向鹤防火墙技术在网络中的应用研究

向鹤防火墙技术在网络中的应用研究内容摘要：

b 应用程序，防范能力不足 网络防火墙于 1990 年发明，而商用的 Web 服务器，则在一年以后才面世。 基于状态检测的防火墙，其设计原理，是基于网络层 TCP 和 IP 地址，来设置与加强状态访问控制列表 （ ACLs， Access Control Lists）。 在这一方面，网络防火墙表现确实十分出色。 今年来，实际应用过程中， HTTP 是主要的传输协议。 主流的平台供应商和大的应用程序供应商，均已转移到基于 Web 的体系结构，安全防护的目的，不在只是重要的业务数据。 网络防火墙的防护范围，也发生了变化。 由于体系结构的原因，即使是最先进的网络防火墙，在防范 Web 应用程序时，由于无法全面控制网络、应用程序和数据流也无法截获应用层的攻击。 由于对正体的应用数据流，缺乏完整的、基于会话级别的监 控能力，因此很难预防新的未知的攻击。 ④ 应用防护特征，只适用于简单情况 目前的数据中心服务器，时常会发生变动，比如：定期需要部署新的应用程序；经常需要增加或更新软件模块；经常会发现代码中的 bug，已部署的系统需要定期打补丁。 虽然一些先进的网络防火墙供应商，提出了应用防护的特征，但只是适用于简单的环境中。 细看就会发现，对于实际的企业应用来说，这些特征存在着局限性。 在多数情况下，弹性概念 （ ProofOfConcept） 的特征无法应用于现实生活中的数据中心上。 比如，有些防火墙供 应商，曾经声称能够阻止缓存防火墙技术在网络安全中的应用研究 16 溢出：当黑客在浏览器的 URL 中输入太长数据，试图使用后台服务崩溃或使试图非法访问的时候，网络防火墙能够检测并制止这种情况。 细看就会发现，这些供应商采用对 80 端口数据流中，针对 URL 长度进行控制的方法，来实现这个功能的。 如果使用这个规则，讲对所有的应用程序生效。 如果一个程序或者是一个简单的 Web 网页，确实需要涉及到很长的 URL 时，就要屏蔽该规则。 网络防火墙的体系结构，决定了网络防火墙是针对网络端口和网络层进行操作的，因此很难对应用层竞选防护，除非是一些很简单的应用程序。 ⑤ 无法扩展带深度的检测功能 基于状态检测的网络防火墙，如果希望只扩展深度检测 （ deep inspection）功能，而没有相应增加网络性能，这是不行的。 真正的针对所有网络和应用程序流量的深度检测功能，需要空前的处理能力，来完成大量的计算任务，包括以下几个方面。 SSL 加密 /解密功能；完全的双向有效负载检测；确保所有合法流量的正常化；广泛的协议性能；这些任务，在基于标准 PC 硬件上，是无法高效运行的，虽然一些网络防火墙供应商采用的是基于 ASIC 平台，但进一步研究，就能发现：旧的基于网络的 ASIC 平台对于新的深度检测功能是无法支持的。 ⑥ 小结：应用层受到攻击的概率越来越大，而传统的网络防火墙在这方面有存在着不足之处。 对此，少数防火墙供应商也开始意识到应用层的威胁，在防火墙产品上增加了一些弹性概念 （ ProofOfConcept） 的特征，试图防范这些威胁。 传统的网络防火墙对于应用安全的防范上效果不佳，对于上述出的五大不足之处，将来需要在网络层和应用层加强防范。 防火墙技术在网络安全中的应用研究 17 第二章 防火墙概述 防火墙的概念 防火墙是指设置在不同网络，如可信任的企业内部网和不可信 的公共网 （ 如Inter） 或网络安全域之间的一系列部件的组合，如图 21 所示。 它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全策略控制 （ 允许、拒绝、监测 ） 出入网络的信息流，且本身具有较强的抗攻击能力。 它是提供信息安全服务，实现网络和信息安全的基础设施。 图 21 防火墙 原理 防火墙的原理 随着 规模的扩大和开放性的增强，网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。 一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征 （ 例如入侵检测 ） ，但这几乎 是一种不切合实际的方法，因为对具有几百个甚至上千个节点的网络，它们可能运行着不同的操作系统，当发现了安全缺陷时，每个可能被影响的节点都必须加以改进以修复这个缺陷。 另一种选择就是防火墙 （ Firewall） ，防火墙是用来在安全私有网络 （ 可信任网络 ） 和外部不可信任网络之间安全连接的一个设备或一组设备，作为私有网络和外部网络之间连接的单点存在。 防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障，它可以实施比较广泛的安全策略来控制信息流，防止不可预料的潜在的入侵破坏 DMZ 外网和内部局域网的防火墙系统。 防火墙技术在网络安全中的应用研究 18 防火墙的功能及特点 防火墙的功能 防火墙是网络安全的一道屏障，它可以作为内网和外网之间的一个阻塞点或是控制点，极大地提高了一个内部网络的安全，并通过过滤不安全的服务来降低风险。 只有经过其许可的应用协议或服务才能通过防火墙，因此网络环境将更安全。 其功能主要有以下几种： （ 1） 所有进出网络的通信数据都必须通过防火墙； （ 2） 所有想穿过防火墙的通信数据都必须经过安全策略以及计划的确认和授权后才允许通过； （ 3） 可以很方便地监视网络的安全性，并报警； （ 4） 可以作为部署 NAT（ Network Address Translation，网络地址转换 ） 的一个地点，利用 NAT 技术，将有限的 IP 地址动态或静态地与内部的 IP 地址对应起来，用于缓解 IP 地址空间不足的问题。 防火墙的优点 （ 1） 防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置，能将所有安全策略 （ 如口令、加密、身份认证、审计等 ） 配置在防火墙上。 防火墙执行网络的安全策略，只允许经过许可的、符合规则的请求通过。 （ 2） 对网络存取和访问进行监控审计 防火墙可以记录所有经过访问墙的访问并做出日志记录，同时也能提供网络使用情况的统计数 据。 （ 3） 防止内部信息外泄 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。 （ 4） 防火墙是一个安全策略的检查站 所有进出的信息都必须经过防火墙，它成为安全问题的检查点，拒绝可以的访问。 防火墙的不足 虽然防火墙具有较多的优点，但是它还是存在着一些不足，主要有以下几个方面： 防火墙技术在网络安全中的应用研究 19 1） 不能防范恶意的知情者 防火墙可以禁止系统用户通过网络连接发送信息，但是用户可以将这些信息通过移动硬盘、 U 盘和刻录光盘等形式带出去。 如果入侵者是内部网 络的用户，则防火墙也是无能为力的。 2） 不能防范不通过防火墙的连接 如果信息不通过防火墙进行传输，则防火墙也不起作用。 例如，内部网络中的站点通过其它连接方式 （ 如拨号连接 ） 连接外部网络，则防火墙就没有办法阻止入侵者利用拨号入侵。 3） 不能防备全部的威胁 如果是一个很好的防火墙设计方案，则可以防御新的威胁，但是没有一个防火墙能够自动防御所有新的威胁。 4） 不能防范病毒 防火墙不能清除网络上主机上的病毒。 防火墙的架构 防火墙产品的三代体系架构主要为： 第一代架构：主要是以单一 cpu作为整个系统业务和 管理的核心， cpu有 x8powerpc、 mips 等多类型，产品主要表现形式是 pc 机、工控机、 pcbox 或 riscbox等； 第二代架构：以 np 或 asic 作为业务处理的主要核心，对一般安全业务进行加速，嵌入式 cpu 为管理核心，产品主要表现形式为 box 等； 第三代架构： iss（ integrated security system） 集成安全体系架构，以高速安全处理芯片作为业务处理的主要核心，采用高性能 cpu 发挥多种安全业务的高层应用，产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备，容量大性 能高，各单元及系统更为灵活。 防火墙系统的解决方案 防火墙就如一道墙壁，把内部网络 （ 也称私人网络 ） 和外部网络 （ 也称公共网络 ） 隔离开。 起到区域网络不同安全区域的防御性设备的作用，例如：互联网络 （ inter） 与企业内部网络 （ intra） 之间，如图 22 所示。 防火墙技术在网络安全中的应用研究 20 图 22 内部网络和外部网络 根据已经设置好的安全规则，决定是允许 （ allow） 或者拒绝 （ deny） 内部网络和外部网络的连接，如图 23 所示。 图 23 内部网络与外部网络的连接 防火墙的发展历史 基于功 能的划分，可划分为五个阶段 第一代防火墙 第一代防火墙技术几乎与路由器同时出现，采用了包过滤 （ Packet filter） 技术。 下图 图 24 表示了防火墙技术的简单发展历史。 图 24 防火墙技术的发展历史 2） 第二 、三代防火墙 1989 年，贝尔实验室的 Dave Presotto 和 Howard Trickey 推出了第二代防火防火墙技术在网络安全中的应用研究 21 墙，即电路层防火墙，同时提出了第三代防火墙 —— 应用层防火墙 （ 代理防火墙 ）的初步结构。 3） 第四代防火墙 1992 年， USC 信息科学院的 BobBraden 开发出了基于动态包过滤 （ Dynamic packet filter） 技术的第四代防火墙，后来演变为目前所说的状态监视 （ Stateful inspection） 技术。 1994 年，以色列的 CheckPoint 公司开发出了第一个采用这种技术的商业化的产品。 4） 第五代防火墙 1998 年， NAI 公司推出了一种自适应代理 （ Adaptive proxy） 技术，并在其产品 Gauntlet Firewall for NT 中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。 基于实现方式划分，可以分为如下四个阶段 1） 第一代 防火墙 基于路由器的防火墙，由于多数路由器中本身就包含有分组过滤功能，故网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。 2） 第二代防火墙 用户化的防火墙，将过滤功能从路由器中独立出来，并加上审计和告警功能。 针对用户需求，提供模块化的软件包，是纯软件产品。 3） 第三代防火墙 建立在通用操作系统上的防火墙，近年来在市场上广泛使用的就是这一代产品。 包括分组过滤和代理功能。 第三代防火墙有以纯软件实现的，也有以硬件方式实现的。 4） 第四代防火墙 具有安全操作系统的防火墙：具有安 全操作系统的防火墙本身就是一个操作系统，因而在安全性上得到提高。 防火墙各个阶段的特点 静态包过滤防火墙 静态包过滤防火墙采用的是一个都不放过的原则。 它会检查所有通过信息包里的 IP 地址号，端口号及其它的包头信息，并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配，其中：如果信息包中存在一点与过滤规则不符合，防火墙技术在网络安全中的应用研究 22 那么这个信息包里所有的信息都会被防火墙屏蔽掉，这个信息包就不会通过防火墙。 相反的，如果每条规都和过滤规则相匹配，那么信息包就允许通过。 静态包的过滤原理就是：将信息分成若干个小数据 片 （ 数据包 ） ，确认符合防火墙的包过滤规则后，把这些个小数据片按顺序发送，接收到这 些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。 这种静态包过滤防火墙，对用户是透明的，它不需要用户的用户名和密码就可以登录，它的速度快，也易于维护。 但由于用户的使用记录没有记载，如果有不怀好意的人进行攻击的话，我们即不能从访问记录中得到它的攻击记录，也无法得知它的来源。 而一个单纯的包过滤的防火墙的防御能力是非常弱的，对于恶意的攻击者来说是攻破它是非常容易的。 其 中 “ 信息包冲击 ” 是 攻击者最常用的攻击手段：主要是攻击者 对包过滤防火墙发出一系列地址被替换成一连串顺序 IP 地址的信息包，一旦有一个包通过了防火墙，那么攻击者停止再发测试 IP 地址的信息包，用这个成功发送的地址来伪装他们所发出的对内部网有攻击性的信息。 动态包过滤防火墙 静态包过滤防火墙的缺点，动态包过滤防火墙都可以避免。 它采用的规则是发展为 “ 包状态检测技术 ” 的动态设置包过滤规则。 它可以根据需要动态的在过滤原则中增加或更新条目，在这点上静态防火墙是比不上它的，它主要对建立的每一个连接都进行跟踪。 在这里我们了解的是代理防火墙。 代理服务器型防火墙与包过滤防火墙 不同之点在于，它的内外网之间不存在直接的连接，一般由两部分组成：服务器端程序和客户端程序，其中客户端程序通过中间节点与提供服务的服务器连接。 代理服务器型防火墙提供了日志和审记服务。 代理 （ 应用层网关 ） 防火墙 这种防火墙被网络安全专家认为是最安全的防火墙，主要是因为从内部发出的数据包经过这样的防火墙处理后，就像是源于防火墙外部网卡一样，可以达到隐藏内部网结构的作用。 由于内外网的计算机对话机会根本没有，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。 自适应代理防火墙 自适应代理技术是 商业应用防火墙中实现的一种革命性技。