淺議新一代防火墻技術(shù)的應(yīng)用與發(fā)展

江 文

（無錫商業(yè)職業(yè)技術(shù)學(xué)院，江蘇 無錫 214153）

新一代防火墻應(yīng)該加強放行數(shù)據(jù)的安全性，因為網(wǎng)絡(luò)安全的真實需求是既要保證安全，也要保證應(yīng)用的正常進行。新一代防火墻既有包過濾的功能，又能在應(yīng)用層進行代理。較傳統(tǒng)的防火墻來說，具有先進的過濾和代理體系，能從數(shù)據(jù)鏈路層到應(yīng)用層進行全方位安全處理，TCP/IP協(xié)議和代理的直接相互配合，提供透明代理模式，減輕客戶端的配置工作，使本系統(tǒng)的防欺騙能力和運行的健壯性都大大提高；除了訪問控制功能外，新一代防火墻還應(yīng)集成了其它許多安全技術(shù)，如 NAT和VPN、病毒防護等，使防火墻的安全性提升到又一高度。

1 新一代智能防火墻技術(shù)

1.1 概念

智能防火墻從技術(shù)特征上是利用統(tǒng)計、記憶、概率和決策的智能方法來對數(shù)據(jù)進行識別，并達到訪問控制的目的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進行訪問控制。由于這些方法多是人工智能學(xué)科采用的方法，因此被稱為智能防火墻。智能防火墻的主要技術(shù)包括：

1.1.1 AAA技術(shù)

IP v4版本的一大缺陷是缺乏身份認證功能，所以在IP v6版本中增加了該功能。問題是IP v6的推廣尚需時日，IP v4在相當(dāng)長一段時間內(nèi)，還會繼續(xù)存在。智能防火墻增加了對IP層的身份認證?；谏矸輥韺崿F(xiàn)訪問控制。

1.1.2 防掃描技術(shù)

智能防火墻能智能識別黑客的惡意掃描，并有效地阻斷或欺騙惡意掃描者。對目前已知的掃描工具如ISS、SSS、NMAP等掃描工具，智能防火墻可以防止被掃描。防掃描技術(shù)還可以有效地解決代表或惡意代碼的惡意掃描攻擊。

1.1.3 防攻擊技術(shù)

智能防火墻能智能識別惡意數(shù)據(jù)流量，并有效地阻斷惡意數(shù)據(jù)攻擊。智能防火墻可以有效地解決 SYN Flooding，Land Attack，UDP Flooding，F(xiàn)raggle Attack，Ping Flooding，Smurf，Ping of Death，Unreachable Host等攻擊。防攻擊技術(shù)還可以有效的切斷惡意病毒或木馬的流量攻擊。

1.1.4 包擦洗和協(xié)議正?；夹g(shù)

智能防火墻支持包擦洗技術(shù)，對 IP，TCP，UDP，ICMP等協(xié)議的擦洗，實現(xiàn)協(xié)議的正?；?，消除潛在的協(xié)議風(fēng)險和攻擊。這些方法對消除TCP/IP協(xié)議的缺陷和應(yīng)用協(xié)議的漏洞所帶來的威脅，效果顯著。

1.1.5 入侵防御技術(shù)

智能防火墻為了解決準許放行包的安全性，對準許放行的數(shù)據(jù)進行入侵檢測，并提供入侵防御保護。入侵防御技術(shù)采用了多種檢測技術(shù)，特征檢測可以準確檢測已知的攻擊，特征庫涵蓋了目前流行的網(wǎng)絡(luò)攻擊；異常檢測基于對監(jiān)控網(wǎng)絡(luò)的自學(xué)習(xí)能力，可以有效地檢測新出現(xiàn)的攻擊；檢測引擎中還集成了針對緩沖區(qū)溢出等特定攻擊的檢測。智能防火墻完成了深層數(shù)據(jù)包監(jiān)控，并能阻斷應(yīng)用層攻擊。

1.1.6 防欺騙技術(shù)

智能防火墻提供基于 MAC的訪問控制機制，可以防止MAC欺騙和IP欺騙，支持MAC過濾，支持IP過濾。將防火墻的訪問控制擴展到OSI的第二層。

1.2 優(yōu)點

智能防火墻成功地解決了普遍存在的拒絕服務(wù)攻擊（DDOS）的問題、病毒傳播問題和高級應(yīng)用入侵問題，代表著防火墻的主流發(fā)展方向。新一代智能防火墻自身的安全性較傳統(tǒng)的防火墻有很大的提高，在特權(quán)最小化、系統(tǒng)最小化、內(nèi)核安全、系統(tǒng)加固、系統(tǒng)優(yōu)化和網(wǎng)絡(luò)性能最大化方面，與傳統(tǒng)防火墻相比有質(zhì)的飛躍。

1.3 應(yīng)用

其主要應(yīng)用領(lǐng)域主要包括：

1.3.1 入侵防御

智能防火墻為了解決準許放行包的安全性，對準許放行的數(shù)據(jù)進行入侵檢測，并提供入侵防御保護，這樣就完成了深層數(shù)據(jù)包監(jiān)控，并能阻斷應(yīng)用層攻擊。

1.3.2 防范黑客攻擊

智能防火墻能智能識別黑客的惡意掃描，并有效地阻斷或欺騙惡意掃描者。對目前已知的掃描工具如ISS、SSS、NMAP等掃描工具，可以防止被掃描。并可有效地解決惡意代碼的惡意掃描攻擊。

1.3.3 防范潛在風(fēng)險

智能防火墻支持包擦洗技術(shù)，對 IP、TCP、UDP、ICMP等協(xié)議的擦洗，實現(xiàn)協(xié)議的正?；?，消除潛在的協(xié)議風(fēng)險和攻擊。這些方法對消除TCP/IP協(xié)議的缺陷和應(yīng)用協(xié)議的漏洞所帶來的威脅，效果顯著。

1.3.4 防范惡意數(shù)據(jù)攻擊

智能防火墻能智能識別惡意數(shù)據(jù)流量，并有效地阻斷惡意數(shù)據(jù)攻擊，解決SYN Flooding，Land Attack，UDP Flooding，F(xiàn)raggle Attack，Ping Flooding，Smurf，Ping of Death，Unreachable Host等攻擊，有效地切斷惡意病毒或木馬的流量攻擊。

1.3.5 防范MAC欺騙和IP欺騙

智能防火墻提供基于 MAC的訪問控制機制，可以防止MAC欺騙和IP欺騙，支持MAC過濾，支持IP過濾。將防火墻的訪問控制擴展到OSI的第二層。

總之，與傳統(tǒng)防火墻相比，智能防火墻在保護網(wǎng)絡(luò)和站點免受黑客的攻擊、阻斷病毒的惡意傳播、有效監(jiān)控和管理內(nèi)部局域網(wǎng)、保護必需的應(yīng)用安全、提供強大的身份認證授權(quán)和審計管理等方面，有著廣泛的應(yīng)用價值。

2 新一代嵌入式防火墻技術(shù)

2.1 概念

嵌入式防火墻就是內(nèi)嵌于路由器或交換機的防火墻。嵌入式防火墻是某些路由器的標準配置。用戶也可以購買防火墻模塊，安裝到已有的路由器或交換機中。嵌入式防火墻也被稱為阻塞點防火墻。由于互聯(lián)網(wǎng)使用的協(xié)議多種多樣，所以不是所有的網(wǎng)絡(luò)服務(wù)都能得到嵌入式防火墻的有效處理。嵌入式防火墻工作于IP層，所以無法保護網(wǎng)絡(luò)免受病毒、蠕蟲和特洛伊木馬程序等來自應(yīng)用層的威脅。就本質(zhì)而言，嵌入式防火墻常常是無監(jiān)控狀態(tài)的，它在傳遞信息包時并不考慮以前的連接狀態(tài)。

2.2 優(yōu)點

它彌補并改善各類安全能力不足的企業(yè)邊緣防火墻、防病毒程序，基于主機的應(yīng)用程序、入侵檢測告警程序及網(wǎng)絡(luò)代理程序而設(shè)計，確保了企業(yè)內(nèi)部與外部的網(wǎng)絡(luò)具有以下功能：不論企業(yè)局域網(wǎng)的拓撲結(jié)構(gòu)如何變更，防護措施都能延伸到網(wǎng)絡(luò)邊緣為網(wǎng)絡(luò)提供保護；基于硬件、能夠防范入侵的安全特性能獨立于主機操作系統(tǒng)與其他安全性程序運行，甚至在安全性較差的寬帶鏈路上都能實現(xiàn)安全移動與遠程接入，可管理的執(zhí)行方式使企業(yè)安全性能夠被用戶策略而非物理設(shè)施來進行定義。

2.3 應(yīng)用

一套嵌入式防火墻安全性解決方案能夠為那些需要在家訪問公司局域網(wǎng)的遠程辦公用戶提供了保護。幫助企業(yè)確保網(wǎng)絡(luò)最薄弱和未保護領(lǐng)域的安全，如筆記本電腦和遠程PC機，實行集中式管理的嵌入式客戶機方案，并實現(xiàn)了跨越企業(yè)邊緣防火墻的可靠網(wǎng)絡(luò)連接，為企業(yè)和政府站點提供天衣無縫的安全性。

3 新一代分布式防火墻技術(shù)

3.1 概念

針對傳統(tǒng)邊界防火墻的缺欠，專家提出“分布式防火墻”的概念。從狹義和與邊界防火墻產(chǎn)品對應(yīng)來講，分布式防火墻產(chǎn)品是指那些駐留在網(wǎng)絡(luò)中主機如服務(wù)器或桌面機并對主機系統(tǒng)自身提供安全防護的軟件產(chǎn)品；從廣義來講，“分布式防火墻”是一種新的防火墻體系結(jié)構(gòu)，它包含以下幾種類型：

3.1.1 網(wǎng)絡(luò)防火墻

用于內(nèi)部網(wǎng)與外部網(wǎng)之間（即傳統(tǒng)的邊界防火墻）和內(nèi)部網(wǎng)子網(wǎng)之間的防護產(chǎn)品，后者區(qū)別于前者的一個特征是需支持內(nèi)部網(wǎng)可能有的IP和非IP協(xié)議。

3.1.2 主機防火墻

對于網(wǎng)絡(luò)中的服務(wù)器和桌面機進行防護，這些主機的物理位置可能在內(nèi)部網(wǎng)中，也可能在內(nèi)部網(wǎng)外，如托管服務(wù)器或移動辦公的便攜機。

3.1.3 中心管理

邊界防火墻只是網(wǎng)絡(luò)中的單一設(shè)備，管理是局部的。對分布式防火墻來說，每個防火墻作為安全監(jiān)測機制可以根據(jù)安全性的不同要求布置在網(wǎng)絡(luò)中的任何需要的位置上，但總體安全策略又是統(tǒng)一策劃和管理的，安全策略的分發(fā)及日志的匯總都是中心管理應(yīng)具備的功能。中心管理是分布式防火墻系統(tǒng)的核心和重要特征之一。

3.2 優(yōu)點

分布式防火墻克服了傳統(tǒng)防火墻的缺陷，它的優(yōu)勢在于：在網(wǎng)絡(luò)內(nèi)部增加了另一層安全，有效抵御來自內(nèi)部的攻擊，消除網(wǎng)絡(luò)邊界上的通信瓶頸和單一故障點，支持基于加密和認證的網(wǎng)絡(luò)應(yīng)用；與拓撲無關(guān)，支持移動計算。

3.3 應(yīng)用

主要應(yīng)用在企業(yè)的網(wǎng)絡(luò)和服務(wù)器主機，在于堵住內(nèi)部網(wǎng)的漏洞，解決來自企業(yè)內(nèi)部網(wǎng)的攻擊。分布式防火墻實施在企業(yè)各個網(wǎng)絡(luò)端點上，克服了傳統(tǒng)防火墻的缺陷，有效保護了主機，適應(yīng)了新的網(wǎng)絡(luò)應(yīng)用的需要。

4 新一代防火墻技術(shù)的發(fā)展趨勢

隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn)，新一代防火墻技術(shù)也有一些新的發(fā)展趨勢。這主要可以從防火墻體系結(jié)構(gòu)、包過濾技術(shù)和防火墻系統(tǒng)管理3方面來體現(xiàn)。

4.1 防火墻的體系結(jié)構(gòu)發(fā)展趨勢

隨著網(wǎng)絡(luò)應(yīng)用的增加，對網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外，在以后幾年里，多媒體應(yīng)用將會越來越普遍，它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要，一些防火墻制造商開發(fā)了基于 ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度來看，基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎，從而減輕了CPU的負擔(dān)，該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

與基于ASIC的純硬件防火墻相比，基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩，因而更具靈活性?；贏SIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性，這就使得它缺乏靈活性，從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性，使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。

4.2 防火墻包過濾技術(shù)發(fā)展趨勢

4.2.1 使防火墻具有病毒防護功能

現(xiàn)在通常被稱之為“病毒防火墻”，當(dāng)然目前主要還是在個人防火墻中體現(xiàn)，因為它是純軟件形式，更容易實現(xiàn)。這種防火墻技術(shù)可有效地防止病毒在網(wǎng)絡(luò)中的傳播，比等待攻擊的發(fā)生更積極。擁有病毒防護功能的防火墻可以大大減少企業(yè)的損失。

4.2.2 多級過濾技術(shù)

所謂多級過濾技術(shù)，是指防火墻采用多級過濾措施，并輔以鑒別手段。在分組過濾（網(wǎng)絡(luò)層）一級，過濾掉所有的源路由分組和假冒的IP源地址；在傳輸層一級，遵循過濾規(guī)則，過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如 nuke包、圣誕樹包等；在應(yīng)用網(wǎng)關(guān)（應(yīng)用層）一級，能利用 FTP、SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測Internet提供的所用通用服務(wù)。這是針對以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù)，它可以彌補以上各種單獨過濾技術(shù)的不足。

這種過濾技術(shù)在分層上非常清楚，每種過濾技術(shù)對應(yīng)于不同的網(wǎng)絡(luò)層，從這個概念出發(fā)，又有很多內(nèi)容可以擴展，為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。

4.2.3 一些防火墻廠商把在 AAA系統(tǒng)上運用的用戶認證及其服務(wù)擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能

這種功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗證的防火墻通常是采用應(yīng)用級網(wǎng)關(guān)技術(shù)的，包過濾技術(shù)的防火墻不具有。用戶身份驗證功能越強，它的安全級別越高，但它給網(wǎng)絡(luò)通信帶來的負面影響也越大，因為用戶身份驗證需要時間，特別是加密型的用戶身份驗證。

4.3 防火墻的系統(tǒng)管理發(fā)展趨勢

防火墻系統(tǒng)管理的發(fā)展趨勢主要體現(xiàn)在以下幾個方面：

4.3.1 集中式管理，分布式和分層的安全結(jié)構(gòu)是將來的趨勢

集中式管理可以降低管理成本，并保證在大型網(wǎng)絡(luò)中安全策略的一致性?？焖夙憫?yīng)和快速防御也要求采用集中式管理系統(tǒng)。目前這種分布式防火墻早已在 Cisco（思科）、3Com 等大的網(wǎng)絡(luò)設(shè)備開發(fā)商中開發(fā)成功，也就是目前所稱的“分布式防火墻”和“嵌入式防火墻”。另外“混合型”和“智能型”等新特性的防火墻也隨著企業(yè)的應(yīng)用需求而產(chǎn)生。

4.3.2 強大的審計功能和自動日志分析功能

這兩點的應(yīng)用可以更早地發(fā)現(xiàn)潛在的威脅并預(yù)防攻擊的發(fā)生。日志功能還可以幫助管理員有效地發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞，及時地調(diào)整安全策略等各方面管理具有非常大的幫助。不過具有這種功能的防火墻通常較高級，早期的靜態(tài)包過濾防火墻是不具有的。

4.3.3 網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化

隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，現(xiàn)有一種提法，叫做“建立以防火墻為核心的網(wǎng)絡(luò)安全體系”。因為我們在現(xiàn)實中發(fā)現(xiàn)，僅現(xiàn)有的防火墻技術(shù)難以滿足當(dāng)前網(wǎng)絡(luò)安全需求。通過建立一個以防火墻為核心的安全體系，就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線，各種安全技術(shù)各司其職，從各方面防御外來入侵。

如現(xiàn)在的IDS設(shè)備就能很好地與防火墻一起聯(lián)合。一般情況下，為確保系統(tǒng)的通信性能不受安全設(shè)備的影響太大，IDS設(shè)備不能像防火墻一樣置于網(wǎng)絡(luò)入口處，只能置于旁路位置。而在實際使用中，IDS的任務(wù)往往不僅在于檢測，很多時候在IDS發(fā)現(xiàn)入侵行為以后，也需要IDS本身對入侵及時遏止。顯然，要讓處于旁路偵聽的IDS完成這個任務(wù)太難，同時主鏈路又不能串接太多類似設(shè)備。在這種情況下，如果防火墻能和IDS、病毒檢測等相關(guān)安全產(chǎn)品聯(lián)合起來，充分發(fā)揮各自的長處，協(xié)同配合，共同建立一個有效的安全防范體系，那么系統(tǒng)網(wǎng)絡(luò)的安全性就能得以明顯提升。

1 常曉波、楊劍峰.安全體系結(jié)構(gòu)的設(shè)計、部署與操作［M］.北京：清華大學(xué)出版社，2003

2 張明光.電子商務(wù)安全體系的探討［J］.計算機工程與設(shè)計，2005（2）：394～396

3 黃世權(quán).網(wǎng)絡(luò)安全及其基本解決方案［J］.科技情報開發(fā)與經(jīng)濟，2004（12）：240～241

4 嚴波.基于USB KEY的身份鑒別技術(shù)研究與應(yīng)用［J］.高性能計算技術(shù)，2005（6）：36～38

5 楊義先、鈕心忻.信息安全新技術(shù)［M］.北京：北京郵電大學(xué)出版社，2002