防火墻防護(hù)應(yīng)用技術(shù)及產(chǎn)品現(xiàn)狀分析

◆劉麗娜

?

防火墻防護(hù)應(yīng)用技術(shù)及產(chǎn)品現(xiàn)狀分析

◆劉麗娜

(濟(jì)南職業(yè)學(xué)院 山東 250014)

本文闡述了防火墻技術(shù)的原理和功能特點(diǎn)，分析了國內(nèi)產(chǎn)品的市場現(xiàn)狀，并總結(jié)了防火墻技術(shù)產(chǎn)品的未來的發(fā)展趨勢。

防火墻；網(wǎng)絡(luò)安全；邊界防護(hù)

0 前言

防火墻是一種依據(jù)網(wǎng)絡(luò)拓?fù)?、?yīng)用種類、安全等級(jí)不同而采取邏輯隔離以加強(qiáng)網(wǎng)絡(luò)安全程度的防護(hù)技術(shù)，其保護(hù)對(duì)象是有明確邊界的一個(gè)或幾個(gè)區(qū)域，即所謂“安全域”；防護(hù)對(duì)象則是位于既定安全域之外、對(duì)網(wǎng)絡(luò)安全構(gòu)成潛在威脅的風(fēng)險(xiǎn)。防火墻采用軟件或硬件設(shè)備組合而成，限制不同安全區(qū)域之間的尤其是低安全等級(jí)區(qū)域向高安全等級(jí)區(qū)域的訪問操作，作為一種經(jīng)典的被動(dòng)安全技術(shù)，防火墻假定安全邊界的存在，非常適合于邊界清晰的網(wǎng)絡(luò)環(huán)境使用[1]。

1 防火墻

防火墻的發(fā)展幾乎是伴隨著Internet而同期出現(xiàn)的，所經(jīng)歷的技術(shù)階段主要包括：簡單包過濾，應(yīng)用級(jí)代理，狀態(tài)檢測包過濾等。

其中狀態(tài)包過濾技術(shù)因?yàn)槠浞雷o(hù)程度較高、處理速度快，得到最廣泛的應(yīng)用。應(yīng)用代理雖然安全性更好，但它需要針對(duì)每一種協(xié)議開發(fā)特定的代理協(xié)議，對(duì)應(yīng)用的支持不夠好，而且更關(guān)鍵的是，它的性能比較差。狀態(tài)檢測技術(shù)要監(jiān)視每個(gè)連接發(fā)起到結(jié)束的全過程，對(duì)于部分協(xié)議，如FTP、 H.323 等協(xié)議，是有狀態(tài)的協(xié)議，防火墻必須對(duì)這些協(xié)議進(jìn)行分析，以便知道什么時(shí)候，從哪個(gè)方向允許特定的連接進(jìn)入和關(guān)閉。狀態(tài)檢測防火墻可以對(duì)特定的協(xié)議進(jìn)行解碼，因此安全性也比較好，但因?yàn)樵趹?yīng)用層解碼分析，處理速度比較慢。

2 防火墻的技術(shù)特點(diǎn)

現(xiàn)階段業(yè)內(nèi)主流防火墻系統(tǒng)基本都從屬于狀態(tài)檢測包過濾類型，并以此為基礎(chǔ)合理吸收應(yīng)用級(jí)防護(hù)的優(yōu)點(diǎn)，逐步發(fā)展為訪問控制、特定應(yīng)用協(xié)議的指令/URL控制、VPN加密、典型攻擊行為防護(hù)以及NAT、動(dòng)態(tài)路由、鏈路均衡等功能的網(wǎng)關(guān)產(chǎn)品。尤其是在最近幾年，防火墻產(chǎn)品在傳統(tǒng)訪問控制功能之外，又充分結(jié)合了防病毒網(wǎng)關(guān)、入侵檢測等多種特點(diǎn)而派生出IPS、UTM等復(fù)合型防護(hù)系統(tǒng)。

為了滿足多樣化的組網(wǎng)需求，降低用戶對(duì)其它專用設(shè)備的需求，減少用戶建網(wǎng)成本，防火墻上也常常把其它網(wǎng)絡(luò)技術(shù)結(jié)合進(jìn)來，例如支持 DHCP SERVER、DHCP RELAY、支持動(dòng)態(tài)路由(如RIP，OSPF等)、支持撥號(hào)/PPPOE、支持透明模式(橋模式)、支持內(nèi)容過濾(如URL過濾)、防病毒和IDS等功能。

3 市場現(xiàn)狀分析

3.1目前用戶的應(yīng)用現(xiàn)狀

目前，市場對(duì)于防火墻的分類主要依據(jù)性能指標(biāo)而定，包括：百兆防火墻，千兆防火墻，萬兆防火墻。

百兆防火墻由于其性能遠(yuǎn)遠(yuǎn)落后于網(wǎng)絡(luò)部署環(huán)境的鏈路帶寬，其應(yīng)用場景已基本萎縮在SOHO領(lǐng)域，幾近退出市場。千兆防火墻是目前市場中的主流產(chǎn)品，而萬兆防火墻則在運(yùn)營商、企業(yè)網(wǎng)核心骨干等高帶寬環(huán)境中得到青睞。

此外，為了適應(yīng)數(shù)據(jù)大集中、多業(yè)務(wù)復(fù)合模式的潮流，一種可虛擬化運(yùn)行的防火墻技術(shù)應(yīng)運(yùn)而生。傳統(tǒng)防火墻是一個(gè)物理的實(shí)體，而虛擬防火墻是在這個(gè)物理實(shí)體里面可以劃分多個(gè)虛擬的防火墻。虛擬防火墻的某些功能甚至比傳統(tǒng)防火墻做的還要好，可以監(jiān)控部署在虛擬系統(tǒng)中的各個(gè)應(yīng)用系統(tǒng)之間的流量，實(shí)施訪問控制。

虛擬防火墻可以部署在核心交換機(jī)和主要服務(wù)器群的邊界位置，也可部署在物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)之間，甚至能夠部署在兩個(gè)虛擬網(wǎng)絡(luò)之間。

虛擬防火墻可以將一臺(tái)傳統(tǒng)防火墻在邏輯上劃分成多臺(tái)虛擬的防火墻，每個(gè)虛擬防火墻系統(tǒng)都可以被看成是一臺(tái)完全獨(dú)立的防火墻設(shè)備，可擁有獨(dú)立的系統(tǒng)資源、管理員、安全策略、用戶認(rèn)證數(shù)據(jù)庫等。由于防火墻資源分別獨(dú)立分配給各個(gè)虛擬的系統(tǒng)，彼此之間互不干擾，因此當(dāng)一個(gè)虛擬系統(tǒng)因抵御黑客攻擊耗費(fèi)大量資源的時(shí)候，另一個(gè)虛擬系統(tǒng)的資源卻不受任何影響，從而有效保證網(wǎng)絡(luò)其他應(yīng)用的正常運(yùn)行。

可以說，隨著虛擬化技術(shù)的成熟，虛擬防火墻的功能也在逐步完善。在虛擬防火墻中集成了防病毒，反垃圾郵件，URL過濾，IPS和VPN等高級(jí)功能，虛擬防火墻逐漸發(fā)展為虛擬UTM。

虛擬防火墻可以部署在核心交換設(shè)備和主要服務(wù)器的邊界位置，也可以部署在不同安全級(jí)別的邊界位置。在虛擬防火墻上通過配置虛擬接口和虛擬網(wǎng)絡(luò)提高網(wǎng)絡(luò)適應(yīng)能力，可以設(shè)計(jì)實(shí)現(xiàn)更為靈活的安全解決方案。

3.2民族產(chǎn)業(yè)現(xiàn)狀

2009年，防火墻/VPN市場同比增長預(yù)計(jì)為9.3%，市場規(guī)模將達(dá)到2.41億美元，并在2013年將進(jìn)一步擴(kuò)大到3.53億美元。在國家相關(guān)部門大力扶持民族產(chǎn)業(yè)的政策推動(dòng)下，國內(nèi)涌現(xiàn)出許多優(yōu)秀的信息安全廠商，在構(gòu)筑國家信息安全長城、提高民族品牌競爭力等方面做出了杰出貢獻(xiàn)。

表1 民族產(chǎn)品同國外產(chǎn)品的對(duì)比

與國外知名品牌相比，國內(nèi)防火墻/VPN起步較晚，而且由于主要專注于國內(nèi)市場，因此所經(jīng)歷的市場環(huán)境也相對(duì)簡單。上述因素反映到產(chǎn)品特點(diǎn)層面上，就形成了國內(nèi)防火墻/VPN產(chǎn)品與國外同類產(chǎn)品的相對(duì)特點(diǎn)。

4 產(chǎn)品發(fā)展趨勢

未來防火墻的發(fā)展趨勢是朝高速、多功能化、更安全的方向發(fā)展。從近期各大行業(yè)多次入圍測試的結(jié)果都可以看出，目前防火墻一個(gè)很大的局限性是速度不夠。應(yīng)用ASIC、FPGA和網(wǎng)絡(luò)處理器是實(shí)現(xiàn)高速防火墻的主要方法，但是算法也是一個(gè)關(guān)鍵，如果硬件平臺(tái)能夠集成多個(gè)硬件協(xié)處理單元，那么將比較容易實(shí)現(xiàn)高速。對(duì)于采用純CPU的防火墻，就必須有算法支撐，例如ACL算法。目前有的應(yīng)用環(huán)境，動(dòng)輒應(yīng)用數(shù)百乃至數(shù)萬條規(guī)則，沒有算法支撐，對(duì)于狀態(tài)防火墻，建立會(huì)話的速度會(huì)十分緩慢。

受現(xiàn)有技術(shù)的限制，目前還沒有有效的對(duì)應(yīng)用層進(jìn)行高速檢測的方法，也沒有哪款芯片能做到這一點(diǎn)。因此，高速防火墻目前還不適宜于集成內(nèi)容過濾、防病毒和IDS功能(傳輸層以下的IDS除外，這些檢測對(duì)CPU消耗小)。對(duì)于IDS，目前最常用的方式還是把網(wǎng)絡(luò)上的流量鏡像到IDS設(shè)備中處理，這樣可以避免流量較大時(shí)造成網(wǎng)絡(luò)堵塞。此外，應(yīng)用層漏洞很多，攻擊特征庫需要頻繁升級(jí)，對(duì)于處在網(wǎng)絡(luò)出口關(guān)鍵位置的防火墻，如此頻繁地升級(jí)也是不現(xiàn)實(shí)的。

根據(jù)國家有關(guān)標(biāo)準(zhǔn)和要求，防火墻日志要求記錄的內(nèi)容相當(dāng)多。隨著網(wǎng)絡(luò)流量越來越大，龐大的日志對(duì)日志服務(wù)器提出了很高的要求。目前，業(yè)界應(yīng)用較多的 SYSLOG 日志，采用的是文本方式，每一個(gè)字符都需要一個(gè)字節(jié)，對(duì)防火墻的帶寬也是一個(gè)很大的消耗。二進(jìn)制日志可以大大減小數(shù)據(jù)傳送量，也方便數(shù)據(jù)庫的存儲(chǔ)、加密和事后分析。所以，支持二進(jìn)制格式和日志數(shù)據(jù)庫，是未來防火墻日志和日志服務(wù)器軟件的一個(gè)基本要求。

多功能也是防火墻的發(fā)展方向之一，鑒于目前路由器和防火墻價(jià)格都比較高，組網(wǎng)環(huán)境也越來越復(fù)雜，一般用戶總希望防火墻可以支持更多的功能，滿足組網(wǎng)和節(jié)省投資的需要。例如，防火墻支持廣域網(wǎng)口，并不影響安全性，但在某些情況下卻可以為用戶節(jié)省一臺(tái)路由器；支持部分路由器協(xié)議，如路由、撥號(hào)等，可以更好地滿足組網(wǎng)需要；支持 IP SEC VPN，可以利用因特網(wǎng)組建安全的專用通道，既安全又節(jié)省了專線投資。

未來防火墻的操作系統(tǒng)會(huì)更安全。隨著算法和芯片技術(shù)的發(fā)展，防火墻會(huì)更多地參與應(yīng)用層分析，為應(yīng)用提供更安全的保障。

5 結(jié)語

本文闡述了防火墻技術(shù)的原理和功能特點(diǎn)，分析了國內(nèi)產(chǎn)品的市場現(xiàn)狀，并總結(jié)了防火墻技術(shù)產(chǎn)品的未來的發(fā)展趨勢。

[1]杜文才.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].清華大學(xué)出版社，2016.

[2]楊浩森.網(wǎng)絡(luò)安全協(xié)議綜合實(shí)驗(yàn)教程[M].清華大學(xué)出版社，2016.