Internet防火墙技术最新发展

Internet防火墙技术最新发展

作者：汪辉

来源：方正数码网络安全产品技术支持中心

引言

21世纪是网络和知识经济的时代，大量的.com公司的建立和大量的传统企业的e化，全球已有1.5亿网民，我国已有网民1600多万，今后五年内将达到3000万人，上网人数仅次于美国列全球第二。互连网已越来越广泛的引用于社会的各个方面。计算机网络安全已经逐渐成为一个人们关注的问题。

在黑客的攻击下，曾经使雅虎网站的网络停止运行3小时，这令它损失了几百万美金的交易。春节期间263的若干服务器也遭到黑客的疯狂攻击。在IDC里面托管的服务器几乎每天都要受到大量的扫描器的疯狂扫描。 黑客一般都是通过一些系统的漏洞和网络管理人员的疏忽侵入主机。比如黑客可以利用Wu-ftp的溢出来获得root权限等等。

面对如此脆弱的网络，我们必须搭建一个安全体系来维护网络的安全，这些可以通过防火墙和入侵检测系统来实现。本文将综合论述防火墙的技术要领和新的发展趋势，通过本文能够使读者对防火墙的一些细节上能够有更深的理解，从而在选择防火墙产品的时候不会那么盲目。

防火墙定义和分类

作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看，防火墙处于网络安全的最底层，负责网络间的安全认证与传输，但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

根据防火墙所采用的技术不同，我们可以将它分为三种基本类型：包过滤型、代理型和监测型。

包过滤型

包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、 TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包” 是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。

代理型

代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。

监测型

监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。

新型防火墙的技术要领

1.新型防火墙和传统防火墙区别

传统的包过滤防火墙和应用网关防火墙，随着网络技术的不断发展和新的安全问题的出现，逐渐不能适应新的网络安全需求。在包过滤上需要改进算法从而提供网络带宽，而且需要加入状态检测，地址转换功能，流量管理和负载均衡功能。只有这样才能适应现在的需要。新型的防火墙应当具有很好的可伸缩性和可扩展性，同时也要具备高可靠性和稳定性。

新型防火墙从功能上来分，通常由以下几部分组成，如图1所示。

图 1 防火墙体系结构

针对现在新型防火墙的特点，方正数码开发研制了自有品牌的网络安全产品——FireGate方御防火墙。 它能够为网络提供强大的保护措施，抵御来自外部网络的攻击、防止不法分子入侵。FireGate具有高效、多层次、高安全性、易于管理和高可靠性等特点。与传统的软件防火墙不同，FireGate方御防火墙是一体化的硬件产品，它通过与硬件系统的深层结合，比任何传统的基于软件的防火墙都更加高效，安全，而且更加实时化。

2.防火墙包过滤功能的技术实现

传统的包过滤防火墙一般是在网络层检查数据包，通过是否匹配指定的包过滤规则来决定是否允许数据包通过防火墙。有些防火墙在匹配规则的时候是顺序匹配，这样在规则很多的时候，会对WEB服务器的吞吐能力影响很大，造成性能的降低。

为了减少由于安装了防火墙的原因而导致的网络流量的降低，FireGate方御防火墙采用了3I（Intelligent IP Identifying）技术，能够实现快速匹配，这样能够使一个数据包快速的通过Hash表找到相应的规则列表，而不是顺序匹配，从而使网络流量不受到较大的影响。

图 2 快速匹配数据包（3I技术）

和传统防火墙不同的是，现代防火墙的包过滤部分还应当包括状态检测功能。状态检测是对每个IP包的状态进行记录与甄别，将一个个独立的IP包定位到相应的IP连接中去，从而IP包被分成几类：

新建连接：用来新建连接的包（NEW-CONN）。 已建连接：已建立连接中的包（ESTABLISHED-CONN）。 相关连接：与已建立连接相关的包（RELATED-CONN），比如某个TCP连接的ICMP响应。 无效连接：无效包（INVALID-CONN），不能归入上面几类的包。 用户可能对相关连接难以理解，下面举一个实际的例子：

一个客户端（IP：1.2.3.4）试图FTP到一个服务器（IP：100.101.102.103），那么客户端首先连接服务器的21端口，将自己的IP地址和数据传输时的端口号（比如为5656）发送给服务器，这时候的数据连接属于新建连接；然后服务器主动打开20端口，去连接客户端的5656端口，这时候的数据连接属于相关连接。

在实际应用中，用户可以假定从内部网到外部网的网络连接适合以上所有的连接，但外部网到内部网的连接只允许已建连接和相关连接的数据包可以通过。这样，就保证了网络的安全和畅通两者兼顾。

就上例中如果FTP客户端使用了Passive模式，那么这时服务端21端口在收到数据后，会被动打开一随机分配的端口，然后是客户端去连接服务端的该端口。如果没有状态检测功能，那么这时配置防火墙规则时就无法实现允许该数据包通过防火墙，而IE去连接FTP站点又使用Passive模式。这也就是一些主机在配置了防火

墙后无法在外面使用流览器FTP

到主机上的原因。

图 3：Passive模式下的FTP(无状态检测)

在这种情况下状态检测功能就显的非常的重要，只要设置相关连接允许通过就可以轻松的实现这一功能。 FireGate方御防火墙可以根据数据包的地址、协议和端口进行访问控制，同时还对任何网络连接和会话的当前状态进行分析和监控。传统的防火墙的包过滤只是与规则表进行匹配，而FireGate对每个连接，都作为一个数据流汇总到连接表中，通过规则表与连接表共同配合，来完成状态检测的功能。

图 4：Passive模式下的FTP(状态检测)

1.入侵检测系统和防火墙的互动

由于一个网络的安全不能单纯的通过防火墙来实现，因此新型防火墙一般都带有入侵检测功能。 入侵检测系统按照其输入数据的来源来看，可以分为3类：

（1） 基于主机的入侵检测系统：其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵；

（2） 基于网络的入侵检测系统：其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵；

（3） 采用上述两种数据来源的分布式的入侵检测系统：能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统，一般为分布式结构，有多个部件组成。

入侵检测被认为是防火墙之后的第二道安全闸门，是防火墙的合理补充。在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。入侵检测帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从网络中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。

入侵检测系统面临的最主要挑战有两个：一个是虚警率太高，一个是检测速度太慢。虚警率太高会造成一些正常的访问会使IDS认为是攻击事件，造成没有必要的担心。检测速度太慢也会对整个网络流量造成很大的影响。

既然作为防火墙的第二道安全闸门，那么必然需要和防火墙进行互动，互动的意思就是指一旦入侵检测系统发现有异常的攻击事件，应当在第一时间的反应到防火墙那里，这样一来就可以堵截这次攻击事件。 FireGate方御防火墙入侵检测系统集成了网络监听监控、实时协议分析、基于入侵行为分析及详细日志审计跟踪，对黑客入侵进行全方位的检测。FireGate拥有完善的网络检测规则库，可检测的网络事件现多达1192种， 并随着新的入侵行为的发现加以更新和扩充。由于黑客攻击有多种方式，因此入侵检测系统必须有比较完善的规则库进行对应，这样才能在黑客攻击的时候做出响应。而且由于会不断的出现新的攻击方法，因此FireGate入侵检测系统提供了非常优越的规则库升级的接口。

在和防火墙的互动上面，方御防火墙采用了自动报警和自动防范结合的方法，一旦在入侵检测系统检测到攻击事件，立即会通知防火墙封禁该IP地址，这样一来可能黑客在扫描主机的时候就被方御防火墙封禁掉。

图5： IDS和防火墙的互动

在IDS虚警上面，FireGate方御防火墙提供了特征字识别的技术，用户只要把误报的特征字提供给IDS，那么以后就不会对这种事件进行报警和防范处理。而且FireGate方御防火墙的入侵检测系统优化了算法，不会对网络流量造成什么影响。

2.防火墙的扩展功能

为了适应现代的需要，现代防火墙除了具备传统防火墙的所有功能外，还应当具备一系列的扩展功能。扩展功能一般包括了代理服务器，地址转换功能（NAT）和双机热备功能。

FireGate代理服务器功能能够在访问控制中对时间，协议，方法，地址，DNS域，目的端口和URL进行设置，访问控制的种类非常完整，比如用户可以设置URL访问控制，就可以屏蔽掉一些不合法的URL地址。而且可以在这基础上实现流量统计和流量控制。

FireGate的地址转换功能实现了真正的双向NAT，也就是支持正向NAT，反向NAT和双向NAT。

FireGate方御防火墙以两种方式支持NAT：一是静态地址映射(正向NAT)，即提供外部地址和内部地址的一对多转换，内部使用保留IP地址的主机可以访问外部网络，即内部的多个机器可以通过一个外部有效地址访问外部网络。另一种是更灵活的端口映射方式（反向NAT），可以支持针对外部地址服务端口到内部地址服务端口的一对一映射，内部的多台机器的服务端口可以分别映射到外部地址的若干个端口，通过这些端口对外部提供服务。

比如202.118.6.100是一个外部有效地址，内部的“192.168.1.*”网段的机器通过该地址访问外部网络，同时，该地址的80端口对应于内部的IP地址为192.168.1.50的机器，外部网络对202.118.6.100:80的访问都构成了对192.168.1.50:80的访问，而202.118.6.100:25端口对应于内部的邮件服务器192.168.1.60，对外提供邮件服务。

系统支持“DMZ区到外部网”和“内部网到外部网”的NAT和反向NAT，也就是说内部网主机和DMZ区的主机都可以采用保留地址，从而减少注册IP地址的使用。通过NAT转换可以更有效地利用IP地址资源，并且提供更好的安全性。

另外，系统还提供了IP地址和MAC地址（网卡）一一绑定的功能，有效的限制了内部用户非法盗用他人的IP地址访问外部。

图6： 地址转换功能实例

双机热备功能一般会用于安全性要求比较高的场合，FireGate能够在网络中智能的寻找其对等的备份机，并且使备份机自动进入等待状态，而一旦备份机发现主工作机失效，可及时的启动，防止网络中断事故的发生。

目前，可以支持两台FireGate

在网络上进行主从备份，或者互为备份。

图7： 双机热备实例

3.防火墙的日志审计功能的技术实现

大部分防火墙产品的日志审计功能都不是很强大，一般都是系统的原始日志文件，这些对于用户是很难理解的，而且没有对审计部分自己进行审计，也就是说对于审计部分的操作没有进行审计。而且审计部分用户权限不完善，应当从审计用户上面分为管理员和日志查询人员级别，日志查询人员只能查询日志，不能删除和修改日志内容。

由于日志文件是查看防火墙的工作情况的唯一途径，因此审计的内容一定要全面和详细。

FireGate方御防火墙的审计功能严格的按照了国家安全部计算机信息系统安全产品质量检测中心公布的要求。分别对防火墙日志和审计管理日志进行了记录，可以方便的按照用户的要求进行查询。而且在权限管理上面分为了审计管理员和日志查询员。

4.防火墙自身的安全问题的技术实现

以上内容都是讨论都忽略了一个问题，那就是防火墙自身的安全问题。如果防火墙在设计和实现的时候本身出现了安全问题，那么又如何能够维护后面的服务器的网络安全。

防火墙自身的安全问题一般包含了如下内容：

（1）防火墙认证的安全问题

（2）防火墙管理权限体系管理

（3）防火墙管理程序易于操作性

防火墙认证的安全问题

由于防火墙一般都是通过管理程序进行控制的，因此它们之间的认证方式和安全也是很重要的。有些防火墙采用密码认证的方式，这种方法安全性比较差，因为万一密码本身就被泄漏，那么别人就可以轻松的控制防火墙，而且更加可怕的是有些防火墙使用密码认证，当时出厂时密码为空。那么这样如果配置防火墙的人员没有修改密码，那么这时候就是一件非常危险的事情。 FireGate方御防火墙采用了基于PKI的高级授权认证方式，因此安全性极高。PKI是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成。低层通过SSL协议进行通讯，数据的安全性得到了保障。

防火墙用户权限体系管理

普通防火墙的用户权限体系管理是很混乱的，几乎都是一个角色来实现

若干功能的，比如网络管理员角色，策略管理员角色，日志查看员角色都是一个人来实现，在防火墙的设计之中就没有考虑角色划分的概念。这样出现异常的时候就无法迅速准确的找到问题。这样的防火墙就毫无用户权限体系管理。 遵循国家有关安全标准规定，FireGate作了四级授权：实施域管理权、策略管理权、审计管理权、日志查看权。

（1）实施域管理权包括：向实施域中增删管理员帐号，增删FireGate，设置FireGate双机热备，切换FireGate桥/路由模式，为管理员授策略管理权和审计管理权；

（2）策略管理权包括：配置FireGate各个模块的策略，如包过滤策略，入侵检测策略，NAT策略，流量控制策略，Proxy策略等等；

（3）审计管理权包括：设置日志满时系统的策略，为管理员授日志查看权，清空日志；

（4）日志查看权包括：查询日志，生成统计报表。

拥有实施域管理权的仅有Admin帐号；且Admin也仅有实施域管理权，而没有策略管理权及审计管理权。其他管理员（指除了Admin以外的管理员）的策略管理权和审计管理权由Admin授予，日志查看权由拥有审计管理权的管理员授予。

防火墙管理程序易于操作性

易于管理也是实施安全的另一个重要组成部分。据财经杂志统计，30%的入侵发生在有防火墙的情况下，这些入侵的主要原因并非是防火墙无用，而是由于一般的防火墙的管理及配置相当复杂，要想成功的维护防火墙，要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解，而且防火墙的安全策略无法进行集中管理，这些都产生了由于管理而造成的安全问题。

FireGate方御防火墙的管理程序采用了GUI界面，易于操作，而且可以进行集中管理，这样通过一个管理程序就可以管理多台防火墙系统。因此给用户管理带来了很大的便利。

防火墙的的未来和展望

目前国内的防火墙研制技术已经日趋成熟，从产品及功能上，可以看到一些动向和趋势，下面几点可能是下一步的走向和选择：

过滤深度不断加强，从目前的地址、服务过滤发展到对Active X、Java等的过滤，并逐渐有病毒扫除功能。 防火墙的扩展功能将进一步的完善，而且随着算法的优化，使对网络流量的影响减低到最少。 利用防火墙建立专用网（VPN）是较长一段时间的用户使用的主流，IP的加密需求越来越强，安全协议的开发是一大热点。 对网络攻击的检测和告警将成为防火墙的重要功能。逐步建立和完善入侵检测数据库。 防火墙和硬件的进一步结合。

本文来源：https://www.bwwdw.com/article/owai.html