性,雖然很簡單,但防火牆技術就是在此基礎上逐步發展起來的。
二、防火牆有哪些缺點和不足?
1.防火牆可以阻斷攻擊,但不能消滅攻擊源。
「各掃自家門前雪,不管他人瓦上霜」,就是目前網路安全的現狀。互聯網上病毒、木馬、惡意試探等等造成的攻擊行為絡繹不絕。設置得當的防火牆能夠阻擋他們,但是無法清除攻擊源。即使防火牆進行了良好的設置,使得攻擊無法穿透防火牆,但各種攻擊仍然會源源不斷地向防火牆發出嘗試。例如接主幹網10M網路帶寬的某站點,其日常流量中平均有512K左右是攻擊行為。那麼,即使成功設置了防火牆後,這512K的攻擊流量依然不會有絲毫減少。
2.防火牆不能抵抗最新的未設置策略的攻擊漏洞
就如殺毒軟體與病毒一樣,總是先出現病毒,殺毒軟體經過分析出特徵碼後加入到病毒庫內才能查殺。防火牆的各種策略,也是在該攻擊方式經過專家分析後給出其特徵進而設置的。如果世界上新發現某個主機漏洞的cracker的把第一個攻擊對象選中了您的網路,那麼防火牆也沒有辦法幫到您的。
3.防火牆的並發連接數限制容易導致擁塞或者溢出
由於要判斷、處理流經防火牆的每一個包,因此防火牆在某些流量大、並發請求多的情況下,很容易導致擁塞,成為整個網路的瓶頸影響性能。而當防火牆溢出的時候,整個防線就如同虛設,原本被禁止的連接也能從容通過了。
4.防火牆對伺服器合法開放的埠的攻擊大多無法阻止
某些情況下,攻擊者利用伺服器提供的服務進行缺陷攻擊。例如利用開放了3389埠取得沒打過sp補丁的win2k的超級許可權、利用asp程序進行腳本攻擊等。由於其行為在防火牆一級看來是「合理」和「合法」的,因此就被簡單地放行了。
5.防火牆對待內部主動發起連接的攻擊一般無法阻止
「外緊內松」是一般區域網絡的特點。或許一道嚴密防守的防火牆內部的網路是一片混亂也有可能。通過社會工程學發送帶木馬的郵件、帶木馬的URL等方式,然後由中木馬的機器主動對攻擊者連接,將鐵壁一樣的防火牆瞬間破壞掉。另外,防火牆內部各主機間的攻擊行為,防火牆也只有如旁觀者一樣冷視而愛莫能助。
6.防火牆本身也會出現問題和受到攻擊
防火牆也是一個os,也有著其硬體系統和軟體,因此依然有著漏洞和bug。所以其本身也可能受到攻擊和出現軟/硬體方面的故障。
7.防火牆不處理病毒
不管是funlove病毒也好,還是CIH也好。在內部網路用戶下載外網的帶毒文件的時候,防火牆是不為所動的(這里的防火牆不是指單機/企業級的殺毒軟體中的實時監控功能,雖然它們不少都叫「病毒防火牆」)。
看到這里,或許您原本心目中的防火牆已經被我拉下了神台。是的,防火牆是網路安全的重要一環,但不代表設置了防火牆就能一定保證網路的安全。「真正的安全是一種意識,而非技術!」請牢記這句話。
不管怎麼樣,防火牆仍然有其積極的一面。在構建任何一個網路的防禦工事時,除了物理上的隔離和目前新近提出的網閘概念外,首要的選擇絕對是防火牆。那麼,怎麼選擇需要的防火牆呢?
防火牆的分類
首先大概說一下防火牆的分類。就防火牆(本文的防火牆都指商業用途的網路版防火牆,非個人使用的那種)的組成結構而言,可分為以下三種:
第一種:軟體防火牆
軟體防火牆運行於特定的計算機上,它需要客戶預先安裝好的計算機操作系統的支持,一般來說這台計算機就是整個網路的網關。軟體防火牆就象其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。防火牆廠商中做網路版軟體防火牆最出名的莫過於Checkpoint。使用這類防火牆,需要網管對所工作的操作系統平台比較熟悉。
第二種:硬體防火牆
這里說的硬體防火牆是指所謂的硬體防火牆。之所以加上"所謂"二字是針對晶元級防火牆說的了。它們最大的差別在於是否基於專用的硬體平台。目前市場上大多數防火牆都是這種所謂的硬體防火牆,他們都基於PC架構,就是說,它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統,最常用的有老版本的Unix、Linux和FreeBSD系統。 值得注意的是,由於此類防火牆採用的依然是別人的內核,因此依然會受到os本身的安全性影響。國內的許多防火牆產品就屬於此類,因為採用的是經過裁減內核和定製組件的平台,因此國內防火牆的某些銷售人員常常吹噓其產品是「專用的os」等等,其實是一個概念誤導,下面我們提到的第三種防火牆才是真正的os專用。
第三種:晶元級防火牆
它們基於專門的硬體平台,沒有操作系統。專有的ASIC晶元促使它們比其他種類的防火牆速度更快,處理能力更強,性能更高。做這類防火牆最出名的廠商莫過於NetScreen.其他的品牌還有FortiNet,算是後起之秀了。這類防火牆由於是專用OS,因此防火牆本身的漏洞比較少,不過價格相對比較高昂,所以一般只有在「確實需要」的情況下才考慮。
在這里,特別糾正幾個不正確的觀念:
1.在性能上,晶元級防火牆>硬體防火牆>軟體防火牆。
在價格上看來,的確倒是如此的關系。但是性能上卻未必。防火牆的「好」,是看其支持的並發數、最大流量等等性能,而不是用軟體硬體來區分的。事實上除了晶元級防火牆外,軟體防火牆與硬體防火牆在硬體上基本是完全一樣的。目前國內的防火牆廠商由於大多採用硬體防火牆而不是軟體防火牆,原因1是考慮到用戶網路管理員的素質等原因,還有就是基於我國大多數民眾對「看得見的硬體值錢,看不到的軟體不值錢」這樣一種錯誤觀點的迎合。不少硬體防火牆廠商大肆詆毀軟體防火牆性能,不外是為了讓自己那加上了外殼的普通pc+一個被修改後的內核+一套防火牆軟體能夠賣出一個好價錢來而已。而為什麼不作晶元級防火牆呢?坦白說,國內沒有公司有技術實力。而且在中國市場上來看,某些國內的所謂硬體防火牆的硬體質量連diy的兼容機都比不上。看看國內XX的硬體防火牆那拙劣的硬碟和網卡,使用過的人都能猜到是哪家,我就不點名了。真正看防火牆,應該看其穩定性和性能,而不是用軟、硬來區分的。至少,如果筆者自己選購,我會選擇購買CheckPoint而非某些所謂的硬體防火牆的。
2.在效果上,晶元防火牆比其他兩種防火牆好
這同樣也是一種有失公允的觀點。事實上晶元防火牆由於硬體的獨立,的確在OS本身出漏洞的機會上比較少,但是由於其固化,導致在面對新興的一些攻擊方式時,無法及時應對;而另外兩種防火牆,則可以簡單地通過升級os的內核來獲取系統新特性,通過靈活地策略設置來滿足不斷變化的要求,不過其OS出現漏洞的概率相對高一些。
3.唯技術指標論
請以「防火牆買來是使用的」為第一前提進行購買。防火牆本身的質量如何是一回事,是否習慣使用又是另一回事。如果對一款產品的界面不熟悉,策略設置方式不理解,那麼即使用世界最頂級的防火牆也沒有多大作用。就如小說中武林中人無不嚮往的「倚天劍」、「屠龍刀」被我拿到,肯定也敵不過喬峰赤手的少林長拳是一般道理。防火牆技術發展至今,市場已經很成熟了,各類產品的存在,自然有其生存於市場的理由。如何把產品用好,遠比盲目地比較各類產品好。
IDS
什麼是IDS呢?早期的IDS僅僅是一個監聽系統,在這里,你可以把監聽理解成竊聽的意思。基於目前局網的工作方式,IDS可以將用戶對位於與IDS同一交換機/HuB的伺服器的訪問、操作全部記錄下來以供分析使用,跟我們常用的widnows操作系統的事件查看器類似。再後來,由於IDS的記錄太多了,所以新一代的IDS提供了將記錄的數據進行分析,僅僅列出有危險的一部分記錄,這一點上跟目前windows所用的策略審核上很象;目前新一代的IDS,更是增加了分析應用層數據的功能,使得其能力大大增加;而更新一代的IDS,就頗有「路見不平,拔刀相助」的味道了,配合上防火牆進行聯動,將IDS分析出有敵意的地址阻止其訪問。
就如理論與實際的區別一樣,IDS雖然具有上面所說的眾多特性,但在實際的使用中,目前大多數的入侵檢測的接入方式都是採用pass-by方式來偵聽網路上的數據流,所以這就限制了IDS本身的阻斷功能,IDS只有靠發阻斷數據包來阻斷當前行為,並且IDS的阻斷范圍也很小,只能阻斷建立在TCP基礎之上的一些行為,如Telnet、FTP、HTTP等,而對於一些建立在UDP基礎之上就無能為力了。因為防火牆的策略都是事先設置好的,無法動態設置策略,缺少針對攻擊的必要的靈活性,不能更好的保護網路的安全,所以IDS與防火牆聯動的目的就是更有效地阻斷所發生的攻擊事件,從而使網路隱患降至較低限度。
接下來,我簡單介紹一下IDS與防火牆聯動工作原理
入侵檢測系統在捕捉到某一攻擊事件後,按策略進行檢查,如果策略中對該攻擊事件設置了防火牆阻斷,那麼入侵檢測系統就會發給防火牆一個相應的動態阻斷策略,防火牆根據該動態策略中的設置進行相應的阻斷,阻斷的時間、阻斷時間間隔、源埠、目的埠、源IP和目的IP等信息,完全依照入侵檢測系統發出的動態策略來執行。一般來說,很多情況下,不少用戶的防火牆與IDS並不是同一家的產品,因此在聯動的協議上面大都遵從 opsec 或者 topsec協議進行通信,不過也有某些廠家自己開發相應的通信規范的。目前總得來說,聯動有一定效果,但是穩定性不理想,特別是攻擊者利用偽造的包信息,讓IDS錯誤判斷,進而錯誤指揮防火牆將合法的地址無辜屏蔽掉。
因為諸多不足,在目前而言,IDS主要起的還是監聽記錄的作用。用個比喻來形容:網路就好比一片黑暗,到處充滿著危險,冥冥中只有一個出口;IDS就象一支手電筒,雖然手電筒不一定能照到正確的出口,但至少有總比沒有要好一些。稱職的網管,可以從IDS中得到一些關於網路使用者的來源和訪問方式,進而依據自己的經驗進行主觀判斷(注意,的確是主觀判斷。例如用戶連續ping了伺服器半個小時,到底是意圖攻擊,還是無意中的行為?這都依據網路管理員的主觀判斷和網路對安全性的要求來確定對應方式。)對IDS的選擇,跟上面談到的防火牆的選擇類似,根據自己的實際要求和使用習慣,選擇一個自己夠用的,會使用的就足夠了。
最後,要說的依然是那句「世界上沒有一種技術能真正保證絕對地安全。」安全問題,是從設備到人,從伺服器上的每個服務程序到防火牆、IDS等安全產品的綜合問題;任何一個環節工作,只是邁向安全的步驟。
參考資料:TechTarget中文網
㈡ 防火牆的優點,缺點,功能
一、防火牆的優點:
1、防火牆能強化安全策略。
2、防火牆能有效地記錄Internet上的活動,作為訪問的唯一點,防火牆能在被保護的網路和外部網路之間進行記錄。
3、防火牆限制暴露用戶點,能夠防止影響一個網段的問題通過整個網路傳播。
4、防火牆是一個安全策略的檢查站,使可疑的訪問被拒絕於門外。
二、缺點:
1、防火牆可以阻斷攻擊,但不能消滅攻擊源。
2、防火牆不能抵抗最新的未設置策略的攻擊漏洞。
3、防火牆的並發連接數限制容易導致擁塞或者溢出。
4、防火牆對伺服器合法開放的埠的攻擊大多無法阻止。
5、防火牆對待內部主動發起連接的攻擊一般無法阻止。
6、防火牆本身也會出現問題和受到攻擊,依然有著漏洞和Bug。
7、防火牆不處理病毒。
三、功能:
1、防火牆最基本的功能就是控制在計算機網路中,不同信任程度區域間傳送的數據流。
2、防火牆具有很好的保護作用:入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機;可以將防火牆配置成許多不同保護級別;高級別的保護可能會禁止一些服務,如視頻流等。
Internet防火牆可以防止Internet上的危險(病毒、資源盜用)傳播到網路內部
3、能強化安全策略:通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。
4、能有效記錄Internet上的活動。
5、可限制暴露用戶點,防止內部信息的外泄:通過利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。
6、它是安全策略的檢查點。
㈢ 包過濾防火牆的基本原理分析屏蔽主機防火牆,屏蔽子網防火牆,多宿主主機防火牆的特點以及之間的區別
同學,你是湖南大學的吧,選修了計算機網路安全吧。。。其實。。。你去看老師的PPT,備注裡面基本都有的,都不用你上網去找了。
㈣ 簡述包過濾防火牆的工作原理
包過濾防火牆是最簡單的一種防火牆,它在網路層截獲網路數據包,根據防火牆的規則專表,來檢屬測攻擊行為。包過濾防火牆一般作用在網路層(IP層),故也稱網路層防火牆(Network Lev Firewall)或IP過濾器(IP filters)。數據包過濾(Packet Filtering)是指在網路層對數據包進行分析、選擇。通過檢查數據流中每一個數據包的源IP地址、目的IP地址、源埠號、目的埠號、協議類型等因素或它們的組合來確定是否允許該數據包通過。在網路層提供較低級別的安全防護和控制。
㈤ 包過濾防火牆的特點是
包過濾防火牆是用一個軟體查看所流經的數據包的包頭(header),版由此決定整個包的命運。它權可能會決定丟棄(DROP)這個包,可能會接受(ACCEPT)這個包(讓這個包通過),也可能執行其它更復雜的動作。
特點如下:
1對於一個小型的、不太復雜的站點,包過濾比較容易實現。
2因為過濾路由器工作在IP層和TCP層,所以處理包的速度比代理伺服器快。
3過濾路由器為用戶提供了一種透明的服務,用戶不需要改變客戶端的任何應用程序,也不需要用戶學習任何新的東西。因為過濾路由器工作在IP層和TCP層,而IP層和TCP層與應用層的問題毫不相關。所以,過濾路由器有時也被稱為「包過濾網關」或「透明網關」,之所被稱為網關,是因為包過濾路由器和傳統路由器不同,它涉及到了傳輸層。
4過濾路由器在價格上一般比代理伺服器便宜。
㈥ 什麼是包過濾技術其特點是什麼
一、定義:
包過濾(Packet Filtering)技術:是基於協議特定的標准,路由器在其埠能夠區分包和限制包的技術。
基於協議特定的標准,路由器在其埠能夠區分包和限制包的能力叫包過濾(Packet Filtering)。其技術原理在於加入IP過濾功能的路由器逐一審查包頭信息,並根據匹配和規則決定包的前行或被舍棄,以達到拒絕發送可疑的包的目的。過濾路由器具備保護整個網路、高效快速並且透明等優點,同時也有定義復雜、消耗CPU資源、不能徹底防止地址欺騙、涵蓋應用協議不全、無法執行特殊的安全策略並且不提供日誌等局限性。包過濾技術的二、特點
1、優點 :對小型的、不太復雜的站點包過濾較容易實現。
(1)一個過濾路由器能協助保護整個網路。絕大多數Internet防火牆系統只用一個包過濾路由器;
(2)過濾路由器速度快、效率高。執行包過濾所用的時間很少或幾乎不需要什麼時間,由於過濾路由器只檢查報頭相應的欄位,一般不查看數據報的內容,而且某些核心部分是由專用硬體實現的,如果通信負載適中且定義的過濾很少的話,則對路由器性能沒有多大影響;
(3)包過濾路由器對終端用戶和應用程序是透明的。當數據包過濾路由器決定讓數據包通過時,它與普通路由器沒什麼區別,甚至用戶沒有認識到它的存在,因此不需要專門的用戶培訓或在每主機上設置特別的軟體。
2、缺點及局限性:
他們很少有或沒有日誌記錄能力,所以網路管理員很難確認系統是否正在被入侵或已經被入侵了。這種防火牆的最大缺陷是依賴一個單一的部件來保護系統。
(1)定義包過濾器可能是一項復雜的工作。因為網管員需要詳細地了解Internet各種服務、包頭格式和他們在希望每個域查找的特定的值。如果必須支持復雜的過濾要求的,則過濾規則集可能會變得很長很復雜,並且沒有什麼工具可以用來驗證過濾規則的正確性。
(2)路由器信息包的吞吐量隨過濾器數量的增加而減少。路由器被優化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表,而後將信息包順向運行到適當轉發介面。如果過濾可執行,路由器還必須對每個包執行所有過濾規則。這可能消耗CPU的資源,並影響一個完全飽和的系統性能。
(3)不能徹底防止地址欺騙。大多數包過濾路由器都是基於源IP地址、目的IP地址而進行過濾的,而IP地址的偽造是很容易、很普遍的。
(4)一些應用協議不適合於數據包過濾。即使是完美的數據包過濾,也會發現一些協議不很適合於經由數據包過濾安全保護。如RPC、X- Window和FTP。而且服務代理和HTTP的鏈接,大大削弱了基於源地址和源埠的過濾功能。
(5)正常的數據包過濾路由器無法執行某些安全策略。例如,數據包說它們來自什麼主機,而不是什麼用戶,因此,我們不能強行限制特殊的用戶。同樣地,數據包說它到什麼埠,而不是到什麼應用程序,當我們通過埠號對高級協議強行限制時,不希望在埠上有別的指定協議之外的協議,而不懷好意的知情者能夠很容易地破壞這種控制。
(6)一些包過濾路由器不提供任何日誌能力,直到闖入發生後,危險的封包才可能檢測出來。它可以阻止非法用戶進入內部網路,但也不會告訴我們究竟都有誰來過,或者誰從內部進入了外部網路。
㈦ 狀態檢測防火牆的技術特點是什麼
//ok,我改
//包過濾的防火牆最簡單,你可以指定讓某個IP或某個埠或某個網段的數據包通過[或不通過],它不支持應用層的過濾,不支持數據包內容的過濾。
//狀態防火牆更復雜一點,按照TCP基於狀態的特點,在防火牆上記錄各個連接的狀態,這可以彌補包過濾防火牆的缺點,比如你允許了ip為1.1.1.1的數據包通過防火牆,但是惡意的人偽造ip的話,沒有通過tcp的三次握手也可以闖過包過濾防火牆。
//應用代理網關防火牆徹底隔斷內網與外網的直接通信,內網用戶對外網的訪問變成防火牆對外網的訪問,然後再由防火牆轉發給內網用戶。所有通信都必須經應用層代理軟體轉發,訪問者任何時候都不能與伺服器建立直接的 TCP 連接,應用層的協議會話過程必須符合代理的安全策略要求。
應用代理網關的優點是可以檢查應用層、傳輸層和網路層的協議特徵,對數據包的檢測能力比較強。
//
一、當前防火牆技術分類
防火牆技術經歷了包過濾、應用代理網關、再到狀態檢測三個階段。
1.1 包過濾技術
包過濾防火牆工作在網路層,對數據包的源及目地 IP 具有識別和控製作用,對於傳輸層,也只能識別數據包是 TCP 還是 UDP 及所用的埠信息,如下圖所示。現在的路由器、 Switch Router 以及某些操作系統已經具有用 Packet Filter 控制的能力。
由於只對數據包的 IP 地址、 TCP/UDP 協議和埠進行分析,包過濾防火牆的處理速度較快,並且易於配置。
包過濾防火牆具有根本的缺陷:
1 .不能防範黑客攻擊。包過濾防火牆的工作基於一個前提,就是網管知道哪些 IP 是可信網路,哪些是不可信網路的 IP 地址。但是隨著遠程辦公等新應用的出現,網管不可能區分出可信網路與不可信網路的界限,對於黑客來說,只需將源 IP 包改成合法 IP 即可輕鬆通過包過濾防火牆,進入內網,而任何一個初級水平的黑客都能進行 IP 地址欺騙。
2 .不支持應用層協議。假如內網用戶提出這樣一個需求,只允許內網員工訪問外網的網頁(使用 HTTP 協議),不允許去外網下載電影(一般使用 FTP 協議)。包過濾防火牆無能為力,因為它不認識數據包中的應用層協議,訪問控制粒度太粗糙。
3 .不能處理新的安全威脅。它不能跟蹤 TCP 狀態,所以對 TCP 層的控制有漏洞。如當它配置了僅允許從內到外的 TCP 訪問時,一些以 TCP 應答包的形式從外部對內網進行的攻擊仍可以穿透防火牆。
綜上可見,包過濾防火牆技術面太過初級,就好比一位保安只能根據訪客來自哪個省市來判斷是否允許他(她)進入一樣,難以履行保護內網安全的職責。
1.2 應用代理網關技術
應用代理網關防火牆徹底隔斷內網與外網的直接通信,內網用戶對外網的訪問變成防火牆對外網的訪問,然後再由防火牆轉發給內網用戶。所有通信都必須經應用層代理軟體轉發,訪問者任何時候都不能與伺服器建立直接的 TCP 連接,應用層的協議會話過程必須符合代理的安全策略要求。
應用代理網關的優點是可以檢查應用層、傳輸層和網路層的協議特徵,對數據包的檢測能力比較強。
缺點也非常突出,主要有:
· 難於配置。由於每個應用都要求單獨的代理進程,這就要求網管能理解每項應用協議的弱點,並能合理的配置安全策略,由於配置繁瑣,難於理解,容易出現配置失誤,最終影響內網的安全防範能力。
· 處理速度非常慢。斷掉所有的連接,由防火牆重新建立連接,理論上可以使應用代理防火牆具有極高的安全性。但是實際應用中並不可行,因為對於內網的每個 Web 訪問請求,應用代理都需要開一個單獨的代理進程,它要保護內網的 Web 伺服器、資料庫伺服器、文件伺服器、郵件伺服器,及業務程序等,就需要建立一個個的服務代理,以處理客戶端的訪問請求。這樣,應用代理的處理延遲會很大,內網用戶的正常 Web 訪問不能及時得到響應。
總之,應用代理防火牆不能支持大規模的並發連接,在對速度敏感的行業使用這類防火牆時簡直是災難。另外,防火牆核心要求預先內置一些已知應用程序的代理,使得一些新出現的應用在代理防火牆內被無情地阻斷,不能很好地支持新應用。
在 IT 領域中,新應用、新技術、新協議層出不窮,代理防火牆很難適應這種局面。因此,在一些重要的領域和行業的核心業務應用中,代理防火牆正被逐漸疏遠。
但是,自適應代理技術的出現讓應用代理防火牆技術出現了新的轉機,它結合了代理防火牆的安全性和包過濾防火牆的高速度等優點,在不損失安全性的基礎上將代理防火牆的性能提高了 10 倍。
1.3 狀態檢測技術
我們知道, Internet 上傳輸的數據都必須遵循 TCP/IP 協議,根據 TCP 協議,每個可靠連接的建立需要經過 「 客戶端同步請求 」 、 「 伺服器應答 」 、 「 客戶端再應答 」 三個階段,我們最常用到的 Web 瀏覽、文件下載、收發郵件等都要經過這三個階段。這反映出數據包並不是獨立的,而是前後之間有著密切的狀態聯系,基於這種狀態變化,引出了狀態檢測技術。
狀態檢測防火牆摒棄了包過濾防火牆僅考查數據包的 IP 地址等幾個參數,而不關心數據包連接狀態變化的缺點,在防火牆的核心部分建立狀態連接表,並將進出網路的數據當成一個個的會話,利用狀態表跟蹤每一個會話狀態。狀態監測對每一個包的檢查不僅根據規則表,更考慮了數據包是否符合會話所處的狀態,因此提供了完整的對傳輸層的控制能力。
網關防火牆的一個挑戰就是能處理的流量,狀態檢測技術在大為提高安全防範能力的同時也改進了流量處理速度。狀態監測技術採用了一系列優化技術,使防火牆性能大幅度提升,能應用在各類網路環境中,尤其是在一些規則復雜的大型網路上。
任何一款高性能的防火牆,都會採用狀態檢測技術。
從 2000 年開始,國內的著名防火牆公司,如北京天融信等公司,都開始採用這一最新的體系架構,並在此基礎上,天融信 NGFW4000 創新推出了核檢測技術,在操作系統內核模擬出典型的應用層協議,在內核實現對應用層協議的過濾,在實現安全目標的同時可以得到極高的性能。目前支持的協議有 HTTP/1.0/1.1 、 FTP 、 SMTP 、 POP3 、 MMS 、 H.232 等最新和最常用的應用協議。
二、防火牆發展的新技術趨勢
2.1 新需求引發的技術走向
防火牆技術的發展離不開社會需求的變化,著眼未來,我們注意到以下幾個新的需求。
· 遠程辦公的增長。這次全國主要城市先後受到 SARS 病毒的侵襲,直接促成大量的企事業在家辦公,這就要求防火牆既能抵抗外部攻擊,又能允許合法的遠程訪問,做到更細粒度的訪問控制。現在一些廠商推出的 VPN (虛擬專用網)技術就是很好的解決方式。只有以指定方式加密的數據包才能通過防火牆,這樣可以確保信息的保密性,又能成為識別入侵行為的手段。
· 內部網路 「 包廂化 」 ( compartmentalizing )。人們通常認為處在防火牆保護下的內網是可信的,只有 Internet 是不可信的。由於黑客攻擊技術和工具在 Internet 上隨手可及,使得內部網路的潛在威脅大大增加,這種威脅既可以是外網的人員,也可能是內網用戶,不再存在一個可信網路環境。
由於無線網路的快速應用以及傳統撥號方式的繼續存在,內網受到了前所未有的威脅。企業之前的合作將合作夥伴納入了企業網路里,全國各地的分支機構共享一個論壇,都使可信網路的概念變得模糊起來。應對的辦法就是將內部網細分成一間間的 「 包廂 」 ,對每個 「 包廂 」 實施獨立的安全策略。
2.2 黑客攻擊引發的技術走向
防火牆作為內網的貼身保鏢,黑客攻擊的特點也決定了防火牆的技術走向。
�8�5 80 埠的關閉。從受攻擊的協議和埠來看,排在第一位的就是 HTTP 協議( 80 埠)。
根據 SANS 的調查顯示,提供 HTTP 服務的 IIS 和 Apache 是最易受到攻擊,這說明 80 埠所引發的威脅最多。
因此,無論是未來的防火牆技術還是現在應用的防火牆產品,都應盡可能將 80 埠關閉。
· 數據包的深度檢測。 IT 業界權威機構 Gartner 認為代理不是阻止未來黑客攻擊的關鍵,但是防火牆應能分辨並阻止數據包的惡意行為,包檢測的技術方案需要增加簽名檢測 (signature inspection) 等新的功能,以查找已經的攻擊,並分辨出哪些是正常的數據流,哪些是異常數據流。
· 協同性。從黑客攻擊事件分析,對外提供 Web 等應用的伺服器是防護的重點。單單依靠防火牆難以防範所有的攻擊行為,這就需要將防火牆技術、入侵檢測技術、病毒檢測技術有效協同,共同完成保護網路安全的任務。早在 2000 年,北京天融信公司就已經認識到了協同的必要性和緊迫性,推出了 TOPSEC 協議,與 IDS 等其他安全設備聯動,與其他安全設備配合組成一個有機的可擴展的安全體系平台。目前主要支持和 IDS 的聯動和認證伺服器進行聯動。如支持國內十幾家知名的 IDS 、安全管理系統、安全審計、其他認證系統等等組成完整的 TOPSEC 解決方案。 2002 年 9 月,北電、思科和 Check Point 一道宣布共同推出安全產品,也體現了廠商之間優勢互補、互通有無的趨勢。