互联网防火墙技术的回顾与展望

互联网防火墙技术的回顾与展望

吴世忠

——1．引言

——防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤以Internet网络为最甚。Internet的迅猛发展，使得防火墙产品在短短的几年内异军突起，很快形成了一个产业：1995年，刚刚面市的防火墙产品市场量还不到1万套，到1996年底，就猛增到10万套，据国际权威商业调查机构的预测，防火墙市场将以173％的复合增长率增长，到2000年将达150万套，市场营业额将从1995年的1.6亿美元上升到2000年的9.8亿美元。

——纵观近年来Internet防火墙市场的发展，我们可以看到安全需求、安全产品和安全技术正以相辅相成的走势迅猛发展，本文从产品和技术的角度对防火墙技术的发展演变作一个初步的考察。

——2．对防火墙技术与产品发展的回顾

——防火墙是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理，从总体上看，防火墙应具有以下五大基本功能：

——●过滤进、出网络的数据；

——●管理进、出网络的访问行为；

——●封堵某些禁止的业务；

——●记录通过防火墙的信息内容和活动；

——●对网络攻击检测和告警。

——为实现以上功能，在防火墙产品的开发中，人们广泛应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、访问控制技术、安全审计技术等成熟或先进的手段，纵观防火墙产品近年内的发展，可将其分为四个阶段：

——2.1 第一阶段：基于路由器的防火墙

——由于多数路由器中本身就包含有分组过滤的功能，故网络访问控制功能可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。

——第一代防火墙产品的特点是：

——●利用路由器本身对分组的解析，以访问控制表（access list）方式实现对分组的过滤；

——●过滤判决的依据可以是：地址、端口号、IP旗标及其它网络特征；

——●只有分组过滤的功能，且防火墙与路由器是一体的，对安全要求低的网络采用路由器附带防火墙功能的方法，对安全性要求高的网络则可单独利用一台路由器作防火墙。

——第一代防火墙产品的不足之处十分明显：

——●路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。例如：在使用FTP协议时，外部服务器容易从20号端口上与内部网相连，即使在路由器上设置了过滤规则，内部网络的20端口仍可由外部探寻。

——●路由器上的分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性，作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。

——●路由器防火墙的最大隐患是：攻击者可以"假冒"地址，由于信息在网络上是以明文传送的，黑客可以在网络上伪造假的路由信息欺骗防火墙。

——●路由器防火墙的本质性缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。

——可以说：基于路由器的防火墙只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。

——2.2 第二阶段：用户化的防火墙工具套

——为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户化防火墙工具套的出现。

——作为第二代防火墙产品，用户化的防火墙工具套具有以下特征：

——●将过滤功能从路由器中独立出来，并加上审计和告警功能；

——●针对用户需求，提供模块化的软件包；

——●软件可通过网络发送，用户可自己动手构造防火墙；

——●与第一代防火墙相比，安全性提高了，价格降低了。

——由于是纯软件产品，第二代防火墙产品无论在实现还是在维护上都对系统管理员提出了相当复杂的要求，并带来以下问题：

——●配置和维护过程复杂、费时；

——●对用户的技术要求高；

——●全软件实现、安全性和处理速度均有局限；

——●实践表明，使用中出现差错的情况很多。

——2.3 第三阶段：建立在通用操作系统上的防火墙

——基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品，近年来在市场上广泛可用的就是这一代产品，它具有以下特点：

——●是批量上市的专用防火墙产品；

——●包括分组过滤或者借用路由器的分组过滤功能；

——●装有专用的代理系统，监控所有协议的数据和指令；

——●保护用户编程空间和用户可配置内核参数的设置；

——●安全性和速度大为提高。

——第三代防火墙有以纯软件实现的，也有以硬件方式实现的，已得到广大用户的认同。但随着安全需求的变化和使用时间的推延，仍表现出不少问题，比如：

——●作为基础的操作系统及其内核往往不为防火墙管理者所知，由于原码的保密，其安全性无从保证。

——●由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责；

——●从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击。

——●用户必须依赖两方面的安全支持：一是防火墙厂商、一是操作系统厂商。

——上述问题在基于Windows NT开发的防火墙产品中表现得十分明显。

——2.4 第四阶段：具有安全操作系统的防火墙

——防火墙技术和产品随着网络攻击和安全防护手段的发展而演进，到1997年初，具有安全操作系统的防火墙产品面市，使防火墙产品步入了第四个发展阶段。

——具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上较之第三代防火墙有质的提高。获得安全操作系统的办法有两种：一种是通过许可证方式获得操作系统的源码；另一种是通过固化操作系统内核来提高可靠性，由此建立的防火墙系统具有以下特点：

——●防火墙厂商具有操作系统的源代码，并可实现安全内核；

——●对安全内核实现加固处理：即去掉不必要的系统特性，加上内核特性，强化安全保护；

——●对每个服务器、子系统都作了安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其它部份构成威胁；

——●在功能上包括了分组过滤、应用网关、电路级网关，且具有加密与鉴别功能；

——●透明性好，易于使用。

——必须指出，上述阶段的划分更多地是以产品为对象的，目的在于对防火墙的发展有一个总体勾画。

——3．第四代防火墙的主要技术与功能

——第四代防火墙产品将网关与安全系统合二为一，具有以下技术与功能。

——3.1 双端口或三端口的结构

——新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不作IP转化而串接于内部网与外部网之间，另一个网卡可专用于对服务器的安全保护。

——3.2 透明的访问方式

——以前的防火墙在访问方式上要么要求用户作系统登录，要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。

——3.3 灵活的代理系统

——代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。第四代防火墙采用了两种代理机制，一种用于代理从内部网络到外部网络的连接，另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转换（NAT）技术来解决，后者采用非保密的用户定制代理或保密的代理系统技术来解决。

——3.4 多级的过滤技术

——为保证系统的安全性和防护水平，第四代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒的IP源地址；在应用级网关一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。

——3.5 网络地址转换技术

——第四代防火墙利用NAT技术能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己编的IP地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。

——3.6 Internet网关技术

——由于是直接串连在网络之中，第四代防火墙必须支持用户在Internet互连的所有服务，同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的应用服务器（包括FTP、Finger、mail、Ident、News、WWW等）来实现网关功能。为确保服务器的安全性，对所有的文件和命令均要利用“改变根系统调用（chroot）”作物理上的隔离。

——在域名服务方面，第四代防火墙采用两种独立的域名服务器，一种是内部DNS服务器，主要处理内部网络的DNS信息，另一种是外部DNS服务器，专门用于处理机构内部向Internet提供的部份DNS信息。

——在匿名FTP方面，服务器只提供对有限的受保护的部份目录的只读访问。在WWW服务器中，只支持静态的网页，而不允许图形或CGI代码等在防火墙内运行，在Finger服务器中，对外部访问，防火墙只提供可由内部用户配置的基本的文本信息，而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件作处理，并利用邮件映射与标头剥除的方法隐除内部的邮件环境，Ident服务器对用户连接的识别作专门处理，网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。

——3.7 安全服务器网络（SSN）

——为适应越来越多的用户向Internet上提供服务时对服务器保护的需要，第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护，它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网的一部分，又与内部网关完全隔离。这就是安全服务器网络（SSN）技术，对SSN上的主机既可单独管理，也可设置成通过FTP、Telnet等方式从内部网上管理。

——SSN的方法提供的安全性要比传统的"隔离区（DMZ）"方法好得多，因为SSN与外部网之间有防火墙保护，SSN与内部网之间也有防火墙的保护，而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之，一旦SSN受破坏，内部网络仍会处于防火墙的保护之下，而一旦DMZ受到破坏，内部网络便暴露于攻击之下。

——3.8 用户鉴别与加密

——为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险，鉴别功能必不可少，第四代防火墙采用一次性使用的口令字系统来作为用户的鉴别手段，并实现了对邮件的加密。

——3.9 用户定制服务

——为满足特定用户的特定需求，第四代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用TCP，出站UDP、FTP、SMTP等类，如果某一用户需要建立一个数据库的代理，便可利用这些支持，方便设置。

——3.10 审计和告警

——第四代防火墙产品的审计和告警功能十分健全，日志文件包括：一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个TCP或UDP探寻，并能以发出邮件、声响等多种方式报警。

——此外第四代防火墙还在网络诊断，数据备份与保全等方面具有特色。

——4．第四代防火墙的技术实现方法

——在第四代防火墙产品的设计与开发中，安全内核、代理系统、多级过滤、安全服务器和鉴别与加密是关键所在。

——4.1 安全内核的实现

——第四代防火墙是建立在安全操作系统之上的，安全的操作系统来自对专用操作系统的安全加固和改造，从现有的诸多产品看，对安全操作系统内核的固化与改造主要从以下几方面进行：

——●取消危险的系统调用；

——●限制命令的执行权限；

——●取消IP的转发功能；

——●检查每个分组的接口；

——●采用随机连接序号；

——●驻留分组过滤模块；

——●取消动态路由功能；

——●采用多个安全内核。

——4.2 代理系统的建立

——防火墙不允许任何信息直接穿过它，对所有的内外连接均要通过代理系统来实现，为保证整个防火墙的安全，所有的代理都应采用改变根目录的方式存在一个相对独立的区域以作安全隔离。

——在所有的连接通过防火墙前，所有的代理要检查已定义的访问规则，这些规则控制代理的服务根据以下内容处理分组：

——●源地址；

——●目的地址；

——●时间；

——●同类服务器的最大数量。

——所有外部网络到防火墙内部或SSN的连接由进站代理处理，进站代理要保证内部主机能了解外部主机的所有信息，而外部主机只能看到防火墙之外或SSN的地址。

——所有从内部网络或SSN通过防火墙与外部网络建立的连接由出站代理处理，出站代理必须确保安全由它代表的内部网络与外部地址机连，防止内部网址与外部网址的直接连接，同时还要处理内部网络到SSN的连接。

——4.3 分组过滤器的设计

——作为防火墙的核心部件之一，过滤器的设计要尽量做到减少对防火墙的访问，过滤器在调用时将被下载到内核中执行，服务终止时，过滤规则会从内核中消除，所有的分组过滤功能都在内核中IP堆栈的深层运行，极为安全。分组过滤器包括以下参数：

——●进站接口；

——●出站接口；

——●IP协议特征；

——●允许的连接；

——●源端口范围；

——●源地址；

——●目的地址；

——●目的端口的范围等。

——●对每一种参数的处理都要充分体现设计原则和安全政策。

——4.4 安全服务器的设计

——安全服务器的设计有两个要点：第一，所有SSN的流量都要隔离处理，即从内部网和外部网而来的路由信息流在机制上是分离的；第二，SSN的作用类似于两个网络，它看上去象是内部网，因为它对外透明，同时又象是外部网络，因为它从内部网络对外访问的方式十分有限。

——SSN上的每一个服务器都是隐蔽于Internet，SSN提供的服务对外部网络而言好象防火墙的功能，由于地址转换已是透明的，对各种网络应用没有限制。实现SSN的关键在于：

——●解决分组过滤器与SSN的连接；

——●支持通用防火墙对SSN的访问；

——●支持代理服务。

——4.5 鉴别与加密的考虑

——鉴别与加密是防火墙识别用户，验证访问和保护信息的有效手段，鉴别机制除了提供安全保护而外，还有安全管理的功能，目前国外防火墙产品中广泛使用令牌鉴别方式，具体方法有两种，一种是加密卡（Crypto Card）；另一种是Secure ID，这两种都是一次性口令的生成工具。
对信息内容的加密与鉴别则涉及加密算法和数字签名技术，除PEM、PGP和Kerberos外，目前国外防火墙产品中尚没有更好的机制出现，由于加密算法涉及国家信息安全和主权，各国有不同的要求。

——5．第四代防火墙的抗攻击能力

——作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的必备功能，在Internet环境中针对防火墙的攻击方法很多，下面从几种主要的功击方法来评估第四代防火墙的抗攻击能力。

——5.1 抗IP假冒攻击

——IP假冒是指一个非法的主机假冒内部的主机地址，骗取服务器的"信任"，从而达到对网络的攻击目的。由于第四代防火墙知道网络内外的IP地址，它会丢弃所有来自网络外部但却有内部地址的分组，再之防火墙已将网的实际地址隐蔽起来，外部用户很难知道内部的IP地址，因而难以攻击。

——5.2 抗特洛伊木马攻击

——特洛伊木马能将病毒或破坏性程序传入计算机网络，且通常是将这些恶意程序隐蔽在正常的程序，尤其是热门程序或游戏之中，一些用户下载并执行这一程序，其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的，其安全内核中不能执行下载的程序，故而可防止特洛伊木马的发生，必须指出的是，防火墙能抗特洛伊木马的攻击并不表明受其保护的某个主机也能防止这类攻击。事实上，内部用户可通过防火墙下载程序，并执行下载的程序。

——5.3 抗口令字探寻攻击

——在网络中探寻口令字的方法很多，最常见的是口令字嗅探和口令字解密。
嗅探是通过监测网络通信，截获用户传给服务器的口令字，记录下来，以便使用；解密是指采用强力攻击、猜测或截获含有加密口令字的文件，并设法解密。此外，攻击者还常常利用一些常用口令字直接登录。

——第四代防火墙采用了一次性口令字和禁止直接登录防火墙的措施，能有效防止对口令字的攻击。

——5.4 抗网络安全性分析

——网络安全性分析工具本是供管理人员分析网络安全性之用的，一旦这类工具用作攻击网络的手段，则能较方便地探测到内部网络的安全缺陷和弱点所在，目前，SATAN软件可以从网上免费获得，Internet Scanner可从市面上购买，这些分析工具给网络安全构成了直接威胁。第四代防火墙采用了地址转换技术，将内部网络隐蔽起来，使网络安全分析工具无法从外部对内部网作分析。

——5.5 抗邮件诈骗攻击

——邮件诈骗也是越来越突出的攻击方式，第四代防火墙不接收任何邮件，故难以采用这种方式对它攻击，同样值得一提的是，防火墙不接受邮件，并不表示它不让邮件通过，实际上用户仍可收发邮件，内部用户要防邮件诈骗，最终的解决办法是对邮件加密。

——6．对防火墙技术的展望

——6.1 几点趋势

——考虑到Internet发展的凶猛势头和防火墙产品的更新步伐，要全面展望防火墙技术的发展几乎是不可能的，但是，从产品及功能上，却又可以看出一些动向和趋势，下面诸点可能是下一步的走向和选择：

——①防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展；

——②过滤深度不断加强，从目前的地址、服务过滤，发展到URL（页面）过滤，关键字过滤和对Active X、Java等的过滤，并逐渐有病毒扫除功能。

——③利用防火墙建立专用网（VPN）是较长一段时间的用户使用的主流，IP的加密需求越来越强，安全协议的开发是一大热点；

——④单向防火墙（又叫网络二极管）将作为一种产品门类而出现；

——⑤对网络攻击的检测和告警将成为防火墙的重要功能；

——⑥安全管理工具不断完善，特别是可疑活动的日志分析工具等将成为防火墙产品中的一部分。

——6.2 需求的变化

——根据上述趋势，人们选择防火墙的标准将集中在以下几个方面：

——①易于管理性；

——②应用透明性；

——③鉴别与加密功能；

——④操作环境和硬件要求；

——⑤VPN的功能与CA的功能；

——⑥接口的数量；

——⑦成本。

关闭窗口