多層防火墻的組成與整合技術(shù)

朱麗群

?

多層防火墻的組成與整合技術(shù)

朱麗群*

(湖南文理學(xué)院 計算機科學(xué)與技術(shù)學(xué)院, 湖南 常德, 415000)

網(wǎng)絡(luò)安全技術(shù)的快速發(fā)展, 使目前流行的單層防火墻產(chǎn)品不能從根本上滿足實際應(yīng)用的需求. 多層防火墻系統(tǒng)結(jié)合不同防火墻的技術(shù)和安全策略, 包括包過濾技術(shù)、應(yīng)用級網(wǎng)關(guān)技術(shù)、電路級網(wǎng)關(guān)技術(shù)、狀態(tài)檢測技術(shù)和地址翻譯技術(shù)等, 并用不同的方法和技術(shù)將它們整合在一起, 創(chuàng)建一個比單一防護更有效的綜合防護系統(tǒng), 達(dá)到安全防護的目的.

多層防火墻; 組成; 整合

信息安全問題的日益突出, 防火墻技術(shù)的應(yīng)用越來越顯得重要. 目前使用較多的單層防火墻由于功能有限, 大多是針對防火墻的病毒入侵, 不能防范不經(jīng)過防火墻的攻擊, 這樣就造成了一個潛在的后門攻擊渠道. 單層防火墻即不能阻止已受到病毒感染的軟件或數(shù)據(jù)的傳輸, 也不能防止數(shù)據(jù)驅(qū)動式的攻擊, 當(dāng)有些表面看來無害的數(shù)據(jù)通過文件的傳輸或拷貝進入系統(tǒng)并被執(zhí)行時, 就會導(dǎo)致系統(tǒng)受到破壞[1].

單層防火墻存在的不足使得開發(fā)多層防火墻以提高網(wǎng)絡(luò)系統(tǒng)的安全防范能力越來越有必要. 多層防火墻是應(yīng)用和實施一個基于多層次安全系統(tǒng)的全面信息安全策略, 將各種單層防火墻有機的整合在一起, 在各個層次上部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品, 既有硬件方面的, 也有軟件方面的, 以增加病毒攻擊入侵時所花費的時間、成本和資源, 從而有效地降低被攻擊的危險, 達(dá)到安全防護的目的[2].

1 多層防火墻的組成與功能

多層防火墻的防護策略就是通過設(shè)置多層防護屏障使其安全性得以提高, 這些防護屏障由包過濾技術(shù)、狀態(tài)檢測技術(shù)、代理服務(wù)器技術(shù)、電路級網(wǎng)關(guān)技術(shù)和地址翻譯技術(shù)等組成[3].

1.1 包過濾技術(shù)

包過濾技術(shù)作為第一層防護屏障是一種內(nèi)置于Linux內(nèi)核路由功能之上的防火墻類型, 是利用過濾路由器監(jiān)視并過濾網(wǎng)絡(luò)進、出的IP數(shù)據(jù)包, 根據(jù)匹配和規(guī)則決定是否前行或被舍棄, 以達(dá)到拒絕發(fā)送可疑數(shù)據(jù)包的目的而起到防護作用(圖1).

圖1 包過濾型OSI工作流程

包過濾技術(shù)的優(yōu)點是高效、快速、透明, 即: 過濾路由器在價格上一般比代理服務(wù)器便宜. 對于一個小型的不太復(fù)雜的站點, 運用過濾路由器實現(xiàn)包過濾比較容易, 比代理服務(wù)器高效得多. 過濾路由器為用戶提供的是一種透明的服務(wù), 而且對用戶的要求不高, 因此過濾路由器有時也被稱為包過濾網(wǎng)關(guān)或透明網(wǎng)關(guān).

包過濾技術(shù)的缺點是定義復(fù)雜，消耗CPU資源，不能徹底防止地址欺騙，涵蓋應(yīng)用協(xié)議不全，無法執(zhí)行特殊的安全策略，并且不提供日志等. 這種防火墻的規(guī)則表大而復(fù)雜, 很難測試, 故出現(xiàn)漏洞的可能性也就大. 包過濾技術(shù)依賴的是一個單一過濾路由器來保護系統(tǒng), 這個單一過濾路由器往往可能出現(xiàn)了問題, 這種情況下網(wǎng)絡(luò)的防護作用就會消失, 甚至網(wǎng)絡(luò)遭受攻擊時用戶也不知情, 后果就會很嚴(yán)重. 此外, 一些包過濾網(wǎng)關(guān)不支持有效的用戶認(rèn)證, 這給用戶的使用帶來了困難[4].

1.2 狀態(tài)檢測技術(shù)

狀態(tài)檢測防火墻作為第2層防護屏障采用了狀態(tài)檢測包過濾技術(shù), 作為傳統(tǒng)包過濾技術(shù)的功能擴展, 能對網(wǎng)絡(luò)通信的各層實行檢測, 能夠比較準(zhǔn)確并及時地發(fā)現(xiàn)防護漏洞, 消除隱患[5].

狀態(tài)檢測技術(shù)的優(yōu)點是性能強、安全性好、擴展性好、配置方便、應(yīng)用范圍廣, 是多級防火墻的重要防護組成. 其缺點是只能檢測數(shù)據(jù)包的第3層信息, 無法徹底的識別數(shù)據(jù)包中大量的垃圾郵件、廣告以及木馬程序, 仍難以徹底保證網(wǎng)絡(luò)不受攻擊, 存在危險.

1.3 代理服務(wù)器技術(shù)

所謂代理服務(wù)器就是應(yīng)用級網(wǎng)關(guān), 是作為第3層防護屏障使用的應(yīng)用網(wǎng)關(guān)技術(shù).

代理服務(wù)器技術(shù)優(yōu)點體現(xiàn)在: ①能夠檢查進出的數(shù)據(jù)包, 然后將安全的數(shù)據(jù)信息通過網(wǎng)關(guān)進行傳遞, 以此隔斷受信任C/S系統(tǒng)與不受信任C/S系統(tǒng)之間的直接聯(lián)系; ②應(yīng)用級網(wǎng)關(guān)能夠通過理解應(yīng)用層上的協(xié)議, 進行較復(fù)雜的訪問控制和精細(xì)的注冊與稽核, 以增強系統(tǒng)的安全性[6].

代理服務(wù)器技術(shù)也存在缺點, 即每一種協(xié)議要有相應(yīng)的代理軟件, 使用過程中不僅工作量大, 而且效率也不如網(wǎng)絡(luò)級防火墻. 此外也不是所有的互聯(lián)網(wǎng)應(yīng)用軟件都可以使用代理服務(wù)器, 這限制了代理服務(wù)器技術(shù)的使用(圖2).

圖2 代理服務(wù)器型OSI工作原理

1.4 電路級網(wǎng)關(guān)技術(shù)

第4層防護屏障就是電路級網(wǎng)關(guān)技術(shù). 電路級網(wǎng)關(guān)能夠通過在網(wǎng)路中建立起一個回路, 對數(shù)據(jù)包進行轉(zhuǎn)發(fā). 這個過程只依靠TCP連接, 而不進行任何附加的包處理或過濾, 網(wǎng)關(guān)只用來在2個通信終點之間轉(zhuǎn)接數(shù)據(jù)包, 而且只限于簡單的字節(jié)拷貝, 數(shù)據(jù)包提交給用戶應(yīng)用層處理, 但由于電路級網(wǎng)關(guān)的連接起源于防火墻, 因此隱藏了受保護網(wǎng)絡(luò)的有關(guān)信息, 從而提高了網(wǎng)絡(luò)的安全性[7].

電路級網(wǎng)關(guān)技術(shù)的突出特點是可以對不同的協(xié)議提供代理服務(wù), 不過這種代理服務(wù)需要改進客戶程序, 它對外像一個代理, 對內(nèi)就是一個過濾路由器(圖3).

圖3 電路級網(wǎng)關(guān)工作原理

1.5 地址翻譯技術(shù)

第5道防護屏障是地址翻譯. 所謂地址翻譯技術(shù)是將一個IP地址用另一個IP地址代替. 盡管最初設(shè)計地址翻譯的目的是為了增加在專用網(wǎng)絡(luò)中可使用的IP地址數(shù), 但它有一個隱蔽的安全特性, 如內(nèi)部主機隱蔽等, 從而保證了網(wǎng)絡(luò)的安全. 地址翻譯主要用在2種情況下: ①網(wǎng)絡(luò)管理員出于安全考慮, 希望隱藏內(nèi)部網(wǎng)絡(luò)的IP地址, 這樣就使得Internet上的主機無法判斷內(nèi)部網(wǎng)絡(luò)的情況, 從而起到用戶信息不至于泄露的作用; ②考慮到IP地址資源有限而不夠用, 內(nèi)部網(wǎng)絡(luò)的IP地址是無效的IP地址, 這種情況下就需要翻譯IP地址[8].

在以上2種情況下, 內(nèi)部網(wǎng)對外面因不可見而帶有封閉性, 故內(nèi)部網(wǎng)可以拒絕Internet的訪問, 只允許內(nèi)部網(wǎng)主機之間的相互訪問, 這使內(nèi)部網(wǎng)的使用受到限制. 雖然應(yīng)用網(wǎng)關(guān)防火墻通過隱藏內(nèi)部IP可以部分解決這個問題, 一個內(nèi)部用戶可以遠(yuǎn)程登錄到網(wǎng)關(guān), 然后通過網(wǎng)關(guān)上的代理聯(lián)接到Internet, 但應(yīng)用層網(wǎng)關(guān)不能為基于TCP以外的應(yīng)用提供代理, 這就需要地址翻譯提供一種透明且完善的解決方案[7—8]. 這樣, 網(wǎng)絡(luò)管理員根據(jù)地址翻譯提供的方案就可以決定需要隱藏的內(nèi)部IP地址, 以及需要映射成為對Internet可見的IP地址. 這個過程中, 地址翻譯起到了內(nèi)部網(wǎng)間單向路由的作用, 但不作為從Internet到內(nèi)部網(wǎng)或主機的路由, 這樣就提高了用戶信息的安全性.

2 多層防火墻的整合

由于單一防火墻系統(tǒng)安全性能不高, 又各有其優(yōu)缺點, 所以就有必要將它們整合在一起, 揚長避短, 組成多層防火墻，對信息系統(tǒng)進行全方位保護. 即使黑客闖過一層防火墻可能獲取一部分?jǐn)?shù)據(jù), 在多層防火墻的保護下, 其他的數(shù)據(jù)仍然能被安全地保護在內(nèi)部防火墻之后. 多層防火墻就是通過整合不同防火墻安全策略和技術(shù)所形成的一個全新系統(tǒng). 它的具體整合技術(shù)包括4個方面.

2.1 采用多級過濾措施

所謂多級過濾就是將包過濾、狀態(tài)檢測等整合在一起, 并輔以鑒別手段, 讓過濾器之間不存在依賴關(guān)系, 允許多層過濾器組成一個過濾器鏈同時作用于頁面或系統(tǒng), 按一定的規(guī)則先后執(zhí)行相應(yīng)的過濾. 通過網(wǎng)絡(luò)層過濾, 能夠?qū)⑺械脑绰酚煞纸M和假冒的IP源地址過濾掉; 通過傳輸層過濾規(guī)則, 能夠?qū)⑺薪钩龌蛉氲膮f(xié)議和有害數(shù)據(jù)包如圣誕樹包一級nuke包等過濾掉; 通過應(yīng)用層過濾, Internet提供的通用服務(wù)都能夠利用FTP、SMTP等各種網(wǎng)關(guān)實現(xiàn)控制和監(jiān)測. 多級過濾作為一種綜合型過濾技術(shù)主要針對傳統(tǒng)防火墻技術(shù)的不足, 用以解決各種單級過濾技術(shù)的缺陷所采取的措施綜合補救. 它在分層上比較明確, 每種過濾技術(shù)針對不同的網(wǎng)絡(luò)層, 并且從需要出發(fā), 又可以擴展很多內(nèi)容, 使多級過濾技術(shù)能夠針對隨時可能出現(xiàn)的安全隱患采取相應(yīng)的過濾措施.

2.2 提高防火墻對計算機病毒的防與治能力

防火墻的病毒防護功能, 以純軟件形式在個人防火墻中體現(xiàn). 防火墻的作用是防止病毒入侵用戶服務(wù)器, 不過由于TCP／IP協(xié)議套件具有脆弱性, 使得Internet在拒絕服務(wù)攻擊時有可能產(chǎn)生漏洞. 攻擊者試圖使用戶Internet服務(wù)器飽和或使與它連接的系統(tǒng)崩潰, 達(dá)到用戶無法使用Internet的目的[9].

提高防火墻對計算機病毒的防治能力實際上就是建立一個“病毒實時檢測和清除系統(tǒng)”, 把病毒特征監(jiān)控程序駐留在內(nèi)存, 隨時查看系統(tǒng)在運行中是否有病毒攻擊, 一旦發(fā)現(xiàn)有病毒就馬上激活殺毒處理機制(這種機制可以是軟件的也可以是硬件的), 先禁止帶病毒的文件打開運行, 然后馬上殺毒. 由于許多病毒都是通過網(wǎng)絡(luò)傳播的, 病毒防火墻和網(wǎng)絡(luò)防火墻可以交叉應(yīng)用, 這樣可以大大提高對病毒的防護能力, 由此來保障用戶系統(tǒng)處于一個“無毒”的環(huán)境[10].

2.3 從防火墻的體系結(jié)構(gòu)上整合

目前防火墻的體系結(jié)構(gòu)主要有2種: 雙宿網(wǎng)關(guān)和屏蔽主機. 隨著網(wǎng)絡(luò)應(yīng)用和多媒體應(yīng)用的普及, 它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小. 這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù). 為了滿足這種需要, 多級防火墻采用混合型體系結(jié)構(gòu), 這種結(jié)果將內(nèi)部防火墻和外部防火墻相結(jié)合、堡壘主機和基站主機相結(jié)合, 在內(nèi)、外部防火墻和內(nèi)、外部網(wǎng)絡(luò)之間構(gòu)成一個安全子網(wǎng)(屏蔽子網(wǎng)), 以此提高防火墻對系統(tǒng)的防護能力.

提高網(wǎng)絡(luò)數(shù)據(jù)傳輸速度是信息時代對互聯(lián)網(wǎng)的要求, 這也要求防火墻能夠以更高的速率處理數(shù)據(jù), 數(shù)據(jù)穿過防火墻所引起的延遲越小就越能體現(xiàn)防火墻的優(yōu)越性能. 從這種需要出發(fā), 一種基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻的體系結(jié)構(gòu)應(yīng)運而生. 這種防火墻使用專門硬件處理網(wǎng)絡(luò)數(shù)據(jù)流, 處理數(shù)據(jù)流的速度明顯快于傳統(tǒng)防火墻. 不過由于純硬件的ASIC防火墻缺乏可編程性, 其靈活性就受到了限制. 解決這一不足的措施是增加ASIC芯片, 以提高可編程性, 使其與軟件更好地配合, 提高防火墻的靈活性和性能, 從而滿足數(shù)據(jù)處理速率的要求.

2.4 從防火墻系統(tǒng)管理上整合

①集中式管理. 分布式、主機駐留的體系結(jié)構(gòu), 是當(dāng)前防火墻技術(shù)的新潮流, 目前已經(jīng)由Cisco(思科)、3Com等大的網(wǎng)絡(luò)設(shè)備開發(fā)商開發(fā)成功, 也稱分布式防火墻和嵌入式防火墻. 這種體系可以在網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)內(nèi)部、服務(wù)器和客戶端等任何網(wǎng)絡(luò)結(jié)合處設(shè)置屏障, 并監(jiān)測多種網(wǎng)絡(luò)通信協(xié)議, 實現(xiàn)集中式管理, 形成一個多層次、多措施、內(nèi)外統(tǒng)一防范的安全系統(tǒng). 集中式管理的另一優(yōu)勢是能夠降低管理成本, 同時保證與大型網(wǎng)絡(luò)安全策略的一致性[11].

②自動日志和審計功能. 這種管理方式可以讓管理員盡早發(fā)現(xiàn)潛在的威脅和系統(tǒng)中存在的安全漏洞, 及時調(diào)整安全策略. 這可以將防火墻的監(jiān)控日志通過使用遠(yuǎn)程的審計服務(wù)器來存放, 因為黑客對遠(yuǎn)程日志審計服務(wù)器的位置并不透明, 在防火墻上設(shè)置大量的地址, 黑客就無法在短時間內(nèi)從防火墻上分析出日志服務(wù)器的網(wǎng)絡(luò)位置, 于是防火墻的遠(yuǎn)程日志服務(wù)器就可以記錄黑客的攻擊行為, 為下一步跟蹤和發(fā)現(xiàn)黑客提供有力的數(shù)據(jù)支持.

③網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化. 所謂網(wǎng)絡(luò)安全產(chǎn)品系統(tǒng)化就是建立以防火墻為核心的網(wǎng)絡(luò)安全體系. 由于單層防火墻難以滿足當(dāng)前網(wǎng)絡(luò)安全的多種需求, 如果通過建立一個以防火墻為核心的安全體系, 就能夠有針對地為網(wǎng)絡(luò)系統(tǒng)部署相應(yīng)的安全防線, 網(wǎng)絡(luò)系統(tǒng)的安全性就可以大大提高[12—13].

④圖形用戶界面. 從安裝上講, 多級防火墻的圖形用戶界面易于配置, 這也是NT防火墻具有較大市場發(fā)展?jié)摿Φ脑蛑? 提供這種易于安裝和易于管理基礎(chǔ)的是Windows NT. 但基于NT的防火墻通常落后于基于Unix的防火墻, 特別是Linux系統(tǒng). Linux是一種自由和開放源碼的類Unix操作系統(tǒng), 是一種嵌入式系統(tǒng)，有多種版本. 它們都使用了Linux內(nèi)核, 可安裝在各種計算機硬件設(shè)備中，如: 手機、平板電腦、路由器、視頻游戲控制平臺、臺式計算機、大型機等.

3 結(jié)語

多層防火墻的整合技術(shù)面臨許多挑戰(zhàn), 比如: 防火墻的深度過濾是提高防護功能的關(guān)鍵, 但不支持用戶認(rèn)證; 應(yīng)用級網(wǎng)關(guān)技術(shù)的用戶身份驗證功能雖強, 但對網(wǎng)絡(luò)通信有著負(fù)面影響. 怎樣解決這些矛盾, 這成為多級防火墻技術(shù)需要解決的新課題.

[1] 亨寧·曼凱.防火墻[M]. 珠海: 珠海出版社, 2004: 67.

[2] W R 切斯維克, S M 貝洛維. 防火墻與因特網(wǎng)的安全[M]. 北京:機械工業(yè)出版社, 2004:107.

[3] 李之棠, 李偉明, 陳琳. 防火墻原理與實施[M]. 北京: 電子工業(yè)出版社出版, 2001: 95.

[4] 侯整風(fēng), 龐有祥. 多核防火墻分層內(nèi)容過濾的時延分析[J]. 計算機工程與應(yīng)用, 2011: 47(12): 93—96.

[5] 楊志賢, 馮超敏, 陳靚. 狀態(tài)檢測防火墻構(gòu)建[J]. 網(wǎng)絡(luò)管理員世界, 2005(1): 71—73.

[6] 劉剛. 基于網(wǎng)絡(luò)處理器的千兆防火墻設(shè)計與實現(xiàn)[D]. 東華大學(xué), 2004.

[7] 張庭. 電子政務(wù)外網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)與安全管理[D]. 京郵電大學(xué), 2012.

[8] 周宏. 業(yè)網(wǎng)中主機防火墻技術(shù)的研究[D]. 華北電力大學(xué)(北京), 2003.

[9] 王子房, 李毅, 段云. 所代理型防火墻的原理與應(yīng)用[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2002(3): 12—15.

[10] 朱輝雁. Windows防火墻與因特網(wǎng)特色截獲技術(shù)[M]. 北京: 北京電子工業(yè)出版社, 2002: 78.

[11] 唐乾林. 基于嵌入式防火墻的改進研究[J]. 制造業(yè)自動化, 2011: 33(6): 79—81.

[12] 周東浩, 王勇軍. 防火墻擴展match模塊匹配算法優(yōu)化[J]. 計算機工程與設(shè)計, 2011: 32(3): 766—769.

[13] 李畢祥. 分布式防火墻策略異常檢測與分析[J]. 計算機與數(shù)字工程, 2011(11): 114—117.

The composition of multi-layer firewall technology and integration

ZHU LiQun

(School of Computer Science and Technology, Hunan University of Arts and Science, Changde 415000, China)

With the fast development of network security technology, current single level firewall products can not satisfy the real application requirement. Combining different firewall security strategies and technologies, such as packet filtering, application level gateway, circuit level gateway, state detection and address translation, multi-level firewall systems create a more effective comprehensive defense system than single level ones.

multi-level firewall; composition; integration

10.3969/j.issn.1672-6146.2014.03.019

TP 309.5

1672-6146(2014)03-0083-04

email: 786149219@qq.com.

2014-04-10

(責(zé)任編校:劉剛毅)