軟硬件防火墻技術(shù)及產(chǎn)品發(fā)展對比研究

文/李兵

?

軟硬件防火墻技術(shù)及產(chǎn)品發(fā)展對比研究

文/李兵

連云港工貿(mào)高等職業(yè)技術(shù)學(xué)校

在網(wǎng)絡(luò)中，防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法，它實際上是一種隔離技術(shù)。位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)，依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。主要由服務(wù)訪問視則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成。

1 防火墻技術(shù)分類

防火墻技術(shù)一般分為3類，即包過濾、應(yīng)用代理和狀態(tài)監(jiān)視。(1)包過濾技術(shù)工作的地方就是各種基于TCP/IP協(xié)議的數(shù)據(jù)包進出的通道，它把這兩層作為數(shù)據(jù)監(jiān)控的對象，對每個數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進行分析,并與預(yù)先設(shè)定好的過濾規(guī)則進行核對。(2) 使用應(yīng)用代理的防火墻實際上就是一臺小型的帶有數(shù)據(jù)檢測過濾功能的透明代理服務(wù)器。但是它并不是單純的在一個代理設(shè)備中嵌入包過濾技術(shù)，而是一種被稱為應(yīng)用協(xié)議分析的新技術(shù)。（3）狀態(tài)監(jiān)視技術(shù)通過一種被稱為狀態(tài)監(jiān)視的模塊，在不影響網(wǎng)絡(luò)安全正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各個層次實行監(jiān)測，并根據(jù)各種過濾規(guī)則做出安全決策。

2 軟件防火墻

由軟件安全廠商開發(fā)的軟件防火墻產(chǎn)品，用戶購買軟件后再購置硬件設(shè)備，在windows平臺上安裝軟件。常見的軟件防火墻有以下幾種：（一）Microsoft Windows ISA server 2006是微軟公司最早提出的防火墻軟件?？梢栽谄涔倬W(wǎng)上下載ISA2006中文版，解壓縮后進行安裝，在未注冊之前顯示為180天評估版本。由于只支持32位操作系統(tǒng)，在主流的64位操作系統(tǒng)上不能安裝，所以目前已被實際淘汰。（二）Microsoft Forefront TMG 2010軟件。微軟于2008年發(fā)布了 ISA Server新一代版本TMG。它的新特性就是可以在全系列的產(chǎn)品中進行安全評估信息的共享。SAS相當于在各個組件之間構(gòu)建了一個信息共享的通道，在這個通道中，所有組件共享彼此的安全評估信息，組件之間都是協(xié)同工作的，具有安全聯(lián)動響應(yīng)的特性。（三）思科軟件防火墻Cisco AMP for Endpoints。高級惡意軟件防護通過可視性和可控性有效防御高級攻擊，將全球威脅情報、高級沙盒和實時惡意軟件攔截功能集于一身，能有效預(yù)防入侵。AMP不僅依賴防御，還會持續(xù)分析整個擴展網(wǎng)絡(luò)中的文件活動，使您可以快速檢測、遏制和刪除高級惡意軟件。

3 硬件防火墻

現(xiàn)在的硬件防火墻有著多種硬件技術(shù)架構(gòu)，不同的硬件架構(gòu)有著各自不同的特點。隨著近些年千兆網(wǎng)絡(luò)開始在國內(nèi)企業(yè)中大規(guī)模普及和應(yīng)用，同時防火墻的硬件架構(gòu)也正面臨著一次變革。防火墻硬件架構(gòu)有以下幾種：（一）X86架構(gòu)。X86是由Intel推出的一種復(fù)雜指令集，用于控制芯片的運行的程序，是一種通用的“CPU+Linux”操作系統(tǒng)的架構(gòu)。（二）ASIC架構(gòu)。集成芯片是為特定要求和特定電子系統(tǒng)而設(shè)計、制造的集成電路。ASIC的特點是面向特定需求，在批量生產(chǎn)時與通用集成電路相比具有體積更小、功耗更低、可靠性提高、性能提高、保密性增強、成本降低等優(yōu)點?；贏SIC架構(gòu)的防火墻從架構(gòu)上改進了中斷機制，數(shù)據(jù)通過網(wǎng)卡進入系統(tǒng)后，無需經(jīng)過主CPU處理，而是由集成在系統(tǒng)中的芯片直接處理，完成防火墻的功能，如路由、NAT、防火墻規(guī)則匹配等，因此，其性能得到了大幅度的提升：性能可以達到萬兆，并且64 Bytes的小包都可以達到線速。（三）NP架構(gòu)。采用網(wǎng)絡(luò)處理器NP架構(gòu)的防火墻，各種算法可以通過硬件實現(xiàn)，在實現(xiàn)復(fù)雜的擁塞管理、隊列調(diào)度、流分類和QoS功能的前提下，還可以達到極高的查找、轉(zhuǎn)發(fā)性能，實現(xiàn)硬轉(zhuǎn)發(fā)。NP是專門為網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)流量而設(shè)計的處理器，其體系結(jié)構(gòu)和指令集對于數(shù)據(jù)處理都做了專門的優(yōu)化，同時輔助一些協(xié)處理器完成搜索、查表等功能，可以對網(wǎng)絡(luò)流量進行快速的并發(fā)處理。（四）MIPS架構(gòu)。MIPS是RISC精簡指令集處理器。它最早是在80年代初期由斯坦福大學(xué)研究小組研制出來的。MIPS是高性能、低功耗嵌入式系統(tǒng)處理器，廣泛應(yīng)用于網(wǎng)絡(luò)/通訊、無線、存儲和控制應(yīng)用等領(lǐng)域的安全產(chǎn)品，國際上主要的網(wǎng)絡(luò)/通訊/無線等廠商都有使用MIPS的解決方案。

4 軟硬件防火墻對比

通常情況下，軟件防火墻防護單機或者指定的服務(wù)器，硬件防火墻防護網(wǎng)絡(luò)邊界。

軟件防火墻一般寄生在操作系統(tǒng)平臺上，通過純軟件的方式實現(xiàn)隔離內(nèi)外部網(wǎng)絡(luò)的目的。軟件防火墻在遇到密集的DOS攻擊的時候，它所能承受的攻擊強度遠遠低于硬件防火墻。如果所在的網(wǎng)絡(luò)環(huán)境中，攻擊頻度不是很高，用軟件防火墻就能滿足要求了。軟件防火墻的優(yōu)點是定制靈活，升級快捷。基于X86的硬件防火墻，其最高性能只能達到2Gbps。長久以來，國內(nèi)許多安全廠商的防火墻產(chǎn)品都采用基于X86的架構(gòu)，而國外廠商的多數(shù)防火墻則采用ASIC架構(gòu)。而ASIC硬件防火墻在設(shè)計時，就必須將安全功能固化進ASIC芯片中，所以它的靈活性不夠，如果想要增添新的功能或進行系統(tǒng)升級，開發(fā)周期較長，對技術(shù)的要求也很高。此外，用ASIC開發(fā)復(fù)雜的如垃圾郵件過濾、網(wǎng)絡(luò)監(jiān)控、病毒防護等功能是，開發(fā)比較復(fù)雜，對技術(shù)要求很高。采用微碼編程，在性能方面NP不如ASIC。NP開發(fā)的難度和靈活性都介于ASIC和X86構(gòu)架之間，應(yīng)該說NP是X86架構(gòu)和ASIC之間的平衡方案。NP芯片都是由國外廠商設(shè)計制造的，提供NP芯片的廠家有很多，基本上都符合NPF指定的規(guī)范。國內(nèi)許多廠商為了彌補防火墻性能的不足，在不斷進行技術(shù)研發(fā)，推出了基于“NP+ASIC”的防火墻架構(gòu)，以解決X86架構(gòu)性能不足和ASIC架構(gòu)不夠靈活的問題。

硬件防火墻的抗攻擊能力比軟件的高很多，首先因為是通過硬件實現(xiàn)的功能，所以效率就高，其次因為它本身就是專門為了防火墻這一個任務(wù)設(shè)計的，內(nèi)核針對性很強。軟件防火墻需要裝入很多不相干的模塊，使用的操作系統(tǒng)不是針對網(wǎng)絡(luò)防護這個任務(wù)優(yōu)化設(shè)計的，運行起來效率和性能遠遠低于硬件防火墻。硬件防火墻采用專用的硬件設(shè)備，然后集成生產(chǎn)廠商的專用防火墻軟件。

[1]劉靜.防火墻技術(shù)項目化教程[M].西安：西安電子科技大學(xué)出版社，2015．

[2]張艷.防火墻產(chǎn)品原理與應(yīng)用[M].北京：電子工業(yè)出版社，2016．

李兵（1974—），男，江蘇灌云人。大學(xué)學(xué)歷，副教授，研究方向為計算機網(wǎng)絡(luò)技術(shù)、安全管理，Linux操作系統(tǒng)等。