防火墻技術(shù)研究報(bào)告

的防火墻，由堡壘主機(jī)提供代理服務(wù)。

各類防火墻路由器和各種主機(jī)按其配置和功能可組成各種類型的防火墻，主要有：雙宿主主機(jī)防火墻，它是由堡壘主機(jī)充當(dāng)網(wǎng)關(guān)，并在其上運(yùn)行防火墻軟件，內(nèi)外網(wǎng)之間的通信必須經(jīng)過(guò)堡壘主機(jī)；主機(jī)過(guò)濾防火墻是指一個(gè)包過(guò)濾路由器與外部網(wǎng)相連，同時(shí)，一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)上，使堡壘主機(jī)成為外部網(wǎng)所能到達(dá)的惟一節(jié)點(diǎn)，從而確保內(nèi)部網(wǎng)不受外部非授權(quán)用戶的攻擊；加密路由器對(duì)通過(guò)路由器的信息流進(jìn)行加密和壓縮，然后通過(guò)外部網(wǎng)絡(luò)傳輸?shù)侥康亩诉M(jìn)行解壓縮和解密。

四、防火墻的基本功能

典型的防火墻應(yīng)包含如下模塊中的一個(gè)或多個(gè)：包過(guò)濾路由器、應(yīng)用層網(wǎng)關(guān)以及鏈路層網(wǎng)關(guān)。

（一）包過(guò)濾路由器

包過(guò)濾路由器將對(duì)每一個(gè)接收到的包進(jìn)行允許／拒絕的決定。具體地，它對(duì)每一個(gè)數(shù)據(jù)報(bào)的包頭，按照包過(guò)濾規(guī)則進(jìn)行判定，與規(guī)則相匹配的包依據(jù)路由表信息繼續(xù)轉(zhuǎn)發(fā)，否則，則丟棄之。

與服務(wù)相關(guān)的過(guò)濾，是指基于特定的服務(wù)進(jìn)行包過(guò)濾，由于絕大多數(shù)服務(wù)的監(jiān)聽(tīng)都駐留在特定TCP／UDP端口，因此，阻塞所有進(jìn)入特定服務(wù)的連接，路由器只需將所有包含特定TCP／UDP目標(biāo)端口的包丟棄即可。

獨(dú)立于服務(wù)的過(guò)濾，有些類型的攻擊是與服務(wù)無(wú)關(guān)的，比如：帶有欺騙性的源IP地址攻擊、源路由攻擊、細(xì)小碎片攻擊等。由此可見(jiàn)此類網(wǎng)上攻擊僅僅借助包頭信息是難以識(shí)別的，此時(shí)，需要路由器在原過(guò)濾規(guī)則的基礎(chǔ)附上另外的條件，這些條件的判別信息可以通過(guò)檢查路由表、指定IP選擇、檢查指定幀偏移量等獲得。（二）應(yīng)用層網(wǎng)關(guān)

應(yīng)用層網(wǎng)關(guān)允許網(wǎng)絡(luò)管理員實(shí)施一個(gè)較包過(guò)濾路由器更為嚴(yán)格的安全策略，為每一個(gè)期望的應(yīng)用服務(wù)在其網(wǎng)關(guān)上安裝專用的代碼，同時(shí)，代理代碼也可以配置成支持一個(gè)應(yīng)用服務(wù)的某些特定的特性。對(duì)應(yīng)用服務(wù)的訪問(wèn)都是通過(guò)訪問(wèn)相應(yīng)的代理服務(wù)實(shí)現(xiàn)的，而不允許用戶直接登錄到應(yīng)用層網(wǎng)關(guān)。

應(yīng)用層網(wǎng)關(guān)安全性的提高是以購(gòu)買相關(guān)硬件平臺(tái)的費(fèi)用為代價(jià)，網(wǎng)關(guān)的配置將降低對(duì)用戶的服務(wù)水平，但增加了安全配置上的靈活性。

（三）鏈路層網(wǎng)關(guān)

鏈路層網(wǎng)關(guān)是可由應(yīng)用層網(wǎng)關(guān)實(shí)現(xiàn)的特殊功能。它僅僅替代TCP連接而無(wú)需執(zhí)行任何附加的包處理和過(guò)濾。

五、防火墻的安全構(gòu)建

在進(jìn)行防火墻設(shè)計(jì)構(gòu)建中，網(wǎng)絡(luò)管理員應(yīng)考慮防火墻的基本準(zhǔn)則；整個(gè)企業(yè)網(wǎng)的安全策略；以及防火墻的財(cái)務(wù)費(fèi)用預(yù)算等。

（一）基本準(zhǔn)則

可以采取如下兩種理念中的一種來(lái)定義防火墻應(yīng)遵循的準(zhǔn)則：第一，未經(jīng)說(shuō)明許可的就是拒絕。防火墻阻塞所有流經(jīng)的信息，每一個(gè)服務(wù)請(qǐng)求或應(yīng)用的實(shí)現(xiàn)都基于逐項(xiàng)審查的基礎(chǔ)上。這是一個(gè)值得推薦的方法，它將創(chuàng)建一個(gè)非常安全的環(huán)境。當(dāng)然，該理念的不足在于過(guò)于強(qiáng)調(diào)安全而減弱了可用性，限制了用戶可以申請(qǐng)的服務(wù)的數(shù)量。第二，未說(shuō)明拒絕的均為許可的。約定防火墻總是傳遞所有的信息，此方式認(rèn)定每一個(gè)潛在的危害總是可以基于逐項(xiàng)審查而被杜絕。當(dāng)然，該理念的不足在于它將可用性置于比安全更為重要的地位，增加了保證企業(yè)網(wǎng)安全性的難度。

（二）安全策略

在一個(gè)企業(yè)網(wǎng)中，防火墻應(yīng)該是全局安全策略的一部分，構(gòu)建防火墻時(shí)首先要考慮其保護(hù)的范圍。企業(yè)網(wǎng)的安全策略應(yīng)該在細(xì)致的安全分析、全面的風(fēng)險(xiǎn)假設(shè)以及商務(wù)需求分析基礎(chǔ)上來(lái)制定。

（三）構(gòu)建費(fèi)用

簡(jiǎn)單的包過(guò)濾防火墻所需費(fèi)用最少，實(shí)際上任何企業(yè)網(wǎng)與因特網(wǎng)的連接都需要一個(gè)路由器，而包過(guò)濾是標(biāo)準(zhǔn)路由器的一個(gè)基本特性。對(duì)于一臺(tái)商用防火墻隨著其復(fù)雜性和被保護(hù)系統(tǒng)數(shù)目的增加，其費(fèi)用也隨之增加。

至于采用自行構(gòu)造防火墻方式，雖然費(fèi)用低一些，但仍需要時(shí)間和經(jīng)費(fèi)開(kāi)發(fā)、配置防火墻系統(tǒng)，需要不斷地為管理、總體維護(hù)、軟件更新、安全修補(bǔ)以及一些附帶的操作提供支持。

六、防火墻的發(fā)展特點(diǎn)

（一）高速?gòu)膰?guó)內(nèi)外歷次測(cè)試的結(jié)果都可以看出，目前防火墻一個(gè)很大的局限性是速度不夠，真正達(dá)到線速的防火墻少之又少。防范DoS(拒絕服務(wù))是防火墻一個(gè)很重要的任務(wù)，防火墻往往用在網(wǎng)絡(luò)出口，如造成網(wǎng)絡(luò)堵塞，再安全的防火墻也無(wú)法應(yīng)用。應(yīng)用ASIC、FPGA和網(wǎng)絡(luò)處理器是實(shí)現(xiàn)高速防火墻的主要方法，但尤以采用網(wǎng)絡(luò)處理器最優(yōu)，因?yàn)榫W(wǎng)絡(luò)處理器采用微碼編程，可以根據(jù)需要隨時(shí)升級(jí)，甚至可以支持IPv6，而采用其他方法就不那么靈活。實(shí)現(xiàn)高速防火墻，算法也是一個(gè)關(guān)鍵，因?yàn)榫W(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元，因此比較容易實(shí)現(xiàn)高速。對(duì)于采用純CPU的防火墻，就必須有算法支撐，例如ACL算法。目前有的應(yīng)用環(huán)境，動(dòng)輒應(yīng)用數(shù)百乃至數(shù)萬(wàn)條規(guī)則，沒(méi)有算法支撐，對(duì)于狀態(tài)防火墻，建立會(huì)話的速度會(huì)十分緩慢。上面提到，為什么防火墻不適宜于集成內(nèi)容過(guò)濾、防病毒和IDS功能(傳輸層以下的IDS除外，這些檢測(cè)對(duì)CPU消耗小)呢？說(shuō)到底還是因?yàn)槭墁F(xiàn)有技術(shù)的限制。目前，還沒(méi)有有效的對(duì)應(yīng)用層進(jìn)行高速檢測(cè)的方法，也沒(méi)有哪款芯片能做到這一點(diǎn)。因此，對(duì)于IDS，目前最常用的方式還是把網(wǎng)絡(luò)上的流量鏡像到IDS設(shè)備中處理，這樣可以避免流量較大時(shí)造成網(wǎng)絡(luò)堵塞。此外，應(yīng)用層漏洞很多，攻擊特征庫(kù)需要頻繁升級(jí)，對(duì)于處在網(wǎng)絡(luò)出口關(guān)鍵位置的防火墻，如此頻繁地升級(jí)也是不現(xiàn)實(shí)的。這里還要提到日志問(wèn)題，根據(jù)國(guó)家有關(guān)標(biāo)準(zhǔn)和要求，防火墻日志要求記錄的內(nèi)容相當(dāng)多。網(wǎng)絡(luò)流量越來(lái)越大，如此龐大的日志對(duì)日志服務(wù)器提出了很高的要求。目前，業(yè)界應(yīng)用較多的是SYSLOG日志，采用的是文本方式，每一個(gè)字符都需要一個(gè)字節(jié)，存儲(chǔ)量很大，對(duì)防火墻的帶寬也是一個(gè)很大的消耗。二進(jìn)制日志可以大大減小數(shù)據(jù)傳送量，也方便數(shù)據(jù)庫(kù)的存儲(chǔ)、加密和事后分析?？梢哉f(shuō)，支持二進(jìn)制格式和日志數(shù)據(jù)庫(kù)，是未來(lái)防火墻日志和日志服務(wù)器軟件的一個(gè)基本要求。（二）多功能化多功能也是防火墻的發(fā)展方向之一，鑒于目前路由器和防火墻價(jià)格都比較高，組網(wǎng)環(huán)境也越來(lái)越復(fù)雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網(wǎng)和節(jié)省投資的需要。例如，防火墻支持廣域網(wǎng)口，并不影響安全性，但在某些情況下卻可以為用戶節(jié)省一臺(tái)路由器;支持部分路由器協(xié)議，如路由、撥號(hào)等，可以更好地滿足組網(wǎng)需要；支持IPSecVPN，可以利用因特網(wǎng)組建安全的專用通道，既安全又節(jié)省了專線投資。據(jù)IDC統(tǒng)計(jì)，國(guó)外90%的加密VPN都是通過(guò)防火墻實(shí)現(xiàn)的。（三）安全未來(lái)防火墻的操作系統(tǒng)會(huì)更安全。隨著算法和芯片技術(shù)的發(fā)展，防火墻會(huì)更多地參與應(yīng)用層分析，為應(yīng)用提供更安全的保障?！澳Ц咭怀?，道高一丈”，在信息安全的發(fā)展與對(duì)抗過(guò)程中，防火墻的技術(shù)一定會(huì)不斷更新，日新月異，在信息安全的防御體系中，起到堡壘的作用。未來(lái)防火墻的操作系統(tǒng)會(huì)更安全。隨著算法和芯片技術(shù)的發(fā)展，防火墻會(huì)更多地參與應(yīng)用層分析，為應(yīng)用提供更安全的保障。七、防火墻的發(fā)展趨勢(shì)近年來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)獲得了飛速的發(fā)展。它不知不覺(jué)的占據(jù)了我們生活的大半部分，成為我們社會(huì)結(jié)構(gòu)的一個(gè)基本組成部分。從Internet的誕生之日起，就不可避免的面臨著網(wǎng)絡(luò)信息安全的問(wèn)題。而隨著Internet的迅速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)對(duì)安全的要求也日益增高。越來(lái)越多的網(wǎng)站因?yàn)榘踩詥?wèn)題而癱瘓，公司的機(jī)密信息不斷被竊取，政府機(jī)構(gòu)和組織不斷遭受著安全問(wèn)題的威脅等等。盡管利用防火墻可以保護(hù)內(nèi)部網(wǎng)免受外部黑客的攻擊，但其只能提高網(wǎng)絡(luò)的安全性，不可能保證網(wǎng)絡(luò)的絕對(duì)安全。事實(shí)上仍然存在著一些防火墻不能防范的安全威脅，如防火墻不能防范不經(jīng)過(guò)防火墻的攻擊。例如，如果允許從受保護(hù)的網(wǎng)絡(luò)內(nèi)部向外撥號(hào)，一些用戶就可能形成與Internet的直接連接。另外，防火墻很難防范來(lái)自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。所以在一個(gè)實(shí)際的網(wǎng)絡(luò)運(yùn)行環(huán)境中，僅僅依靠防火墻來(lái)保證網(wǎng)絡(luò)的安全顯然是不夠，此時(shí)，應(yīng)根據(jù)實(shí)際需求采取其他相應(yīng)的安全策略。計(jì)算機(jī)的安全問(wèn)題正面臨著前所未有的挑戰(zhàn)。在這場(chǎng)網(wǎng)絡(luò)安全的攻擊和反攻擊的信息戰(zhàn)中，永遠(yuǎn)沒(méi)有終點(diǎn)。黑客的攻擊手段不斷翻新，決定了信息安全技術(shù)也必須進(jìn)行革新，防火墻是防范黑客攻擊的常用手段，但這樣的技術(shù)必須與當(dāng)今最前沿的其他安全技術(shù)結(jié)合在一起，才能更有效地防范各種新